若以的鉴权逻辑是如何实现的

已于 2024-08-09 16:20:38 修改
阅读量683 收藏 9
点赞数 19
文章标签: java
于 2024-08-09 16:12:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asd2481343/article/details/141064774
版权

若以通过Spring Security结合JWT实现了RABC主要逻辑为

  1. 用户登录后,会根据当前用户的信息生成Token返回给前端
  2. 用户发送请求后首先会被JwtAuthenticationTokenFilter进行拦截,通过Token获取当前用户的所有信息,这些信息就包含了UserDetails中的字段,这些信息会被Security存入上下文当中
  3. 当请求映射到控制器方法之后,会通过控制器方法的@PreAuthorize拦截并校验当前用户是否拥有该权限

SecurityConfig

SecurityConfig配置是Security的核心,一切都要从这里出发

framework/…/config/SecurityConfig

@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 自定义用户认证逻辑
     */
    @Autowired
    private UserDetailsService userDetailsService;

    /**
     * 认证失败处理类
     */
    @Autowired
    private AuthenticationEntryPointImpl unauthorizedHandler;

    /**
     * 退出处理类
     */
    @Autowired
    private LogoutSuccessHandlerImpl logoutSuccessHandler;

    /**
     * token认证过滤器
     */
    @Autowired
    private JwtAuthenticationTokenFilter authenticationTokenFilter;

    /**
     * 跨域过滤器
     */
    @Autowired
    private CorsFilter corsFilter;

    /**
     * 允许匿名访问的地址
     */
    @Autowired
    private PermitAllUrlProperties permitAllUrl;

    /**
     * 解决 无法直接注入 AuthenticationManager
     *
     * @return
     * @throws Exception
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * anyRequest          |   匹配所有请求路径
     * access              |   SpringEl表达式结果为true时可以访问
     * anonymous           |   匿名可以访问
     * denyAll             |   用户不能访问
     * fullyAuthenticated  |   用户完全认证可以访问(非remember-me下自动登录)
     * hasAnyAuthority     |   如果有参数,参数表示权限,则其中任何一个权限可以访问
     * hasAnyRole          |   如果有参数,参数表示角色,则其中任何一个角色可以访问
     * hasAuthority        |   如果有参数,参数表示权限,则其权限可以访问
     * hasIpAddress        |   如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
     * hasRole             |   如果有参数,参数表示角色,则其角色可以访问
     * permitAll           |   用户可以任意访问
     * rememberMe          |   允许通过remember-me登录的用户访问
     * authenticated       |   用户登录后可访问
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        // 注解标记允许匿名访问的url
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests();
        permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll());

        httpSecurity
                // CSRF禁用,因为不使用session
                .csrf().disable()
                // 禁用HTTP响应标头
                .headers().cacheControl().disable().and()
                // 认证失败处理类
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求
                .authorizeRequests()
                // 对于登录login 注册register 验证码captchaImage 允许匿名访问
                .antMatchers("/login", "/register", "/captchaImage").permitAll()
                // 静态资源,可匿名访问
                .antMatchers(HttpMethod.GET, "/", "/*.html", "/**/*.html", "/**/*.css", "/**/*.js", "/profile/**").permitAll()
                .antMatchers("/swagger-ui.html", "/swagger-resources/**", "/webjars/**", "/*/api-docs", "/druid/**").permitAll()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                .and()
                .headers().frameOptions().disable();
        // 添加Logout filter
        httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
        // 添加JWT filter
        httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 添加CORS filter
        httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
        httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
    }

    /**
     * 强散列哈希加密实现
     */
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    /**
     * 身份认证接口
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
    }
}

这些注入的Bean都比较重要:

  • UserDetailsService用于注入当前系统的自定义认证逻辑,这是一个接口,Spring会注入注入其实现类,实现类中通过UserDetails loadUserByUsername()这个核心方法完成核心的用户身份认证,最后在返回UserDetails 这个接口的实现类,也就是自定义用户信息实体类
  • AuthenticationEntryPointImpl自定义认证失败处理器,当用户无权访问时就会触发这个处理器的响应
  • LogoutSuccessHandlerImpl自定义退出处理器
  • JwtAuthenticationTokenFilterJWT认证过滤器,这就是上文中提到的过滤器,所有的请求都要经过这个过滤器,获取请求头重点 token并认证身份加入到上下文中,这个需要手动添加到过滤器链当中
  • CorsFilter跨域过滤器
  • PermitAllUrlProperties允许匿名访问的地址

