登录业务优化

已于 2024-07-27 14:58:31 修改
阅读量900 收藏 3
点赞数 25
分类专栏: 业务优化 文章标签: java 数据库 开发语言
于 2024-07-26 17:31:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63624728/article/details/140720973
版权

登录认证

如果不进行登录认证(对访问用户的状态进行检查),就会出现越过登录直接访问数据的bug,为了应对这种情况,我们使用JWT令牌进行验证用户登录状态。

令牌是一个字符串:

  1. 承载数据,减少访问数据库次数

  2. 防篡改

JWT令牌:

全称:JSON Web Token(https:lwt.iol) 定义了一种简洁的、自包含的格式,用于通信双方以jso数据格式安全的传输信息。 组成:

◆第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}

◆第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如:{id":"1","username'":"Tom"),注意:第二部分不要放重要信息,如(用户密码)。

◆第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、.payload,并加入指定秘钥,通过指定签名算法计算而来。

使用:

1.在pom依赖中引入坐标:

<!--      java-jwt依赖-->
      <dependency>
          <groupId>com.auth0</groupId>
          <artifactId>java-jwt</artifactId>
          <version>4.4.0</version>
      </dependency>

2.设置令牌:

@Test
    public void testGen(){
        Map<String ,Object> claims = new HashMap<>();
        claims.put("id",1);
        claims.put("username","张三");
        //生成jwt的代码
        String token = JWT.create()
                .withClaim("user",claims)//添加载荷
                .withExpiresAt(new Date(System.currentTimeMillis()+ 1000*60*60*3))//设置令牌过期时间
                .sign(Algorithm.HMAC256("itheima"));//指定算法,配置密钥
        System.out.println(token);
    }

3.验证令牌:

@Test
    public void testParse(){
        String token ="eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9" +
                ".eyJ1c2VyIjp7ImlkIjoxLCJ1c2VybmFtZSI6IuW8oOS4iSJ9LCJleHAiOjE3MjExMjk3OTR9" +
                ".l9HW5XNmtB9iO95sBPTIi0T5CvuSOLToPoggfAkZx1s";
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("itheima")).build();
​
        DecodedJWT decodedJWT = jwtVerifier.verify(token);//验证token,生成一个解析后的JWT对象
​
        Map<String, Claim> claims = decodedJWT.getClaims();
        System.out.println(claims.get("user"));
        //改了任何一段都会验证失败
        //令牌过期也会验证失败
    }

将两段打包到JwtUtil:

​
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
​
import java.util.Date;
import java.util.Map;
​
public class JwtUtil {
​
    private static final String KEY = "itheima";
    
    //接收业务数据,生成token并返回
    public static String genToken(Map<String, Object> claims) {
        return JWT.create()
                .withClaim("claims", claims)
                .withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 12))
                .sign(Algorithm.HMAC256(KEY));
    }
​
    //接收token,验证token,并返回业务数据
    public static Map<String, Object> parseToken(String token) {
        return JWT.require(Algorithm.HMAC256(KEY))
                .build()
                .verify(token)
                .getClaim("claims")
                .asMap();
    }
​
}

在login方法中加上生成JWT令牌的流程:

@PostMapping("/login")
    public Result<String> login(@Pattern(regexp = "^\\S{5,16}$") String username,@Pattern(regexp = "^\\S{5,16}$") String password){
        //根据用户名查询用户
        User loginUser = userService.findByUserName(username);
        //判断用户是否存在
        if(loginUser==null){
            return Result.error("用户名错误");
        }
        //判断密码是否正确
        if(Md5Util.getMD5String(password).equals(loginUser.getPassword())){
            Map<String,Object> claims = new HashMap<>();
            claims.put("id",loginUser.getId());
            claims.put("username",loginUser.getUsername());
            String token = JwtUtil.genToken(claims);
​
            return Result.success(token);
        }
        return Result.error("密码错误");
    }

验证代码:

@RestController
@RequestMapping("/article")
public class ArticleController {
    @GetMapping("/list")
    public Result<String> list(@RequestHeader(name = "Authorization") String token, HttpServletResponse response){
        //验证token
        try {
            Map<String,Object> claims = JwtUtil.parseToken(token);
            return Result.success("所有的文章");
        } catch (Exception e) {
            //http响应状态码为401
            response.setStatus(401);
            return Result.error(("未登录"));
        }
        
    }
}

我们可以通过拦截器来进行验证

流程:

