SpringBoot:Token登录、认证、授权

最新推荐文章于 2024-08-27 10:59:17 发布
最新推荐文章于 2024-08-27 10:59:17 发布
阅读量6.5k 收藏 35
点赞数 6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuckthebugs/article/details/105775579
版权

Session、Cookie、Token的区别

网上这部分的资料很多。比如可以参考https://www.cnblogs.com/moyand/p/9047978.html等等。对于一些概念简单归纳一下:

  1. 由于HTTP都是无状态请求,这些都是为了让服务端“记住”用户而发明出来的方法。为确保用户会话的独立性和安全性,不能使用明文保存用户信息(如userId),而应使用加密后的信息储存。
  2. Session即会话,存放在服务端,用于标识用户的一次登录访问的信息。当某一个用户第一次调用一个Servlet时,服务器会生成一个HttpSession的对象,里面使用sessionId来作为该用户的唯一标识码。
  3. Cookie为存储在客户端的“小型文本文件”,保存用户的登录信息。使用Cookie+Session的认证方法,一般是在用户登录后获得服务器返回的sessionId存放到浏览器的Cookie里,然后浏览器在会话访问期间把Cookie放在Http请求头里完成认证。
  4. Cookie+Session的认证方法有以下缺点:①用户的每次访问生成的Session都要存放在服务器中,增大了服务端开销,此外存放在一个服务器中的sessionId不属于其他服务器,不便于分布式系统的水平扩展。②Cookie容易被截获,服务端易遭受跨站伪造请求攻击(CSRF)。③Cookie适用于浏览器,而对于移动端App等客户端不太友好。
  5. Token也是由服务端生成的标识码,但区别于Session,Token是一种无状态的、由服务端签发但并不存放在服务端的认证方法。对于客户端传来的token服务端只需通过算法解码进行认证,以此来保持与用户的会话。相当于使用一部分的CPU计算资源换取了实际的存储开销,同时也解决了扩展性、跨域等等的问题。

SpringBoot项目中使用Token

使用Token做登录认证以及用户授权的最佳方案是使用JWT+Shiro,这里可以参考下面两篇文章:

由于本人的项目不涉及这么多,就没有采用上述的JWT+Shiro的方法(其实是自己菜),使用的是随机生成的token+Spring的拦截器简单实现的。。下面是代码:

1.Spring拦截器

拦截器用于对请求进行拦截,为SpringAOP思想的主要实践之一。主要用在登录之后检查token的合法性,从而判断请求是否合法,也可以进行权限访问控制等等(也可以用fiter)。
InterceptorConfig.java

@Configuration
class InterceptorConfig implements WebMvcConfigurer
{
    @Bean
    public TokenInterceptor initAuthInterceptor()
    {
        return new TokenInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry)
    {
        registry.addInterceptor(initAuthInterceptor()).addPathPatterns("/**").excludePathPatterns("/login");//login放行,其他拦截
    }
}

对于/login放行,不检查token,其他请求均进行拦截。

TokenInterceptor.java

public class TokenInterceptor implements HandlerInterceptor
{
    @Autowired
    private JedisPool jedisPool;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception
    {
        Jedis jedis = jedisPool.getResource();
        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/html;charset=utf-8");
        String token = request.getHeader("token");
        if (token.isEmpty()) {
            response.getWriter().print("用户未登录,请登录后操作");
            return false;
        }
        if(!jedis.exists(token)){
            response.getWriter().print("登录状态已过期,请重新登录");
            return false;
        }
        int identity = Integer.parseInt(jedis.hget(token,"auth"));
        String url = request.getRequestURI();
        if(identity==2){
            if(url.startsWith("/course")||url.startsWith("/elective")||url.startsWith("/group")||url.startsWith("/module")
                    ||url.startsWith("/project")||url.startsWith("/school")||url.startsWith("/class")||url.startsWith("/students")
                    ||url.startsWith("/teachers")||url.startsWith("/test")){
                response.getWriter().print("你没有权限,无法操作");
                return false;
            }
        }
        jedis.close();
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

