RESTful登录设计(基于Spring及Redis的Token鉴权)

最新推荐文章于 2024-03-15 11:05:50 发布
最新推荐文章于 2024-03-15 11:05:50 发布
阅读量7.2w 收藏 88
点赞数 21
分类专栏: App接口设计与开发 restful

什么是REST

REST(Representational State Transfer)是一种软件架构风格。它将服务端的信息和功能等所有事物统称为资源,客户端的请求实际就是对资源进行操作,它的主要特点有: – 每一个资源都会对应一个独一无二的url – 客户端通过HTTP的GET、POST、PUT、DELETE请求方法对资源进行查询、创建、修改、删除操作 – 客户端与服务端的交互必须是无状态的

关于RESTful的详细介绍可以参考这篇文章,在此就不浪费时间直接进入正题了。

使用Token进行身份鉴权

网站应用一般使用Session进行登录用户信息的存储及验证,而在移动端使用Token则更加普遍。它们之间并没有太大区别,Token比较像是一个更加精简的自定义的Session。Session的主要功能是保持会话信息,而Token则只用于登录用户的身份鉴权。所以在移动端使用Token会比使用Session更加简易并且有更高的安全性,同时也更加符合RESTful中无状态的定义。

交互流程

  1. 客户端通过登录请求提交用户名和密码,服务端验证通过后生成一个Token与该用户进行关联,并将Token返回给客户端。
  2. 客户端在接下来的请求中都会携带Token,服务端通过解析Token检查登录状态。
  3. 当用户退出登录、其他终端登录同一账号(被顶号)、长时间未进行操作时Token会失效,这时用户需要重新登录。

程序示例

服务端生成的Token一般为随机的非重复字符串,根据应用对安全性的不同要求,会将其添加时间戳(通过时间判断Token是否被盗用)或url签名(通过请求地址判断Token是否被盗用)后加密进行传输。在本文中为了演示方便,仅是将User Id与Token以”_”进行拼接。

/**
 * Token的Model类,可以增加字段提高安全性,例如时间戳、url签名
 * @author ScienJus
 * @date 2015/7/31.
 */
public class TokenModel {

    //用户id
    private long userId;

    //随机生成的uuid
    private String token;

    public TokenModel(long userId, String token) {
        this.userId = userId;
        this.token = token;
    }

    public long getUserId() {
        return userId;
    }

    public void setUserId(long userId) {
        this.userId = userId;
    }

    public String getToken() {
        return token;
    }

    public void setToken(String token) {
        this.token = token;
    }
}

Redis是一个Key-Value结构的内存数据库,用它维护User Id和Token的映射表会比传统数据库速度更快,这里使用Spring-Data-Redis封装的TokenManager对Token进行基础操作:

/**
 * 对token进行操作的接口
 * @author ScienJus
 * @date 2015/7/31.
 */
public interface TokenManager {

    /**
     * 创建一个token关联上指定用户
     * @param userId 指定用户的id
     * @return 生成的token
     */
    public TokenModel createToken(long userId);

    /**
     * 检查token是否有效
     * @param model token
     * @return 是否有效
     */
    public boolean checkToken(TokenModel model);

    /**
     * 从字符串中解析token
     * @param authentication 加密后的字符串
     * @return
     */
    public TokenModel getToken(String authentication);

    /**
     * 清除token
     * @param userId 登录用户的id
     */
    public void deleteToken(long userId);

}

/**
 * 通过Redis存储和验证token的实现类
 * @author ScienJus
 * @date 2015/7/31.
 */
@Component
public class RedisTokenManager implements TokenManager {

    private RedisTemplate redis;

    @Autowired
    public void setRedis(RedisTemplate redis) {
        this.redis = redis;
        //泛型设置成Long后必须更改对应的序列化方案
        redis.setKeySerializer(new JdkSerializationRedisSerializer());
    }

    public TokenModel createToken(long userId) {
        //使用uuid作为源token
        String token = UUID.randomUUID().toString().replace("-", "");
        TokenModel model = new TokenModel(userId, token);
        //存储到redis并设置过期时间
        redis.boundValueOps(userId).set(token, Constants.TOKEN_EXPIRES_HOUR, TimeUnit.HOURS);
        return model;
    }

