2. 程式人生 > 實用技巧 >從零開始的SpringBoot專案 ( 七 ) 實現基於Token的使用者身份驗證

從零開始的SpringBoot專案 ( 七 ) 實現基於Token的使用者身份驗證

阿新 發佈:2020-08-22

1.首先了解一下Token

  • uid: 使用者唯一身份標識
  • time: 當前時間的時間戳
  • sign: 簽名, 使用 hash/encrypt 壓縮成定長的十六進位制字串,以防止第三方惡意拼接
  • 固定引數(可選): 將一些常用的固定引數加入到 token 中是為了避免重複查資料庫

2.token 驗證的機制(流程)

  1. 使用者登入校驗,校驗成功後就返回Token給客戶端。
  2. 客戶端收到資料後儲存在客戶端
  3. 客戶端每次訪問API是攜帶Token到伺服器端。
  4. 伺服器端採用filter過濾器校驗。校驗成功則返回請求資料,校驗失敗則返回錯誤碼

3.使用SpringBoot搭建基於token驗證

3.1 引入 POM 依賴

<!--Json web token-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>

3.2 新建一個攔截器配置 用於攔截前端請求 實現 WebMvcConfigurer

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration

 
public class InterceptorConfig implements WebMvcConfigurer {

  @Override
  public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(authenticationInterceptor())
        .addPathPatterns("/**");//攔截所有請求,通過判斷是否有 @LoginRequired 註解 決定是否需要登入
  }

  @Bean
  public AuthenticationInterceptor authenticationInterceptor() {
    
 
return new AuthenticationInterceptor();
  }
}

3.3 新建一個AuthenticationInterceptor實現HandlerInterceptor介面 實現攔截還是放通的邏輯

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.my_springboot.rbac.pojo.Admin;
import com.my_springboot.rbac.service.IAdminService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.reflect.Method;

/**
 * 攔截器去獲取token並驗證token*/
public class AuthenticationInterceptor implements HandlerInterceptor {

    @Autowired
    private IAdminService adminService;

    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest,
                             HttpServletResponse httpServletResponse, Object object) {
        String token = httpServletRequest.getHeader ("token");// 從 http 請求頭中取出 token
        // 如果不是對映到方法直接通過
        if (!(object instanceof HandlerMethod)) {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) object;
        Method method = handlerMethod.getMethod ();
        //檢查是否有@passtoken註解,有則跳過認證
        if (method.isAnnotationPresent (PassToken.class)) {
            PassToken passToken = method.getAnnotation (PassToken.class);
            if (passToken.required ()) {
                return true;
            }
        }
        //檢查有沒有需要使用者許可權的註解
        if (method.isAnnotationPresent (UserLoginToken.class)) {
            UserLoginToken userLoginToken = method.getAnnotation (UserLoginToken.class);
            if (userLoginToken.required ()) {
                // 執行認證
                if (token == null) {
                    throw new RuntimeException ("無token");
                }
                // 獲取 token 中的 user id
                String adminId;
                try {
                    adminId = JWT.decode (token).getAudience ().get (0);
                } catch (JWTDecodeException j) {
                    throw new RuntimeException ("401");
                }
                Admin admin = adminService.getById (adminId);
                if (admin == null) {
                    throw new RuntimeException ("使用者不存在");
                }
                // 驗證 token
                JWTVerifier jwtVerifier = JWT.require (Algorithm.HMAC256 (admin.getPassword ())).build ();
                try {
                    jwtVerifier.verify (token);
                } catch (JWTVerificationException e) {
                    throw new RuntimeException ("401");
                }
                return true;
            }
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception { }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception { }
}

3.4 新建兩個註解 用於標識請求是否需要進行Token 驗證

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 需要登入才能進行操作的註解UserLoginToken*/

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserLoginToken {

    boolean required() default true;
}
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 用來跳過驗證的PassToken*/
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {

    boolean required() default true;
}

3.5 新建一個Service用於下發Token

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.my_springboot.rbac.pojo.Admin;
import org.springframework.stereotype.Service;

import java.util.Date;

/**
 * 下發token*/
@Service
public class TokenService {

    public String getToken(Admin admin) {
        Date start = new Date ();
        long currentTime = System.currentTimeMillis () + 60 * 60 * 1000;//一小時有效時間
        Date end = new Date (currentTime);
        return JWT.create ().withAudience (admin.getId ()).withIssuedAt (start)
                .withExpiresAt (end)
                .sign (Algorithm.HMAC256 (admin.getPassword ()));
    }
}

3.6 新建一個工具類 使用者從token中取出使用者Id

import com.auth0.jwt.JWT;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;

/**
 * token工具類*/
public class TokenUtil {
    public static String getTokenUserId() {
        String token = getRequest().getHeader("token");// 從 http 請求頭中取出 token
        String userId = JWT.decode(token).getAudience().get(0);
        return userId;
    }

    /**
     * 獲取request
     *
     * @return
     */
    public static HttpServletRequest getRequest() {
        ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder
                .getRequestAttributes();
        return requestAttributes == null ? null : requestAttributes.getRequest();
    }
}

以上。

相關推薦

開始SpringBoot專案 ( ) 實現基於Token的使用者身份驗證

1.首先了解一下Token uid: 使用者唯一身份標識 time: 當前時間的時間戳 sign: 簽名, 使用 hash/encrypt 壓縮成定長的十六進位制字串,以防止第三方惡意拼接

