你的项目里不会还没用单点登录吧

最新推荐文章于 2022-11-08 18:48:17 发布
最新推荐文章于 2022-11-08 18:48:17 发布
阅读量304 收藏 3
点赞数 4
分类专栏: 工具util 框架 文章标签: aop jwt java springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingtok/article/details/115770547
版权

JWT〖二〗Springboot与JWT单点登录实现

一. 单点登录

如图,下图为运用token来实现的登录系统,客户端第一次请求使用密码与账户来服务端换取token,拿到token后存在浏览器缓存中,然后每次请求新的资源携带上当前的token来验证是否为已登录的用户,JWT在上一篇博客中已经介绍很详细了,家人们不懂的话可以去看看JWT博客
在这里插入图片描述
有人问我为什么要单点登录,不会吧不会吧,真就敢数据罗奔啊,当你用户数据被篡改了,你学生数据库出现一个迪迦奥特曼你就开心了~
在这里插入图片描述

二. 废话不多说,上代码

首先通过Springboot的AOP切面来实现两个注解,分别代表接口需要Token验证,或者不要Token验证
在这里插入图片描述
AOP不会还有人不知道吧,面试官说你自己走还是我帮你
面向切面编程,举一个简单的例子,你服务是不是需要记录日志,或者就是验证登录,你不可能每个controller的接口都整个验证程序吧,每个controller都传一个token参数,这谁看到代码不恶心死啊~

在这里插入图片描述

2.1 AOP代码

PassToken注解

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
    boolean required() default true;
}

UserLoginToken注解

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserLoginToken {
    boolean required() default true;
}

重头戏在AuthJWT 的handler类

package com.fehead.diseaseCare.aop;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.fehead.diseaseCare.controller.BaseController;
import com.fehead.diseaseCare.error.BusinessException;
import com.fehead.diseaseCare.error.EmBusinessError;
import com.fehead.diseaseCare.service.IUserService;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;
import java.lang.reflect.Method;

@Component
@Aspect
@Slf4j
public class AuthJWT {

    //定义切面,所有的controller层都会监控 家人们切面表达式可得多学学了
    @Pointcut("execution(* com.fehead.diseaseCare.controller..*.*(..))")
    public void doHander() { }


    @Around("doHander()")
    public Object exception(ProceedingJoinPoint joinPoint) throws Throwable {
        try {
            //进入controller层前
            beforePoint(joinPoint);
            //放行
            Object result = joinPoint.proceed();
            //返回数据前
            afterPoint(joinPoint, result);
            return result;
        } catch (BusinessException e) {
            throw e;
        } catch (Exception e) {
            throw  new BusinessException(EmBusinessError.COMMON_ERROR,e.getMessage());
        }
    }

    private Boolean beforePoint(ProceedingJoinPoint joinPoint) throws Exception {
        RequestAttributes ra = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes sra = (ServletRequestAttributes) ra;
        HttpServletRequest request = sra.getRequest();

        // 从 http 请求头中取出 token
        String token = request.getHeader("token");

        //得到要进入的是哪个controller方法
        MethodSignature signature = (MethodSignature) joinPoint.getSignature();
        Method method = signature.getMethod();

        //检查是否有passtoken注释,有则跳过认证,所以在controller层加了@Passtoken注解,这里我就不校验
        if (method.isAnnotationPresent(PassToken.class)) {
            PassToken passToken = method.getAnnotation(PassToken.class);
            if (passToken.required()) {
                return true;
            }
        }

        //加了@UserLoginToken注解的我要进行校验
        if (method.isAnnotationPresent(UserLoginToken.class)) {
            UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class);
            if (userLoginToken.required()) {
                // 执行认证
                if (StringUtils.isEmpty(token)) {
                    throw new BusinessException(EmBusinessError.PARAMETER_VALIDATION_ERROR,"token为空" );
                }
                JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("xxxxx4234{}d]]fxxxxdsadasdasdsad")).build();
                try {
                    //验证token
                    jwtVerifier.verify(token);
                } catch (JWTVerificationException e) {
                    throw new BusinessException(EmBusinessError.USER_AUTH_ERROR);
                }
                return true;
            }
        }
        return true;
    }


    private void afterPoint(ProceedingJoinPoint joinPoint, Object result) throws Exception {

    }

}

理一理逻辑(AOP注解版需要自己掌握)

  1. 首先@Component加入Sping容器 @Aspect变成一个切面类
  2. @Pointcut(“execution(* com.fehead.diseaseCare.controller….(…))”) 通过这个方法定义切入点来整合切面表达式,我们这里是设置了全部controller
  3. @Around(“doHander()”) 环绕通知,通过 joinPoint 执行 joinPoint.proceed(); 方法时控制在这个方法前面或者后面或者异常时做什么,这块就把你想要在其他方法执行前,可以先执行你自定义的方法
  4. 拿到方法上的自定义注解 method.isAnnotationPresent(UserLoginToken.class) 去验证token
  5. 从header获取token,然后 jwtVerifier.verify(token); 验证token