    public TokenModel getToken(String authentication) {
        if (authentication == null || authentication.length() == 0) {
            return null;
        }
        String[] param = authentication.split("_");
        if (param.length != 2) {
            return null;
        }
        //使用userId和源token简单拼接成的token,可以增加加密措施
        long userId = Long.parseLong(param[0]);
        String token = param[1];
        return new TokenModel(userId, token);
    }

    public boolean checkToken(TokenModel model) {
        if (model == null) {
            return false;
        }
        String token = redis.boundValueOps(model.getUserId()).get();
        if (token == null || !token.equals(model.getToken())) {
            return false;
        }
        //如果验证成功,说明此用户进行了一次有效操作,延长token的过期时间
        redis.boundValueOps(model.getUserId()).expire(Constants.TOKEN_EXPIRES_HOUR, TimeUnit.HOURS);
        return true;
    }

    public void deleteToken(long userId) {
        redis.delete(userId);
    }
}

RESTful中所有请求的本质都是对资源进行CRUD操作,所以登录和退出登录也可以抽象为对一个Token资源的创建和删除,根据该想法创建Controller:

/**
 * 获取和删除token的请求地址,在Restful设计中其实就对应着登录和退出登录的资源映射
 * @author ScienJus
 * @date 2015/7/30.
 */
@RestController
@RequestMapping("/tokens")
public class TokenController {

    @Autowired
    private UserRepository userRepository;

    @Autowired
    private TokenManager tokenManager;

    @RequestMapping(method = RequestMethod.POST)
    public ResponseEntity login(@RequestParam String username, @RequestParam String password) {
        Assert.notNull(username, "username can not be empty");
        Assert.notNull(password, "password can not be empty");

        User user = userRepository.findByUsername(username);
        if (user == null ||  //未注册
                !user.getPassword().equals(password)) {  //密码错误
            //提示用户名或密码错误
            return new ResponseEntity<>(ResultModel.error(ResultStatus.USERNAME_OR_PASSWORD_ERROR), HttpStatus.NOT_FOUND);
        }
        //生成一个token,保存用户登录状态
        TokenModel model = tokenManager.createToken(user.getId());
        return new ResponseEntity<>(ResultModel.ok(model), HttpStatus.OK);
    }

    @RequestMapping(method = RequestMethod.DELETE)
    @Authorization
    public ResponseEntity logout(@CurrentUser User user) {
        tokenManager.deleteToken(user.getId());
        return new ResponseEntity<>(ResultModel.ok(), HttpStatus.OK);
    }

}

这个Controller中有两个自定义的注解分别是@Authorization@CurrentUser,其中@Authorization用于表示该操作需要登录后才能进行:

 
 
  1. /** 
  2.  * 在Controller的方法上使用此注解,该方法在映射时会检查用户是否登录,未登录返回401错误 
  3.  * @author ScienJus 
  4.  * @date 2015/7/31. 
  5.  */ 
  6. @Target(ElementType.METHOD) 
  7. @Retention(RetentionPolicy.RUNTIME) 
  8. public @interface Authorization { 
  9. }

这里使用Spring的拦截器完成这个功能,该拦截器会检查每一个请求映射的方法是否有@Authorization注解,并使用TokenManager验证Token,如果验证失败直接返回401状态码(未授权):

/**
 * 自定义拦截器,判断此次请求是否有权限
 * @author ScienJus
 * @date 2015/7/30.
 */
@Component
public class AuthorizationInterceptor extends HandlerInterceptorAdapter {

    @Autowired
    private TokenManager manager;

    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response, Object handler) throws Exception {
        //如果不是映射到方法直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        //从header中得到token
        String authorization = request.getHeader(Constants.AUTHORIZATION);
        //验证token
        TokenModel model = manager.getToken(authorization);
        if (manager.checkToken(model)) {
            //如果token验证成功,将token对应的用户id存在request中,便于之后注入
            request.setAttribute(Constants.CURRENT_USER_ID, model.getUserId());
            return true;
        }
        //如果验证token失败,并且方法注明了Authorization,返回401错误
        if (method.getAnnotation(Authorization.class) != null) {
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            return false;
        }
        return true;
    }
}

@CurrentUser注解定义在方法的参数中,表示该参数是登录用户对象。这里同样使用了Spring的解析器完成参数注入:

