用户登录和退出,以及访问请求的token校验

最新推荐文章于 2024-03-12 18:07:36 发布
最新推荐文章于 2024-03-12 18:07:36 发布
阅读量661 收藏 3
点赞数 1
分类专栏: 知识点总结 从头开始学java Spring 文章标签: java 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NewBeeMu/article/details/127722194
版权

用户登录和退出,以及访问请求的token校验

1、功能描述

在项目的实际开发中,肯定会遇到token的生成和校验。一般来说,应该是登录的时候,将登录的请求设置成白名单,登录成功后端生成token返回给前端,然后每次前端发送请求的时候都要带上token,后端会进行token校验,通过校验才可以调用接口,退出登录后token失效

2、代码

2.1、controller层

@RestController
@RequestMapping("/xxx/xxx/xxx/user")
@Api(tags = "用户管理")
@Slf4j
@Validated
public class UserController {

    @Autowired
    private UserService userService;
    
	@ApiOperation(value = "用户登录")
    @WebLog(info = "用户登录")
    @SecurityParameter
    @PostMapping("/login")
    public ResponseEntity<String> login(@RequestBody @Validated UserVO userVO) {
        Map<String, Object> rm = userService.login(userVO);
        boolean flag = (boolean) rm.get("flag");
        if (flag) {
            return new ResponseEntity<>((String) rm.get("token"), HttpStatus.OK);
        } else {
            return new ResponseEntity<>((String) rm.get("msg"), HttpStatus.UNAUTHORIZED);
        }
    }

    @ApiOperation(value = "移动端用户登录")
    @WebLog(info = "移动端用户登录")
    @SecurityParameter
    @PostMapping("/mobileLogin")
    public ResponseEntity<LoginVO> mobileLogin(@RequestBody @Validated UserVO userVO) {
        LoginVO loginVO = new LoginVO();
        Map<String, Object> rm = userService.mobileLogin(userVO);
        boolean flag = (boolean) rm.get("flag");
        if (flag) {
            loginVO .setJwt((String) rm.get("token"));
            loginVO .setName((String) rm.get("name"));
            //为了表示可以传输多个信息,所以这里特地用了对象
            return new ResponseEntity<>(loginVO, HttpStatus.OK);
        } else {
            doctorLoginVO.setJwt((String) rm.get("msg"));
            return new ResponseEntity<>(loginVO, HttpStatus.UNAUTHORIZED);
        }
    }

    @ApiOperation(value = "移动端退出登录")
    @WebLog(info = "移动端退出登录")
    @SecurityParameter
    @GetMapping("/mobileLogout")
    public ResponseEntity<String> mobileLogout() {
        userService.mobileLogout();
        return new ResponseEntity<>("已成功退出", HttpStatus.OK);
    }

    @ApiOperation(value = "退出登录")
    @WebLog(info = "退出登录")
    @SecurityParameter
    @GetMapping("/logout")
    public ResponseEntity<String> logout() {
        userService.logout();
        return new ResponseEntity<>("已成功退出", HttpStatus.OK);
    }
}

2.2、service层(此处省略service接口,直接用serviceImpl实现类)

@Slf4j
@Service
public class UserServiceImpl implements UserService {

	@Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private RedisCache redisCache;
    
	//用户登录
	@Override
    public Map<String, Object> login(UserVO userVO) {
        Map<String, Object> rm = new HashMap<>();
        rm.put("flag", true);
        //authenticate进行用户认证
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(userVO.getName(), userVO.getPassword());
        try {
            //此处调用LoginServiceImpl(实现了security接口UserDetailsService的自定义实现类)完成登录的业务拦截
            Authentication authenticate = authenticationManager.authenticate(authenticationToken);
            if (Objects.isNull(authenticate)) {
                //认证未通过
                rm.put("flag", false);
                rm.put("msg", "登录失败,请检查用户名/密码");
                return rm;
            }
            //认证通过,使用OA账号生成一个jwt
            LoginUser loginUser = (LoginUser) authenticate.getPrincipal();
            String name= loginUser.getUser().getName();
            rm.put("name", name);
            JSONObject jsonObject = new JSONObject();
            jsonObject.put("name",name);
            //这个标识是为了区分是pc端还是移动端
            jsonObject.put("type","0");
            String jwt = JwtUtil.createJWT(jsonObject.toString());
            //把完整的用户信息存入redis,name作为key
            String redisKey = "login:" + name;
            redisCache.setCacheObject(redisKey, loginUser);
            //设置缓存过期时间,这边随便设置为半个月,15天
            redisCache.expire(redisKey, 15 * 60 * 60);
            //将jwt返回前端
            rm.put("token", jwt);
        } catch (BadCredentialsException e) {
            rm.put("flag", false);
            rm.put("msg", "登录失败,请检查用户名/密码");
            log.warn("登录失败:{}", e.getMessage());
        }
        return rm;
    }

