pdsys-----day02----基于token的登录验证

最新推荐文章于 2022-11-06 20:51:28 发布
最新推荐文章于 2022-11-06 20:51:28 发布
阅读量349 收藏
点赞数
分类专栏: 文件预览 spring boot token 文章标签: spring boot redis vue java 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25492005/article/details/105433725
版权

项目名称:私人在线文档在线预览系统

项目地址:https://github.com/MrLi2018/pdsys

模块名称:用户注册与登录

技术栈:vue+spring boot +mysql

数据模型:根据上篇文章中提到的数据结构进行建表,使用mybatis的generator工具逆向生成实体类

成果截图:

后端核心技术点:  

        基于jwt的token验证以及干扰图片的验证码的验证登录。

核心思路:

         1. 前端用户在注册完成进行登录时,初始化验证码,点击验证码可进行切换。

         2.验证码由验证码生成工具类来处理。并且以用户ip地址作为key放入redis中,并设置key的过期时间。

         3. 自定义token验证注解来标明此次请求是否需要经过token验证。

         4. 后端自定义请求拦截器,拦截需要token验证的请求来验证token。

         5.用户在登录页面进行登录时,在后端经过密码比对以及验证码验证通过后生成token返回给前端

         6. token由token工具类来生成。

         7. redis操作由StringRedisTemplate来完成操作。

         8.前端拿到token后将token存放在localstore中,并且设置前端请求拦截器以及响应拦截器。

         9. 前端请求拦截器负责为所有的请求携带上token。

        10. 请求发送至后端时由后端拦截器来处理。

具体实现如下:

token工具类代码:

package com.demo.pdsys.utils;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONArray;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.apache.commons.lang3.time.DateUtils;

import java.util.Date;
import java.util.HashMap;

/**
 * @author MrLi2019
 * @date 20200407
 * token的相关工具方法
 * <p>
 * JWT 由3部分组成: header(Map集合),playload(负载,也可以把它看做请求体body,也是一个map集合),signature(签名,有header和playload加密后再跟secrect加密生成)
 * header:有2个值,一个是类型,一个是算法,类型就是JWT,不会变,算法有2种选择,HMAC256和RS256,基本选择HMAC256
 * playload:类似于post请求的请求体,是一个map集合,可以存很多很多值,如存用户的信息
 * signature:由header(Base64加密后)和playload(Base64加密后)再加上secrect(秘钥生成)
 * Base64加密是可逆的,所以存在header和playload的数据不能是敏感数据
 * *  playload有一些值定义:
 * <p>
 * iss: jwt签发者
 * <p>
 * sub: jwt所面向的用户
 * <p>
 * aud: 接收jwt的一方
 * <p>
 * exp: jwt的过期时间,这个过期时间必须要大于签发时间
 * <p>
 * nbf: 定义在什么时间之前,该jwt都是不可用的.
 * <p>
 * iat: jwt的签发时间
 * <p>
 * jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
 */
public class TokenUtils {

    /**
     * 过期时间
     * 单位:s
     */
    private static final int EXPIRY_TIME = 5;
    private static final String SECRET_KEY = "xxxxxxxxxxxxxxxxxxxxxxx";

    /**
     * @param userid 用户id
     * @return 生成的令牌 token
     */
    public static String buildToken(String userid) {
        Date date = new Date();
        //过期时间
        Date expiryDate = DateUtils.addSeconds(date, EXPIRY_TIME);
        //填充头部
        HashMap<String, Object> headMap = new HashMap<>();
        headMap.put("type", "JWT");
        headMap.put("alg", "HS256");
        //填充载荷
        JWTCreator.Builder builder = JWT.create();
        builder.withHeader(headMap);
        builder.withClaim("userid", userid);
        builder.withIssuedAt(date);
        builder.withExpiresAt(expiryDate);
        return builder.sign(Algorithm.HMAC256(SECRET_KEY.getBytes()));
    }

    /**
     * @param token 生成后的token
     * @return 解码的jwt对象信息
     */
    public static DecodedJWT decodeToken(String token) {
        DecodedJWT decodedJwt = null;
        try {

            JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(SECRET_KEY.getBytes())).build();
            decodedJwt = jwtVerifier.verify(token);
            return decodedJwt;
        } catch (JWTVerificationException e) {
            System.out.println("token已过期");
            return null;
        }

    }

    public static String getUserId(DecodedJWT decodedJWT) {
        String payload = decodedJWT.getPayload();
        JSONArray objects = JSON.parseArray(payload);
        return (String) objects.get(0);
    }



}

验证码工具类:

package com.demo.pdsys.utils;

import java.awt.*;
import java.awt.image.BufferedImage;
import java.util.Random;

