Spring boot 入门教程-token验证

最新推荐文章于 2024-02-20 01:41:07 发布
最新推荐文章于 2024-02-20 01:41:07 发布
阅读量2.3w 收藏 81
点赞数 10
分类专栏: spring Boot系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27828675/article/details/80923678
版权

 

这篇博客是在 Spring boot 入门教程-全局异常处理及日志输出  的基础上完成的。

我们在做项目时比如商城项目,有的页面的打开是需要登陆的而有的页面则不需要,所以这里就需要一种验证是否登录,或者登录是否过期,这里说一种token令牌+拦截器的方式。

生成token 使用JWT。

1.引入

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>

2.生成token令牌的工具类

public class TokenUtils {

    /**
     * 签名秘钥
     */
    public static final String SECRET = "admin";

    /**
     * 生成token
     *
     * @param id 一般传入userName
     * @return
     */
    public static String createJwtToken(String id) {
        String issuer = "www.xxxx.com";
        String subject = "xxxx@126.com";
        long ttlMillis = 3600000;
        return createJwtToken(id, issuer, subject, ttlMillis);
    }

    /**
     * 生成Token
     *
     * @param id        编号
     * @param issuer    该JWT的签发者,是否使用是可选的
     * @param subject   该JWT所面向的用户,是否使用是可选的;
     * @param ttlMillis 签发时间 (有效时间,过期会报错)
     * @return token String
     */
    public static String createJwtToken(String id, String issuer, String subject, long ttlMillis) {

        // 签名算法 ,将对token进行签名
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        // 生成签发时间
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);

        // 通过秘钥签名JWT
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(SECRET);
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

        // Let's set the JWT Claims
        JwtBuilder builder = Jwts.builder().setId(id)
                .setIssuedAt(now)
                .setSubject(subject)
                .setIssuer(issuer)
                .signWith(signatureAlgorithm, signingKey);

        // if it has been specified, let's add the expiration
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp);
        }

        // Builds the JWT and serializes it to a compact, URL-safe string
        return builder.compact();

    }

    // Sample method to validate and read the JWT
    public static Claims parseJWT(String jwt) {
        // This line will throw an exception if it is not a signed JWS (as expected)
        Claims claims = Jwts.parser()
                .setSigningKey(DatatypeConverter.parseBase64Binary(SECRET))
                .parseClaimsJws(jwt).getBody();
        return claims;
    }

    public static void main(String[] args) {
        System.out.println(TokenUtils.createJwtToken("11111"));
    }
}

3.注入当前登录用户注解

/**
 * @BelongsProject: JDTaste
 * @BelongsPackage: com.jdtaste.common.util
 * @Author: 
 * @CreateTime: 2018-07-04 15:39
 * @Description: 在Controller的方法参数中使用此注解,该方法在映射时会注入当前登录的User对象
 */
@Target(ElementType.PARAMETER)          // 可用在方法的参数上
@Retention(RetentionPolicy.RUNTIME)     // 运行时有效
public @interface CurrentUser {
}

4.需要登录的标记注解

/**
 * @BelongsProject: JDTaste
 * @BelongsPackage: com.jdtaste.common.util
 * @Author: 
 * @CreateTime: 2018-07-04 15:38
 * @Description: 在需要登录验证的Controller的方法上使用此注解
 */
@Target({ElementType.METHOD})// 可用在方法名上
@Retention(RetentionPolicy.RUNTIME)// 运行时有效
public @interface LoginRequired {
}

5.编辑拦截器

/**
 * @BelongsProject: 
 * @BelongsPackage: com.jdtaste.jdtastesso.web.intercepter
 * @Author: 
 * @CreateTime: 2018-07-04 09:50
 * @Description: 拦截器
 */
public class AuthenticationInterceptor implements HandlerInterceptor {
    public final static String ACCESS_TOKEN = "accessToken";
    @Resource
    IUserBaseService userBaseService;

    // 在业务处理器处理请求之前被调用
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        // 如果不是映射到方法直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        // 判断接口是否需要登录
        LoginRequired methodAnnotation = method.getAnnotation(LoginRequired.class);

        // 有 @LoginRequired 注解,需要认证
        if (methodAnnotation != null) {
            // 判断是否存在令牌信息,如果存在,则允许登录
            String accessToken = request.getHeader("Authorization");


            if (null == accessToken) {
                throw new CommonException(401, "无token,请重新登录");
            } else {
                // 从Redis 中查看 token 是否过期
                Claims claims;
                try{
                     claims = TokenUtils.parseJWT(accessToken);
                }catch (ExpiredJwtException e){
                    response.setStatus(401);
                    throw new CommonException(401, "token失效,请重新登录");
                }catch (SignatureException se){
                    response.setStatus(401);
                    throw new CommonException(401, "token令牌错误");
                }