大致流程就是这样,简化版的小单点登录,但是这里就又有一个问题了,那我们之前不是说可以在token里设置一些不重要的信息嘛,例如userId这种,那我们在后端是不是可以不用再传一个userId了,这里有几种方法

  • 1. 使用threadLocal存储从Token中获取的UserId,通过静态方法从threadLocal中获取UserId,当方法结束后,再手动清除threadlocal就行,这种方法非常简便,但是需要及时清空,不然会造成内存泄漏,因为TreadLocal类似于一个线程Map,但是key是弱引用,一旦GCkey就会清空,但Value是强引用不会清楚,就~~
  • 方法二,手动去再次获取Token,然后封装成静态方法去解析UserId,这种方法是麻烦了点,就是多做一次获取验证token
package com.fehead.diseaseCare.utility;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.fehead.diseaseCare.entities.User;
import com.fehead.diseaseCare.entities.model.UserIdRoleInfo;
import com.fehead.diseaseCare.error.BusinessException;
import com.fehead.diseaseCare.error.EmBusinessError;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;
import java.util.Date;

public class JwtUtil {

    public static String makeToken(User user) {
        //withAudience()存入需要保存在token的信息,这里我把用户ID存入token中
        String token="";
        Date date = new Date(System.currentTimeMillis()+1000*60*2*24 *30);
        token= JWT.create()
                .withClaim("userId",user.getId())
                .withClaim("role",user.getRole())
                .withExpiresAt(date)
                .sign(Algorithm.HMAC256("xxxxx4234{}d]]fxxxxdsadasdasdsad"));
        return token;
    }

    public static UserIdRoleInfo getUserIdByToken(){
        ServletRequestAttributes requestAttributes = ServletRequestAttributes.class.
                cast(RequestContextHolder.getRequestAttributes());
        HttpServletRequest req = requestAttributes.getRequest();
        String token = req.getHeader("token");
        UserIdRoleInfo userIdRoleInfo=new UserIdRoleInfo();
        JWTVerifier build = JWT.require(Algorithm.HMAC256("xxxxx4234{}d]]fxxxxdsadasdasdsad")).build();
        DecodedJWT jwt=null;
        try {
            jwt = build.verify(token);
        }catch (Exception e){
            throw new BusinessException(EmBusinessError.USER_AUTH_ERROR);
        }
        int  userId = jwt.getClaim("userId").asInt();
        int  role =jwt.getClaim("role").asInt();
        userIdRoleInfo.setUserId(userId);
        userIdRoleInfo.setRole(role);
        return userIdRoleInfo;
    }
}
  • withClaim(“userId”,user.getId()) 设置token的明文数据
  • withExpiresAt(date) 设置过期时间
  • sign(Algorithm.HMAC256(“xxxxx4234{}d]]fxxxxdsadasdasdsad”)) 设置密钥加解密,密钥就是中间的字符串,也可以使用用户密码作为密钥
  • 使用JwtUtil封装静态求情