核心配置方法

/**
 * anyRequest          |   匹配所有请求路径
 * access              |   SpringEl表达式结果为true时可以访问
 * anonymous           |   匿名可以访问
 * denyAll             |   用户不能访问
 * fullyAuthenticated  |   用户完全认证可以访问(非remember-me下自动登录)
 * hasAnyAuthority     |   如果有参数,参数表示权限,则其中任何一个权限可以访问
 * hasAnyRole          |   如果有参数,参数表示角色,则其中任何一个角色可以访问
 * hasAuthority        |   如果有参数,参数表示权限,则其权限可以访问
 * hasIpAddress        |   如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
 * hasRole             |   如果有参数,参数表示角色,则其角色可以访问
 * permitAll           |   用户可以任意访问
 * rememberMe          |   允许通过remember-me登录的用户访问
 * authenticated       |   用户登录后可访问
 */
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
    // 注解标记允许匿名访问的url
    ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests();
    permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll());
    httpSecurity
            // CSRF禁用,因为不使用session
            .csrf().disable()
            // 禁用HTTP响应标头
            .headers().cacheControl().disable().and()
            // 认证失败处理类
            .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
            // 基于token,所以不需要session
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
            // 过滤请求
            .authorizeRequests()
            // 对于登录login 注册register 验证码captchaImage 允许匿名访问
            .antMatchers("/login", "/register", "/captchaImage").permitAll()
            // 静态资源,可匿名访问
            .antMatchers(HttpMethod.GET, "/", "/*.html", "/**/*.html", "/**/*.css", "/**/*.js", "/profile/**").permitAll()
            .antMatchers("/swagger-ui.html", "/swagger-resources/**", "/webjars/**", "/*/api-docs", "/druid/**").permitAll()
            // 除上面外的所有请求全部需要鉴权认证
            .anyRequest().authenticated()
            .and()
            .headers().frameOptions().disable();
    // 添加Logout filter
    httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
    // 添加JWT filter
    httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
    // 添加CORS filter
    httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
    httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
}

这里比较核心的地方有放行请求与放行资源,.permitAll().anyRequest().authenticated()然后除了以上之外,全部请求都需要鉴权,这个才是开启鉴权的关键然后在httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class)这里添加了JWT校验过滤器,并在authenticationEntryPoint()这里设置了认证失败的处理器

/**
 * 强散列哈希加密实现
 */
@Bean
public BCryptPasswordEncoder bCryptPasswordEncoder() {
    return new BCryptPasswordEncoder();
}
/**
 * 身份认证接口
 */
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
}

这个Bean的作用是全局密码加密逻辑,之后的PasswordEncoder将使用这个加密逻辑,这个configure方法的作用就是将上文中注入的自定义认证逻辑进行设置,并设置加密逻辑

framework/…/security/filter/JwtAuthenticationTokenFilter

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired
    private TokenService tokenService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
        LoginUser loginUser = tokenService.getLoginUser(request);
        if (StringUtils.isNotNull(loginUser) && StringUtils.isNull(SecurityUtils.getAuthentication())) {
            tokenService.verifyToken(loginUser);
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
            authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        }
        chain.doFilter(request, response);
    }
}

这就是JWT与Security的核心,在这里拦截请求并验证token解析通过,设置上下文身份信息,其中TokenService会在下文说明

登录逻辑

framework/…/web/service/SysLoginService

一切登录逻辑的开始于这个方法

/**
 * 登录验证
 *
 * @param username 用户名
 * @param password 密码
 * @param code     验证码
 * @param uuid     唯一标识
 * @return 结果
 */
public String login(String username, String password, String code, String uuid) {
    // 验证码校验
    validateCaptcha(username, code, uuid);
    // 登录前置校验
    loginPreCheck(username, password);
    // 用户验证
    Authentication authentication = null;
    try {
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username, password);
        AuthenticationContextHolder.setContext(authenticationToken);
        // 该方法会去调用UserDetailsServiceImpl.loadUserByUsername
        authentication = authenticationManager.authenticate(authenticationToken);
    } catch (Exception e) {
        if (e instanceof BadCredentialsException) {
            AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.password.not.match")));
            throw new UserPasswordNotMatchException();
        } else {
            AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, e.getMessage()));
            throw new ServiceException(e.getMessage());
        }
    } finally {
        AuthenticationContextHolder.clearContext();
    }
    AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_SUCCESS, MessageUtils.message("user.login.success")));
    LoginUser loginUser = (LoginUser) authentication.getPrincipal();
    recordLoginInfo(loginUser.getUserId());
    // 生成token
    return tokenService.createToken(loginUser);
}

