18-认证接口开发-接口开发-service

最新推荐文章于 2024-04-08 23:49:40 发布
最新推荐文章于 2024-04-08 23:49:40 发布
阅读量91 收藏 1
点赞数
分类专栏: day16 Spring Security Oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/minihuabei/article/details/119613275
版权

4.3.4 Dao

暂时使用静态数据,待用户登录调通再连接数据库校验用户信息。

4.3.5 Service

调用认证服务申请令牌,并将令牌存储到 redis。
1、AuthToken
创建 AuthToken模型类,存储申请的令牌,包括身份令牌、刷新令牌、jwt令牌
身份令牌:用于校验用户是否认证
刷新令牌:jwt令牌快过期时执行刷新令牌
jwt令牌:用于授权

@Data
@ToString
@NoArgsConstructor
public class AuthToken {
String access_token;//身份token
String refresh_token;//刷新token
String jwt_token;//jwt令牌
}

在这里插入图片描述

申请令牌的service方法如下:

@Service
public class AuthService {
private static final Logger LOGGER = LoggerFactory.getLogger(AuthService.class);
@Value("${auth.tokenValiditySeconds}")
int tokenValiditySeconds;
@Autowired
RestTemplate restTemplate;
@Autowired
LoadBalancerClient loadBalancerClient;
@Autowired
StringRedisTemplate stringRedisTemplate;
//认证方法
public AuthToken login(String username,String password,String clientId,String clientSecret){
//申请令牌
AuthToken authToken = applyToken(username,password,clientId, clientSecret);
if(authToken == null){
ExceptionCast.cast(AuthCode.AUTH_LOGIN_APPLYTOKEN_FAIL);
}
//将 token存储到redis
String access_token = authToken.getAccess_token();
String content = JSON.toJSONString(authToken);
boolean saveTokenResult = saveToken(access_token, content, tokenValiditySeconds);
if(!saveTokenResult){
ExceptionCast.cast(AuthCode.AUTH_LOGIN_TOKEN_SAVEFAIL);
}
return authToken;
}
//存储令牌到redis
private boolean saveToken(String access_token,String content,long ttl){
//令牌名称
String name = "user_token:" + access_token;
//保存到令牌到redis
stringRedisTemplate.boundValueOps(name).set(content,ttl, TimeUnit.SECONDS);
//获取过期时间
Long expire = stringRedisTemplate.getExpire(name);
return expire>0;
}
//认证方法
private AuthToken applyToken(String username,String password,String clientId,String
clientSecret){
//选中认证服务的地址
ServiceInstance serviceInstance =
loadBalancerClient.choose(XcServiceList.XC_SERVICE_UCENTER_AUTH);
if (serviceInstance == null) {
LOGGER.error("choose an auth instance fail");
ExceptionCast.cast(AuthCode.AUTH_LOGIN_AUTHSERVER_NOTFOUND);
}
//获取令牌的url
String path = serviceInstance.getUri().toString()+"/auth/oauth/token";
//定义body
MultiValueMap<String,String> formData = new LinkedMultiValueMap<>();
//授权方式
formData.add("grant_type", "password");
//账号
formData.add("username",username);
//密码
formData.add("password", password);
//定义头
MultiValueMap<String,String> header = new LinkedMultiValueMap<>();
header.add("Authorization", httpbasic(clientId,clientSecret));
//指定 restTemplate当遇到400或401响应时候也不要抛出异常,也要正常返回值
restTemplate.setErrorHandler(new DefaultResponseErrorHandler(){
@Override
public void handleError(ClientHttpResponse response) throws IOException {
//当响应的值为400或401时候也要正常响应,不要抛出异常
if(response.getRawStatusCode()!=400 && response.getRawStatusCode()!=401){
super.handleError(response);
}
}
});
Map map = null;
try {
//http请求spring security的申请令牌接口
ResponseEntity<Map> mapResponseEntity = restTemplate.exchange(path, HttpMethod.POST,
new HttpEntity<MultiValueMap<String, String>>(formData, header), Map.class);
map = mapResponseEntity.getBody();
} catch (RestClientException e) {
e.printStackTrace();
LOGGER.error("request oauth_token_password error: {}",e.getMessage());
e.printStackTrace();
ExceptionCast.cast(AuthCode.AUTH_LOGIN_APPLYTOKEN_FAIL);
}
if(map == null ||
map.get("access_token") == null ||
map.get("refresh_token") == null ||
map.get("jti") == null){//jti是jwt令牌的唯一标识作为用户身份令牌
ExceptionCast.cast(AuthCode.AUTH_LOGIN_APPLYTOKEN_FAIL);
}
AuthToken authToken = new AuthToken();
//访问令牌(jwt)
String jwt_token = (String) map.get("access_token");
//刷新令牌(jwt)
String refresh_token = (String) map.get("refresh_token");
//jti,作为用户的身份标识
String access_token = (String) map.get("jti");
authToken.setJwt_token(jwt_token);
authToken.setAccess_token(access_token);
authToken.setRefresh_token(refresh_token);
return authToken;
}
//获取httpbasic认证串
private String httpbasic(String clientId,String clientSecret){
//将客户端id和客户端密码拼接,按“客户端id:客户端密码”
String string = clientId+":"+clientSecret;
//进行base64编码
byte[] encode = Base64.encode(string.getBytes());
return "Basic "+new String(encode);
}
}

