Token认证,如何快速方便获取用户信息

最新推荐文章于 2024-07-25 15:20:38 发布
最新推荐文章于 2024-07-25 15:20:38 发布
阅读量1.1w 收藏 20
点赞数 4

背景

我们有一个Web项目,这个项目提供了很多的Rest API。也做了权限控制,访问API的请求必须要带上事先认证后获取的Token才可以。

认证的话就在Filter中进行的,会获取请求的Token进行验证,如果成功了可以得到Token中的用户信息,本文的核心就是讲解如何将用户信息(用户ID)优雅的传递给API接口(Controller)。

方式一(很挫)

我们在Filter中进行了统一拦截,在Controller中获取用户ID的话,仍然可以再次解析一遍Token获取用户ID

@GetMapping("/hello")	
public String test(HttpServletRequest request) {	
    String token = request.getHeader("token");	
    JWTResult result = JWTUtils.checkToken(token);	
    Long userId = result.getUserId();	
}

方式二(优雅)

方式一需要重新解析一遍Token, 浪费资源。我们可以直接将Filter中解析好了的用户ID直接通过Header传递给接口啊。

@Override	
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)	
            throws IOException, ServletException {	
    HttpServletRequest httpRequest = (HttpServletRequest) request;	
    HttpServletResponse httpResponse = (HttpServletResponse) response;	
    String token = request.getHeader("token");	
    JWTResult result = JWTUtils.checkToken(token);	
    Long userId = result.getUserId();	
    HttpServletRequestWrapper requestWrapper = new HttpServletRequestWrapper(httpRequest) {	
        @Override	
        public String getHeader(String name) {	
            if (name.equals("loginUserId")) {	
                return userId .toString();	
            }	
            return super.getHeader(name);	
        }	
    };	
    chain.doFilter(requestWrapper, httpResponse);	
}

接口中直接从Header中获取解析好了的用户ID:

@GetMapping("/hello")	
public String save2(HttpServletRequest request) {	
    Long userId = Long.parseLong(request.getHeader("loginUserId")); 	
}

方式三(很优雅)

通过Header传递确实很方便,但如果你有代码洁癖的话总会觉得怪怪的,能不能不用Header方式,比如说我就在方法上定义一个loginUserId的参数,你给我直接注入进来,这个有点意思哈,下面我们来实现下:

GET参数方式

在Filter中追加参数:

@Override	
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)	
            throws IOException, ServletException {	
    HttpServletRequest httpRequest = (HttpServletRequest) request;	
    HttpServletResponse httpResponse = (HttpServletResponse) response;	
    String token = request.getHeader("token");	
    JWTResult result = JWTUtils.checkToken(token);	
    Long userId = result.getUserId();	
    HttpServletRequestWrapper requestWrapper = new HttpServletRequestWrapper(httpRequest) {	
            @Override	
            public String[] getParameterValues(String name) {	
                if (name.equals("loginUserId")) {	
                    return new String[] { userId .toString() };	
                }	
                return super.getParameterValues(name);	
            }	
            @Override	
            public Enumeration<String> getParameterNames() {	
                Set<String> paramNames = new LinkedHashSet<>();	
                paramNames.add("loginUserId");	
                Enumeration<String> names =  super.getParameterNames();	
                while(names.hasMoreElements()) {	
                    paramNames.add(names.nextElement());	
                }	
                return Collections.enumeration(paramNames);	
            }	
    };	
    chain.doFilter(requestWrapper, httpResponse);	
}

接口中直接填写参数即可获取:

@GetMapping("/hello")	
public String save2(String name, Long loginUserId) {	
    // loginUserId 就是Filter中追加的值	
}

对于post请求,也可以用这种方式:

@PostMapping("/hello")	
public String save2(User user, Long loginUserId) {	
}

可是往往我们在用post请求的时候,要么就是表单提交,要么就是json体的方式提交,一般不会使用get方式参数,这也就意味着这个loginUserId我们需要注入到对象中:

先创建一个参数实体类:

public class User {	
    private String name;	
    private Long loginUserId;	
}

先模拟表单提交的方式,看看行不行:

@PostMapping("/hello")	
public User save2(User user) {	
    return user;	
}

用PostMan测试一下,表单方式是直接支持的:

640?wx_fmt=png

再次试下Json提交方式:

@PostMapping("/hello")	
public User save2(@RequestBody User user) {	
    return user;	
}

