RESTful登录设计(基于Spring及Redis的Token鉴权)

什么是REST

REST(Representational State Transfer)是一种软件架构风格。它将服务端的信息和功能等所有事物统称为资源,客户端的请求实际就是对资源进行操作,它的主要特点有: – 每一个资源都会对应一个独一无二的url – 客户端通过HTTP的GET、POST、PUT、DELETE请求方法对资源进行查询、创建、修改、删除操作 – 客户端与服务端的交互必须是无状态的

关于RESTful的详细介绍可以参考这篇文章,在此就不浪费时间直接进入正题了。

使用Token进行身份鉴权

网站应用一般使用Session进行登陆用户信息的存储及验证,而在移动端使用Token则更加普遍。它们之间并没有太大区别,Token比较像是一个更加精简的自定义的Session。Session的主要功能是保持会话信息,而Token则只用于登录用户的身份鉴权。所以在移动端使用Token会比使用Session更加简易并且有更高的安全性,同时也更加符合RESTful中无状态的定义。

交互流程

  1. 客户端通过登陆请求提交用户名和密码,服务端验证通过后生成一个Token与该用户进行关联,并将Token返回给客户端。
  2. 客户端在接下来的请求中都会携带Token,服务端通过解析Token检查登录状态。
  3. 当用户退出登录、其他终端登录同一账号(被顶号)、长时间未进行操作时Token会失效,这时用户需要重新登陆。

程序示例

服务端生成的Token一般为随机的非重复字符串,根据应用对安全性的不同要求,会将其添加时间戳(通过时间判断Token是否被盗用)或url签名(通过请求地址判断Token是否被盗用)后加密进行传输。在本文中为了演示方便,仅是将User Id与Token以”_”进行拼接。

Redis是一个Key-Value结构的内存数据库,用它维护User Id和Token的映射表会比传统数据库速度更快,这里使用Spring-Data-Redis封装的TokenManager对Token进行基础操作:

RESTful中所有请求的本质都是对资源进行CRUD操作,所以登录和退出登录也可以抽象为对一个Token资源的创建和删除,根据该想法创建Controller:

这个Controller中有两个自定义的注解分别是@Authorization@CurrentUser,其中@Authorization用于表示该操作需要登录后才能进行:

这里使用Spring的拦截器完成这个功能,该拦截器会检查每一个请求映射的方法是否有@Authorization注解,并使用TokenManager验证Token,如果验证失败直接返回401状态码(未授权):

@CurrentUser注解定义在方法的参数中,表示该参数是登录用户对象。这里同样使用了Spring的解析器完成参数注入:

一些细节

  • 登陆请求一定要使用HTTPS,否则无论Token做的安全性多好密码泄露了也是白搭
  • Token的生成方式有很多种,例如比较热门的有JWT(JSON Web Tokens)、OAuth等。

源码发布

本文的完整示例程序已发布在我的Github上,可以下载并按照readme.md的流程进行操作。


转载:http://www.scienjus.com/restful-token-authorization/

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值