Threadlocal+拦截器+JWT实现登录

最新推荐文章于 2024-10-02 15:19:42 发布
最新推荐文章于 2024-10-02 15:19:42 发布
阅读量1k 收藏 13
点赞数 15
分类专栏: 大二下暑期集训 文章标签: spring boot 后端 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ngczx/article/details/141635183
版权

很多数据库表都会有创建时间和修改时间,这个可以用mp的自动填充来实现。

也有修改人和更新人的字段,用户登录进来后,修改数据如何拿到修改人呢?每次操作不能把操作人的信息都携带者,那么如何拿到修改人的数据,主要是需要拿到id。

JWT

http协议本身是一种无状态的协议,如果用户向服务器提供了用户名和密码来进行用户认证,下次请求时,用户还要再一次进行用户认证才行。因为根据http协议,服务器并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储─份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样应用就能识别请求来自哪个用户

JWT JSON Web Token(JSON Web令牌)
是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密〈使用HNAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。

JWT作用:
授权:一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。它的开销很小并且可以在不同的域中使用。如:单点登录。
信息交换:在各方之间安全地传输信息。JWT可进行签名(如使用公钥/私钥对),因此可确保发件人。由于签名是使用标头和有效负载计算的,因此还可验证内容是否被篡改。

image.png
image.png

后端将token传给前端的时候,放入了id进去。前端再次访问的时候可以拿到用户的id。后端通过拦截器拦截。

JWT封装成工具类

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.nio.charset.StandardCharsets;
import java.util.Date;
import java.util.Map;

public class JwtUtil {
    //将密钥 和数据加密生产token

    //创建token 三个参数   密钥  过期时间   需要保存的数据
    public static String createJWT(String secretKey, long ttlMills, Map<String, Object> claims) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long expMills = System.currentTimeMillis() + ttlMills; //存储时间
        Date exp = new Date(expMills); //时间转为date
        JwtBuilder builder = Jwts.builder()
                .setClaims(claims)  //载荷
                .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
                .setExpiration(exp); //过期时间
        return builder.compact(); // 变为字符串
    }

    /*
    根据token解析得到里面的数据
     */
    public static Claims parseJWT(String secretKey, String token) {
       try {
           Claims claims = Jwts.parser().setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
                   .parseClaimsJws(token).getBody();
           return claims;
       }catch (Exception e){
           throw new RuntimeException("token失效");
       }
    }
}

密钥和时间配置存在application.yml文件中

@Data
@Component
@ConfigurationProperties(prefix = "shop.jwt")
public class JwtProperties {
    private String secret; // 密钥
    private int expire; // 过期时间(分钟)
}

shop:
  jwt:
    secret: njitzx
    expire: 60480000

拦截器

拦截器是SpringMVC下面的。

@Configuration
public class WebMvcConfiguration implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //添加拦截器
        registry.addInterceptor(new LoginInterceptor())
                .addPathPatterns("/**").excludePathPatterns("/captchaLogin",
                        "/captchaImage", "/login","/alipay/notify");
    }
}
通过实现 WebMvcConfigurer 接口配置 Spring MVC。
将 LoginInterceptor 添加到拦截器注册表中,使其拦截所有进入的请求,
除了那些在 excludePathPatterns 中指定的路径(如登录接口、验证码接口等)。


package com.njitzx.interceptor;


import com.njitzx.exception.LoginErrorException;
import com.njitzx.properties.JwtProperties;
import com.njitzx.util.BaseContext;
import com.njitzx.util.JwtUtil;
import io.jsonwebtoken.Claims;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
@RestController                        //实现拦截器的接口
public class LoginInterceptor implements HandlerInterceptor {
          //请求之前拦截
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("进行登录拦截器");
        //
        if (!(handler instanceof HandlerMethod)){
            return  true;
        }
        简单来说,这个条件检查确保了只有那些由控制器方法(HandlerMethod)处理的请求才会被
        拦截器进一步处理。对于静态资源、错误页面、自定义处理器等非控制器方法处理的请求,
        拦截器会自动放行,不进行额外的拦截操作。
        String token = request.getHeader("Authorization"); //从请求头中拿到token
        try {
            Claims claims = JwtUtil.parseJWT("njitzx", token);
            Integer id = claims.get("id", Integer.class);
            BaseContext.setCurrentId(id); 
            System.out.println("用户的id" + id);
            return true;
        }catch (Exception ex){
            //如果返回 直接返回401
            response.setStatus(401);
            return  false;
        }
    }
}
  • 实现了 HandlerInterceptor 接口,重点实现了 preHandle 方法。
  • preHandle 方法会检查请求头中是否有一个有效的 JWT。
  • 如果 token 有效,会提取用户的 ID 并存储到 BaseContext 中以供后续使用。
  • 如果 token 无效或缺失,则将响应状态设置为 401 Unauthorized,并阻止请求继续处理。

