基于 AOP 和 JWT 实现的 Token 身份认证组件

最新推荐文章于 2023-07-25 21:54:42 发布
最新推荐文章于 2023-07-25 21:54:42 发布
阅读量547 收藏
点赞数
分类专栏: Spring Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ly1414725328/article/details/119677363
版权
Java 同时被 2 个专栏收录
11 篇文章 0 订阅
订阅专栏
Spring
2 篇文章 0 订阅
订阅专栏

基于 AOP 和 JWT 实现的 Token 身份认证组件

原理

基于 AOP 面向切面编程,在执行前后插入身份认证的逻辑。

原理细节:

  • 登录过程:这个过程比较简单,将用户 id、用户名、过期时间等属性结合 jwt 工具生成 token,并将用户的信息存入到缓存中,以供后期使用。

  • 验证过程:前端通过 Header 头信息的 Authorization 属性得到 Token,先进行 token 验证,再结合缓存验证,验证成功的话,将用户 id 和用户名等信息存入 ThreadLocal 中,这样在执行切面逻辑的时候。就可以从 ThreadLocal 中获取数据了,如UserManager.getUserId();执行完成后需要清除 ThreadLocal 中的数据;代码如下

class ValidateLoginAspect {

  @Around("pointCutMethod()")
  public Object preHandle(ProceedingJoinPoint pjp) {
    // ......
    UserContextHolder.getInstance().setContext(userMap);
    final Object proceed;
    try {
      proceed = pjp.proceed();
    } finally {
      UserContextHolder.getInstance().clear();
    }
    return proceed;
  }
}
  • 认证接口的范围:给 BaseTokenController这个基类添加 @ValidateLogin
    可以实现一个效果,只要自己的 Controller 继承了BaseTokenController,那么就不用再声明@ValidateLogin注解,自定义Controller中的 mapping 都需要身份认证。
    (PS:这样就免去了繁琐配置:如在拦截器中通过通配符的方式配置哪些接口需要拦截,哪些接口需要放行)

服务端使用方式

添加依赖


<dependency>
    <groupId>com.lyloou</groupId>
    <artifactId>component-security-loginvalidator-starter</artifactId>
    <version>${lyloou.component.version}</version>
</dependency>
  1. 继承BaseTokenController类。 因为这个类被@ValidateLogin标记,所以其下的所有子类都需要身份认证(具体实现细节,查看ValidateLoginAspect)。

@RestController
public class UserController extends BaseTokenController {

    // 从父类继承了ValidateLogin,需要身份验证
    @GetMapping("/ping")
    public String ping() {
        final Integer userId = currentUserId();
        System.out.println(userId);
        return "pong";
    }

}
  1. 如果继承了 BaseTokenController 类,又希望其中的某个方法不要被拦截,可以在方法上标记 @IgnoreValidateLogin

@RestController
public class UserController extends BaseTokenController {

    @Autowired
    TokenService tokenService;

    // 手动忽略身份验证
    @IgnoreValidateLogin
    @GetMapping("/login")
    public String login(String userId, String username) {

        Map<String, String> map = new HashMap<>();
        map.put("userId", userId);
        map.put("userName", username);
        map.put("userAvatar", "http://cdn.lyloou.com/a.jpg");

        final String token = tokenService.createToken(userId, username, JSONUtil.toJsonStr(map));
        return token;
    }
}
  1. 如果没有继承 BaseTokenController,又希望在其中某个方法中做身份认证,获取用户 id,可以在方法上标记@ValidateLogin

@RestController
public class UserController {


    // 手动添加身份验证
    @ValidateLogin
    @GetMapping("userinfo")
    public Map<String, String> userInfo() {
        Map<String, String> map = new HashMap<>();
        map.put(UserManager.X_USER_ID, UserManager.getUserId() + "");
        map.put(UserManager.X_USER_IP, UserManager.getUserIP());
        map.put(UserManager.X_USER_NAME, UserManager.getUserName());
        map.put(UserManager.X_USER_INFO, UserManager.getUserInfo());
        return map;
    }
}