/**
 * @author MrLi2019
 * 验证码工具类
 */
public class CaptchaUtils {


    public static String drawCaptcha(int width, int height, BufferedImage bufferedImage,int lines) {
        Graphics2D graphics2D = (Graphics2D) bufferedImage.getGraphics();
        //画笔颜色
        graphics2D.setColor(Color.WHITE);
        graphics2D.fillRect(0, 0, width, height);
        graphics2D.setFont(new Font("微软雅黑", Font.BOLD, 40));
        String baseEums = "123456789abcdefghijklmnopqrstuvwxyzABCDEFGHJKLMNPQRSTUVWXYZ";
        StringBuilder stringBuilder = new StringBuilder();
        int x = 10;
        String ch = "";
        Random random = new Random();
        for (int i = 0; i < 4; i++) {
            graphics2D.setColor(getRandomColor());
            //设置字体旋转角度

            int degree = random.nextInt() % 30;  //角度小于30度

            int dot = random.nextInt(baseEums.length());

            ch = baseEums.charAt(dot) + "";

            stringBuilder.append(ch);

            //正向旋转

            graphics2D.rotate(degree * Math.PI / 180, x, 45);

            graphics2D.drawString(ch, x, 45);

            //反向旋转

            graphics2D.rotate(-degree * Math.PI / 180, x, 45);

            x += 48;

        }
        //画干扰线

        for (int i = 0; i < 6+lines; i++) {

            // 设置随机颜色

            graphics2D.setColor(getRandomColor());

            // 随机画线

            graphics2D.drawLine(random.nextInt(width), random.nextInt(height),

                    random.nextInt(width), random.nextInt(height));

        }

        //添加噪点

        for (int i = 0; i < 30; i++) {

            int x1 = random.nextInt(width);

            int y1 = random.nextInt(height);

            graphics2D.setColor(getRandomColor());

            graphics2D.fillRect(x1, y1, 2, 2);

        }

        return stringBuilder.toString();

    }

    /**
     * 随机取色
     */

    private static Color getRandomColor() {

        Random ran = new Random();

        return new Color(ran.nextInt(256),

                ran.nextInt(256), ran.nextInt(256));

    }
}

自定义验证注解,默认不需要验证。

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface AuthByToken {
    boolean value() default false;
}

验证拦截器:

public class LoginInterceptor implements HandlerInterceptor {

    @Autowired
    private RedisClient redisClient;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            return true;
        }
        AuthByToken annotation = handler.getClass().getAnnotation(AuthByToken.class);
        if (null != annotation) {
            //验证token
            String keyinfo = request.getHeader("authorization");
            if (null != keyinfo && !"".equals(keyinfo)) {
                DecodedJWT decodedJWT = TokenUtils.decodeToken(keyinfo);
                if (null != decodedJWT) {
                    String userid = TokenUtils.getUserId(decodedJWT);
                    String value = redisClient.getByKey(userid + "_token");
                    if (keyinfo.equals(value)) {
                        ResponseMessage responseMessage = new ResponseMessage(true);
                        responseMessage.setCode(200);
                        return true;
                    }
                }
            }


        }
        ResponseMessage responseMessage = new ResponseMessage(false);
        responseMessage.setCode(402);
        responseMessage.setMessage("token认证失败!");
        response.setContentType("application/json;charset=utf-8");
        response.setCharacterEncoding("UTF-8");
        response.getWriter().write(JSON.toJSONString(responseMessage));
        return false;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

跨域配置类:

@Configuration
public class CorsConfig extends WebMvcConfigurationSupport {
    @Autowired
    private LoginInterceptor loginInterceptor;

   /* @Override
    protected void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**").allowedOrigins("*").allowedHeaders("*").allowedMethods("*");
    }*/

    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        /*super.addInterceptors(registry);*/
        registry.addInterceptor(loginInterceptor).addPathPatterns("/**").excludePathPatterns("*/login");
    }

    @Bean
    public CorsConfiguration cors() {
        return new CorsConfiguration();
    }

    private CorsConfiguration corsConfiguration() {
        cors().addAllowedMethod("*");
        cors().addAllowedOrigin("*");
        cors().addAllowedHeader("*");
        cors().setAllowCredentials(true);
        return cors();
    }

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfiguration());
        return new CorsFilter(source);

    }
}

前端核心技术点:

       引入vuex来对localstore来保存token以及登录的用户信息。用axios来进行跨域请求的访问与处理。对axios来进行封装。页面

采用element-ui来进行处理

localstore的存储:

import Vue from 'vue'
import Vuex from 'vuex'
import common from './modules/common'
import getters from './getters'
//vue store的持久化组件
import VuexPersistence from 'vuex-persist'