Threadlocal

ThreadLocal叫做_线程变量,意思是ThreadLocal中填充的变量_属于**当前线程**,该变量对其他线程而言是隔离的,也就是说该变量是当前线程独有的变量。ThreadLocal为变量在每个线程中都创建了一个副本,那么每个线程可以访问自己内部的副本变量。

每个用户进来之后的threadLocal存储的值都是不一样的,具有隔离的特性。

public class BaseContext {
    private static ThreadLocal<Integer> threadLocal = new ThreadLocal<>();

    public static void setCurrentId(Integer id) {
        threadLocal.set(id);
    }

    public static Integer getCurrentId() {
        return threadLocal.get();
    }

    public static void removeCurrentId() {
        threadLocal.remove();
    }
}

在拦截器那边通过token拿到id,并存入到threadlocal

Integer id = claims.get("id", Integer.class);
BaseContext.setCurrentId(id);

登进系统之后需要根据根据不同的人显示不同的菜单,如何表示当前的用户呢,请求的时候走拦截器可以拿到id。
image.png

全栈阿星
关注
专栏目录
Threadlocal+拦截器来进行JWT的校验
weixin_53693850的博客
09-08 271
redis中可以获取用户信息,但是因为redis中的value是token,要先拿到token解析后才能拿到用户信息,但是token不是每个类中都存在,所以我们去编写ThreadLocal就能够随时获取token。ThreadLocal 主要功能有两个,第一个是可以实现资源对象的线程隔离,让每个线程各用各的资源对象,避免争用引发的线程安全问题,第二个是实现了线程内的资源共享。放key,不过关键的是只有key可以得到内存释放,而value不会,因为value。
SpringBoot登录认证(JWT)和 ThreadLocal
小秀的博客
12-21 664
定义了一种简洁的、自包含的格式,用于通信双方以json数据格式安全的传输信息。一般情况下,我们需要写成全局登录响应拦截器
拦截器 jwt Threadlocal
zyxzyx666的博客
12-24 1609
登录认证、拦截器Threadlocal的使用笔记
jwttoken+threadlocal保存单个线程共享变量的两种方法(存储用户信息)
12-29 2136
文章目录jwt方法一------threadlocal存取用户数据方法二------通过header获取token,解析封装成一个信息对象 jwt 原理是通过登录接口获取jwt颁发的token,颁发时候可以将想传递的用户信息加密融入token里 public static String getJsonWebToken(UserPO userPO) { String token = Jwts.builder().setSubject(SUBJECT) /
ThreadLocal 与 Token
Jesse_cool的博客
12-29 4429
由最近一个前后端分离项目引发的思考 背景: 每次请求,token放于header中,想要获取token,每次都要通过在control层获取header,才能获取到登录信息,深感痛苦 思考:能否通过全局的Inteceptor或者Filter,去存在全局某个地方,后续请求直接拿到   ThreadLocal是什么 ThreadLocal是一个本地线程副本变量工具类。主要用于将私有线程和该线程...
ThreadLocal+拦截器+JWT项目技术复习
ngczx的博客
03-14 960
项目分析和学习
基于JWT+拦截器+ThreadLocal的登陆拦截实现
weixin_64618264的博客
05-19 782
导入依赖后创建JWT工具类创建JWT对象重点是工具类的和方法如何实现参数是一个用于签名和验证 JWT 的密钥,它是一个字符串类型的值。在使用 JWT 进行签名和验证时,需要使用相同的密钥来确保生成 JWT 和验证 JWT 的一致性。过期时间Map claims) 用户信息最后就是通过**Jwts.builder()**开始设置过期时间 签名算法密钥 可能还有用户信息然后就返回这个jwt对象。
登录+JWT+异常处理+拦截器+ThreadLocal-开发思想与代码实现
qq_63535554的博客
01-16 640
用户登录——>数据加密数据库比对——>生成jwt令牌封装返回——>拦截器统一拦截进行jwt校验-并将数据放入本地线程中。
3-3. SpringBoot项目集成【用户身份认证】实战 【全流程篇】基于JWT+双重检查的登录+登出+拦截器
天罡gg的专栏
04-03 2723
书接上文 实战核心篇,我们已经把JWT的核心代码实现了! 文中不止是代码实现,更是使用到了设计原则,提升大家的内功心法。并且抛转引玉的实现了RSA和HMAC两种算法,还没看过的同学,建议先看上文。所以对于基于JWT的Token用户身份认证机制来说,剩下的就是与接口结合起来,服务端需要做三部分处理:登录接口,生成JWT,返回给前端。其它接口,校验JWT。如果每个接口在调用前都去调用一下校验Token,对接口的侵入性太强,这显然不是我们期望的。这时,我们可以使用拦截器对请求进行拦截实现。登出接口,目的是能主动退
基于JWT+拦截器实现用户登录拦截