1.写一个拦截器:

import com.atguigu.pojo.Result;
import com.atguigu.utils.JwtUtil;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
​
import java.util.Map;
​
@Component
public class LoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //令牌验证
        String token = request.getHeader("Authorization");
        try {
            Map<String,Object> claims = JwtUtil.parseToken(token);
            //放行
            return true;
        } catch (Exception e) {
            //http响应状态码为401
            response.setStatus(401);
            //不放行
            return false;
        }
​
    }
}

2.注册拦截器,要过滤登录和注册接口

@Configuration
public class WebConfig implements WebMvcConfigurer {
​
    @Autowired
    private LoginInterceptor loginInterceptor;
​
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //登录接口和注册接口不拦截
        registry.addInterceptor(loginInterceptor).excludePathPatterns("/user/login","/user/register");
    }
}

这样之后,业务中的验证令牌流程就可以注释掉了。

@RestController
@RequestMapping("/article")
public class ArticleController {
    @GetMapping("/list")
    public Result<String> list(/*@RequestHeader(name = "Authorization") String token, HttpServletResponse response*/){
        //验证token
//        try {
//            Map<String,Object> claims = JwtUtil.parseToken(token);
//            return Result.success("所有的文章");
//        } catch (Exception e) {
//            //http响应状态码为401
//            response.setStatus(401);
//            return Result.error(("未登录"));
//        }
        return Result.success("所有的文章");
    }
}

数据返回

忽略密码

在返回对象时转为json格式会将所有属性数据列出,我们要将密码隐藏,就要在实体类的属性上加上注解:

@Data
public class User {
    private Integer id;//主键ID
    private String username;//用户名
    @JsonIgnore//让springmvc把当前对象转换为json对象时,忽略这个字段
    private String password;//密码
    private String nickname;//昵称
    private String email;//邮箱
    private String userPic;//用户头像地址
    private LocalDateTime createTime;//创建时间
    private LocalDateTime updateTime;//更新时间
}
数据库字段格式(驼峰)

在application.yml中配置

mybatis:
  configuration:
    map-underscore-to-camel-case: true #开启驼峰命名和下划线命名的自动转换
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl

用户信息存储

我们每次要用到当前用户信息时都要进行传参,如果有好几个类都要这个信息,每个都传太过麻烦。还有一个问题就是在同一个线程中共享数据,让多个service、Controller、dao拿到。所以我们使用ThreadLocal来保存用户信息。当登录时,拦截器顺便把用户信息存到ThreadLocal中,我们要用的时候直接调用ThreadLocal就行。步骤如下:

1.课程中提供了ThreadLocalUtil工具类,我们直接导入utils包中:

import java.util.HashMap;
import java.util.Map;
​
/**
 * ThreadLocal 工具类
 */
@SuppressWarnings("all")
public class ThreadLocalUtil {
    //提供ThreadLocal对象,
    private static final ThreadLocal THREAD_LOCAL = new ThreadLocal();
​
    //根据键获取值
    public static <T> T get(){
        return (T) THREAD_LOCAL.get();
    }
    
    //存储键值对
    public static void set(Object value){
        THREAD_LOCAL.set(value);
    }
​
​
    //清除ThreadLocal 防止内存泄漏
    public static void remove(){
        THREAD_LOCAL.remove();
    }
}

2.在拦截器中添加ThreadLocal存储,还要重写afterCompletion方法添加remove方法防止内存泄漏(THREAD_LOCAL 是全局唯一变量,如果不清除会一直驻留):

import com.atguigu.pojo.Result;
import com.atguigu.utils.JwtUtil;
import com.atguigu.utils.ThreadLocalUtil;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
​
import java.util.Map;
​
@Component
public class LoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //令牌验证
        String token = request.getHeader("Authorization");
        try {
            Map<String,Object> claims = JwtUtil.parseToken(token);
            
            //把业务数据存储到ThreadLocal中
            ThreadLocalUtil.set(claims);
            
            //放行
            return true;
        } catch (Exception e) {
            //http响应状态码为401
            response.setStatus(401);
            //不放行
            return false;
        }
​
    }
​
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        //清空ThreadLocal中的数据
        ThreadLocalUtil.remove();
    }
}

3.在业务中使用,用map取出数据:

@GetMapping("/userInfo")
    public Result<User> userInfo(/*@RequestHeader(name = "Authorization") String token*/){
        //根据用户名查询用户
//        Map<String,Object> map = JwtUtil.parseToken(token);
//        String username = (String) map.get("username");
        
        Map<String,Object> map = ThreadLocalUtil.get();
        String username = (String) map.get("username");
        User user = userService.findByUserName(username);
        return Result.success(user);
    }

后续可以进一步通过redis进行优化:

登录优化(Redis令牌失效)-CSDN博客

开源模型应用落地-业务优化篇(三)
没有卑微的工作,只有卑微的心态,与其抱怨,不如埋头实干
02-01 2543
业务整合之后,我们将把注意力转向非功能性需求。接下来,我将逐步向您介绍如何发现系统的性能瓶颈,并通过技术优化来提高系统的各项性能指标。
app登陆接口进行优化
weixin_30544657的博客
10-19 179
今天公司app登陆接口进行优化。 发现app_user这个表的uid字段没有做索引,导致删除语句,没有用到索引,全表扫描。性能测试,1万并发,需要30s左右。加了索引后要30ms。 学习了,删除也需要用索引。 转载于:https://www.cnblogs.com/gzmg/p/4893442.html...
登录前后端优化
m0_61976036的博客
06-03 87
首先在登录成功之后, 要在后端生成token, 再将token连随响应数据一并发送给前端, 前端得到token之后, 在接下来的每一次发送请求都会将token携带到请求里, 到后端来验证token是否正确, 正确就继续执行操作, 不正确就要返回 token不对的异常信息.​ 会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。​ 服务器通过Cookie将生成的会话id响应到浏览器中,之后每次请求将浏览器端的会话id向服务器端提交,服务器就可以得知是哪个客户端发起的请求.
优化接口设计的思路>:接口安全
ZL_1618的博客
02-20 1822
某家电商平台上,用户可以通过客户端发起购物请求,并对所选商品进行下单、支付等操作。为了保障系统的安全性和用户隐私,该电商平台采取了一系列安全措施,包括身份认证、请求过程鉴权和访问控制等三个阶段的验证。第一阶段是身份认证,鉴别客户端的身份。这一阶段可以采用多种方式进行身份验证,如HTTP基本认证、Token认证,和OAuth2认证等。在具体实践中,我们可以在客户端请求接口的时候,一并提交用于身份认证的Token信息,接口服务器可以通过相关的算法验证Token合法性并拒绝非法请求。
SpringBoot实现登录接口!!!
qq_74474809的博客
07-30 3204
跟着黑马程序员学习SpringBoot3登录接口
【系统优化优化功能-APP登录时重复调用接口
Java领域优质创作者,华为云享专家
05-01 1236
针对重复调用接口进行系统优化,涉及到逻辑问题和功能设计问题,最后补充一下get请求和post请求的小知识
系统单点登录性能测试优化方案.docx
10-23
《系统单点登录性能测试优化方案》 在IT系统中,单点登录(Single Sign-On, SSO)是一项重要的功能,它允许用户在一个系统中登录后,无须再次认证即可访问多个相互信任的系统。然而,随着用户量的增加,性能问题...
RuoYi-Vue 全新 Pro 版本,优化重构所有功能 系统内置多种多种业务功能,可以用于速你的业务系统 后端基于 Spr
04-14
RuoYi-Vue 全新 Pro 版本,优化重构所有功能。系统内置多种多种业务功能,可以用于速你的业务系统。 后端基于 Spring Boot + MyBatis Plus + Druid + Flowable + Quartz,前端基于 Vue & Element。 支持 RBAC 动态...
移动时代,从业务出发,性能优化与实践.pdf
05-28
总的来说,移动时代从业务出发的性能优化,不仅需要关注技术层面的解决方案,如数据库技术的运用,还需要结合业务需求,合理规划数据同步策略,以提高用户体验。同时,开发者应时刻关注用户的需求,通过创新技术手段...
最新版优化修复业务营销推广系统源码 已对接支付
04-24
本主题聚焦于一个特定的源码包——"最新版优化修复业务营销推广系统源码 已对接支付"。这个系统主要用于业务营销和推广活动,而且已经完成了支付接口的集成,这使得它在实际应用中更具实用性。 首先,让我们深入...
记一次Gateway+Spring Security登录接口TPS优化
hi_kong的专栏
02-17 1137
背景说明 项目使用spring cloud alibaba架构,网关使用gateway+spring security。登录接口写在了网关服务中。 登录接口中,密码的加密方式使用了PasswordEncoderFactories.createDelegatingPasswordEncoder()方法生成的PasswordEncoder类。 性能测试情况 在性能测试时,100并发的情况下,登录接口TPS只能到36左右,并且cpu和内存没有明显的变化。数据库服务器也没有明...
接口优化的11种方法
只为成功找方法 不为失败找借口
05-07 9035
