Spring Boot实现简单的Token登录验证

最新推荐文章于 2023-07-31 10:11:05 发布
最新推荐文章于 2023-07-31 10:11:05 发布
阅读量1.1k 收藏 9
点赞数 1
文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30039127/article/details/111874984
版权

Session登录

登录流程

浏览器第一次向服务器发出请求,服务器接收到请求后会检测这个请求中是否包含一个叫做JSESSIONID的cookie,如果包含,就在自己的JVM缓存中查找此cookie是否对应一个session对象,如果没有则为其创建一个,用来维持对话。如果请求中没有叫做JSESSIONID的cookie,那么就说明该用户是第一次发出请求,那么服务器会为其生成一个名为JSESSIONID的cookie以及对应的session对象,并且服务器会将这个名为JSESSIONID的cookie返回给浏览器。这样浏览器再次发出请求时就会自动带上这个cookie,以便维持本次会话。

弊端

传统的Session登录需要服务器位置session对象,从而维持对话状态。这样做当然可以,当时当用户量激增的时候,每个用户在线用户都要对应一个session对象,那么势必会对服务器的性能造成影响。

Token登录

Token登录是目前市面上比较常用的登录验证方式。与一般的Session不同,用户在登录的时候,如果此用户的账号、密码都正确,那么后台会根据用户信息(用户名、密码等等)为该用户生成一个加密字符串。对,Token本质上就是一个记录了用户信息的加密字符串。加密是处于安全的考虑,防止Token字符串被破解及篡改。

那么这个Token字符串该如何返回给用户呢?我知道的有两种方式,一种是将其放到cookie中,这样这要这个cooke不过其,那么浏览器每次发出请求时都会携带这个token字符串。服务器便能根据这个字符串获取用户信息。从而进行一系列的操作,如登录验证、权限管理等。

实现

这里仅仅是简单的对其实现,采用jwt的方案。

1.添加依赖

 <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.47</version>
        </dependency>

2.编写Token工具类

@Component
public class TokenUtil{

    /**
     * 生成token
     * @param user
     * @return
     */
    public String generateToken(User user) {
        Date start = new Date();
        long currentTime = System.currentTimeMillis() + 60* 60 * 1000;//一小时有效时间
        Date end = new Date(currentTime);
        String token = "";
        token = JWT.create()
                .withAudience(user.getId().toString())
                .withAudience(user.getUsername())
                .withIssuedAt(start)
                .withExpiresAt(end)
                .sign(Algorithm.HMAC256(user.getPassword()));
        return token;
    }


    /**
     *
     * @param token
     * @param key
     * @return userId
     * 获取制定token中某个属性值
     */
    public static String get(String token, String key) {
        List<String> list= JWT.decode(token).getAudience();
        String userId = JWT.decode(token).getAudience().get(0);
        return userId;
    }

    /**
     * 获取request
     * @return
     */
    public static HttpServletRequest getRequest() {
        ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder
                .getRequestAttributes();
        return requestAttributes == null ? null : requestAttributes.getRequest();
    }


    /**
     *
     * @param request
     * @return
     * 获取token
     */
    public String getToken(HttpServletRequest request) {
        Cookie[] cookies = request.getCookies();
        for (Cookie c :
                cookies) {
            if (c.getName().equals("token")) {
                return c.getValue();
            }
        }
        return null;
    }
}

3.自定义拦截器类

实现HandlerInterceptor接口,并实现preHandle方法。preHandle方法会在每一个Controller方法执行前执行,因此我们可以在该方法中获取token,从而进行一系列操作。在这里对其进行简单的实现,通过request对象获取名为token的cookie,如果存在则放行,如果不存在则拦截,并重定向到登录界面。

public class AuthenticationInterceptor implements HandlerInterceptor {
    @Autowired
    private TokenUtil tokenUtil;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception {
//        查看请求中是否存在token,如果不存在直接跳转到登陆页面
        String token = tokenUtil.getToken(request);
        if (StringUtils.isEmpty(token)) {
            response.sendRedirect("/login");
            return false;
        }
        return true;
    }
}