看下图,失败了,得重新想办法实现下

640?wx_fmt=png

只需要在HttpServletRequestWrapper中重新对提交的内容进行修改即可:

@Override	
public ServletInputStream getInputStream() throws IOException {	
    byte[] requestBody = new byte[0];	
    try {	
        requestBody = StreamUtils.copyToByteArray(request.getInputStream());	
        Map map = JsonUtils.toBean(Map.class, new String(requestBody));	
        map.put("loginUserId", loginUserId);	
        requestBody = JsonUtils.toJson(map).getBytes();	
    } catch (IOException e) {	
        throw new RuntimeException(e);	
    }	
    final ByteArrayInputStream bais = new ByteArrayInputStream(requestBody);	
    return new ServletInputStream() {	
         @Override	
          public int read() throws IOException {	
               return bais.read();	
          }	
          @Override	
           public boolean isFinished() {	
               return false;	
           }	
           @Override	
           public boolean isReady() {	
                return true;	
           }	
           @Override	
            public void setReadListener(ReadListener listener) {	
            }	
    };	
}

到此为止,我们就可以直接将Token解析的用户ID直接注入到参数中了,不用去Header中获取,是不是很方便。

推荐阅读

如何写出无法维护的代码

那些喜欢打听薪资的人,最后都去了哪里?