使用自定义的缓存

默认使用了内存缓存ConcurrentHashMap(单机版本的)

也可以自定义缓存

/**
 * @author lilou
 * @since 2021/7/14
 */
@Service
public class RedisCodeCache implements DataCache {

    @Autowired
    private RedisService redisService;
    @Autowired
    private TokenProperties tokenProperties

    @Override
    public void set(String key, String value) {
        set(key, value, tokenProperties.getExpireSecond());
    }

    @Override
    public void set(String key, String value, long timeout) {
        redisService.set(key, value, (int) timeout);
    }

    @Override
    public String get(String key) {
        return redisService.get(key);
    }

    @Override
    public void remove(String key) {
        redisService.del(key);
    }

    @Override
    public boolean containsKey(String key) {
        return redisService.exists(key);
    }
}

客户端使用

在 Header 中配置身份认证 Token 的信息:
如:Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpYXQiOjE2Mjg4MzQ3MjQsImV4cCI6MTYyOTQzOTUyNCwieC11c2VyLW5hbWUiOiJhYmNkZSIsIngtdXNlci1pZCI6IjEifQ.x0nIhSUPfxC5FlnzJ-MmJvLnJv7w5ZvFzGlNphdSByE

测试

登录接口:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PwizcGCB-1628841233198)(https://raw.githubusercontent.com/lyloou/img/develop/img/20210813155146.png)]

获取用户信息接口:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-azfG97qN-1628841233199)(https://raw.githubusercontent.com/lyloou/img/develop/img/20210813155327.png)]