/**
 * 在Controller的方法参数中使用此注解,该方法在映射时会注入当前登录的User对象
 * @author ScienJus
 * @date 2015/7/31.
 */
@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface CurrentUser {
}

/**
 * 增加方法注入,将含有CurrentUser注解的方法参数注入当前登录用户
 * @author ScienJus
 * @date 2015/7/31.
 */
@Component
public class CurrentUserMethodArgumentResolver implements HandlerMethodArgumentResolver {

    @Autowired
    private UserRepository userRepository;

    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        //如果参数类型是User并且有CurrentUser注解则支持
        if (parameter.getParameterType().isAssignableFrom(User.class) &&
                parameter.hasParameterAnnotation(CurrentUser.class)) {
            return true;
        }
        return false;
    }

    @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
        //取出鉴权时存入的登录用户Id
        Long currentUserId = (Long) webRequest.getAttribute(Constants.CURRENT_USER_ID, RequestAttributes.SCOPE_REQUEST);
        if (currentUserId != null) {
            //从数据库中查询并返回
            return userRepository.findOne(currentUserId);
        }
        throw new MissingServletRequestPartException(Constants.CURRENT_USER_ID);
    }
}

一些细节

  • 登录请求一定要使用HTTPS,否则无论Token做的安全性多好密码泄露了也是白搭
  • Token的生成方式有很多种,例如比较热门的有JWT(JSON Web Tokens)、OAuth等。