qq_43375881的博客
01-19 1603
基于JWT+拦截器实现用户登录拦截 首先是maven依赖 <dependency> <groupId>com.nimbusds</groupId> <artifactId>nimbus-jose-jwt</artifactId> <version>6.0</version> </dependency> 然后是JwtUti
Springboot+Spring-Security+JWT实现登录和权限校验
liangshitian的博客
10-12 3376
JWT 请查阅这篇文章介绍:https://blog.csdn.net/qq_33612228/article/details/108853525 Spring Security Spring Security 是 Spring 全家桶中一个功能强大且高度可定制的身份验证和访问控制框架。与所有 Spring 项目一样,我们可以轻松扩展 Spring Security 以满足自定义要求。由于 Spring Security 功能十分强大,相比于其他技术来说很难上手,很多刚接触 Spring Securi
jwt token+threadlocal登录 +@ControllerAdvice统一处理登录异常
gdssgxf的博客
05-11 650
思路: 调用登录接口时,使用jwt生成token,前端调用接口时在请求头中传入token 调用请求时通过拦截去拦截,获取请求头里的token进行校验并将用户信息保存到threadlocal中 线程执行完后清除threadloal数据 (threadlocal中数据线程执行完毕后不会自动清空,需手动清除,否则可能会出现数据异常-----web中线程是从线程池中获取,创建一个线程后若此前线程的threadlocal数据未被清除,则可能会使用之前threadlocal中的数据,引起数据异常) 登录: //根据用户
基于springboot实现JWT登录拦截及验证(超详细版)
Java程序员十六的博客
06-26 693
基于Springboot通过Jwt实现登录拦截及验证
Java项目实战II基于Java+Spring Boot+MySQL的免税商品优选购物商城(源码+数据库+文档)
2401_86524610的博客
09-30 1545
随着全球贸易的日益繁荣和消费者需求的多样化,免税商品购物已成为众多旅行者和消费者的热门选择。为了提供一个更加便捷、高效且优质的免税商品购物体验,我们精心打造了一款基于Java、Spring Boot和MySQL的免税商品优选购物商城系统。本系统充分利用Java语言的稳定性和Spring Boot框架的灵活性,结合MySQL数据库的高效存储能力,旨在为用户打造一个功能全面、操作简便的在线购物平台。通过系统的智能化推荐和详尽的商品信息展示,用户能够轻松浏览并选购心仪的免税商品,享受前所未有的购物乐趣。
Java项目实战II基于Java+Spring Boot+MySQL的智能物流管理系统(文档+源码+数据库)
2401_86524610的博客
09-29 644
随着电子商务的蓬勃发展,物流行业迎来了前所未有的挑战与机遇。传统物流管理方式在应对海量订单、复杂配送网络及实时追踪需求时显得力不从心。因此,开发一套基于Java+Spring Boot+MySQL的智能物流管理系统成为提升物流效率、优化客户体验的关键。本系统通过集成先进的信息技术,实现物流信息的自动化采集、智能分析、实时追踪与高效调度,旨在打造一个透明化、智能化的物流管理体系。
Spring Boot项目中使用MyBatis
weixin_73060959的博客
10-02 657
Spring Boot项目中使用MyBatis可以极大地简化配置过程,并且Spring Boot提供了很好的集成支持。你只需要添加必要的依赖,配置数据源,然后创建Mapper接口、XML映射文件和实体类,就可以轻松地进行数据库操作了。
基于Spring Boot+Unipp的中考体测训练小程序(协同过滤算法、图形化分析)【原创】
最新发布
paopaokaka_luck的博客
10-02 1151
🎈系统亮点:协同过滤算法、图形化分析;
ThreadLocal+interceptor实现检验用户是否已经登录,如何进行接口测试
07-28
要进行接口测试以验证ThreadLocal拦截器是否正确实现了用户登录检验,可以按照以下步骤进行: 1. 准备测试环境:确保已经启动了应用程序,并且拦截器ThreadLocal已经正确配置。 2. 创建一个测试用例:编写一个测试用例,模拟一个需要登录才能访问的接口。可以使用JUnit或其他测试框架来编写测试用例。 3. 设置请求头:在测试用例中,设置请求头,包括添加一个有效的token作为Authorization头。 4. 发送请求:使用测试框架发送请求到需要登录才能访问的接口。 5. 验证结果:根据预期结果,验证返回的状态码和响应内容是否符合预期。如果用户已登录,应该返回正常的响应;如果用户未登录,应该返回401状态码。 6. 清理环境:在测试完成后,清理测试环境,确保下次测试的准备。 通过以上步骤,可以测试ThreadLocal拦截器是否正确实现了用户登录检验功能。 #### 引用[.reference_title] - *1* *2* *3* [ThreadLocal+interceptor实现检验用户是否已经登录](https://blog.csdn.net/m0_46619764/article/details/123635787)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全栈阿星

您的支持是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值