源码实现

component/component-security-loginvalidator-starter at master · lyloou/component

lyloou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT+AOP+自定义注解实现接口安全
koyi0000的博客
05-22 2175
前言: 又是一个人加班无聊的时间,把之前尝试的一个例子大概做一个总结,这是一个使用json  web token实现的校验接口安全的例子。具体是方式是,后台使用jwt,用户登录后,服务端返回jwttoken,前端做cookie存储,同时将jwttoken和对应的userId放在每一个请求的header上,这里要做跨域处理。通过自定义的注解实现校验,校验结果以异常的形式抛出,定义全局的异常处理处理上...
使用自定义注解+AOP实现JWT访问token认证授权
月光秦城
06-10 3023
JWT:Json Web Token实现token的一种解决方案,它有三个部分组成,header(头)、payload(载体)、signature(签名)。 jwt的第一部分是header,header主要包含两个部分,alg指加密类型,可选值HS256,RSA,type为JWT固定值,表示token类型。 第二部分为payload载体,payload是token的详细信息,一般包含iss发...
ThreadLocal详解
qq_36042938的博客
11-14 368
threadLocal
Spring Boot+Jwt+AOP+自定义注解实现接口的权限控制
LT19990304的博客
06-20 2043
之前在项目中通过自定义拦截器+自定义注解进行权限校验,拦截器代码过于臃肿!!!于是想到了使用面向切面的方法!!
AOP&JWT&全局异常处理
weixin_44678167的博客
07-25 163
我们该怎么样定义全局异常处理器?定义全局异常处理器非常简单,就是定义一个类,在类上加上一个注解@RestControllerAdvice,加上这个注解就代表我们定义了一个全局异常处理器。在全局异常处理器当中,需要定义一个方法来捕获异常,在这个方法上需要加上注解@ExceptionHandler。通过@ExceptionHandler注解当中的value属性来指定我们要捕获的是哪一类型的异常。
SpringMVC精品资源--整合JWT,spring,springMVC,实现基于token验证.zip
02-18
【标题】中的“SpringMVC精品资源--整合JWT,spring,springMVC,实现基于token验证”是一个关于使用Spring框架,特别是SpringMVC,与JSON Web Tokens (JWT)集成的教程或项目。这个主题涉及了现代Web应用中常见的...
基于springboot的资源请求验证(aspectj和Interceptor两方式实现
01-20
基于SpringBoot的资源请求验证(Aspectj和Interceptor两方式实现)附JWT验证token 前言 ​ 在项目中,我们需要对前端请求的资源进行验证,判断是否具有相应的权限。比如某写资源只有在登录之后才有请求权限。本章以...
使用SpringBoot、Mybatis-Plus、Shiro、JWT等技术实现宿舍管理系统,实现了权限管理、数据字典等.zip
03-05
在宿舍管理系统中,JWT用于实现用户身份的验证和会话管理,用户登录成功后,服务器返回JWT,之后的请求中携带此令牌,即可验证用户身份,而无需保存会话状态在服务器端,降低了服务器的压力。 **5. 数据字典** 数据...
基于springboot智慧食堂设计与实现.zip
最新发布
03-22
例如,使用JWT(JSON Web Token)进行身份验证,防止SQL注入和XSS攻击。 8. **缓存技术**:为了提升性能,可能会使用Redis等缓存技术来存储热点数据,减少对数据库的直接访问。 9. **消息队列**:在高并发场景下,...
JWT生成tonken验证+AOP拦截验证
一只程序猿
12-01 1187
JSON Web TokenJWT)是目前都在用的前后分离跨域验证规则。5、前端调用查看效果,token生成返回成功,后端也能成功读取数据。3、自定义注解APO实现类AuthAspect.java。4、在需要token验证的地方加入注解@Auth。2、编写jwt工具类JwtUtil.java。2、自定义注解接口Auth.java。1、引入依赖pom.xml。
AOP 做接口防重复提交
ShiXZ213的博客
01-05 169
3 使用方法直接在方法前进行注解拦截。
SpringBoot AOP 切面 使用 JWT 完成登录鉴权
weixin_43217512的博客
09-04 625
最近项目上碰到一个问题,使用SpringBoot拦截器实现 JWT登录鉴权时,无法Pass swagger2的请求,经过研究最终解决了该问题,方案如下,如有更好的建议,请大家不吝赐教。
Spring 之 jwt,过滤器,拦截器,aop,监听器,参数校验
初心魏的博客
05-25 1702
OverrideSystem.out.println("过滤器2初始化");System.out.println("过滤器2前执行");System.out.println("过滤器2后执行");System.out.println("过滤器2毁灭");} }/*** 重写addCorsMappings() 解决跨域问题* 配置:允许http请求进行跨域访问* @Author 有梦想的肥宅*/
关于AOP思想登录拦截验证token方式二
weixin_46098310的博客
03-31 589
通过aop思想完成对token的验证
SpringAOP----Token校验以及Token续签的操作
m0_58438555的博客
04-27 849
首先我们知道在登录状态下要保存Token,当进行操作的时候我们要去判断Token是否存在,所以这里写了一个简单的判断Token的方法 定义切入点 还是用注解作为切入点,个人认为用注解作为切入点是最好,最方便的一种方法 @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.TYPE, ElementType.METHOD}) public @interface TokenAnnotation { } 具体的方法体 //切入点表达式
springboot之aop切面获取请求
小秋的博客
02-04 5192
通过aop的切面,在方法执行之前切入,获取请求的地址、ip、类名、方法、参数等...
aop中获取request
u010924288的博客
11-18 7285
可以获取到request , 从而可以取到任何参数
java代码优化方案2(Aop处理Token令牌,页面缓存)
旺旺的博客
01-03 707
目录前言一、Aop处理Token令牌1、如果不需要验证身份信息2、如果需要验证身份信息二、页面缓存,页面伪静态化(应对秒杀)1、页面缓存2、页面伪静态化(应对秒杀)后言 前言 我们本次要解决的问题有两个大点 一、每次用户请求都需要判断其是否身份验证过 解决方案:使用Aop来为每一个需要进行身份验证后才能调用的方法写一个注解 思路:每次调用方法前都先判断这个方法是否携带注解,如果没携带则需要验证。 ...
基于springboot框架的美食发现系统的设计与实现
05-11
基于SpringBoot框架的美食发现系统是一个...以上是基于SpringBoot框架的美食发现系统的设计与实现,其中涉及到的技术和环节有许多,都需要严谨的操作和优秀的技能才能实现一个高品质的、稳定的、高性能的美食发现系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值