基于token身份认证的完整实例

最新推荐文章于 2024-09-30 09:40:02 发布
最新推荐文章于 2024-09-30 09:40:02 发布
阅读量4.2k 收藏 10
点赞数 2
分类专栏: Java 文章标签: jwt java 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34383510/article/details/119531805
版权

文章目录

前言

基于Token的身份认证是无状态的,服务器或者Session中不会存储任何用户信息。

一、基于Token的身份认证工作流程

1.用户通过用户名和密码请求访问

2.服务器验证用户,通过校验则向客户端返回一个token

3.客户端存储token,并且在随后的每一次请求中都带着它

4.服务器校验token并返回数据

每一次请求都需要token -Token应该放在请求header中 -我们还需要将服务器设置为接受来自所有域的请求,用Access-Control-Allow-Origin: *

二、实现步骤

1.配置过滤请求

在web-xml中配置需要认证的请求

<filter>
		<filter-name>authFilter</filter-name>
		<filter-class>com.demo.filter.AuthFilter</filter-class>
		<init-param>
			<param-name>ignore</param-name>
			<param-value>
				/**
			</param-value>
		</init-param>
		<init-param>
			<param-name>noIgnore</param-name>
			<param-value>
				/**/userApi/**/**
			</param-value>
		</init-param>
	</filter>

2.实现过滤器

代码如下(示例):

public class AuthFilter implements Filter {
    protected Pattern[] ignorePattern = null;
    PathMatcher matcher = new AntPathMatcher();
    // 不用过滤的请求
    String[] ignoreStrs = null;
    // 需要过滤的请求
    String[] noIgnoreStrs = null;

    public AuthFilter() {
    }

    @Override
    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)servletRequest;
        HttpServletResponse response = (HttpServletResponse)servletResponse;
        String uri = request.getRequestURI();
        // 判断是否需要认证
        if (this.checkIgnore(uri) && !this.checkNoIgnore(uri)) {
            chain.doFilter(request, response);
        } else {
        	// 用户认证
            Author.checkAuthorLocal(request, response, chain);
        }
    }

    @Override
    public void init(FilterConfig config) throws ServletException {
        String ignore = config.getInitParameter("ignore");
        String noIgnore = config.getInitParameter("noIgnore");
        ignore = StringUtils.defaultIfEmpty(ignore, "");
        this.ignoreStrs = ignore.replaceAll("\\s", "").split(",");
        this.noIgnoreStrs = noIgnore.replaceAll("\\s", "").split(",");
    }

    public boolean checkIgnore(String requestUrl) {
        boolean flag = false;
        String[] var6 = this.ignoreStrs;
        int var5 = this.ignoreStrs.length;
        for(int var4 = 0; var4 < var5; ++var4) {
            String pattern = var6[var4];
            if (flag = this.matcher.match(pattern, requestUrl)) {
                break;
            }
        }
        return flag;
    }

    public boolean checkNoIgnore(String requestUrl) {
        boolean flag = false;
        String[] var6 = this.noIgnoreStrs;
        int var5 = this.noIgnoreStrs.length;
        for(int var4 = 0; var4 < var5; ++var4) {
            String pattern = var6[var4];
            if (flag = this.matcher.match(pattern, requestUrl)) {
                break;
            }
        }
        return flag;
    }
}

简单认证的实现类

public class Author {

    public Author() {
    }

    public static void checkAuthorLocal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        if (!request.getMethod().equals("OPTIONS")) {
        	// 获取token
            String token = request.getHeader("oauth_token");
            if (!StringUtil.hasText(token)) {
                token = request.getParameter("oauth_token");
            }
            String loginUserId;
            if (StringUtil.hasText(token)) {
            	// 判断token有效性
                loginUserId = getLoginUserId(token);
                if (StringUtil.hasText(loginUserId)) {
                    setLoginUserId(token, loginUserId);
                    chain.doFilter(request, response);
                } else {
                    response.setStatus(HttpServletResponse.SC_METHOD_NOT_ALLOWED);
                    PrintWriter writer = response.getWriter();
                    writer.print("no access");
                    return;
                }
            } else {
                response.setStatus(HttpServletResponse.SC_METHOD_NOT_ALLOWED);
                PrintWriter writer = response.getWriter();
                writer.print("no access");
                return;
            }
        }
    }

    private static String getLoginUserId(String accessToken) {
        String userId = RedisClient.get(accessToken);
        return userId;
    }

    public static void setLoginUserId(String accessToken, String userId) {
        try {
            RedisClient.set(accessToken, userId, Cluster.getTimeoutSecond());
        } catch (Exception var3) {
            var3.printStackTrace();
        }
    }
}

 if (!request.getMethod().equals("OPTIONS")) {...}

这段代码主要是解决后端接收不到前端传入的header参数信息的问题,前面也提过。

用户存储的工具类
代码如下(示例):

public class AuthSessionContext extends UserSessionContext {

    public static String USER_KEY = "userKey";
    public static String CACHE_KEY_USER_IDENTITY = "USER_IDENTITY_DATA";
    public static String CACHE_KEY_USER_IDENTITY_ID = "USER_IDENTITY_ID";
    //private static ICaheManager RedisClient = CacheManagerFactory.getCentralizedCacheManager();


    public static UserSessionContextService getContextService() {
        return (UserSessionContextService) BeanManager.getBean(UserSessionContextService.class);
    }