首先会校验验证码、并校验密码是否为空或者无效的密码或者是否在黑名单当中,然后开始进行验证,这里会首先准备一个Authentication对象,然后将当前用户输入的用户名和密码放入一个临时的上下文中,通过authentication = authenticationManager.authenticate(authenticationToken);这里会调用自定义认证逻辑,也就是上文配置的自定义认证逻辑的loadUserByUsername()会生效

framework/…/web/service/UserDetailsServiceImpl

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    private static final Logger log = LoggerFactory.getLogger(UserDetailsServiceImpl.class);

    @Autowired
    private ISysUserService userService;

    @Autowired
    private SysPasswordService passwordService;

    @Autowired
    private SysPermissionService permissionService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //这里拿到用户信息
        SysUser user = userService.selectUserByUserName(username);
        if (StringUtils.isNull(user)) {
            log.info("登录用户:{} 不存在.", username);
            throw new ServiceException(MessageUtils.message("user.not.exists"));
        } else if (UserStatus.DELETED.getCode().equals(user.getDelFlag())) {
            log.info("登录用户:{} 已被删除.", username);
            throw new ServiceException(MessageUtils.message("user.password.delete"));
        } else if (UserStatus.DISABLE.getCode().equals(user.getStatus())) {
            log.info("登录用户:{} 已被停用.", username);
            throw new ServiceException(MessageUtils.message("user.blocked"));
        }

        passwordService.validate(user);

        return createLoginUser(user);
    }

    public UserDetails createLoginUser(SysUser user) {
        return new LoginUser(user.getUserId(), user.getDeptId(), user, permissionService.getMenuPermission(user));
    }
}

首先会从数据库中查询该用户名是否存在,或者这个用户名是否被停用…

然后通过passwordService.validate(user);方法验证当前用户

framework/…/web/service/SysPasswordService

@Component
public class SysPasswordService {
    @Autowired
    private RedisCache redisCache;

    @Value(value = "${user.password.maxRetryCount}")
    private int maxRetryCount;

    @Value(value = "${user.password.lockTime}")
    private int lockTime;

    /**
     * 登录账户密码错误次数缓存键名
     *
     * @param username 用户名
     * @return 缓存键key
     */
    private String getCacheKey(String username) {
        return CacheConstants.PWD_ERR_CNT_KEY + username;
    }

    public void validate(SysUser user) {
        Authentication usernamePasswordAuthenticationToken = AuthenticationContextHolder.getContext();
        // 从上下文中拿到username
        String username = usernamePasswordAuthenticationToken.getName();
        // 从上下文中拿到明文password
        String password = usernamePasswordAuthenticationToken.getCredentials().toString();

        Integer retryCount = redisCache.getCacheObject(getCacheKey(username));

        //初始化 重试次数
        if (retryCount == null) {
            retryCount = 0;
        }

        if (retryCount >= Integer.valueOf(maxRetryCount).intValue()) {
            throw new UserPasswordRetryLimitExceedException(maxRetryCount, lockTime);
        }

        //开始尝试密码
        if (!matches(user, password)) {
            retryCount = retryCount + 1;
            redisCache.setCacheObject(getCacheKey(username), retryCount, lockTime, TimeUnit.MINUTES);
            throw new UserPasswordNotMatchException();
        } else {
            clearLoginRecordCache(username);
        }
    }

    public boolean matches(SysUser user, String rawPassword) {
        return SecurityUtils.matchesPassword(rawPassword, user.getPassword());
    }

    public void clearLoginRecordCache(String loginName) {
        if (redisCache.hasKey(getCacheKey(loginName))) {
            redisCache.deleteObject(getCacheKey(loginName));
        }
    }
}