在这里插入图片描述
至此,整个项目大概结构就介绍完了,家人们不会都没长脑袋吧

我拿这篇博客我不点赞,我收藏,唉就是玩儿~
在这里插入图片描述

制作不易,转载请标注~

ktoking
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
jwt简介
花&败
11-28 607
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 一、跨域认证的问题  HTTP协议是无状态的,也就是说,如果我们已经认证了一个用户,那么他下一次请求的时候,服务器不知道我是谁,我们必须再次认证。  互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(s
SpringBoot整合JWT(二)
smiling
01-19 1682
JWT相关概念介绍: 1、头部信息 2、载荷信息 3、签名信息 一、头部信息:头部信息由两部分组成1、令牌的类型,即JWT;2、使用的签名算法,例如HMASSHA256或RSA; 头部信息JSON代码如下:然后这个JSON被编码为Base64URL,形成JWT的第一部分 { "alg": "HS256", "typ": "JWT" } 二、载荷信息:其中包含声明(claims),声明可以存放实体和其它数据的声明,声明包括三种类型 1、已注册声明:这些是一组预定义声明,不是强制性的,
微服务架构项目open-cloud的认证方式及单点登录应用
左直拳的马桶_日用桶
11-08 767
上次说道,我目前在做的一个项目,用的是基于一个叫open-cloud的微服务框架。该框架基于SpringCloud,认证使用oAuth2。见。虽然这个框架是几年前出来的,目前已经没有维护了,但对于我来说,仍然是学习的对象。
JWT | 01.JWT基础学习-SpringBoot整合
xyx-Eshang的博客
07-23 148
0.前言 参考视频: 【极简入门】15分钟学会JWT的使用 参考文章: 利用Springboot实现Jwt认证 JSON Web Token 入门教程 SpringBoot整合JWT 1. 引入:解决跨域认证问题 互联网服务离不开用户认证。一般流程是下面这样。 用户向服务器发送用户名和密码。 服务器验证通过后,在当前对话(session)面保存相关数据,比如用户角色、登录时间等等。 服务器向用户返回一个 session_id,写入用户的 Cookie。 用户随后的每一次请求,都会
单点登录源码
01-09
单点登录, SSM框架公共模块 ├── zheng-admin -- 后台管理模板 ├── zheng-ui -- 前台thymeleaf模板[端口:1000] ├── zheng-config -- 配置中心[端口:1001] ├── zheng-upms -- 用户权限管理系统 | ├── ...
vue+springboot后端分离实现单点登录跨域问题解决方法
01-19
那就意味着做单点登录咯,至于不知道什么是单点登录的同学,建议去找一下万能的度娘。 刚接到这个需求的时候,老夫心便不屑的认为:区区登录何足挂齿,但是,开发的过程狠狠的打了我一巴掌(火辣辣的一巴掌)。。...
springmvc+spring+shiro+cas单点登录实例
01-11
springmvc+spring+shiro+cas单点登录实例 加入了登录验证码认证,修改了下首页样式,不过样式没有弄好,很丑的,有空自己再弄下 说明:cas-server是单点登录服务端,用的是maven项目,但是WEB-INF面的lib目录下面...
Asp.net中实现同一用户名不能同时登录(单点登录)
07-30
Web 项目中经常遇到的问题就是同一用户名多次登录的问题,相应的解决办法也很多,总结起来不外乎这几种解决办法: 将登录后的用户名放到数据库表中; 登录后的用户名放到Session中; 登录后的用户名放到Application...
轻量级单点登录系统
04-02
后台解密前台提交的用户登录票据信息,判定用户是否已在单点登录系统上成功的登录,如果已登录返回系统首页,如果没有登录,跳转到单点登录系统登录页。使用DES加密用户登录票据信息,不同应用系统使用不同密钥。 ...
jwt 例子 java_利用Springboot实现Jwt认证的示例代码
weixin_34452012的博客
02-13 250
JSON Web Token是目前最流行的跨域认证解决方案,,适合前后端分离项目通过Restful API进行数据交互时进行身份认证概述由于概念性内容网上多的是,所以就不详细介绍了具体可以看这:阮一峰大佬的博客我总结几个重点:JWT,全称Json Web Token,是一种令牌认证的方式长相:头部:放有签名算法和令牌类型(这个就是JWT)载荷:你在令牌上附带的信息:比如用户的id,用户的电话号码...
JWT概述与代码实现
帅大叔的博客
04-16 5160
一、什么是JSON Web Token? JSON Web Token(JWT)是一个开放标准(RFC7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。 此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 二、JWT的使用场景主要包括: 认证授权 这是比较常见的使用场景,只要用户登录过...
玩转 SpringBoot 2 之整合 JWT 上篇
程序员小奎的博客
09-18 3万+
前言 该文主要带你了解什么是 JWT,以及JWT 定义和先关概念的介绍,并通过简单Demo 带你了解如何使用 SpringBoot 2 整合JWT。 介绍前在这我们来探讨一下如何学习一门的技术,我个人总结为 RSA。 R:read 去读官方文档 。 S:search 谷歌或百度先关技术文章或 github 去搜索先关信息。 A:ask 可以向技术大牛请教或和自己的同事同学进行探讨。...
你是如何优雅的处理token认证登录?
Mr_aaao的博客
07-08 1036
前言 优雅,意味着优美雅致,用猿话讲就是这代码看得舒服,用得也舒服。登录认证方式有很多,有的是用cookie,有的是用session,有的是用token认证。而本文主要讲述基于jwt以自定义注解方式优雅地处理token认证,此处的优雅只是作者个人口味,萝卜青菜各有所爱,还拦着你的重口味不成? 首先,我们得先了解一下什么是自定义注解,当然,这只是简单的说明一下,本文的重点不是它。 注解的基本元素 声明一个注解要用到的元素 修饰符 访问修饰符必须为public,不写默认为pubic; 关键字 关键字为
单点登录项目中的进一步理解
lanjie_gunger的博客
03-02 531
tomcat+cas作为单点,然后使用virgo(云)做项目的容器。 工作流程:当第一次访问项目某个页面(client)时,由于用户没有登录,会被重定向到单点,输入用户名和密码,然后跳转到所访问的页面。当第二次再访问时,就不需要输入用户密码了。这个时候直接由单点来提供。 单点的好处:一劳永逸!
单点登录原理与简单实现
热门推荐
u011277123的博客
11-30 4万+
创未来 2016-11-29 16:09 一、单系统登录机制 1、http无状态协议 web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系 但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资
单点登录项目如何设置过期时间
最新发布
03-06
单点登录项目可以通过设置会话过期时间来控制用户登录的有效期。可以在服务器端设置会话过期时间,一般情况下,会话过期时间可以设置为几分钟或几个小时,具体时间可以根据实际需求来确定。当用户在一段时间内没有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值