                String userName = claims.getId();
                UserBase user = userBaseService.findUserByAccount(userName);
                if (user == null) {
                    response.setStatus(401);
                    throw new CommonException(401, "用户不存在,请重新登录");
                }
                // 当前登录用户@CurrentUser
                request.setAttribute(CurrentUserConstants.CURRENT_USER, user);
                return true;
            }

        } else {//不需要登录可请求
            return true;
        }
    }
    // 请求处理之后进行调用,但是在视图被渲染之前(Controller方法调用之后)
    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }

    // 在整个请求结束之后被调用,也就是在DispatcherServlet 渲染了对应的视图之后执行(主要是用于进行资源清理工作)
    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
    }
}

 

/**
 * @BelongsProject: 
 * @BelongsPackage: com.jdtaste.jdtastesso.web.intercepter.auth
 * @Author: 
 * @CreateTime: 2018-07-04 15:45
 * @Description: 当前用户
 */
public class CurrentUserConstants {
    /**
     * 当前用户参数名
     */
    public final static String CURRENT_USER = "CurrentUser";
}

 

6.自定义参数解析器

/**
 *  
 * @BelongsPackage: com.jdtaste.jdtastesso.web.intercepter.auth
 * @Author: 
 * @CreateTime: 2018-07-04 15:42
 * @Description: 自定义参数解析器
 * 增加方法注入,将含有 @CurrentUser 注解的方法参数注入当前登录用户
 */
public class CurrentUserMethodArgumentResolver implements HandlerMethodArgumentResolver {
    /*
     * supportsParameter:用于判定是否需要处理该参数分解,返回true为需要,并会去调用下面的方法resolveArgument。
     *resolveArgument:真正用于处理参数分解的方法,返回的Object就是controller方法上的形参对象。
     *
     * */
    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        System.out.println("----------supportsParameter-----------" + parameter.getParameterType());
        return parameter.getParameterType().isAssignableFrom(UserBase.class)//判断是否能转成UserBase 类型
                && parameter.hasParameterAnnotation(CurrentUser.class);//是否有CurrentUser注解
    }

    @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer,
                                  NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
        System.out.println("--------------resolveArgument-------------" + parameter);
        UserBase user = (UserBase) webRequest.getAttribute(CurrentUserConstants.CURRENT_USER, RequestAttributes.SCOPE_REQUEST);
        if (user != null) {
            return user;
        }
        throw new MissingServletRequestPartException(CurrentUserConstants.CURRENT_USER);
    }
}

7.将拦截器和参数解析器加入容器

/**
 * @BelongsProject: 
 * @BelongsPackage: com.jdtaste.jdtastesso.conf
 * @Author: 
 * @CreateTime: 2018-07-04 10:03
 * @Description: 配置URLInterceptor拦截器,以及拦截路径
 */
@EnableWebMvc
@Configuration
public class MyWebAppConfigurer extends WebMvcConfigurerAdapter {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // addPathPatterns 用于添加拦截规则
        // excludePathPatterns 用户排除拦截
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/*/*");
        super.addInterceptors(registry);
    }

    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
        argumentResolvers.add(currentUserMethodArgumentResolver());
        super.addArgumentResolvers(argumentResolvers);
    }

    @Bean
    public CurrentUserMethodArgumentResolver currentUserMethodArgumentResolver() {
        return new CurrentUserMethodArgumentResolver();
    }

    /**
     * 解决 拦截器中注入bean 失败情况出现
     * addArgumentResolvers方法中 添加
     *  argumentResolvers.add(currentUserMethodArgumentResolver());
     */
    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }
}
 argumentResolvers.add(currentUserMethodArgumentResolver());
        super.addArgumentResolvers(argumentResolvers);
    }

    @Bean
    public CurrentUserMethodArgumentResolver currentUserMethodArgumentResolver() {
        return new CurrentUserMethodArgumentResolver();
    }

    /**
     * 解决 拦截器中注入bean 失败情况出现
     * addArgumentResolvers方法中 添加
     *  argumentResolvers.add(currentUserMethodArgumentResolver());
     */
    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }
}

