jwt+redis实现登录认证

已于 2024-02-22 22:47:58 修改
阅读量865 收藏 11
点赞数 3
分类专栏: JAVA 文章标签: redis 登录认证 jwt 令牌 token
于 2024-02-17 16:22:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangmengbk/article/details/136137576
版权

项目环境:spring boot项目

pom.xml引入jwt和redis

        <!-- jwt -->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>4.3.0</version>
        </dependency>


        <!-- redis坐标-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

application.yml配置文件中,对redis进行配置

  data:
    redis:
      port: 6379
      host: localhost

JwtUtil工具类

package com.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;

import java.util.Date;
import java.util.Map;

public class JwtUtil {

    /*生成jwt字符串时用到的秘钥*/
    private static final String KEY = "itheima";

	//接收业务数据,生成token并返回
    public static String genToken(Map<String, Object> claims) {
        return JWT.create()
                .withClaim("claims", claims)
                .withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 24 )) //失效时间 单位毫秒 当前值为1天
                .sign(Algorithm.HMAC256(KEY));
    }

	//接收token,验证token,并返回业务数据
    public static Map<String, Object> parseToken(String token) {
        return JWT.require(Algorithm.HMAC256(KEY))
                .build()
                .verify(token)
                .getClaim("claims")
                .asMap();
    }

}

Md5Util工具类(因为登录时有对密码进行md5加密的逻辑)
package com.utils;


import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

public class Md5Util {
    /**
     * 默认的密码字符串组合,用来将字节转换成 16 进制表示的字符,apache校验下载的文件的正确性用的就是默认的这个组合
     */
    protected static char hexDigits[] = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'};

    protected static MessageDigest messagedigest = null;

    static {
        try {
            messagedigest = MessageDigest.getInstance("MD5");
        } catch (NoSuchAlgorithmException nsaex) {
            System.err.println(Md5Util.class.getName() + "初始化失败,MessageDigest不支持MD5Util。");
            nsaex.printStackTrace();
        }
    }

    /**
     * 生成字符串的md5校验值
     *
     * @param s
     * @return
     */
    public static String getMD5String(String s) {
        return getMD5String(s.getBytes());
    }

    /**
     * 判断字符串的md5校验码是否与一个已知的md5码相匹配
     *
     * @param password  要校验的字符串
     * @param md5PwdStr 已知的md5校验码
     * @return
     */
    public static boolean checkPassword(String password, String md5PwdStr) {
        String s = getMD5String(password);
        return s.equals(md5PwdStr);
    }


    public static String getMD5String(byte[] bytes) {
        messagedigest.update(bytes);
        return bufferToHex(messagedigest.digest());
    }

    private static String bufferToHex(byte bytes[]) {
        return bufferToHex(bytes, 0, bytes.length);
    }

    private static String bufferToHex(byte bytes[], int m, int n) {
        StringBuffer stringbuffer = new StringBuffer(2 * n);
        int k = m + n;
        for (int l = m; l < k; l++) {
            appendHexPair(bytes[l], stringbuffer);
        }
        return stringbuffer.toString();
    }

    private static void appendHexPair(byte bt, StringBuffer stringbuffer) {
        char c0 = hexDigits[(bt & 0xf0) >> 4];// 取字节中高 4 位的数字转换, >>>
        // 为逻辑右移,将符号位一起右移,此处未发现两种符号有何不同
        char c1 = hexDigits[bt & 0xf];// 取字节中低 4 位的数字转换
        stringbuffer.append(c0);
        stringbuffer.append(c1);
    }

}

登录的控制器

package com.controller;

import com.pojo.Result;
import com.pojo.User;
import com.service.UserService;
import com.utils.JwtUtil;
import com.utils.Md5Util;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.validation.annotation.Validated;
import org.springframework.web.bind.annotation.*;

import java.util.HashMap;
import java.util.Map;
import java.util.concurrent.TimeUnit;

@RestController
@RequestMapping("/user")
@Validated
@CrossOrigin
public class UserController1 {
    @Autowired
    private UserService userService;

    @Autowired
    private StringRedisTemplate stringRedisTemplate;