	//移动端用户登录
	@Override
    public Map<String, Object> mobileLogin(UserVO userVO) {
        Map<String, Object> rm = new HashMap<>();
        rm.put("flag", true);
        //authenticate进行用户认证
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(sysUserVO.getName(), sysUserVO.getPassword());
        try {
            //此处调用LoginServiceImpl(实现了security接口UserDetailsService的自定义实现类)完成登录的业务拦截
            Authentication authenticate = authenticationManager.authenticate(authenticationToken);
            if (Objects.isNull(authenticate)) {
                //认证未通过
                rm.put("flag", false);
                rm.put("msg", "登录失败,请检查用户名/密码");
                return rm;
            }
            //认证通过,使用OA账号生成一个jwt
            LoginUser loginUser = (LoginUser) authenticate.getPrincipal();
            String oaNumber = loginUser.getUser().getName();
            JSONObject jsonObject = new JSONObject();
            jsonObject.put("name",name);
            jsonObject.put("type","1");
            String jwt = JwtUtil.createJWT(jsonObject.toString());
            //把完整的用户信息存入redis,name作为key
            String redisKey = "mobileLogin:" + name;
            redisCache.setCacheObject(redisKey, loginUser);
            //设置缓存过期时间,这边随便设置为半个月,15天
            redisCache.expire(redisKey, 12 * 60 * 60);
            //将jwt返回前端
            rm.put("token", jwt);
        } catch (BadCredentialsException e) {
            rm.put("flag", false);
            rm.put("msg", "登录失败,请检查用户名/密码");
            log.warn("登录失败:{}", e.getMessage());
        }
        return rm;
    }

	//退出登录
 	@Override
    public void logout() {
        //从SecurityContextHolder中获取 已登录用户的信息
        UsernamePasswordAuthenticationToken authentication = (UsernamePasswordAuthenticationToken) SecurityContextHolder.getContext().getAuthentication();
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        //取出name
        String name= loginUser.getUser().getName();
        //删除redis中指定的值
        boolean del = redisCache.deleteObject("login:" + name);
        log.info("退出登录:redis中 {} 的用户信息已被删除: {}", name, del);
    }

	//移动端退出登录
 	@Override
    public void mobileLogout() {
        //从SecurityContextHolder中获取 已登录用户的信息
        UsernamePasswordAuthenticationToken authentication = (UsernamePasswordAuthenticationToken) SecurityContextHolder.getContext().getAuthentication();
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        //取出name
        String name= loginUser.getUser().getName();
        //删除redis中指定的值
        boolean del = redisCache.deleteObject("mobileLogin:" + name);
        log.info("退出登录:redis中 {} 的用户信息已被删除: {}", name, del);
    }
}

2.3、用户名密码校验

@Slf4j
@Service
public class LoginServiceImpl implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

	//这里没有进行复杂的校验,有复杂的逻辑校验都可以加在这里
	//我的User对象里面有name和password,在生成对象入库做新增操作前进行了加密
	//.setPassword(new BCryptPasswordEncoder().encode(password))
    @Override
    public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {
        LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>();
        queryWrapper.eq(User::getName,name);
        User user = userMapper.selectOne(queryWrapper);
        //如果没有查询到用户就抛出异常
        if(Objects.isNull(user)){
            throw new RuntimeException("登录失败,请检查用户名/密码");
        }
        //把数据封装成UserDetails返回
        return new LoginUser(user);
    }
}

2.4、LoginUser

@Data
@NoArgsConstructor
@AllArgsConstructor
public class LoginUser implements UserDetails {

    private User user;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

2.5、toekn校验拦截器

/**
 * token过滤器,需要将该过滤器添加到Security功能中去(SecurityConfig)
 */
@Slf4j
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private RedisCache redisCache;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //登录请求不做处理,直接放行
        if ("/xxx/xxx/xxx/login".equals(request.getRequestURI())) {
            filterChain.doFilter(request, response);
            return;
        }
        if ("/xxx/xxx/xxx/dmobileLogin".equals(request.getRequestURI())) {
            filterChain.doFilter(request, response);
            return;
        }
        //可以设置请求路径中含有xxx就不需要进行token校验
        if (request.getRequestURI().contains("/xxx/")) {
            filterChain.doFilter(request, response);
            return;
        }
        //从除登录请求外的每个请求中获取token
        String token = request.getHeader("token");
        if (!StringUtils.hasText(token)) {
            //放行:即使这里因为没有token而放行,也会被后续的过滤器拦截抛出对应的异常,故不在此处拦截
//            filterChain.doFilter(request, response);