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4.3.6 Controller

AuthController代码如下:

@RestController
@RequestMapping("/")
public class AuthController implements AuthControllerApi {

    @Value("${auth.clientId}")
    String clientId;
    @Value("${auth.clientSecret}")
    String clientSecret;
    @Value("${auth.cookieDomain}")
    String cookieDomain;
    @Value("${auth.cookieMaxAge}")
    int cookieMaxAge;

    @Autowired
    AuthService authService;

    @Override
    @PostMapping("/userlogin")
    public LoginResult login(LoginRequest loginRequest) {
        if(loginRequest == null || StringUtils.isEmpty(loginRequest.getUsername())){
            ExceptionCast.cast(AuthCode.AUTH_USERNAME_NONE);
        }
        if(loginRequest == null || StringUtils.isEmpty(loginRequest.getPassword())){
            ExceptionCast.cast(AuthCode.AUTH_PASSWORD_NONE);
        }
        //账号
        String username = loginRequest.getUsername();
        //密码
        String password = loginRequest.getPassword();

        //申请令牌
        AuthToken authToken =  authService.login(username,password,clientId,clientSecret);

        //用户身份令牌
        String access_token = authToken.getAccess_token();
        //将令牌存储到cookie
        this.saveCookie(access_token);

        return new LoginResult(CommonCode.SUCCESS,access_token);
    }

    //将令牌存储到cookie
    private void saveCookie(String token){

        HttpServletResponse response = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getResponse();
        //HttpServletResponse response,String domain,String path, String name, String value, int maxAge,boolean httpOnly
        CookieUtil.addCookie(response,cookieDomain,"/","uid",token,cookieMaxAge,false);