4.实现拦截

@Configuration
public class MVCConfig implements WebMvcConfigurer {
    /**
     * 静态资源映射
     * @param registry
     */
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
//                表示拦截所有请求
                .addPathPatterns("/**")
//                表示取消对特定路径的拦截
                .excludePathPatterns("/login")
                .excludePathPatterns("/loginCheck")
//                这里一定不要写成/**/*.js的形式,spring boot无法识别
//                取消对static目录下静态资源的拦截
                .excludePathPatterns("/static/**");
    }

    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }
}

5.业务代码

Controller

@Controller
public class UserController {

    @Autowired
    private IUserService userService;


    @GetMapping("/login")
    public String toLoginPage(){
        return "login";
    }

    @PostMapping("/loginCheck")
    @ResponseBody
    public R login(@RequestBody User user, HttpServletResponse response){
        R result = userService.loginCheck(user, response);
        return result;
    }

Service

package com.yuqiang.shop.service.impl;

import com.yuqiang.shop.entity.Page;
import com.yuqiang.shop.entity.User;
import com.yuqiang.shop.mapper.UserMapper;
import com.yuqiang.shop.service.IUserService;
import com.yuqiang.shop.utill.R;
import com.yuqiang.shop.utill.TokenUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
import java.util.List;

/**
 * @author: OnlyOne
 * @create: 2020-12-22 14:42
 * @description:
 **/
@Service
public class UserServiceImpl implements IUserService {

    @Autowired
    private UserMapper userMapper;


    @Autowired
    TokenUtil tokenUtil;

    @Override
    public R loginCheck(User user, HttpServletResponse response) {
        User user2 = userMapper.selectByName(user.getUsername());
        if (user2 == null) {
            return R.error().message("该用户不存在!");
        }
        if (!user2.getPassword().equals(user.getPassword())) {
            return R.error().message("密码错误!");
        }
        String token = tokenUtil.generateToken(user2);
        Cookie cookie = new Cookie("token", token);
//        设置cookie的作用域:为”/“时,以在webapp文件夹下的所有应用共享cookie
        cookie.setPath("/");
        response.addCookie(cookie);
        return R.ok().message("登录成功!");
    }
}

这样当用户成功登录时,便会获得一个名为token的cookie,以后用户所有的请求都会带上这个token。如果请求中没有token(未登录或者token对应的cookie过期)便会重新向到登录页面,重新登陆。