            //检查每个请求都是否携带了Token(除登录请求外)
            log.warn("该请求未携带token");
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            response.setContentType("text/plain");
            response.setCharacterEncoding("utf-8");
            response.getWriter().print("token非法,请登录");
            return;
        }
        //解析token,取出token中的oa账号
        JSONObject jsonObject = null;
        try {
            Claims claims = JwtUtil.parseJWT(token);
            String object = claims.getSubject();
            jsonObject = JSONObject.parseObject(object);
        } catch (Exception e) {
            log.warn("token非法:{}", e.getMessage());
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            response.setContentType("text/plain");
            response.setCharacterEncoding("utf-8");
            response.getWriter().print("token非法,请登录");
            return;
        }
        String type = jsonObject.getString("type");
        String name= jsonObject.getString("name");
        if ("0".equals(type)) {
            //从redis中获取用户信息对象
            String redisKey = "login:" + name;
            LoginUser loginUser = redisCache.getCacheObject(redisKey);
            if (Objects.isNull(loginUser)) {
                //redis中并没有这个用户信息
                log.warn("用户未登录");
                response.setStatus(HttpStatus.UNAUTHORIZED.value());
                response.setContentType("text/plain");
                response.setCharacterEncoding("utf-8");
                response.getWriter().print("用户未登录");
                return;
            }
            //!!!把 登录用户的信息 存入SecurityContextHolder!!!
            //TODO 获取权限信息封装到Authentication中
            UsernamePasswordAuthenticationToken authenticationToken =
                    new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        } else {
            //从redis中获取用户信息对象
            String redisKey = "mobileLogin:" + name;
            LoginUser loginUser = redisCache.getCacheObject(redisKey);
            if (Objects.isNull(loginUser)) {
                //redis中并没有这个用户信息
                log.warn("用户未登录");
                response.setStatus(HttpStatus.UNAUTHORIZED.value());
                response.setContentType("text/plain");
                response.setCharacterEncoding("utf-8");
                response.getWriter().print("用户未登录");
                return;
            }
            //!!!把 登录用户的信息 存入SecurityContextHolder!!!
            //TODO 获取权限信息封装到Authentication中
            UsernamePasswordAuthenticationToken authenticationToken =
                    new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        }

        //放行
        filterChain.doFilter(request, response);
    }
}

2.6、SecurityConfig

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Autowired
    private AuthenticationEntryPoint authenticationEntryPoint;

    //创建BCryptPasswordEncoder注入容器,Security会自动做密码加解密的处理
    @Bean
    public PasswordEncoder passwordEncoder() {
    	//就是在这里设置的密码加密方式,我只是以此为例,可以根据需要自行修改
    	//常用的加密方式有很多,比如AES、RSA、国密加密算法等等
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //关闭csrf
                .csrf().disable()
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                //对于登录接口 允许匿名访问
                .antMatchers("/xxx/xxx/xxx/login").anonymous()
                .antMatchers("/doc.html", "/webjars/**", "/v2/**", "/swagger-resources").permitAll()
                .anyRequest().permitAll();

        //添加过滤器
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);

        //配置异常处理器
        http.exceptionHandling()
                //配置认证失败处理器
                .authenticationEntryPoint(authenticationEntryPoint);
//                .accessDeniedHandler(accessDeniedHandler);