这可能是将String.format格式化讲解的最清楚的一篇文章

640?wx_fmt=jpeg

JAVA葵花宝典
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
文件对象管理器(集成MinIO、阿里云OSS基本操作及临时token获取
04-05
获取阿里云OSS的临时token步骤如下: 1. **创建STS服务**:在阿里云控制台启用Security Token Service(STS)。 2. **生成角色**:定义一个角色,并授予该角色对OSS的特定操作权限。 3. **获取临时凭证**:通过调用...
通过令牌(Token)获取登录用户信息
weixin_30571465的博客
07-31 9253
通过令牌(Token)获取登录用户信息 我在之前的一篇文章里(小小地实现一个 whoami)写到查询当前进程的登录用户信息,但这个代码对于用 LogonUser 这种函数获取的令牌的 SID(Logon SID)是无效的(可以参考 MSDN 的 LookupAccountSid function这篇文章的 Remarks 部分)。因此这里需要...
获取网页token方法
最新发布
qq_41810188的博客
07-25 712
打开网页,然后按F12。
JWT 工具类 及token生成
weixin_43974572的博客
10-12 1206
import java.security.Key; import java.text.SimpleDateFormat; import java.util.Date; import javax.crypto.spec.SecretKeySpec; import javax.xml.bind.DatatypeConverter; import org.apache.log4j.Logger; import org.jfree.util.Log; import io.jsonwebtoken.Claims; i
记录学习ruoyi 第七节: 用户权限管理
Autumn_iii的博客
11-02 2829
记录学习ruoyi 第七节: 用户权限管理
JAVA安全服务工具类
qq_35460634的博客
09-09 263
package com.project.common.utils; import com.project.common.constant.HttpStatus; import com.project.common.core.domain.model.LoginUser; import com.project.common.exception.CustomException; import org.springframework.security.core.Authentication; import o.
记录学习ruoyi 第六节: 用户权限管理
Autumn_iii的博客
10-29 827
记录学习ruoyi 第六节: 用户权限管理
详解Go-JWT-RESTful身份认证教程
09-18
通过Go的JWT库,可以方便获取到载荷部分,然后根据需要提取其中的用户信息。 实现Go JWT RESTful认证的完整流程可能包括用户登录、生成Token、客户端存储Token、向服务器发送带有Token的请求、服务器验证Token等...
get_email:在 Github 上获取电子邮件的快速方便的 Python 脚本
08-04
`get_email` 脚本就是利用了这个 API,通过发送认证请求获取用户的电子邮件地址。Python 中的 `requests` 库是实现这种网络通信的理想选择,它能够轻松地发送 GET 和 POST 请求。 在实际使用这个脚本之前,你需要先...
利用淘宝PAI获取订单信息,非常实用
10-14
淘宝开放了它的API接口,让商家和开发者能够访问和操作店铺数据,例如订单、商品、用户信息等。 获取订单信息的API通常包括以下步骤: 1. **注册和认证**:首先,你需要在淘宝开放平台注册一个开发者账号,并完成...
于 Spring Boot 开发的 OAuth 认证服务器
11-05
JWT包含三个部分:Header、Payload(载荷)和Signature(签名),可以携带用户信息并确保令牌的完整性和安全性。 8. **刷新令牌** 为了提高用户体验,OAuth 2.0允许使用刷新令牌(Refresh Token)来获取新的访问...
JWT以及TokenAuth
m0_47944994的博客
02-14 2823
JWT以及TokenAuth
21年个人笔记
与海
12-08 950
工作日常
如何完美通过token获取用户信息(springboot)
只会写bug的靓仔的博客
09-18 6687
身份验证令牌(Authentication Token):在身份验证过程中,“token”可以表示一个包含用户身份信息的令牌。例如TokenJWT)是一种常见的身份验证令牌,它包含用户的身份信息(例如用户名或用户ID)以及其他相关信息,如权限或过期时间。无意义令牌token,这种一般在获取后通过nosql查询token对应的用户信息。当然,设计token网上大多有现成的解决方案,但是通过token如何拿个人信息呢?我还是推荐方法1,无疑,虽然多查一次,但是结构简单,耦合度低,并且代码较为简洁。
SpringBoot整合SpringSecurity [超详细] (二)获取用户信息
weixin_46030002的博客
08-16 2222
SpringSecurity获取用户信息(SpringBoot整合版),(代码版,注解版)。拓展(SecurityContext,Authentication,SecurityContextHolder)
SpringBoot拦截器获取token用户对象优雅地传递到Controller层
涛哥是个大帅比
03-12 1390
抛出的异常需要自己捕捉,返回/*** Token拦截器*/@Component@Slf4j/*** 存储用户信息*/@Override// 从header中获取token// 如果参数中不存在token,则报错throw new RuntimeException("请求头缺少token参数");try {// TODO 根据token获取用户信息// ......log.error("获取用户信息失败:", e);
05-基于JWT实现用户登录、根据token获取userId
NikoChina的博客
05-15 2207
验证过程:服务端验证 浏览器携带的用户名和密码,验证通过后生成用户凭证保存在服务端(session),浏览器再次访问时,服务端查询session,实现登录状态保持。缺点:随着用户的增多,服务端压力增大;若浏览器cookie被攻击者拦截,容易受到跨站请求伪造攻击;分布式系统下扩展性不强。
【学习】若依源码(前后端分离版)之 “ 获取角色权限信息及动态路由”
qq_44386537的博客
08-03 2177
承接上回,我们发现在login请求后面跟了两个请求,今天我们就来探索一下两个请求的含义和实现过程
springboot websocket token身份认证
07-15
