05 【若依框架解读】登录认证JWTtoken验证机制

最新推荐文章于 2024-05-22 17:01:58 发布
最新推荐文章于 2024-05-22 17:01:58 发布
阅读量2w 收藏 62
点赞数 16
分类专栏: 源码解读#若依框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kouryoushine/article/details/110780053
版权

背景

今天讲下若依框架对于登录认证方面的实现,这个方面若依做的不算太好,如果项目中想用的话需要参考其他框架的实现,做的更好一些。

我建议是前后端放在一起来看,单纯看后端会比较无趣。

后端部分

/login 接口

  • userName
  • password
  • code 验证码

前端获取上面三个要素后调用接口,整体改接口做了下面几件事情

  1. 验证用户身份(账号密码+验证码)
  2. 生成token
  3. 保存用户登录态到spring security中
安全配置:定义了基本的配置信息
framework.config.SecurityConfig

UserDetailsServiceImpl 用户验证处理类

登录接口的服务类
framework.web.service.SysLoginService

JWT拦截器,拦截令牌并校验信息
framework.security.filter.JwtAuthenticationTokenFilter

详细过程

  1. SysLoginService 中调用UserDetailsServiceImpl校验用户的密码是否匹配以及用户账户状态,校验通过后返回UserDetails实例,该实例包含了用户的基本信息和菜单权限信息
  2. 调用tokenService.createToken(loginUser)生成token

令牌生成的详细过程

  1. 生成uuid随机数,这个随机数用来做rediskey存储token
  2. 生成一个token(无时效)
  3. 拦截到的token如果距离失效在10分钟以内(可配置)就自动刷新有效期

前面提到了token本身无时效,有效期是通过redis控制的,因为jwt本身未提供刷新有效期的方法(可能是我不知道)。

以上用户调用了login接口并且获得了token

jwt令牌校验

/**
 * token过滤器 验证token有效性
 * 
 * @author sj
 */
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter
{
    @Autowired
    private TokenService tokenService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException
    {
        LoginUser loginUser = tokenService.getLoginUser(request);
        if (StringUtils.isNotNull(loginUser) && StringUtils.isNull(SecurityUtils.getAuthentication()))
        {
            tokenService.verifyToken(loginUser);
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
            authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        }
        chain.doFilter(request, response);
    }
}

代码比较短,所以就直接贴出来,这段代码拦截了所有请求并且完成了令牌的校验和刷新,具体过程如下

  1. tokenService.getLoginUser(request); 从request中获取token并校验,如果校验通过就返回LoginUser对象
  2. 校验LoginUser的token,如果再刷限期内就直接刷新
  3. 将LoginUser封装到SecurityContextHolder中作为全局的用户登录状态

注:第3条有两个好处

  1. 后续拦截器发现SecurityContextHolder中保存了用户时,就直接通过校验
  2. 通过SecurityContextHolder可以快速获取当前请求的登录信息。

以上基本上已经说名了JWT校验的基本过程,忽略了很多细节,基础薄弱的同学可以需要先研究其他博客再来看这篇

getInfo 获取用户信息

  1. 用户的基本信息
  2. 用户所有的Permissions(菜单树)
  3. 用户所有的RopePersmission(roleKeys)