这里会从之前的临时上下文当中拿到用户名和密码,并获取这个用户当前密码的重试次数,然后通过matches()方法开始验证密码,这个方法最终会调用SecurityUtils工具类当中的matchesPassword()方法将当前用户输入的密码使用之前配置的加密逻辑加密后与数据库中的密文密码进行比较,如果不一致,则重试次数加一并返回错误提示,如果重试次数大于配置文件中的阈值则暂时禁用该账户

如果密码正确,则UserDetailsServicet通过createLoginUser()方法返回UserDetails的实现

public UserDetails createLoginUser(SysUser user) {
    return new LoginUser(user.getUserId(), user.getDeptId(), user, permissionService.getMenuPermission(user));
}

这里是调用了LoginUser的构造方法,并将当前用户的权限集合,id、部门等信息传入并最终返回,其中当前用户身份的集合需要额外编写逻辑通过当前用户角色的集合动态获取其权限集合

public Set<String> getMenuPermission(SysUser user) {
    Set<String> perms = new HashSet<String>();
    // 管理员拥有所有权限
    if (user.isAdmin()) {
        perms.add("*:*:*");
    } else {
        List<SysRole> roles = user.getRoles();
        if (!CollectionUtils.isEmpty(roles)) {
            // 多角色设置permissions属性,以便数据权限匹配权限
            for (SysRole role : roles) {
                Set<String> rolePerms = menuService.selectMenuPermsByRoleId(role.getRoleId());
                role.setPermissions(rolePerms);
                perms.addAll(rolePerms);
            }
        } else {
            perms.addAll(menuService.selectMenuPermsByUserId(user.getUserId()));
        }
    }
    return perms;
}

然后将当前LoginUser生成token返回前端

common/../core/domain/model/LoginUser

public class LoginUser implements UserDetails {
    //.......
}

这个类实现了UserDetails接口,登录成功后通过该实体的对象生成token并返回给前端

其中UserDetails接口就是为了规范用户实体中应该有哪些字段

public interface UserDetails extends Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();
    
    //.....
}

TokenService

framework/…/web.service/TokenService

这个Service的核心就是处理Token

@Component
public class TokenService {
    protected static final long MILLIS_SECOND = 1000;
    protected static final long MILLIS_MINUTE = 60 * MILLIS_SECOND;
    private static final Logger log = LoggerFactory.getLogger(TokenService.class);
    private static final Long MILLIS_MINUTE_TEN = 20 * 60 * 1000L;
    // 令牌自定义标识
    @Value("${token.header}")
    private String header;
    // 令牌秘钥
    @Value("${token.secret}")
    private String secret;
    // 令牌有效期(默认30分钟)
    @Value("${token.expireTime}")
    private int expireTime;
    @Autowired
    private RedisCache redisCache;

    /**
     * 获取用户身份信息
     *
     * @return 用户信息
     */
    public LoginUser getLoginUser(HttpServletRequest request) {
        // 获取请求携带的令牌
        String token = getToken(request);
        if (StringUtils.isNotEmpty(token)) {
            try {
                Claims claims = parseToken(token);
                // 解析对应的权限以及用户信息
                String uuid = (String) claims.get(Constants.LOGIN_USER_KEY);
                String userKey = getTokenKey(uuid);
                LoginUser user = redisCache.getCacheObject(userKey);
                return user;
            } catch (Exception e) {
                log.error("获取用户信息异常'{}'", e.getMessage());
            }
        }
        return null;
    }

    /**
     * 设置用户身份信息
     */
    public void setLoginUser(LoginUser loginUser) {
        if (StringUtils.isNotNull(loginUser) && StringUtils.isNotEmpty(loginUser.getToken())) {
            refreshToken(loginUser);
        }
    }

    /**
     * 删除用户身份信息
     */
    public void delLoginUser(String token) {
        if (StringUtils.isNotEmpty(token)) {
            String userKey = getTokenKey(token);
            redisCache.deleteObject(userKey);
        }
    }

    /**
     * 创建令牌
     *
     * @param loginUser 用户信息
     * @return 令牌
     */
    public String createToken(LoginUser loginUser) {
        String token = IdUtils.fastUUID();
        loginUser.setToken(token);
        setUserAgent(loginUser);
        refreshToken(loginUser);

        Map<String, Object> claims = new HashMap<>();
        claims.put(Constants.LOGIN_USER_KEY, token);
        return createToken(claims);
    }