        //允许跨域
        http.cors();
    }

}
NewBee.Mu
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java令牌Token登录退出的实现
08-19
主要介绍了Java令牌Token登录退出的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Java令牌Token登录退出
Caeser110的博客
05-25 5463
Java令牌Token登录退出 Token 之前的博客已经介绍了各种登录的方式,现在直接介绍一种现在比较流行的登录方式,无状态登录,只需要客户端携带令牌就能登陆,服务器不再存储登录状态。突然粉丝量爆棚,开心死了,所以抓紧写一篇硬核代码,分享给大家,拿来即用的代码,直接copy即可。 使用之前需要配置一下xml <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt --> <dependency> <gr
SpringBoot拦截器获取token用户对象优雅地传递到Controller层
最新发布
涛哥是个大帅比
03-12 774
抛出的异常需要自己捕捉,返回/*** Token拦截器*/@Component@Slf4j/*** 存储用户信息*/@Override// 从header中获取token// 如果参数中不存在token,则报错throw new RuntimeException("请求头缺少token参数");try {// TODO 根据token获取用户信息// ......log.error("获取用户信息失败:", e);
token退出登录实现方式
xidianzxm
07-30 4273
退出登录token 过期
sdsdvsdvs的博客
10-03 1139
用户退出后,他又将token给粘贴到了,很轻松就进入到了我们的页面中,导致我们的信息泄露;那我们就将用户点击,退出登录时的token给存储到redis中;只可在前端一味的清楚本地token是不行的;提前复制了我们的token;我们的token后进行token分析;我们都知道我们的token一但,发放放前段我们就不能,对他进行随时的修改;这样每当前段带着token要数据的时候,就将redis中的,token 进行对比,一但一致。我们在后端,将用户的标识信息生成了token之后由前段将数据存放在了;
基于token的一个登录退出组件
m0_56026872的博客
08-26 947
笔记 1. 登录业务的相关技术点 http是无状态的 通过cookie在客户端记录状态 通过session在服务器端记录状态 通过token方式维持状态 注意: 如果我们的前端和后台接口之间不存在跨域问题,我们一般使用 cookie 和 session 来记录登录状态 如果存在跨域问题,我们一般就使用 token 来维持登录状态 2. token 原理分析 token是保证用户登录成功之后的唯一身份令牌 登录页面输入用户名和密码进行登录 服务器验证通过之后生成该用户token
SpringBoot框架集成token实现登录校验功能
08-25
主要为大家详细介绍了SpringBoot框架集成token实现登录校验功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
nest框架的token登录,以及token校验
12-14
nest框架的token登录,以及token校验
后台用户登录-Token模块
12-22
后台用户登录-Token模块
03-后台用户登录-Token模块-已解锁
01-08
03-后台用户登录-Token模块-已解锁
技术汇总:第十六章:关于登录退出token
Java程序员廖志伟
06-17 1706
当两个设备都操作登录时,后操作的设备将具备登录权限,而之前登录的设备失去登录权限。 通常的登录业务,按照 token 随机生成的话,不同设备拥有不同的 token ,根据 token 来作为 key 保存登录数据,是可以同时登录同一个帐号,并且都保持在线的。因为这些 token 里面如果存登录状态的话,都会是已登录模式。 既然有这个唯一设备登录的需求,那就单独设置一个 user_login 的...
Abp vNext实现登录返回token可调用其他接口
weixin_38225763的博客
07-13 1405
/必须加上项目和数据库里定义得授权范围,否则登录成功后还是提示401。只是验证登录,并不返回token。Abp中获取token的接口是。具体使用方式看官方文档的。部分,我就记录一些常用的。
token校验机制
m0_47630057的博客
05-16 1719
token校验机制
token机制
celi_echo的博客
08-17 207
一、什么是token token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩的一定长度的...
登录退出(关于token
热门推荐
villen的博客
06-26 3万+
关于token https://www.jianshu.com/p/8d28e60af440 一般APP都是刚安装后,第一次启动时需要登录(提示你需要登录或者直接启动在登录界面)。而只要登录成功后,以后每次启动时都是登录状态,不需要每次启动时再次登录。不过,也有些APP若你长期未启动,再次启动时,它会提示你登录过期,让你重新登录。这个是怎么实现的?APP是怎么保持登录状态的? 比较标准...
企业API接口设计之token、timestamp、sign具体实现
emprere的博客
04-12 547
往期热门文章:1,《往期精选优秀博文都在这里了!》2、Elasticsearch 在互联网公司大量真实的应用案例3、一份来自亚马逊技术专家的Google面试指南,GitHub收获9.8...
token机制完成登录状态保持/身份认证
木鱼wzh的博客
03-04 2247
前言 一般APP都是刚安装后,第一次启动时需要登录(提示你需要登录或者直接启动在登录界面)。而只要登录成功后,以后每次启动时都是登录状态,不需要每次启动时再次登录。不过,也有些APP若你长期未启动,再次启动时,它会提示你登录过期,让你重新登录。这个是怎么实现的?APP是怎么保持登录状态的? 比较标准的方案是“带时效检测的token机制”。所谓token,即“令牌”的意思。那这个token机制的执行...
登录/退出功能——token原理分析
a_flying_ostrich的博客
07-08 1135
1》登录业务流程 1.在登录页面输入用户名和密码 2.调用后台接口进行验证 3.通过验证后,根据后台的响应状态跳转到项目主页 2》登录业务的相关技术点 1.HTTP是无状态的; 2.通过cookie在客户端记录状态(建议非跨域请求时使用); 3.通过session在服务器端记录; 4.通过token方式维持状态 客户端在登录页面输入用户名和密码进行登录; 服务器验证通过之后生成该用户token并返回给客户端(token是由服务...
Android token失效自动退出登录token添加
07-27
具体的实现方式可以根据你的应用架构和需求进行调整,例如清除本地保存的 token、清除用户登录状态等。 2. Token 刷新: 另一种处理方式是在 token 失效前提前刷新 token。这可以避免用户在使用应用时遇到频繁的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值