源码发布

本文的完整示例程序已发布在我的Github上,可以下载并按照readme.md的流程进行操作。

AndyLizh
关注
  • 21
    点赞
  • 88
    收藏
    觉得还不错? 一键收藏
  • 14
    评论
专栏目录
restful api 基础
qq_34838046的博客
10-16 209
文章目录基础api设计基本思路举例:(axios)新增一个title为“abc”的item删除id为5的item把id为5的item的title修改为"bbb"把id为5的item修改{title:"bbb",content:"xxx"}获取id小于10000中前100个item(字段需要自己设置)HTTP报头(暂略)HTTP状态码(部分) 基础 1.最好要带有版本(设置在url中或者header中) 2.网址里不能有动词 3.所有的接口的功能都用“都某个资源的某个操作”描述。 4.资源表现在url中 5.
项目使用cas的restful协议进行单点登录
Z丶royAl的博客
08-14 4775
一、为什么要使用restful协议 可以使用原本系统的登录界面,不用去改cas默认的界面。改实际的项目远比demo测试时复杂的多,我这里项目用的是springmvc 二、实现思路: (1)调整cas服务端的配置文件可以参考springboot+shiro+cas5.2通过RESTful协议进行sso单点登录 (2)在原本的登录逻辑上添加登录成功后,通过用户名密码获取tgt的代码,并把tgt添加到session里 //利用restful协议登录cas服务端 String tgt = new Cas
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
基于Spring Cloud+Vue的班级事务管理系统源码(毕设源码)+项目使用说明.zip
06-14
基于Spring Cloud+Vue的班级事务管理系统源码(毕设源码)+项目使用说明.zip 【系统架构】 项目采用B/S架构,前后端通讯采用RESTful API,数据格式使用Json,认证Token格式采用JWT。 身份认证使用Spring Security Oauth2。 前端:Vue.js 后端:Spring Cloud 数据库:MySQL 缓存:Redis 文件存储:FastDFS ORM:MyBatis-Plus 【部署】 由于系统使用Spring Cloud架构,部署时一般配合Nginx将请求转发到网关模块。部署时需修改对应注册中心和配置中心的地址。 服务启动顺序如下: tclass-config tclass-registry tclass-oauth tclass-gateway 由于系统使用Spring Cloud架构,部署时一般配合Nginx将请求转发到网关模块。部署时需修改对应注册中心和配置中心的地址。 服务启动顺序如下: tclass-config tclass-registry tclass-oauth tclass-gateway 其他业务模块
springboot项目jwt认证鉴权(企业级实现方案)
qq_45443475的博客
03-15 433
Resource@Override// 从 http 请求头中取出 token// 如果不是映射到方法直接通过if(!//检查是否有passtoken注释,有则跳过认证logger.info("=====pass token 跳过token 拦截=====");// 执行认证logger.info("请求路径:" + httpServletRequest.getRequestURI());
spring-restful-authorization:这个 Demo 用于演示如何在 RESTful 下使用自定义 Token 保持客户端登录状态,依靠 Spring 的拦截器和解析器完成权限验证及登录用户注入,并使用 Redis 存储 Token
04-28
###简介 关于Demo的介绍可以参考 ###演示方式 下载该项目并修改application.properties文件,将MySQL和Redis的信息修改为自己的配置 打开init.sql文件,将其中的sql语句在MySQL中运行 通过mvn spring-boot:run启动项目,如果日志输出Started Application in 8.112 seconds (JVM running for 14.491)说明启动成功 浏览器打开localhost:8080,可以看到swagger-ui的主页 演示登录:在该页面打开POST tokens/,在username项输入admin、password项输入password,点击Try it out!,查看返回结果得到userId和token 演示退出登录:在该页面打开DELETE tokens/,在authorization中填写用us
java spring boot springboot 后台管理框架源码程序 源代码(内含部署文档及数据库)
05-09
此项目源码采用spring boot开发,使用springsecurity进行权限控制。前后端基于json进行交互,接口通过JWT无状态token进行权限校验,使用redis或者数据库进行token缓存,接口完全采用Restful的风格,实现按钮级权限控制,可以作为开发项目的脚手架,做为基础项目。 该版本为mybatis版,只支持mysql 采用jdk1.8 + spring boot2.0.2 +springsecurity4+mysql+ mybatis + redis + layui + json + quartz +datatables。 代码实现我都采用的开源的架构,没有授权问题,因此不管是个人学习,还是公司开发,都可以放心的使用,layui是官网开源部分,非layuiAdmin。
spittr:RESTful API服务器,由SpringSpring MVC,MyBatis基于Java 8,MySql,Redis实现
04-30
概览 spittr 该名字来源于《Spring 实战》一书,接口设计使用 restful 风格。 该项目使用的技术: Spring Spring MVC MyBatis 3.4 Spring-test JUnit Redis MySql JWT 配置 数据库脚本:schema.sql 。 根据需要更改 application.properties : # MySql 配置 database.driver=com.mysql.jdbc.Driver database.username={mysql username} database.password={mysql password} database.url=jdbc:mysql://localhost:3306/spittr?useUnicode=true&characterEncoding=utf8 # 上传文件配置 uploadfi
Restful登录和注册的实现
thelostworld
02-09 2101
登录前的表的设计接下来实现登录和注册的功能登录的验证功能(参考文档)http://blog.csdn.net/aitcax/article/details/53097562SQL语句的编写<mapper namespace="com.fuwei.mapper.UserMapper"><select id="login" resultType="User">select * ...