OnlyOneChen
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring boot 入门教程-token验证
2401_84048161的博客
04-04 1011
互联网大厂比较喜欢的人才特点:对技术有热情,强硬的技术基础实力;主动,善于团队协作,善于总结思考。无论是哪家公司,都很重视高并发高可用技术,重视基础,所以千万别小看任何知识。面试是一个双向选择的过程,不要抱着畏惧的心态去面试,不利于自己的发挥。同时看中的应该不止薪资,还要看你是不是真的喜欢这家公司,是不是能真的得到锻炼。其实我写了这么多,只是我自己的总结,并不一定适用于所有人,相信经过一些面试,大家都会有这些感触。下面有部分截图希望能对大家有所帮助。
spring boot+vue+websocket带token身份认证推送消息实现
06-25
vue前端后端分离spring boot 2.0集成websocket,带身份认证实现消息推送功能
SpringBoot实现基于token登录验证
weixin_42408447的博客
06-11 9627
一.SpringBoot实现基于token登录验证 基于token登录验证实现原理:客户端通过用户名和密码调用登录接口,当验证数据库中存在该用户后,将用户的信息按照token的生成规则,生成一个字符串token,返回给客户端,客户端在调用其他接口的时候,需要在请求头上带上token,来验证登录信息。 二.Demo实现代码如下: (因为除登录接口外,其他接口每次都需要验证token信息,所以将验证token信息的部分放在了过滤器里面) 1.导入JWT(JSON WEB TOKEN)依赖 <depen
SpringBoot(九)jwt + 拦截器实现token验证
最新发布
zhaojun的博客
07-31 6751
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证
springboot项目使用jwt+token实现登录
qq_36090537的博客
11-23 2120
登录接口获取的token,存储在客户端, 客户端下次发起请求时放在header中Authorization中,AuthenticationInterceptor拦截器直接解析,解析通过后放行,否则抛出异常。
SpringBoot集成JWT实现Token登录验证
我爱写代码 我爱写代码 我爱写代码
05-04 971
SpringBoot集成JWT实现Token登录验证
spring boot 登录+token验证+返回值异常
weixin_41463944的博客
06-22 777
spring boot+token验证+登录
spring boot+jwt实现api的token认证详解
08-26
主要给大家介绍了关于spring boot+jwt实现api的token认证的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一学习学习吧
基于redis实现token验证用户是否登陆
01-19
基于项目需求, 我们要实现一个基于redis实现token登录验证,该如何实现呢: 后端实现: 1.引入redis相关的依赖 <groupId>org.springframework.boot <artifactId>spring-boot-starter-data-redis <groupId>...
SpringBoot集成JWT实现token验证的流程
10-15
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).这篇文章主要介绍了SpringBoot集成JWT实现token验证,需要的朋友可以参考下
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
如需了解本框架的设计细节,请阅读:这篇文章 简介 用户权限管理是每个信息系统最基本的需求,对基于 Java 的项目来说,最常用的权限管理框架就是大名鼎鼎的 Apache Shiro。Apache Shiro 功能非常强大,使用广泛,...
springboot + spring security验证token进行用户认证
热门推荐
孟林洁的博客
11-23 6万+
核心组件 SecurityContextHolder SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder中。SecurityContextHolder默认是使用ThreadLoc...
springboot后端实现携带token登陆
u011518365的博客
04-06 2844
实现思路 使用oauth2+redis+mysql来完成登陆校验,本案例使用oauth2简单的密码模式来实现。 最终实现的效果为: 登陆页面不设置权限审核,用户通过登陆界面登陆,输入账户密码,后端接收到账户密码之后会去数据库验证,如果验证通过,则返回token给前端。 除了登陆页面之外,其余的页面访问的时候会进行权限的鉴定,如果携带的token对应用户的权限不足或没有携带token、携带了错误的token,不允许访问。 token具有时限,超时token会失效,可以通过refresh_token来刷新to
springboot项目使用拦截器和注解方式验证token
weixin_47402482的博客
11-04 1510
springboot项目使用拦截器和注解方式验证token
SpringBoot创建存储令牌的媒介类和过滤器
晓梦林的博客
09-14 352
之所以需要创建存储令牌的媒介类,像后面的filter界面要使用。 一、创建ThreadLocalToken类 在com.example.emos.wx.config.shiro中创建ThreadLocalToken类。 写入如下代码: package com.example.emos.wx.config.shiro; import org.springframework.stereotype.Component; @Component public class ThreadLocalToken {
让PL/SQL记住登陆密码
云想衣裳花想容
03-28 1305
PL/SQL Developer记住登陆密码 我们在使用PL/SQL Developer时,每次登陆都需要输入账号和密码,为了工作方便希望PL/SQL Developer记住登录Oracle的用户名和密码 设置方法:PL/SQL Developer 7.1.2 ->tools->Preferences->Oracle->Logon History , “Store history”是默认勾选的
如何解决PL/SQL Developer过期的情况(两种解决方法)
An Insecure Programming
09-28 1万+
今天,登录PL/SQL Developer时出现以下界面: 这种情况就是PL/SQL Developer过期了。 方法一: Win+R 输入指令“regedit”打开注册表 出现界面如下图: 在注册表里按HKEY_CURRENT_USER\Software\Allround Automations 这个路径找到“Allround Automations ”,然后删除这个文件夹。 删除“All...
设置plsql自动登录
06-11 804
每次登陆plsql都要输入密码挺麻烦,
oracle plsql登录dba,Oracel /PL/SQL-账户登录
weixin_31499719的博客
04-03 2589
登录数据库,首先要确保已经建立了数据库,建立数据库后默认会有一个sys超级管理员和system用户,还有一个scott(密码默认是tiger)普通用户,但除了sys和system之外,其他用户都被锁定了,可以先以sys登录进去创建一个普通用户并赋予相应权限,然后再以普通用户登陆。也可以将sccott解锁再登陆,不过一般不推荐这样做。账户:即数据库用户名(如sys,system等)密码:用户对应的...
spring boot+token实现登录
03-07
Spring Boot 可以使用 JWT(JSON Web Token)来实现登录认证。JWT 是一种基于 JSON 的开放标准,用于在网络应用间传递声明。它可以通过数字签名来验证数据的完整性和真实性。在 Spring Boot 中,可以使用 Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值