    @PostMapping("/login")
    public Result login(String username, String password) {
        //查询用户
        String md5Password = Md5Util.getMD5String(password);
        User user = userService.login(username, md5Password);
        if (user == null) {//用户名或密码错误
            return Result.error("用户名或密码错误");
        } else {
            //登录成功
            Map<String, Object> claims = new HashMap<>();
            claims.put("id", user.getId());
            claims.put("username", user.getUsername());
            String jwtToken = JwtUtil.genToken(claims);

            //往Redis中存储一个键值对
            ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();
            operations.set(jwtToken, jwtToken, 1, TimeUnit.DAYS);

            return Result.success(jwtToken);
        }
    }

}

在前端发起登录请求,用户名和密码验证通过后,生成jwt,把jwt字符长的值,存放在redis缓存中,然后把jwt字符串返回到前端。

前端拿到jwt字符串后存在一个变量中,在之后的每次请求中,都在请求头中携带上jwt,后端再根据jwt的内容进行验证,判断是否是已登录的正常请求,如果是已经登录后的请求,就放行,否则就返回401(未认证)。

后端是通过声明一个拦截器,对请求进行判断的,代码如下:

LoginInterceptor.java
package com.interceptor;
import com.utils.JwtUtil;
import com.utils.ThreadLocalUtil;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import java.util.List;
import java.util.Map;

/**
 * @projectName: big-event
 * @package: com.interceptor
 * @className: LoginInterceptor
 * @author: liangmeng
 * @description: 登录拦截器
 * @date: 2024/1/14 17:20
 * @version: 1.0
 */

@Component
public class LoginInterceptor implements HandlerInterceptor {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    //Controller方法处理之前执行
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //获取到请求头的jwt字符串
        String token = request.getHeader("Authorization");
        //验证token
        try {
            //获取redis的值
            ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();
            String redisToken = operations.get(token);
            if (redisToken == null) {
                //token失效 拦截请求
                throw new RuntimeException();
            } else {
                Map<String, Object> claims = JwtUtil.parseToken(token);

                //把业务数据存储到ThreadLocal中
                ThreadLocalUtil.set(claims);

                //放行请求
                return true;
            }
        } catch (Exception e) {
            //相应码401
            response.setStatus(401);
            //拦截请求
            return false;
        }
    }

    //该方法将在整个请求完成之后执行
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        //清空ThreadLocal中的信息 防止内存泄漏
        ThreadLocalUtil.remove();
    }

}

上面代码是自定义的登录拦截器,在请求到来后,控制器方法执行前,会进入到拦截器的preHandle方法中,在这个方法里面,或获取到请求头中的Authorization属性值,也就是jwt的值,然后再获取到redis中的值,redis中key和values是相同的,都是jwt字符串的内容,所以这里是用jwt的值作为key去获取value,如果value有值则说明该请求是可以放行的(已经登录过),否则拦截请求,返回响应码401。

afterCompletion方法是在整个请求完成之后执行,示例中是把ThreadLocal的值清空,这里根据需要,如果使用到了ThreadLocal,就把它清空,防止内存泄漏,如果没有使用到,则不需要处理。

拦截器定义好了之后,还需要把自定义的拦截器注册到全局拦截器中,使其生效。

WebConfig.java
package com.config;

import com.interceptor.CorsInterceptor;
import com.interceptor.LoginInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;



@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Autowired
    private LoginInterceptor loginInterceptor;

    @Autowired
    private CorsInterceptor corsInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {

        //把自定义的拦截器注册到全局拦截器中 排除登录和注册请求
        registry.addInterceptor(loginInterceptor).excludePathPatterns("/user/login","/user/register");
    }
}

同步把登录和注册接口的请求放行,不需要拦截。

修改密码的接口处理逻辑,当用户修改密码后,需要主动将jwt做失效操作,下面是控制器的代码:

package com.controller;

import com.pojo.Result;
import com.pojo.User;
import com.service.UserService;
import com.utils.Md5Util;
import com.utils.ThreadLocalUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.util.StringUtils;
import org.springframework.validation.annotation.Validated;
import org.springframework.web.bind.annotation.*;

import java.util.Map;

@RestController
@RequestMapping("/user")
@Validated
@CrossOrigin
public class UserController {
    @Autowired
    private UserService userService;

    @Autowired
    private StringRedisTemplate stringRedisTemplate;
    