    /**
     * 验证令牌有效期,相差不足20分钟,自动刷新缓存
     *
     * @param loginUser
     * @return 令牌
     */
    public void verifyToken(LoginUser loginUser) {
        long expireTime = loginUser.getExpireTime();
        long currentTime = System.currentTimeMillis();
        if (expireTime - currentTime <= MILLIS_MINUTE_TEN) {
            refreshToken(loginUser);
        }
    }

    /**
     * 刷新令牌有效期
     *
     * @param loginUser 登录信息
     */
    public void refreshToken(LoginUser loginUser) {
        loginUser.setLoginTime(System.currentTimeMillis());
        loginUser.setExpireTime(loginUser.getLoginTime() + expireTime * MILLIS_MINUTE);
        // 根据uuid将loginUser缓存
        String userKey = getTokenKey(loginUser.getToken());
        redisCache.setCacheObject(userKey, loginUser, expireTime, TimeUnit.MINUTES);
    }

    /**
     * 设置用户代理信息
     *
     * @param loginUser 登录信息
     */
    public void setUserAgent(LoginUser loginUser) {
        UserAgent userAgent = UserAgent.parseUserAgentString(ServletUtils.getRequest().getHeader("User-Agent"));
        String ip = IpUtils.getIpAddr();
        loginUser.setIpaddr(ip);
        loginUser.setLoginLocation(AddressUtils.getRealAddressByIP(ip));
        loginUser.setBrowser(userAgent.getBrowser().getName());
        loginUser.setOs(userAgent.getOperatingSystem().getName());
    }

    /**
     * 从数据声明生成令牌
     *
     * @param claims 数据声明
     * @return 令牌
     */
    private String createToken(Map<String, Object> claims) {
        String token = Jwts.builder()
                .setClaims(claims)
                .signWith(SignatureAlgorithm.HS512, secret).compact();
        return token;
    }

    /**
     * 从令牌中获取数据声明
     *
     * @param token 令牌
     * @return 数据声明
     */
    private Claims parseToken(String token) {
        return Jwts.parser()
                .setSigningKey(secret)
                .parseClaimsJws(token)
                .getBody();
    }

    /**
     * 从令牌中获取用户名
     *
     * @param token 令牌
     * @return 用户名
     */
    public String getUsernameFromToken(String token) {
        Claims claims = parseToken(token);
        return claims.getSubject();
    }

    /**
     * 获取请求token
     *
     * @param request
     * @return token
     */
    private String getToken(HttpServletRequest request) {
        String token = request.getHeader(header);
        if (StringUtils.isNotEmpty(token) && token.startsWith(Constants.TOKEN_PREFIX)) {
            token = token.replace(Constants.TOKEN_PREFIX, "");
        }
        return token;
    }

    private String getTokenKey(String uuid) {
        return CacheConstants.LOGIN_TOKEN_KEY + uuid;
    }
}

在这里注入密钥、token头、有效时间等,并提供生成token、校验token等方法

其中生成token就是登录逻辑的结束点

/**
 * 创建令牌
 *
 * @param loginUser 用户信息
 * @return 令牌
 */
public String createToken(LoginUser loginUser) {
    String token = IdUtils.fastUUID();
    loginUser.setToken(token);
    setUserAgent(loginUser);
    refreshToken(loginUser);
    Map<String, Object> claims = new HashMap<>();
    claims.put(Constants.LOGIN_USER_KEY, token);
    return createToken(claims);
}

首先会为当前用户生成一个UUID,然后设置到用户信息当中,然后通过setUserAgent()设置当前用户的代理信息,通过refreshToken()刷新用户在Redis当中的缓存信息,这里会以生成的UUID为key,用户信息为value存入Redis当中做token双重判断

然后开始准备荷载以login_user_key为key,生成的UUID为value调用createToken()方法的重载

private String createToken(Map<String, Object> claims) {
    String token = Jwts.builder()
            .setClaims(claims)
            .signWith(SignatureAlgorithm.HS512, secret).compact();
    return token;
}

在这里真正生成token并签名,最后并返回

双重判断

public LoginUser getLoginUser(HttpServletRequest request) {
    // 获取请求携带的令牌
    String token = getToken(request);
    if (StringUtils.isNotEmpty(token)) {
        try {
            Claims claims = parseToken(token);
            // 解析对应的权限以及用户信息
            String uuid = (String) claims.get(Constants.LOGIN_USER_KEY);
            String userKey = getTokenKey(uuid);
            LoginUser user = redisCache.getCacheObject(userKey);
            return user;
        } catch (Exception e) {
            log.error("获取用户信息异常'{}'", e.getMessage());
        }
    }
    return null;
}