接口性能优化对于从事后端开发的同学来说,肯定再熟悉不过了,因为它是一个跟开发语言无关的公共问题。 该问题说简单也简单,说复杂也复杂。 有时候,只需加个索引就能解决问题。 有时候,需要做代码重构。 有时候,需要增加缓存。 有时候,需要引入一些中间件,比如mq。 有时候,需要需要分库分表。 有时候,需要拆分服务。 等等。。。 导致接口性能问题的原因千奇百怪,不同的项目不同的接口,原因可能也不一样。 本文我总结了一些行之有效的,优化接口性能的办法,给有需要的朋友一个参考。 1.索引 接口性
性能优化之接口优化(spring/java/http接口)
热门推荐
blogzlh的专栏
07-20 3万+
1 优化工具与措施 2 优化标准 3 发现优化点并优化 4 放水接口 5 子业务相互独立 优化工具与措施 CAT(Central Application Tracking):是基于Java开发的实时应用监控平台,为大众点评网提供了全面的监控服务和决策支持。更多介绍可以查看链接:https://github.com/dianping/cat 放水系统:在一个线程内,
登录接口性能优化日志
zhangzhen02的博客
03-25 961
本地原始效果吞吐量在10左右,平均响应时长5000ms左右。(机器配置,32g,8核) 经代码优化,主要有以下手段,1.减少服务间的调用请求,2.数据加缓存 代码优化后的效果,吞吐量提升了4倍,响应时间减少了75% 放到线上后查看效果,没想到,差到爆,吞吐量1.9/s,平均相应时间28.9s。无法忍受。 1.原始结果 3.查看系统jvm,发现 cpu跑满. 于是判断,本接口用到jwt...
接口优化总结
funnyPython的博客
12-27 1720
上周用了很长时间优化了一个接口,前天上线修复了一些bug,现在正常了。这里总结一下遇到的一些问题。优化的原因是接口响应时间太长了。优化之前平均是100多毫秒,优化之后平均是30~40多毫秒。优化的过程中使用到了两次redis缓存:1.存储总数total。2.默认存储前500条数据。这前500条数据是做成热数据。每次查找数据从redis中查找,如果缓存中找到,就返回。没有就从mysql中查找。当然传过
某公司宽带业务支撑优化扩容改造工程操作手册.docx
09-26
### 某公司宽带业务支撑优化扩容改造工程操作手册知识点详解 #### 一、文档概述与背景 **文档用途:** 本文档详细介绍了中国移动XX公司2013年家庭宽带业务支撑优化扩容改造工程项目中的资源管理操作流程。主要内容...
Android 性能优化(六):启动优化的详细流程
csdn_aiyang的博客
03-27 4886
业内常见的app启动过程阶段一般分为「启动阶段」和「首刷阶段」。启动阶段:指用户点击icon到见到app的首页,起点为的Activity的()。首刷阶段:指用户见到app的首页到首页列表内容展现起点为Activity的onCreate,终点列表的onAttachedToWindow()。为了确保启动优化量化指标的数据能稳定和完整。启动过程中App退后台用户未登录场景特殊场景下的开屏广告,比如有复杂的联动动效站外push、deeplink拉起。
spring循环依赖解决方式
qq_36400213的博客
11-04 922
字段注入和setter注入则提供了更多的灵活性,但需要更谨慎地管理对象的状态。方法注入和注解注入则适用于特定的场景。在Spring框架中,依赖注入(Dependency Injection,DI)是一种实现控制反转(Inversion of Control,IoC)的机制,用于将对象的依赖关系自动注入到对象中。这种方式不如构造器注入严格,但比字段注入更灵活,因为它可以在不创建新实例的情况下改变对象的依赖。这种方式是推荐的,因为它可以保证对象在创建时就处于完全初始化的状态,并且可以使得bean不可变。
JAVA-01-变量
最新发布
LJH_laura_li的博客
11-08 191
在方法、构造函数或块内部定义的变量。
2024年华为OD机试真题-查找充电设备-C++-OD统一考试(E卷)
面试高手的博客
11-08 85
某个充电站,可提供n个充电设备只,每个充电设备均有对应的输出功率任意个充电设备组合的输出功率总和,均构成功率集合P的1个元素功率集合P的最优元素,表示最接近充电站最大输出功率pmax 的元素。每一题都含有详细的解题思路和代码注释,精编c++、JAVA、Python三种语言解法。当充电设备输出功率50、20、20组合时,其输出功率总和为90,最接近充电站最大充电输出功率,因此最优元素为90。所有充电设备的输出功率组合,均大于充电站最大充电输出功率30,此时最优元素值为0。第 2 行为每个充电设备的输出功率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值