    }

    @Override
    public ResponseResult logout() {
        return null;
    }

在这里插入图片描述
在这里插入图片描述

feng_fly_28
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
认证服务 oauth2
qq_60638763的博客
05-25 326
1.调取阿里云验证码接口 2.后台随机生成验证码,并传入阿里云接口 3.将验证码放到redis中,并设置有效时间 第三方登录 1.找相关开放平台 填相关信息 如回调接口等 2.通过获取的code来换取access_token code只能用一次 记得保存三大关键信息 client_id 唯一标识id,不会改变,access_token 权限令牌,expies_in 有效时间 第一次登录就相当于注册 把唯一标识id储存 ,判断是不是第一次 就可以通过获取数据库的 client_id 来比对
SAP-PI接口服务开发配置手册
08-04
本手册将以【排产订单】接口为例,详细阐述如何在SAP PI中开发和配置接口服务,涉及REST协议和JSON格式的数据交换。 2 PI_SLD配置 SLD(System Landscape Directory)是SAP系统景观目录,用于存储所有参与集成的...
19-认证接口开发-接口开发-controller
minihuabei的博客
08-17 160
4.3.7 登录url放行 认证服务默认都要校验用户的身份信息,这里需要将登录url放行 在WebSecurityConfig类中重 configure(WebSecurity web)方法,如下: @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/userlogin"); } 4.3.8 测试认证接口 使用postman测试: Post请求:http://l
API接口认证
weixin_34297300的博客
10-30 317
之前过一篇文章《简单API的实现》,这篇文章说明了通过api方式把数据传递给服务端处理,但这过程中没有认证功能,无论谁发任何内容,都一并接收,这样明显存在不安全性,这篇文章在原来的基础上,添加了接口认证功能,实现如下:接口认证方式:方式一:客户端:通过定义密钥将密钥加密发送给服务端服务端:服务端定义相同的密钥通过相同的加密算法,得到一个值把服务端加密后的值和客户端发送过来的...
接口认证的方案
最新发布
migo_的专栏
04-08 587
**区别**:OpenID Connect不仅提供了OAuth 2.0的授权框架,还加入了用户身份信息(ID Token)的标准化,适用于现代移动和单页面应用的用户身份认证。- **区别**:JWT是无状态的,服务器不需要存储会话信息,非常适合分布式微服务架构。- **区别**:与会话认证不同,Token认证不需要服务器维持会话状态,更适合分布式系统和单页面应用(SPA)。- **区别**:OAuth提供了更细粒度的控制,允许第三方应用访问特定的资源,适用于API安全和第三方应用集成。
企业实名认证接口
quntunu的专栏
11-11 2952
企业实名认证接口 通过营业执照全称,营业执照注册号,对公账户名,对公账号,清算联行号来验证信息一致不一致 http://www.haoservice.com/docs/140​   请求参数:   名称 类型 必填 说明   key string 是 API KEY
Laravel开发-laravel-auth-service
08-28
总的来说,"Laravel开发-laravel-auth-service"涵盖了Laravel框架中关于用户认证和授权的核心内容。理解并熟练运用这些知识点,开发者可以构建安全、高效的身份验证系统,为用户提供顺畅的用户体验。通过不断的实践...
Laravel开发-laravel-remote-service
08-28
在本文中,我们将深入探讨Laravel开发中的"laravel-remote-service"概念,这是一个与远程...在laravel-remote-service-master这个项目中,你可以找到实际的代码示例和配置,进一步学习和实践这些远程服务交互的技巧。
Go-ATC快速开发Go应用程序的开源框架
08-13
1. **RESTful API 支持**:ATC支持创建符合REST原则的API接口,使开发者可以轻松地构建出清晰、无状态、可缓存的网络服务。这有助于提高系统的可扩展性和互操作性。 2. **Thrift RPC集成**:Thrift是一种跨语言的...
get_service_remote.rar_WEB开发_PHP-PERL_
08-12
3. **集成服务**:作为Web应用程序的一部分,调用其他Web服务进行业务逻辑处理,如支付网关的接口调用。 4. **内容聚合**:将多个远程来源的数据整合到一个单一的展示界面。 5. **安全测试**:模拟攻击,测试Web应用...
14-认证接口开发-需求分析
minihuabei的博客
08-11 168
4 认证接口开发 4.1 需求分析 用户登录的流程图如下: access_token是jwt令牌,里面放的是权限信息,用户身份信息等都在这里放着。我会把jwt令牌存到redis。 jti是用户身份令牌。是用户和jwt令牌对应的一个简短的小令牌。我会把用户身份令牌,存到cookie。 jwt令牌太长,cookie的容量是有限的,所以存在redis。 当前端访问资源的前端页面时,携带的是用户身份的短令牌,访问网关,网关去拿着这个短令牌,去redis里去拿到jwt长令牌,然后拿着这个令牌去校验用户信息,因为长