这个方法会在JWT过滤器中调用,通过请求中的token获取其中的UUID,并通过这个UUID去缓存中查看是否拥有该用户的信息如果有则直接返回,过滤器直接存入上下文,如果没有则代表用户身份已经过期了或者退出了登录。需要重新登陆

小松菜奈何取之尽淄珠
关注
  • 19
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT加密解密登录鉴权逻辑是什么?
祈澈菇凉
11-01 195
JWT(JSON Web Token)是一种用于进行认证和授权的开放标准,它可以安全地传输信息,通常用于实现身份验证和鉴权逻辑。以上是使用JWT进行登录鉴权的一般逻辑,具体的实现方式可能会根据应用程序的需求和框架的不同而有所差异。
4种常见的鉴权方式及说明
fanfangyu的博客
07-27 3779
鉴权(authentication)是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是,每个获得密码的用户都已经被授权。在建立用户时,就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请。这种方式的弱点十分明显一旦密码被偷或用户遗失密码,情况就会十分麻烦,需要管理员对用户密码进行重新修改,而修改密码之前还要人工验证用户的合法身份。为了克服这种鉴权方式的缺点,需要一个更加可靠的鉴权方式。目前的主流鉴权方式是利用认证授权来验证数字签名的正确与否。...
JWT(下):使用 JWT 鉴权整体逻辑实例
A minor
02-16 852
在前两篇我们介绍了 JWT 是什么,以及项目中使用 JWT 时需要用到的工具类,本篇我们就来看看在项目中如何使用 JWT 进行鉴权。 依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> 1.yml 配置
springSecurity源码之鉴权原理
kaige8312的博客
03-13 543
上文配置中放入了两个投票器,其中第二个投票器就是需要创建的投票器,起名为 AccessDecisionProcessor。投票其也是有一个接口规范的,只需要实现这个 AccessDecisionVoter 接口就行了,然后实现它的方法。具体的实现返回 int,可能的值反映在 AccessDecisionVoter 静态字段如果投票实施对授权决定没有意见,则将返回 ACCESS_ABSTAIN。如果确实有意见,则必须返回 ACCESS_DENIED 或 ACCESS_GRANTED@Slf4j。
一个关于鉴权逻辑的物料组件设计(vue)
tcr931117355的博客
03-31 234
工作中遇到一个棘手的问题,就是鉴权逻辑,因为公司H5应用很多,而开发的人员不同每次都会因为相同的交互业务逻辑 而写出不同的判断代码,维护起来特别麻烦。
springCloud-14 gateWay 统一鉴权
阿涩的博客
02-22 3358
目录 一,统一鉴权 1.1 鉴权逻辑 1.2 代码实现 一,统一鉴权 内置的过滤器已经可以完成大部分的功能,但是对于企业开发的一些业务功能处理,还是需要我们自己 编写过滤器来实现的,那么我们一起通过代码的形式自定义一个过滤器,去完成统一的权限校验。 1.1 鉴权逻辑 开发中的鉴权逻辑: 当客户端第一次请求服务时,服务端对用户进行信息认证(登录) 认证通过,将用户信息进行加密形成token,返回给客户端,作为登录凭证 以后每次请求,客户端都携带认证的token 服...
过滤器实现鉴权
11-20
"过滤器实现鉴权"这个主题涉及到如何使用过滤器来实现对用户访问特定目录的权限控制,而无需依赖数据库。这种方式常用于小型项目或者快速原型开发,减少了数据库设计和连接的复杂性。 1. **过滤器基础** - 过滤器...
使用React-Router实现前端路由鉴权的示例代码
11-20
6. **添加鉴权逻辑**: 为了实现鉴权,我们需要在路由之前添加一个检查逻辑。这可以通过创建一个 Higher-Order Component (HOC) 或使用 React 的`render`属性来完成。HOC可以接收组件作为参数,并在其内部添加权限...
thinkjs微信中控之微信鉴权登陆的实现代码
12-12
前言 上一篇文章大概写了一下如何搭一个微信中控服务...鉴权逻辑 前端跳转到以下url,重定向或者代码跳转都可以:https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&resp
SpringCloud Zuul过滤器实现登陆鉴权代码实例
08-24