### 回答1: Spring Boot是一个开源的Java框架,用于快速开发基于Spring的应用程序。它提供了许多功能和工具,其中包括支持WebSocket的功能。 WebSocket是一种用于实现双向通信的协议,在Web应用程序中可以用于实时通信和数据推送。在Spring Boot中使用WebSocket可以轻松地实现实时通信功能。 要实现基于token的身份认证,可以按照以下步骤进行: 1. 创建一个WebSocket处理程序:在Spring Boot中,可以使用@ServerEndpoint注解创建一个WebSocket处理程序。在该处理程序中,可以定义onOpen、onMessage、onClose和onError等方法来处理WebSocket连接的生命周期事件。 2. 创建一个Token认证过滤器:可以使用Spring Security框架来实现基于token的身份认证。创建一个Token认证过滤器,将其配置为在WebSocket连接建立之前进行身份认证。 3. 在WebSocket处理程序中验证token:在WebSocket处理程序的onOpen方法中,可以获取到WebSocket连接的会话对象。可以使用这个会话对象来获取到发送的token,并将其验证。 4. 发送认证结果:根据token的验证结果,可以发送不同的消息给客户端。如果验证成功,则可以发送连接成功的消息给客户端;如果验证失败,则可以发送连接失败的消息给客户端。 通过以上步骤,就可以实现基于token的身份认证了。客户端在建立WebSocket连接时,需要将token作为参数发送给服务器。服务器在接收到连接请求后,会进行身份认证,根据认证结果发送相应的消息给客户端。 使用Spring Boot和WebSocket实现基于token的身份认证,可以让应用程序更安全和可靠。同时,使用Spring Security可以提供更多的身份认证和授权功能,进一步增强应用程序的安全性。 ### 回答2: Spring Boot提供了一个强大的WebSocket支持,可以非常方便地实现Token身份认证。 要实现WebSocket的Token身份认证,首先需要创建一个WebSocket处理程序,可以通过实现`WebSocketHandler`接口或者继承`TextWebSocketHandler`类来实现。然后,可以使用`@Component`注解将该处理程序注册为Spring组件。 接下来,我们需要对WebSocket进行配置,可以创建一个类继承自`WebSocketConfigurer`接口,并实现其中的`registerWebSocketHandlers`方法。在这个方法中,我们可以指定处理程序的路径,并添加自定义的拦截器,用于Token的身份认证。 在拦截器中,可以通过WebSocket握手时的`HandshakeInterceptor`,在`afterHandshake`方法中进行身份认证逻辑的处理。可以通过获取WebSocket握手的`HttpServletRequest`和`HttpServletResponse`,来获取和验证Token。如果Token验证通过,则可以继续进行握手,并返回true;否则,可以拒绝握手,返回false。 在身份认证通过后,可以通过`WebSocketSession`发送和接收消息。在发送消息时,可以通过`sendMessage`方法发送消息给指定的WebSocket会话;在接收消息时,可以通过实现`WebSocketHandler`接口的`handleTextMessage`方法来处理接收到的消息。 总结起来,要实现Spring Boot WebSocket的Token身份认证,需要创建WebSocket处理程序,配置WebSocket,添加拦截器进行Token验证,并在处理程序中处理收发消息的逻辑。这样,我们就可以在Spring Boot中实现带有Token身份认证的WebSocket功能了。 ### 回答3: Spring Boot提供了一种简便的方式来实现WebSocket身份认证,可以使用Token来验证用户身份。下面是一个简单的实现步骤。 首先,需要在Spring Boot项目中配置WebSocket,并添加相关依赖。可以通过在pom.xml文件中添加以下依赖来引入WebSocket支持: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-websocket</artifactId> </dependency> ``` 接下来,创建一个WebSocket配置类,继承自`AbstractWebSocketMessageBrokerConfigurer`类,并覆盖其中的方法。在`registerStompEndpoints()`方法中,可以设置WebSocket的端点和消息传输方式: ```java @Configuration @EnableWebSocketMessageBroker public class WebSocketConfig extends AbstractWebSocketMessageBrokerConfigurer { @Override public void registerStompEndpoints(StompEndpointRegistry registry) { registry.addEndpoint("/websocket").withSockJS(); } @Override public void configureMessageBroker(MessageBrokerRegistry registry) { registry.enableSimpleBroker("/topic"); registry.setApplicationDestinationPrefixes("/app"); } } ``` 然后,在WebSocket处理类中,可以实现`WebSocketConfigurer`接口,通过重写其中的方法来进行身份验证。在`registerWebSocketHandlers()`方法中,可以设置拦截器来验证Token: ```java @Configuration public class WebSocketHandlerConfig implements WebSocketConfigurer { @Autowired private WebSocketInterceptor webSocketInterceptor; @Override public void registerWebSocketHandlers(WebSocketHandlerRegistry registry) { registry.addHandler(myHandler(), "/websocket") .addInterceptors(webSocketInterceptor) .setAllowedOrigins("*"); } @Bean public WebSocketHandler myHandler() { return new MyHandler(); } } ``` 在拦截器`WebSocketInterceptor`中,可以在用户连接WebSocket之前验证Token的有效性,例如检查Token是否过期、用户是否存在等: ```java @Component public class WebSocketInterceptor implements HandshakeInterceptor { @Override public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Map<String, Object> attributes) throws Exception { // 根据Token验证用户身份 // 如果验证失败,可以使用response返回错误信息,然后返回false拒绝连接 // 如果验证成功,可以在attributes中存储用户信息,以便后面使用 return true; } @Override public void afterHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Exception exception) { } } ``` 最后,在处理WebSocket消息的类中,可以通过获取用户信息来实现对特定用户的消息推送等操作: ```java @Component public class MyHandler extends TextWebSocketHandler { @Override public void afterConnectionEstablished(WebSocketSession session) throws Exception { // 根据用户信息保存WebSocketSession等操作 } @Override protected void handleTextMessage(WebSocketSession session, TextMessage message) throws Exception { // 处理用户传输的消息 } } ``` 通过以上方式,可以实现在Spring Boot中使用Token进行WebSocket身份认证。根据具体的需求,可以定制化处理用户信息Token验证等功能。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值