Vue.use(Vuex);
const store = new Vuex.Store({
	state: {
		user: {
			username: window.localStorage.getItem('user' || '[]') == null ? '' : JSON.parse(window.localStorage.getItem('user' || '[]')).username
		},
		token: "",
		isLogin: false
	},
	getters,
	mutations: {
		login(state, user) {
			state.user = user;
			window.localStorage.setItem('user', JSON.stringify(user));
		},
		setToken(state, token) {
			state.token = token;
		},
		setIsLogin(state, flag) {
			state.isLogin = true;

		}
	},
	modules: {
		common,
	}
});

const vuexLocal = new VuexPersistence({
	//创建本地持久化对象
	storage: window.localStorage,
	reducer: state => {
		state.token
	}

});

export default store

axios的封装:

   

import axios from 'axios'
import store from '../store'
import qs from 'qs'
import router from '../router'
import {Message, Loading, MessageBox, Alert} from "element-ui";
import Global from "../components/common/Global";

let send = axios.create({
	baseURL: Global.baseurl,
	//10秒
	timeout: 10000,
	//设置请求头
	/*	headers: {
            // 'Content-Type': 'application/x-www-form-urlencoded'
            'Content-Type': 'application/json',
        },*/
	//允许携带cookie信息保证session的一致性
	//withCredentials: true

	//qxios默认传json数据在payload里,后台只能通过requestbody注解解析,此处用qs模块来进行数据转化使后台更好解析
	/*transformRequest: [function (data, header,) {
		data = data || {};
		data = qs.stringify(data);
		//this.headers = header;
		return data;
	}]*/
});
//request请求拦截器,将每一个请求都携带token,除登录请求外
send.interceptors.request.use(config => {
	config.data = config.data ? config.data : {};
	config.headers["authorization"] = store.state.token;
	if (config.method === "get") {
		Message.info("测试中")
	} else {
		Message.info("测试中")
	}
	if (router.currentRoute && router.currentRoute.meta.requireAuth) {
		if (localStorage.getItem("user")) {
			return Promise.reject("请登录后操作")
		}
		return config

	}
	return config
});
// respone拦截器
send.interceptors.response.use(
	response => {
		let data = response.data;

		let msg = data.message || '';

		if (response.status === 200) {
			if (response.data.Result) {
				if (response.data.Result.Code && response.data.Result.Code !== 0) {
					Message.error("测试中");
					return Promise.resolve(response.data)
				} else {
					return Promise.resolve(response.data)
				}
			} else {
				return Promise.resolve(response.data)
			}
		} else {
			Message.error("请求失败,,,");
			return Promise.reject(response)
		}
	},
	err => {
		console.log(err);
		if (err.response.data.state) {
			Message.error("kkkk");
			if (err.response.status === 401 || (err.response.data.Error && err.response.data.Error.Code)) {
				console.log(router);
				store.commit("setToken", '');
				router.push({
					path: "/login",
					query: {
						redirect: router.currentRoute.fullPath
					}
				});
			}
		} else {
			Message.error("卡卡卡卡")
		}
		return Promise.reject(err)
	});
export default send

本模块开发中遇到的问题:

 1,在后端进行跨域配置时,如果已经配置了拦截器则跨域注册器的路径映射不管用,需要用过滤器来进行处理corsfilter

 2.在使用mysql8.0以上的驱动时,数据库路径地址后面必须加上时区信息。

 3 前端中使用axios进行跨域请求访问时,默认发送的是Json对象在payload中,后端只能通过@requestbody注解来映射实体或者用第三方的json处理工具来进行处理。