用户认证接口
hawkyxz的专栏
04-15 345
1.查看linux版本号 cat /proc/version ---------------------------------- 1.查看JDK版本:java -version 2.查看系统path:echo $PATH 3.查看JDK的JAVA_HOME:echo $JAVA_HOME 4.查看CLASSPATH echo $CLASSPATH ------------------...
16-认证接口开发-Api接口定义
minihuabei的博客
08-11 141
4.3 认证服务 4.3.1 需求分析 认证服务需要实现的功能如下: 1、登录接口 前端post提交账号、密码等,用户身份校验通过,生成令牌,并将令牌存储到redis。 将令牌入cookie。 2、退出接口 校验当前用户的身份为合法并且为已登录状态。 将令牌从redis删除。 删除cookie中的令牌。 业务流程如下: 4.3.2 Api接口 @Api(value = "用户认证",description = "用户认证接口") public interface AuthControllerApi {
常用的实名认证接口方式有哪几种?
weixin_49544544的博客
05-22 209
对此,为打击预防网络犯罪、净化网络空间,建设绿色、健康、安全的网络环境,网络平台对每位注册用户进行实名认证已是大势所趋。实名认证API,实时联网核验用户身份信息的真实性,用户仅需上传证件图片,即可实现用户身份信息的自动提取,使得用户摆脱了手动输入的繁琐,提升了用户体验,加快了企业对用户的认证审核速度与效率。响应国家实名制号召与市场需求,翔云为有需要的企业用户提供出了身份证实名认证、身份证号实名认证、身份实名认证、手机号实名认证、银行卡实名认证等多种可满足不同应用不同场景需求的实名认证接口
第三方API对接如何设计接口认证
zlt2000的博客
07-02 1566
一、前言 在与第三方系统做接口对接时,往往需要考虑接口的安全性问题,本文主要分享几个常见的系统之间做接口对接时的认证方案。   二、认证方案 例如订单下单后通过 延时任务 对接 物流系统 这种 异步 的场景,都是属于系统与系统之间的相互交互,不存在用户操作;所以认证时需要的不是用户凭证而是系统凭证,通常包括 app_id 与 app_secrect。 app_id与app_secrect由接口提供方提供 2.1. Baic认证 这是一种较为简单的认证方式,客户端通过明文(Base64编码格式.
登录接口怎么
weixin_37544416的博客
05-14 2287
提示:文章完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、安全风险二、防范步骤如下1.验证码2.登录限制3.IP限制4.手机验证5.中间人攻击?6.HTTPS7.加密传输8.其它 前言 这篇文章主要是和大家聊一聊,在设计一个登录接口时,不仅仅是功能上的实现,在安全方面,我们还需要考虑哪些地方。。 提示:以下是本篇文章正文内容,下面案例可供参考 一、安全风险 暴力破解! 只要网站是暴露在公网的,那么很大概率上会被人盯上,尝试爆破这种简单且有效的方式: 通过各种方式获得了网站的用
实名认证接口
weixin_49544544的博客
07-09 1215
每一位中国公民从出生的那一刻起便有了自己独立且唯一的身份证明-身份证。在互联网技术迅猛发展的今天,越来越多的场景需要应用到身份证,如人们的出行、住宿、旅游以及以互联网为基础的线上业务的开展等,但互联网具有双面性,在给人们的生活与工作带来便利的同时,也带来了一定的信息、财产等方面的安全隐患,为保障企业与个人的合法权益不受损害,以身份证为基础的网络实名认证服务受到了企业的一致青睐。 那么,企业应当如何实现用户身份实名认证的功能呢?翔云的身份证号实名认证、身份证实名认证、身份实名认证三种可满足不同企业不同应用场景
支付宝芝麻认证接口-扫码方式(芝麻认证接口与之类似)
热门推荐
简简单单
09-26 2万+
今天在做支付宝芝麻实名认证,总结一下吧,争取一天记录一点 直到完事。 一、支付宝创建应用后会得到APP_ID、接着弄公钥、私钥以及前面方式(RSA、RSA2)。此处不多说。 二、开发 1、第一步初始化AlipayClient alipayClient = new DefaultAlipayClient(URL, APP_ID, APP_PRIVATE_KEY, FORMAT, CHAR
WebApi接口安全认证
weixin_30608503的博客
03-02 351
摘要访问认证是一种协议规定的Web服务器用来同网页浏览器进行认证信息协商的方法。它在密码发出前,先对其应用哈希函数,这相对于HTTP基本认证发送明文而言,更安全。从技术上讲,摘要认证是使用随机数来阻止进行密码分析的MD5加密哈希函数应用。它使用HTTP协议。 一、摘要认证基本流程: 1.客户端请求 (无认证) Html代码 GET/dir/in...
dubbo-admin 接口文档
09-21
5. 接口权限:对每个接口的访问权限进行说明,包括需要的认证方式、权限等级等信息。 通过接口文档,用户可以了解到dubbo-admin提供的所有功能和接口及其使用方法。开发人员可以根据接口文档进行接口的调用和测试,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值