在preHandle里做请求的拦截,作用于Controller调用之前,返回true为放行,false为立即返回response。
其实可以看出我生成的token是存放在redis里的。。。(这根session有什么区别啊喂!!)(溜)

2.登录

Login.java

@RestController
public class Login
{
    @Autowired
    private IAccountService accountService;
    @Autowired
    private ITeacherService teacherService;
    @Autowired
    private JedisPool jedisPool;

    /**
     * 登录功能
     * @param username 账号
     * @param password 密码
     */
    @RequestMapping(value = "login",method = RequestMethod.POST)
    public Object login(String username,String password)
    {
        Jedis jedis = jedisPool.getResource();
        if(!accountService.existAccount(username)) return "账号不存在";//账号不存在
        Account account = accountService.getAccount(username);
        String psw = account.getPassword();
        if(!password.equals("123")){
            password = new Md5Hash(password).toString();
        }
        Map<String,String> map = new HashMap<>();
        Integer identity = account.getIdentity();
        String token = UUID.randomUUID().toString();
        if(identity==1){
            if(password.equals(psw)) {
                map.put("token",token);
                map.put("identity","student");
                jedis.hset(token,"id",account.getUsername());
                jedis.hset(token,"auth",account.getIdentity().toString());
            }
            else return "密码错误,请重新输入";
        }else{
            if(password.equals(psw)){
                jedis.hset(token,"id",teacherService.queryTeacherByUsername(account.getUsername()).getId().toString());
                jedis.hset(token,"auth",account.getIdentity().toString());
                map.put("token",token);
                map.put("identity","teacher");
            }
            else return "密码错误,请重新输入";
        }
        jedis.expire(token,6*3600);
        jedis.save();
        jedis.close();
        return map;
    }
    
	/**
     * 退出登录
     */
    @RequestMapping(value = "logout",method = RequestMethod.POST)
    public String logout(@RequestHeader("token")String token)
    {
        Jedis jedis = jedisPool.getResource();
        jedis.del(token);
        jedis.close();
        return "0";
    }
}

登录时生成随机token,一边作为key保存用户数据放在redis里,设置过期时间;一边返回给前端,前端储存在localStorage里。登出时直接删除key即可。
对于任意的Controller,无需传入userId,只需用@RequestHeader(“token”)拿到token后在redis中查询数据即可。