SpringCloud Zuul 过滤器实现登陆鉴权代码实例 SpringCloud Zuul 过滤器是一个非常强大的...本文详细介绍了 SpringCloud Zuul 过滤器的使用和实现登陆鉴权逻辑,希望对大家的学习或者工作具有一定的参考学习价值。
SpringSecurity动态鉴权流程解析
q66562636的博客
05-22 2185
楔子 上一篇文我们讲过了SpringSecurity的认证流程,相信大家认真读过了之后一定会对SpringSecurity的认证流程已经明白个七八分了,本期是我们如约而至的动态鉴权篇,看这篇并不需要一定要弄懂上篇的知识,因为讲述的重点并不相同,你可以将这两篇看成两个独立的章节,从中撷取自己需要的部分。 祝有好收获。 本文代码:码云地址 GitHub地址 1. SpringSecurity的鉴权原理 上一篇文我们讲认证的时候曾经放了一个图,就是下图: 整个认证的过程其实一直在围绕图中过滤.
鉴权案例
xupeng874395012的博客
03-25 244
项目背景 本项目为销售运营体系的中的一个子系统,系统中的权限分为两个部分 1、 ACL系统统一对人员进行行为鉴权 2、 数据层面的逻辑鉴权   目前系统中的鉴权使用方式纷杂多样,且基本都写在了每一个处理中了,跟ACL系统交互也不统一 ,并且ACL的权限点直接在本项目中使用也不是很方便(因为ACL权限点是在发布的时候才有的) 任务和方案 1、 ACL权限要在当前系统中基于...
鉴权的四种方式
Raily_Qi的博客
12-24 5952
前后端常见的几种鉴权方式 HTTP Basic Authentication session-cookie Token OAuth HTTP Basic Authentication session-cookie Token token 是一个令牌,浏览器第一次访问服务端时会签发一张令牌,之后浏览器每次携带这张令牌访问服务端就会认证该令牌是否有效,只要服务端可以解密该令牌,就说明请求是合法的,...
Spring Security 鉴权流程
qq_44131750的博客
04-17 1166
参考资料 SpringSecurity原理剖析与权限系统设计 SpringSecurity动态鉴权流程解析 | 掘金新人第二弹 官方文档 Part II. Servlet Applications 上篇笔记详细的介绍了 SpringSecurity 的认证过程,现在这部分来补充它的动态鉴权部分 鉴权原理 经常能看到下面这张图 整个认证的过程其实一直在围绕图中过滤链的绿色部分,而动态鉴权主要是围绕其橙色部分,也就是图上标的:FilterSecurityInterceptor。 实际上通过 Spring Se
前后端常见的几种鉴权方式
热门推荐
wang839305939的博客
01-03 11万+
常见的授权四种授权方式HTTP Basic Authentication,session-cookie,token(jwt),OAuth(开放授权)
浅析synchronized锁升级的原理与实现 1
水w的博客
09-01 980
浅析synchronized锁升级的原理与实现
《深入理解 Java 中的适配器模式》
面团到油条的成长日记
08-29 7078
在软件开发的广阔领域中,不同接口之间不匹配的问题时常像个棘手的难题困扰着开发者。而适配器模式就像是一位得力的助手,专门用来解决这类问题。它的关键作用在于把一个类的接口有效地转化为客户端所期望的另一种接口,让原本因接口不相符而不能一起工作的两个类可以共同协作,学习本文希望你能有所收获
数据访问:JPA
最新发布
hhgh_的博客
09-02 598
其二,Sun希望整合ORM 技术,实现统一的 API调用接口。@Table(name=“”,catalog=“”,schema=“”)可选,用来标注一个数据库对应的实体类,数据库中创建的表明默认和类名一致,通常和@Entity配合使用,只能标注在实体的class定义处,表示实体对应的数据库表的信息。@Entity(name=“EntityName”)必须,用来标注一个数据库表对应的实体,数据库中创建的表明默认和类名一致,其中,name可选,对应数据库中的一个表,使用此注解标记Pojo是一个JPA实体。
React与Vue路由鉴权实现策略详解
如果项目使用了Redux或MobX等状态管理库,我们可以在中间件中处理鉴权逻辑,确保在访问受保护路由之前检查用户状态。 React路由鉴权可以通过多种方式实现,包括使用HOC、React Hooks、自定义Private Route组件以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值