在这里插入图片描述

getRouters 获取前端页面路由信息

这个接口完全为前端准备,后面会专门讲述前端的权限控制
在这里插入图片描述

如何在5年薪百万
关注
  • 16
    点赞
  • 62
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
Ruoyi框架学习--JWT(JSON Web Token
qq_39367410的博客
09-06 2206
通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。
Token生成规则以及工具相关代码
06-26
在IT行业中,Token是一种常见的身份验证机制,广泛应用于Web应用、API接口以及移动应用中。本文将深入探讨Token的生成规则及其相关工具,并基于提供的链接文章进行解析。 首先,理解Token的基本概念至关重要。Token...
SpringBoot框架集成token实现登录校验功能
08-25
主要为大家详细介绍了SpringBoot框架集成token实现登录校验功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
若依框架登录token,自定义session,鉴权等前后端流程解读
热门推荐
kouryoushine的博客
08-13 2万+
背景 之前虽然讲了login,getInfo,getRoutes的三个接口,但从设计的角度来讲,这3个接口并没有完整实现一个功能。这里重点讲解若依框架对于自定义session,token校验,权限验证三个方面的实现。这些对于自己实现一个简单的后端框架有不错的参考意义 功能说明 登录功能\login及token的生成 权限过滤校验 自定义session 前端如何配合 可以参考上一篇博客 登录token生成 主要解决的是用户登录、生成token和session的场景 前端 用户登录页输入usernam
若依不分离办增加api模块,集成jwt、Mybatis-Plus各种插件
最新发布
sinat_36891648的博客
05-22 106
若依不分离办增加api模块 若依集成各类插件
若依ruoyi框架实现单点登录或者接入统一认证
GitHub质检员
08-30 7596
log.info("单点登录用户[{}]不存在, 需要创建.", loginName);log.info("单点登录用户[{}]已存在.", loginName);jsonObjectData.put("nickName","单点1");if (code.equals("0")) {//验证成功需要自动登录。jsonObject.put("msg","验证成功");ajax.put("msg", "登录成功");
ruoyi 若依框架采用第三方登录
COOLBLOOD的专栏
11-23 1733
1、 在控制器层,SysLoginController 中,原有的login方法之后,写一个登录的方法,注意其中的 loginService.logingcy(userId);通过第三方协议解析出用户的信息,可能 是工号,或者是微信的openid这都无所谓,反正通过他你能找到本系统的用户就可以了。在项目中,前后端分离的若依项目,需要通过统一认证,或者是第三方协带认证信息跳转到本系统的指定页面。1、首先要做一个登录过度页面,内容可以为空白,只需要接收地址栏中的参数,并且调用上面第一步中定义的方法。
修改若依框架Token的过期时间
MMF博客园
05-06 1287
修改若依框架Token的过期时间
若依登录页面改造源码资源
09-27
登录页面vue代码、验证码vue代码、背景图
若依vue设置永久不过期
Decline1的博客
02-18 6956
分离版本不建议这么做。用户权限应该定期过期,不然有安全风险问题。 如果要永久的话自己去调整下就好了。TokenService.java /** * 刷新令牌有效期 * * @param loginUser 登录信息 */ public void refreshToken(LoginUser loginUser) { .... // redisCache.setCacheObject(userKey, loginUser, expireTime, TimeUnit.MINUTES); //
设置若依Token过期时间
qq_53376718的博客
01-11 4541
设置若依Token过期时间
详解Ruoyi-Vue的登录Springsecurity+JWT
weixin_59015876的博客
04-10 981
这段代码配置了允许无需登录即可访问的URL(如:登录、注册等),以及需要登录才能访问的其他URL。它还禁用了CSRF(跨站请求伪造)保护,添加了自定义的JWT认证过滤器,并设置了无状态的会话策略。请注意,仅当请求头中包含有效的JWT时,此过滤器才会执行这些操作。如果登录成功,将返回的JWT存储在浏览器的。JWT的有效期是有限的,为了避免用户在登录后不久就需要重新登录,你可以实现JWT的刷新机制。前端在发现JWT即将过期时,可以调用这个接口来获取一个新的JWT。方法中,从请求头中获取JWT,然后使用。
test-node-server:一个简单的小节点服务器来测试JWT身份验证
03-21
描述中的内容与标题一致,进一步确认了这是一个小型的Node.js服务器,它的主要功能是测试JWT身份验证机制。这可能是一个简单的示例项目或教学材料,帮助开发者理解和实践如何在Node.js环境中实现JWT验证。 **标签...
angular4-auth:jwt auth与角度4
05-19
JWT(JSON Web Token)是一种流行的身份验证机制,它允许用户在不暴露敏感信息的情况下在多个服务之间进行身份验证。在Angular 4中集成JWT,可以实现安全的身份验证流程,提高用户体验,同时保护应用数据。 **JWT...
mern-jwt-template
04-16
**标题解析:** "mern-jwt-template" 这个标题表明我们正在讨论一个基于MERN堆栈(MongoDB、Express.js、React和Node.js)并集成JWT(JSON Web Token)身份验证的模板项目。JWT通常用于实现安全的用户认证和授权。 ...
字节跳动 CloudWeGo 源码解读-微服务中间件集合.zip
05-01
- **认证中间件**:验证请求者的身份,如JWT(JSON Web Token认证。 - **限流中间件**:控制服务的处理速度,防止过载,如令牌桶算法或漏桶算法。 - **熔断中间件**:在服务异常时,暂时切断对外提供服务,保护...
若依SpringSecurity + JWT
weixin_45876411的博客
11-01 2671
内网项目使用RBAC权限管理模式,一个角色上挂载了多个菜单信息,用户登录时根据用户账号查询用户所拥有的菜单,将菜单信息响应给前端进行渲染。此种方式对权限控制的粒度是最粗的,用户有这个菜单即认为用户可以访问这个菜单上的所有资源,并且用户访问菜单上的接口时没有对接口进行权限验证(即此接口用户是否有权限访问)。
若依框架学习(九)关于登录token过期如何处理
weixin_41262132的博客
02-12 1万+
在第一节的部分我们也知道登录的流程,但当后台发现redis缓存的登陆实体类过期了,是怎么处理并且怎么给前端发送消息? 其实SpringSecurity有一个config配置SecurityConfig类,继承于WebSecurityConfigurerAdapter 其中重写了configure()方法,用来自定义过滤和拦截处理 红线框就是处理登录token过期,实质上认证失败处理类,只不过token过期是认证失败的一种情况。 我们看下这个类做了什么? 我们点击紫色的属性 通过这个注入的实现类看看 @C
【若依】开源框架学习笔记 08 - Token 验证JWT
MichelleChung的星球
06-03 1万+
在上一篇文章登录认证流程当中,登录认证通过后,最后一步是生成 token 返回给前端,因此这篇文章主要是对于 token 生成的一些整理。
若依框架token拦截
08-24
若依框架token拦截功能是指在用户进行登录认证时,若依框架会自动生成一个token,并在后续请求中对该token进行拦截和验证。引用中提到,若依框架生成token的过程是先生成一个随机数作为redis key,然后将该随机数用于生成一个token,该token在生成后没有时效限制。当请求中包含该token时,若该token距离失效时间在10分钟以内(可配置),则若依框架会自动刷新token的有效期。 所以,若依框架token拦截功能可以帮助确保请求的有效性和安全性,防止未经授权的访问。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [05若依框架解读登录认证JWTtoken验证机制](https://blog.csdn.net/kouryoushine/article/details/110780053)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [前后端如何实现登录token拦截校验详解](https://download.csdn.net/download/weixin_38558660/13617543)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值