開始搭建專案(二) —— vue2+webpack4

使用 html-webpack-plugin 外掛 1. 安裝 html-webpack-plugin npm install --save-dev html-webpack-plugin

開始的Java RASP實現(二)

目錄2 RASP-demo2.1 類載入機制雙親委派BootStrap ClassLoader2.2 Instrumentation介紹Instrumentation類中常用方法Instrumentation觸發流程Instrumentation的侷限性2.3 javassist方法1,通過ClassLoader#defineCla

開始的DIY智慧家居 - 基於 ESP32 的智慧澆水器

前言 上次 土壤溼度感測器 完成之後,就立下一個 flag 要搭建一個智慧澆水的智慧場景,現在終於有時間填坑了!(o゚▽゚)o

開始的DIY智慧家居 - 基於 ESP32 的土壤溼度感測器

前言 自從上次做了那個 甲醛感測器 和 水濁度感測器 之後開始嚐到智慧家居的甜頭了,這兩東西有沒有用我不知道,但是沒事的時候掏出手機瞄兩眼,看著就讓人很安心( ̄︶ ̄)↗。

開始的DIY智慧家居 - 基於 ESP32 的智慧水濁度感測器

前言 家裡有個魚缸養了幾條魚來玩玩,但是換水的問題著實頭疼,經常一個不注意就忘記換水,魚兒就沒了。o(╥﹏╥)o

開始的DIY智慧家居 - 基於 ESP32 的智慧光照感測器

前言 上週出差有點急,結果家裡燈沒關,開了整整一週的時間(T▽T),整個人都裂開了,準備做一個能夠遠端控制燈的東西,讓我以後出差能遠端把家裡燈關了。

併發程式設計開始(十)-ForkJoinPool(終章)

併發程式設計從零開始(十)-ForkJoinPool(終章) 22 ForkJoinTask的fork/join 如果區域性佇列、全域性中的任務全部是相互獨立的,就很簡單了。但問題是,對於分治演算法來說,分解出來的一個個任務並不是獨立的,

開始Docker+Nginx+Jenkins實現前端自動化部署

前言 主要是覺得之前寫的webhooks太蠢了,會有宕機事件,更新包的時候,網站會打不開,詳情可以看我這篇文章開始通過webhooks實現前端自動化。

SpringBoot實現基於token的登入驗證

一.SpringBoot實現基於token的登入驗證 基於token的登入驗證實現原理:客戶端通過使用者名稱和密碼呼叫登入介面,當驗證資料庫中存在該使用者後,將使用者的資訊按照token的生成規則,生成一個字串token,返回給客戶端

JAVA中的Token 基於Token身份驗證例項

最近在做專案開始,涉及到伺服器與安卓之間的介面開發,在此開發過程中發現了安卓與一般瀏覽器不同,安卓在每次傳送請求的時候並不會帶上上一次請求的SessionId,導致伺服器每次接收安卓傳送的請求訪問時都新建一個S

基於Token身份驗證的原理

本文轉載自:https://blog.csdn.net/wnvalentin/article/details/89854980 1 發展史 1、很久很久以前,Web 基本上就是文件的瀏覽而已, 既然是瀏覽,作為伺服器, 不需要記錄誰在某一段時間裡都瀏覽了什麼文件,每次

[Go] 開始專案-基於gin框架打造restfull風格API

程式碼的包結構是在GOPATH環境變數目錄中新建了bin src pkg三個目錄 如果程式碼放在了github裡 , 那麼就在src目錄下新建的 github.com/使用者名稱/倉庫名 這個目錄下進行開發工作

開始SpringBoot專案 ( 二 ) 使用IDEA建立一個SpringBoot專案

工欲善其事 , 必先利其器 。 IntelliJ IDEA 2019.3.3 x64的安裝與破解 下面詳細說明下如何使用idea建立我們的第一個springboot專案

springboot+vue部署到阿里雲伺服器(開始到部署完成,包含JDK的安裝、Nginx做前端伺服器以及Nginx配置、自啟、後端專案自啟)

技術標籤:伺服器框架nginx伺服器阿里雲專案部署springboot+vue 由於最近這兩天沒有什麼事情,經理讓我把目前正在寫的專案(半成品)部署到線上,由於本人還是菜鳥一枚,之前也沒接觸過,所以也是網上查資料從零

開始搭建springboot+springcloud+mybatis本地專案全過程(圖解)

記錄一下開始搭建一個springboot+springcloud+mybatis本地專案的demo的過程。純程式碼小白一枚,若有不足或錯誤之處,歡迎廣大朋友指出!

開始springboot專案

技術標籤:javamysqlspringmybatis 開始springboot專案 開發環境使用IDEA建立專案及配置依賴生成啟動類和配置檔案配置springboot配置檔案配置啟動類配置knife4j及Json工具類Json工具類

開始的臨時會話WEB專案基於SSM框架)(二)

前面搭好了SSM的基本框架,這裡準備正式寫程式碼 一、引入前端框架layim 由於layim不是完全免費的,這裡就不直接把本人用的資原始檔直接分享給大家了。

開始改造spring專案-為每個請求新增獨一無二的id

前言-為什麼要新增id? 1.新建專案 <dependency> <groupId>org.springframework.boot</groupId>

開始的高併發()--- RPC的介紹,協議及框架

前言 前情概要 上一篇中我們有簡單提到master選舉與程式碼實現,官網的一些模組劃分和它們對於以往文章主題的幫助。畢竟不能只吃官網給出來的東西,所以還是要靠自己多找資料吧。