卖酒人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SSRS:部署错误之“请求因 HTTP 状态 401 失败: Unauthorized。”
_Jack
11-15 2580
出现错误:请求因 HTTP 状态 401 失败: Unauthorized。 这个是我在使用reportviewer 在XP IIS5下发生的错误,伴随的另外的问题是,我在其他机器通过IE访问时,提示输入用户名密码,却一直不能连接上报表管理器,遍寻答案啊!!! 最后在这位老兄的求助帖里发现了需要的 Web service request failed with HTTP status 401
Java简单快速入门JWTtoken生成与验证
greatming666的博客
09-08 8136
java jwt简单了解并快速上手
jwt生成token与解析token
翎墨袅
11-06 4521
jwt token
使用JWT生成Token令牌
qq_42341467的博客
10-31 2758
使用JWT生成Token令牌 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT能做什么? 授权 这是使用JWT的最常见的方案,一旦用户登陆,
JWT基础操作
qq_42448128的博客
09-04 2166
标头、有效负载、签名。
后台用户登录-Token模块
12-22
后台用户登录-Token模块
REST2SQL11 基于jwt-go生成token验证
03-08
在本主题中,我们将深入探讨如何使用`jwt-go`库在Go语言中生成和验证JSON Web Tokens(JWT),这是RESTful API设计中的一个重要组件。JWT是一种轻量级的身份验证机制,用于安全地传递信息,而无需在服务器之间共享...
OneNET-token计算工具
09-22
OneNET-token计算工具 用于生成连接OneNET平台时的token值。便于大家下载使用
03-后台用户登录-Token模块-已解锁
01-08
03-后台用户登录-Token模块-已解锁
Lsky-pro的token获取程序
最新发布
04-17
Lsky-pro的token获取程序
200行代码实现微信支付-公众号支付,不再踩坑,附:demo
weixin_34292959的博客
01-30 360
开发微信支付需要认证服务号并且已经开通微信支付,获得微信支付商ID,设置apikey了的。 官方给了公众号支付的php源码SDK但是这个SDK文件非常多,源码乱七八糟的,真的一开始接触的人拿着官方的SDK肯定踩坑。而且还不知道最后能不能用。 我看到了一个作者写的源码,还不错,我简单进行优化了,只有200多行代码就可以实现公众号支付。 在开...
使用vue-cli、axios、vuex、seccionstorage来实现简单的登陆与退出
weixin_38890103的博客
12-07 729
使用vue-cli、axios、vuex、seccionstorage来实现简单的登陆与退出首先使用npm install 安装需要的在main.js引入import配置vuex简单的封装axios解决跨域问题如果需要为请求添加请求头,Login()实现登陆 首先使用npm install 安装需要的 npm install axios npm install vuex 在main.js引入i...
axios请求接口数据时报错:code: 401, message: “暂未登录token已经过期“
qq_42767647的博客
07-16 1万+
错误截图: 现象:刚登录进去请求数据,就说过期,在网上找了很多解决方法,都不适用我。网上大多是回到登录页面,重新获取新的token,报401的错误是token时间过久,失效了。但我这情况是刚登录进去就说过期了,经过一一排查,我发现是我打错了。 解决: 经过使用浏览器的开发者工具,发现Authorization多了个$符号,于是我发现是我代码打多了。 改正前: 改正后: 没有报错了: ...
报错{“msg“:“invalid token“,“code“:401}问题的解决
热门推荐
HaiBian_Ren的博客
11-09 2万+
报错{“msg”:“invalid token”,“code”:401}问题的解决: 解决办法:将精确的路由放在最上面,模糊的路由放在最下面,防止精确的路由被覆盖。
连接svn 提交报错 Authorization failed
iteye_20240的博客
01-23 982
出现该问题基本都是三个配置文件的问题,下面把这个文件列出来。svnserve.conf:[general]anon-access=readauth-access=writepassword-db=passwdauthz-db=authzpasswd:[users]harry=harryssecretauthz:[groups][/]harry=rw出现authorizationfailed异常,一...
header存储token
qq_45269026的博客
04-28 739
首先当是网址后拼接的token跳进来时 比如"https://haap-ct.penss.tka.com/index/#/login?temToken=MMASSKAJASKKSAASKJDAJDASASKDKA%SS%303D" 1,用let token = this.$route.query.temToken || "" 来接收 2,if (!token) { this.$router.replace({ path: "/error"}) }else { Security.saveJwt(to
vue拦截器刷新登陆页面_Vue + Spring Boot 项目实战(六):前端路由与登录拦截器-Go语言中文社区...
weixin_39633113的博客
12-20 365
前言这一篇主要讲前端路由与登录拦截器的实现。放在一起讲是因为我在开发登录拦截器时因为这个路由的问题遇到了很多坑,花费了很长时间,网上的解决方案都不怎么靠谱,综合了好几种办法才最终成功,其实关于这个部分能写两三篇文章,名字起好了还能多很多访问量,不过为了保证文章的质量我没有这么做,毕竟我不是大神,如果再不用点心,写出来的文章自己都不想再看第二遍,更别提能对大家有所帮助了。一、前端路由大家如果留心观察...
后端登录Demo(token+验证码)
心有—林夕的博客
08-21 1530
后端登录Demo(token+验证码)
【Hbuilder】封装的网络请求代码
gzyh_tech的博客
12-15 1805
【注】为什么要封装不用说,在学Hbuilder时,微吐槽”官方文档不方便查看”,很多需要借鉴和自我思考,能用调用就用原生api,使用js写,体验效果非常差。 【实现代码】 (function($, owner) { owner.requestPost = function (data, callback){ owner.ajaxGetPostRequest(data.url, d...
Jeecg-Boot技术文档
03-24
Jeecg-Boot是一款面向Java开发者的强大工具,它集成了多种前沿技术,如SpringBoot 2.x、Ant Design的Vue版本、Mybatis-plus、Shiro安全框架以及JWT(JSON Web Token)身份验证。这个平台的亮点在于其代码生成器,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值