    //更新用户密码
    @PatchMapping("/updatePwd")
    public Result updatePwd(@RequestBody Map<String, String> params, @RequestHeader("Authorization") String jwtToken) {
        String oldPwd = params.get("oldPwd");
        String newPwd = params.get("newPwd");
        String reNewPwd = params.get("reNewPwd");
        if (!StringUtils.hasLength(oldPwd) || !StringUtils.hasLength(newPwd) || !StringUtils.hasLength(reNewPwd)) {
            return Result.error("缺少必要的参数");
        }

        //判断原始密码是否正确
        //获取用户名
        Map<String, Object> claims = ThreadLocalUtil.get();
        String username = (String) claims.get("username");
        //根据用户名查询用户
        User user = userService.findByUserName(username);
        String currPwd = user.getPassword();

        String oldPwdMd5 = Md5Util.getMD5String(oldPwd);
        if (!oldPwdMd5.equals(currPwd)) {
            return Result.error("原始密码不正确");
        }

        //判断输入的两次密码是否一致
        if (!newPwd.equals(reNewPwd)) {
            return Result.error("两次密码不一致");
        }

        //更新密码
        //获取用户名
        String userId = (String) claims.get("id");
        String newPwdMd5 = Md5Util.getMD5String(newPwd);

        userService.updatePwd(userId, newPwdMd5);

        //密码更新完毕,删除redis中的缓存jwtToken值,让用户重新登陆
        ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();
        operations.getOperations().delete(jwtToken);

        return Result.success();
    }


}

在密码修改完毕后,根据请求头中的Authorization属性值来删除redis中存储的数据。这样原来的jwt就失效了,无法使用原来的jwt进行登录认证。

总结:因为http请求是无状态请求,使用jwt可以解决这一问题,登录成功后,在一段时间内就可以直接向后端发送请求,这样不需要重复进行登录操作。

因为jwt数据在后端没有进行存储,所以会出现一个问题,无法使其失效。这时候就引入了redis缓存,在redis缓存中将jwt的数据存下来,当用户修改密码、或退出登录后,将缓存的数据删除,然后在请求处理时(拦截器中)判断当前jwt是否有效,有效则正常处理请求,否则拦截请求,从而完成请求的权限控制。

一般项目还会使用sessionID作为请求控制的方式,其逻辑如下图所示:

梁萌
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot前后端分离,JWT+Security+Redis实现登录拦截及权限认证,包含全局异常处理以及统一返回风格
12-25
Springboot前后端分离,JWT+Security+Redis实现登录拦截及权限认证,包含全局异常处理以及统一返回风格
使用JWT+拦截器+redis实现用户登录功能
weixin_53693850的博客
09-07 424
JSON Web TokenJWT)是一种使用JSON格式传递数据的网络令牌技术,它是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任,它可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止内容篡改。传统的基于session的方式是有状态认证,用户登录成功将用户的身份信息存储在服务端,这样加大了服务端的存储压力,并且这种方式不适合在分布式系统中应用。
RedisJWT 实现session分布式 区别】
weixin_59565183的博客
06-07 565
Redis中,Session的数据是以Key-Value的形式进行存储,其中Key是一个唯一的Session ID,Value则是Session中包含的所有信息,如Session的创建时间、最后访问时间、Session属性等。比如,用户注册后发一封邮件让其激活账户,通常邮件中需要有一个链接,这个链接需要具备以下的特性:能够标识用户,该链接具有时效性(通常只允许几小时之内激活),不能被篡改以激活其他可能的账户,一次性的。根据实际的应用场景,我们可以选择不同的Session管理解决方案。
快速入门JWT+Redis实现Token验证
Trouvailless的博客
09-17 2076
导言:该文最终本人实现目的为通过JWT来生成token作为用户登录或调用api等身份验证凭证,同时简单的引入了Redis作为缓存来存放Token。用最简洁的方法给第一次接触Token的朋友们快速入门并且实际运用到项目中。不纠结于理论,只聚焦于实战,如果有希望了解更多理论的朋友,可以在看本文的过程中查询其他理论性文章。
实例详解:Java使用JWTRedis实现高效单点登录(SSO)
Da_zhenzai的博客
10-25 2025
单点登录(Single Sign-On,简称SSO)是一种身份验证和访问控制机制,允许用户使用一组凭证(如登录名和密码)登录到多个应用程序中,而无需为每个应用程序单独进行身份验证。用户只需要登录一次就可以访问所有系统的应用和资源。相对于传统的每个系统都需要登录一次的方式,单点登录可以提高用户体验,降低用户的登录成本。在本文中,我们将通过使用JWT(JSON Web Token)和Redis实现SSO功能,并提供详细的Java代码实例。通过结合JWTRedis,我们可以轻松实现单点登录(SSO)的功能。
Springboot使用JWT+Redis实现一个简单的登录鉴权
rgrhiea的博客
08-07 5492
这是一个JWT+Redis实现登录鉴权的简单demo,通过它包括了springboot、jwtRedisTemplate的简单使用
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用
CYK_byte的博客
10-13 4780
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
springSecurity+JWT+Redis权限认证(完整项目代码)
gorylee的博客
12-10 3090
springboot+springsecurity+JWT+redis
Springboot + vue前后端分离后台管理系统(七) -- 引入JWT
qq_36700462的博客
06-10 449
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 相关文章很多。。。 参考:https://www.jianshu.com/p/576
【Spring Security】前后端分离 入门-实践 JWT+Redis
weixin_45866411的博客
06-12 1011
最近在学习《Spring 实战》这本书,学习完第四章后,发现确实很强大。现在这个时代,信息可能是我们最有价值的东西,安全性是绝大多数应用系统的一个重要切面。(以上已经是我一年前写的草稿了,现如今已经工作了,但是还是想保留一下)自动配置Spring SecuritySpring Security 完整流程配置自己的过滤器设置自定义的用户储存自定义登录页防范CSRF攻击前后端分离,使用token登录验证权限系统跨域问题配置登录处理器。
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
redis常见使用场景
qq_38341582的博客
04-23 303
redis场景使用场景
Redis中的管道操作pipeline
LuckFairyLuckBaby的博客
04-23 680
Redis 中,Pipeline(管道)是一种客户端与服务器间通信的优化机制,旨在减少网络往返时间和提高命令执行效率。使用 Pipeline 时,客户端不再逐条发送命令,而是将多个命令一次性打包成一个请求包发送给 Redis 服务器。相应地,服务器在接收到这个请求包后,不是立即返回每条命令的执行结果,而是先将所有命令依次执行完毕,然后将所有结果打包成一个响应包返回给客户端。这种做法显著减少了客户端与服务器之间网络通信的次数,尤其是对于需要执行大量命令的场景,能够极大地降低网络延迟带来的影响。
通过Redis实现一个异步请求-响应程序
辛佳雨的专栏
04-21 610
在分布式系统中,经常需要不同的服务或组件之间进行通信和协作。传统的同步请求-响应模式虽然简单直观,但可能会导致阻塞和性能问题。为了解决这个问题,我们开发了一个基于 Redis 的异步请求-响应程序,实现了请求和响应的解耦,提高了系统的并发性和响应能力。
Springboot项目中对Redis使用
最新发布
m0_64245578的博客
04-27 142
在pom.xml文件中添加Springboot的Redis依赖;
Golang操作Redis
weixin_57023347的博客
04-26 553
Redis是完全开源免费的,遵循BSD协议,是一个高性能的key-value数据库。
shiro+jwt+redis
05-19
Shiro 是一个 Java 的安全框架,提供了身份认证、授权、会话管理等功能。JWT(Json Web Token)是一种轻量级的认证和授权的方案,可以在多个系统之间传递信息。Redis 是一种高性能的内存数据库,常用于缓存和会话管理。 将 Shiro 和 JWT 结合使用可以实现无状态的身份认证和授权。当用户登录成功后,将用户信息生成一个 JWT,并将其返回给客户端。客户端在后续请求中携带该 JWT,服务端使用 Shiro 进行解析和校验,实现身份认证和授权。 使用 Redis 可以将会话信息存储在内存中,提高会话管理的效率和可扩展性。同时,可以使用 Redis 实现 Shiro 的缓存功能,提高 Shiro 的性能。例如,可以将 Shiro 的授权信息缓存在 Redis 中,减少数据库的访问次数,提高系统的响应速度。 综上所述,结合使用 Shiro、JWTRedis 可以实现高效、安全的身份认证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值