xzh1_derek
关注
专栏目录
SpringBoot(51) 整合Sa-Token实现权限认证
08-17
SpringBoot(51) 整合Sa-Token实现权限认证
Springboot实现接口参数加密传输,token认证授权时间限制,记录登录日志和接口日志
m0_57478867的博客
02-02 1619
统一接口加密,token认证,请求日志记录
springboot项目整合token,实现项目的认证授权(提供代码)
一天不写代码难受的博客
05-21 3638
目录1 jwt验证流程2 token组成3 代码实现 1 jwt验证流程 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程- -般是一 个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议) ,从而避免敏感信息被嗅探。 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload (负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。 形成的JWT就是一个形同11. zzz. xxx的字符串。token he
深入理解身份验证和授权Token 和 Refresh Token 的作用与重要性
最新发布
xxue345678的博客
08-27 1253
OAuth 2.0 是一个授权框架,旨在允许资源所有者(用户)授予第三方客户端有限的访问其受保护资源的权限,而无需共享他们的凭据。这个协议通常用于允许用户使用他们的帐户登录到其他网站或应用程序,同时确保他们的帐户信息不会被共享或泄露。
Spring Boot 如何使用 JWT 进行认证授权
程序员徐师兄的博客
06-23 1919
JWT 是一种基于 JSON 的开放标准,用于在客户端和服务器之间安全地传输信息。JWT 由三部分组成:Header、Payload 和 Signature。
SpringBoot 集成jwt实现token授权与验证
03-02 2457
SpringBoot Token 授权 验证
SpringBoot整合SpringSecurity认证授权
admin_2022的博客
07-10 1858
SpringBoot整合SpringSecurity认证授权
spring boot中常用的安全框架 Security框架 利用Security框架实现用户登录验证token和用户授权(接口权限控制)
Json的知识梦工厂
07-23 5160
org.springframework.security.crypto.password.PasswordEncoder 接口。
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
基于Spring Boot实现整合Shiro实现登录认证以及授权过程解析 在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全...
基于SpringBoot整合oauth2实现token认证
08-25
基于SpringBoot整合oauth2实现token认证 本文主要介绍了基于SpringBoot整合oauth2实现token认证的技术,通过示例代码对该技术进行了详细的介绍,对读者学习或工作具有重要参考价值。 SpringBoot和oauth2的整合 在...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot-token代码版eclipse
07-10
在"springboot-token"这个项目中,我们很显然关注的是如何在SpringBoot应用中实现Token验证,这通常涉及到安全控制和身份认证Token是网络应用中常用的一种安全机制,用于在客户端和服务端之间维持会话状态,防止...
Springboot集成token认证
qq_68534248的博客
04-01 1828
首先前端一样是把登录信息发送给后端,后端查询数据库校验用户的账号和密码是否正确,正确的话则使用jwt生成token,并且返回给前端。以后前端每次请求时,都需要携带token,后端获取token后,使用jwt进行验证用户的token是否无效或过期,验证成功后才去做相应的逻辑。:简单来说就是服务器根据前端传来的用户名与密码生成token并返回前端,前端之后的请求都会携带该cookie来进行执行操作认证。SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。
springboot整合Sa-Token实现登录认证和权限校验(万字长文)
2301_78646673的博客
02-03 6556
我本来是想写一篇介绍spring boot项目中整合Sa-Token来实现最常用的登录校验和权限认证的,但是写着写着就变成官网的复制机了。我在本篇文章中大量复制了官网上的内容,原本只是想复制一些官方介绍就行了。但是这也从侧面说明了Sa-Token官网制作的确实是比较好的,基本上不需要额外的学习,只要你有做过登录和权限方面的项目经验,再看一遍官网的介绍就能直接上手了。我之前写过一个B2C模式的购物商台,分为用户端和管理端。管理端的登录和权限校验是用spring security写的。
SpringBoot整合SpringSecurity实现进行认证授权
qq_51438138的博客
01-13 2828
spring boot 整合Spring Security实现进行认证授权
springboot切面实现token权限校验
m0_54250110的博客
05-07 1261
我们需要对一些控制层中特定的方法进行权限校验,并且部分方法的权限要求可能是不同的,所以需要给方法添加自定义注解,注解中包含所需的权限/*** 权限校验注解*/
SpringBoot 如何使用 Sa-Token 完成权限认证
网络技术联盟站
06-02 2107
Sa-Token 是一个轻量级 Java 权限认证框架,在其官网中,它的自我介绍是:非常易用且功能强大的Java身份认证授权框架,专注于减少用户认证授权开发的工作量,让开发人员可以将精力更多的放在业务逻辑中。它可以轻松地实现用户身份验证、权限控制、会话管理等功能。使用 Sa-Token 可以大大简化我们的权限认证开发工作,提高开发效率,因此它受到了越来越多的 Java 开发者的喜爱。本文详细介绍了如何在 SpringBoot 中集成 Sa-Token,用于完成身份认证和权限控制等功能。
springboot基于aop redis token实现token验证和权限验证
woshicainiaogiao的博客
07-29 992
springboot 基于token,拦截器,aop自定义注解,reds来实现登录验证,权限验证
springboot + spring security验证token进行用户认证
justlpf的专栏
05-19 7482
参考文章:springboot + spring security验证token进行用户认证
SpringBoot+JWT:实现Token登录权限认证详解
"本文详细介绍了如何使用SpringBoot结合JWT(JSON Web Token)实现用户登录权限认证。文中通过具体的示例代码,展示了JWT的登陆认证流程、JWT的构成以及其优势,并给出了项目的依赖配置。" 在现代Web应用中,安全性...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值