8.Controller

    @LoginRequired
    @RequestMapping(value = "/token")
    public String token(@CurrentUser UserBase userBase,String account,String token) {

        log.info(account+"----"+token);
        log.info("----"+userBase.getAccount());
        log.info("params==" + userBase.toString());
        if (userBaseService.findUserByAccount(userBase.getAccount()) == null) {
            return "账号不存在";
        } else {
            UserBase result = null;
            result = userBaseService.login(userBase);
            //生成token
            //String accessToken=TokenUtils.createJwtToken(userBase.getAccount());
            if (result == null) {
                return  "密码错误";
            } else {

                return "SUCCESS";
            }
        }
    }
@LoginRequired
    @RequestMapping(value = "/token")
    public String token(@CurrentUser UserBase userBase,String account,String token) {

        log.info(account+"----"+token);
        log.info("----"+userBase.getAccount());
        log.info("params==" + userBase.toString());
        if (userBaseService.findUserByAccount(userBase.getAccount()) == null) {
            return "账号不存在";
        } else {
            UserBase result = null;
            result = userBaseService.login(userBase);
            //生成token
            //String accessToken=TokenUtils.createJwtToken(userBase.getAccount());
            if (result == null) {
                return  "密码错误";
            } else {

                return "SUCCESS";
            }
        }
    }

 

9.前端发送请求 (axios)

_this.$http.post('/api/user/login',
          this.login,
          {
            headers: {
              Authorization: JSON.parse(sessionStorage.getItem("loginUser")).accessToken,
            }
          }).then((res) => {
          console.log(res);
        });