RESTful登录(基于token鉴权)的设计实例
热门推荐
lucasma的博客
04-06 6万+
使用场景 现在很多基于restful的api接口都有个登录设计,也就是在发起正式的请求之前先通过一个登录的请求接口,申请一个叫做token的东西。申请成功后,后面其他的支付请求都要带上这个token,服务端通过这个token验证请求的合法性。这个token通常都有一个有效期,一般就是几个小时。 比如我之前接入过一个支付宝和微信支付的通道,他们提供的api就要求先登录获取token然后才能使用...
RESTful 标准接口教程
weixin_42529485的博客
04-12 3429
如何利用 RESTful 标准写漂亮的 API 接口?
详解APP的Token验证机制
u014526891的博客
09-11 4万+
由于最近负责的一个互联网APP项目中需要用到Token验证机制,所以这边抽空整理下整体流程。 我们知道现在最通用的Token是基于JWT来实现,简单来说其实就是用PublicKey来进行加密,生成的Token里面包含用户Id等信息,但是作为APP这种C/S体系结构来说,存在这样的问题: 1、PublicKey由客户端来存储,涉及版本更新迭代问题,并不好更改PublicKey; 2、各个用户的......
Flask项目(二)Restful风格、图片、短信验证码、注册登录
行者
11-13 2541
Flask项目Restful风格如何设计符合RESTful风格的API一、域名:二、版本:三、路径:四、使用标准的HTTP方法:五、过滤信息:六、状态码:七、错误信息:八、响应结果:九、使用链接关联相关的资源:十、其他:图片验证码前端处理验证码接口文档发送短信服务注册、登录、登出逻辑 Restful风格 REST:Representational State Transfer的缩写,翻译:“具象状态传输”。一般解释为“表现层状态转换”。 REST是设计风格而不是标准。是指客户端和服务器的交互形式。我们需要关
嵌入式 linux restful,如何使用c语言和JSON解析器创建Restful Web Services
weixin_33730916的博客
05-05 326
Restbed可以满足您的需求,但JSON解析器除外.然而,将解决方案与已经可用的许多CJSON实现之一组合需要很少的工作.#include #include #include #include #include #include using namespace std;using namespace restbed;void get_method_handler( const shared_pt...
如何设计一个API接口
qq_35821588的博客
10-07 4720
在日常开发中,总会接触到各种接口。前后端数据传输接口,第三方业务平台接口。一个平台的前后端数据传输接口一般都会在内网环境下通信,而且会使用安全框架,所以安全性可以得到很好的保护。这篇文章重点讨论一下提供给第三方平台的业务接口应当如何设计?我们应该考虑哪些问题? 主要从以上三个方面来设计一个安全的API接口。 一 安全性问题 安全性问题是一个接口必须要保证的规范。如果接口保证不了安全性,那么你的接口相当于直接暴露在公网环境中任人蹂躏。 1.1 调用接口的先决条件-token 获取token一般会涉及到几个参
App (客户端)登录接口设计Token探究(一)
yundashi168.com
12-02 6355
Token 的的特性: 通过随机算法生成(Hash),里面包含这个 Token 对应用户的基本信息有生命周期,(TODO)可获得剩余的生命周期可延续生命周期(TODO)可主动销毁 先看效果图: 基本符合规范的验证token的接口: { code: 100, message: "成功", content:  { expire: 116
初识Restful 风格请求
StrugglingXuYang的博客
09-03 292
Restful 是一种前后台请求的一种方式、风格 具体定义自行百度 POST:创建资源 PUT: 修改资源 GET:获取资源 DELETE:删除资源 以下是测试接口 请注意每个方法上的请求注解 @RestController @RequestMapping("/api/restful") public class TestRestfulController { @PostMapping(produces = "application/json") public AjaxResult po
RESTFUL API API身份认证
qq_51537858的博客
06-08 1162
1.介绍 API 身份验证的常用机制 2.介绍如何进行 API 身份验证在典型业务场景中,为了区分用户和安全保密,必须对 API 请求进行鉴权, 但是不能要求每一个请求都进行登录操作。合理做法是,在第一次登录之后产生一个有一定有效期的 token,并将其存储于浏览器的 Cookie 或 LocalStorage 之中,之后的请求都携带该 token ,请求到达服务器端后,服务器端用该 token 对请求进行鉴权。在第一次登录之后,服务器会将这个 token 用文件、数据库或缓存服务器等方法存下来,用于之后请
Spring boot 使用restful风格的spring security login
iverson2010112228的专栏
10-17 6522
Spring boot 使用restful风格的spring security login第一步,获取基本springboot项目 从 spring官网获取security+session+redis依赖的springboot项目 安装配置redis,修改配置文件,启动项目,拿到登录密码,用户名为user. 根据官方文档,配置demo项目,理解spring security的机制 第
基于spring boot的毕业设计参考文献
最新发布
03-29
基于Spring Boot的毕业设计可以选择以下参考文献: 1. "Spring Boot in Action" by Craig Walls - 这本书是关于Spring Boot的权威指南,详细介绍了Spring Boot的核心概念、特性和最佳实践。 2. "Mastering Spring Boot 2.0" by Dinesh Rajput - 这本书深入探讨了Spring Boot 2.0的各种高级特性和用法,包括安全性、微服务、数据访问等方面。 3. "Pro Spring Boot 2" by Felipe Gutierrez - 这本书提供了关于Spring Boot的全面指南,包括如何构建RESTful API、使用Spring Security进行身份验证和授权、使用Spring Data JPA进行数据库操作等内容。 4. "Building Microservices with Spring Boot" by Josh Long and Kenny Bastani - 这本书介绍了如何使用Spring Boot构建微服务架构,包括服务注册与发现、负载均衡、断路器模式等。 5. "Spring Boot Cookbook" by Alex Antonov - 这本书提供了一系列实用的示例和解决方案,帮助你解决在Spring Boot开发中遇到的各种问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值