10 .请求过程 

拦截器-->参数解析器-->controler-->拦截器

注意:参数解析器当第一个返回true 才执行第二个方法

隔壁阿布都
关注
  • 10
    点赞
  • 81
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
zeta-kotlin-layui是使用kotlin语言基于spring boot、sa-token、layui等框架.zip
02-15
【项目资源】: 包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。 包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【项目质量】: 所有源码都经过严格测试,可以直接运行。 功能在确认正常工作后才上传。 【适用人群】: 适用于希望学习不同技术领域的小白或进阶学习者。 可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】: 项目具有较高的学习借鉴价值,也可直接拿来修改复刻。 对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】: 有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 鼓励下载和使用,并欢迎大家互相学习,共同进步。
SpringBoot定时获取微信access_token
生命的意义在于创造和毁灭
10-31 6225
微信公众号开发中的access_token 是调用微信接口的唯一凭证,每次成功调用都会使上次的失效;每次调用次数限制为2000,每一个access_token的时长为7200s(2小时); 下图为微信公众平台的官方文档: 我们这时就需要解决access_token的有效时间,思路有两个: 1.定时获取access_token ,将其保存在内存中;
十分钟,带你看懂JWT(Json Web Token
最新发布
cul1n的博客
02-20 1132
在挖掘 SRC 的时候,面对一些 SSO 的场景,经常会看到一些奇奇怪怪的数据,这些数据多以三段式加密方式呈现,在后续的学习过程中,明白了此类令牌名为Token,在之前的学习过程中简单了解了下 JWT 的呈现方式,但是对其更深入的内容浅尝辄止,本篇文章从一个全面的方向了解,什么是 JWT,JWT 如何利用和攻击,旨在帮助安全从业人员更好的了解网络安全的令牌工作机制。本文配套靶场地址为WebGoat靶场身份验证及失败部分。
Spring boot集成token_通过token解析用户信息
pursue.dreams的博客
07-28 2668
Spring boot集成token,接口对token进行校验,并使用token获取登录用户信息 1、缓存token验证token信息 /** * 缓存token * @param userId * @param token */ public void setTokenUser(String userId, String token) { // 缓存token /** token失效时间 18000 = 5小时 7200
SpringBoot 如何使用 OAuth2 进行认证和授权
it_xushixiong的博客
06-23 4207
在本文中,我们介绍了如何在 SpringBoot 中使用 OAuth2 进行认证和授权。我们首先介绍了 OAuth2 的基本概念和 Spring Security 和 Spring OAuth2 的相关知识,然后详细讲解了在 SpringBoot 中如何配置 Spring Security 和 OAuth2,以及如何创建控制器来处理 OAuth2 相关请求。通过本文的讲解,相信读者已经掌握了在 SpringBoot 中使用 OAuth2 进行认证和授权的。
springboot微信开发小程序之access_token的获取和存储
悟空码字的博客
08-15 5265
服务端API:https://developers.weixin.qq.com/miniprogram/dev/api-backend/open-api/access-token/auth.getAccessToken.html 获取小程序全局唯一后台接口调用凭据(access_token)。调调用绝大多数后台接口时都需使用 access_token,开发者需要进行妥善保存。 access_tok...
SpringBoot获取微信公众号(小程序)access_token 使用Redis存储
它叫当当的博客
09-06 3643
文章目录前言一、导入依赖二、编写配置1.personal.yaml配置文件2.WeChatBean实体类3.编写RestTemplateConfig4. 开启定时任务三、实现生成和存储access_token1.基本介绍2.编写Server层---WeChatServerImpl3.编写Controller层---WeChatController4.简单解析总结 前言 access_token是公众号的全局唯一接口调用凭据,公众号调用各接口时都需使用access_token。开发者需要进行妥善保存。acc
SpringBoot】1、SpringBoot整合JWT实现Token验证
qq_24099547的博客
04-10 5251
单点登录
Springboot+Axios双token解决token过期续签问题
huang714的专栏
11-10 2937
Springboot+Axios双token解决token过期续签问题
springBoot集成token认证
zhiyikeji的博客
09-19 1598
1.我们先大概了解一下 jwt认证token的基本原理 1.什么是JWT 2.JWT请求流程 3.JWT的主要应用场景 Header Payload 标准中注册的声明 (建议但不强制使用) : 公共的声明 : 私有的声明 : Signature 2.与springBoot项目的集成 1.添加maven依赖 2.自定义两个注解 3.简单自定义一个实体类User 4.Mapper接口 5.service 6.service的实现类 7.UserMapper.xml 8.token的生成方..
springboot-oauth2-access_token验证
weixin_44401399的博客
12-02 1672
http /** * 只拦截oauth2 请求需要认证服务验证 * 类似于 http://localhost:8080/oauth2/xxx?access_token=code */ .antMatcher("/oauth2/**") .authorizeRequests() ...
spring-boot-jwt-sample:spring-boot-jwt-sample
05-16
spring-boot-jwt-sample spring boot整合jwt完成接口授权认证 1、注册用户(POST) { "id": 1, "userName": "admin", "loginName": "admin", "password": "admin", "roles": "admin", "email": "admin@ameizi...
spring-boot spring-security-oauth2 完整demo
11-22
spring-boot spring-security-oauth2 完整demo,可以使用微信的方式来获取token和查看资源,注意看代码中的备注
spring-boot-redis-token 分布式锁 redis session
09-14
http://localhost:8080/ass/getUser 测试是否登录 http://localhost:8080/any/user/passLogin 登录测试 http://localhost:8080/lock redis分布式锁测试
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
如需了解本框架的设计细节,请阅读:这篇文章 简介 用户权限管理是每个信息系统最基本的需求,对基于 Java 的项目来说,最常用的权限管理框架就是大名鼎鼎的 Apache Shiro。Apache Shiro 功能非常强大,使用广泛,...
Spring boot 入门教程-Oauth2.0 (授权码模式)
热门推荐
程序猿踩坑集锦
09-06 4万+
之前 密码模式和客户端模式非常顺利的就搞好了,准备在试一下授权码模式,毕竟授权码模式在生活中已经随处可见了,比如CSDN使用QQ,或者微信账号登录。可是在之前代码的基础上测试授权码模式遇到了好多坑,所以有必要把采坑经过记录一下,也供大家参考。 当然阅读之前还是需要先看一下这两篇文章: Spring boot 入门教程-集成security Spring boot 入门教程-在Spring S...
SpringBoot 事务注解@Transactional
程序猿踩坑集锦
04-25 2万+
SpringBoot提供了非常方便的事务操作,通过注解就可以实现事务的回滚,非常方便快捷,下面我们就说一下如何进行事务操作。 1. 事务说明 在Spring中,事务有两种实现方式,分别是编程式事务管理和声明式事务管理两种方式。 编程式事务管理: 编程式事务管理使用TransactionTemplate或者直接使用底层的PlatformTransactionManager。对于编程式事务管理,...
简述 Spring Boot Starter 的工作原理
程序猿踩坑集锦
04-14 1万+
Spring Boot 在启动的时候会干这几件事情: ① Spring Boot 在启动时会去依赖的 Starter 包中寻找 resources/META-INF/spring.factories 文件,然后根据文件中配置的 Jar 包去扫描项目所依赖的 Jar 包。 ② 根据 spring.factories 配置加载 AutoConfigure 类 ③ 根据 @Conditional 注解的条件,进行自动配置并将 Bean 注入 Spring Context 总结一下,其
spring boot集成sa-token
05-25
<artifactId>sa-token-spring-boot-starter <version>1.22.1-RELEASE ``` 2. 配置 sa-token 在 application.properties 或 application.yml 文件中添加以下配置: ```yaml # sa-token 配置 sa-token: # token...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值