    /** @deprecated */
    @Deprecated
    public static String getLoginPersonKey(HttpServletRequest request) {
        return getLoginUserId(request);
    }

    public static String getLoginIdentityId(HttpServletRequest request) {
        String loginUserId = getLoginUserId(request);
        String loginIdentityId = (String) RedisClient.get(CACHE_KEY_USER_IDENTITY_ID + loginUserId);
        if (!StringUtil.hasText(loginIdentityId)) {
            UserIdentityVO identity = getIdentity();
            if (identity != null) {
                loginIdentityId = identity.getId();
                RedisClient.set(CACHE_KEY_USER_IDENTITY_ID + loginUserId, loginIdentityId, 60);
            }
        }

        return loginIdentityId;
    }

    public static String getLoginIdentityId() {
        HttpServletRequest request = WsbpWebContextListener.getRequest();
        return getLoginIdentityId(request);
    }



    public static String getIdentityId() {
        UserIdentityVO identity = getIdentity();
        return identity != null ? identity.getId() : "";
    }

    public static void setLoginIdentityId(String loginUserId, String loginIdentityId) {
        RedisClient.set(CACHE_KEY_USER_IDENTITY_ID + loginUserId, loginIdentityId, Cluster.getTimeoutMillisecond());
    }

    public static String getLoginUserId(HttpServletRequest request) {
        String token = request.getHeader("oauth_token");
        String userId = null;
        if (token != null && !token.isEmpty()) {
            userId = (String)RedisClient.get(token);
        }
        return userId;
    }

    public static String getLoginUserId() {
        HttpServletRequest request = WsbpWebContextListener.getRequest();
        return getLoginUserId(request);
    }

    public static String getLoginUserName() {
        UserVO loginUser = getLoginUser();
        return loginUser != null ? loginUser.getUserName() : "";
    }

    public static UserVO getLoginUser() {
        return getContextService().getUserByUserId(getLoginUserId());
    }

    public static String getLoginDepartment(HttpServletRequest request) {
        String identityId = getLoginIdentityId(request);
        return getContextService().getLoginDepartment(identityId);
    }

    public static String getDeptId() {
        HttpServletRequest request = WsbpWebContextListener.getRequest();
        String identityId = getLoginIdentityId(request);
        return getContextService().getLoginDepartment(identityId);
    }

    public static DepartmentVO getDept() {
        return getContextService().getDepartment(getDeptId());
    }

    public static String getDeptName() {
        DepartmentVO department = getDept();
        return department != null ? department.getName() : "";
    }

    public static String getLoginOrganization(HttpServletRequest request) {
        String identityId = getLoginIdentityId(request);
        return getContextService().getLoginOrganization(identityId);
    }

    public static String getOrgId() {
        HttpServletRequest request = WsbpWebContextListener.getRequest();
        String identityId = getLoginIdentityId(request);
        return getContextService().getLoginOrganization(identityId);
    }

    public static OrganizationVO getOrg() {
        DepartmentVO dept = getDept();
        return dept != null ? dept.getOrg() : null;
    }

    public static String getOrgName() {
        OrganizationVO org = getOrg();
        return org != null ? org.getName() : "";
    }

    public static boolean isInAnyRole(HttpServletRequest request, String roles) {
        String identityId = getLoginIdentityId(request);
        return getContextService().checkIsInAnyRole(identityId, roles);
    }

    public static boolean isInRole(HttpServletRequest request, String roles) {
        String identityId = getLoginIdentityId(request);
        return getContextService().checkIsInRole(identityId, roles);
    }

    public static List<RoleVO> getRoleListInRoles(HttpServletRequest request, String roles) {
        String identityId = getLoginIdentityId(request);
        return getContextService().getRoleListInRoles(identityId, roles);
    }

    public static boolean isInAnyCase(HttpServletRequest request, String cases) {
        String identityId = getLoginIdentityId(request);
        return getContextService().checkIsInAnyCase(identityId, cases);
    }

    public static boolean isInCase(HttpServletRequest request, String cases) {
        String identityId = getLoginIdentityId(request);
        boolean checkIsInCase = getContextService().checkIsInCase(identityId, cases);
        return checkIsInCase;
    }

    public static List<RoleVO> getmyUserRoleList(HttpServletRequest request) {
        String identityId = getLoginIdentityId(request);
        return getContextService().getmyUserRoleList(identityId);
    }

    public static RoleVO getmyUserhighestRole(HttpServletRequest request) {
        String identityId = getLoginIdentityId(request);
        return getContextService().getmyUserhighestRole(identityId);
    }

    public static String getmyTenementIdByUserId(HttpServletRequest request) {
        String userId = getLoginUserId(request);
        return getContextService().getLoginTenementId(userId);
    }


    public static void setLoginUser(HttpServletResponse response, TsysUserVO user, String userKey) {
        try {
            String userId = user.getId();
            addCookie(response, USER_KEY, userKey, "/", getSessionTimeout());//单位分钟
            addCookie(response, Cluster.SESSION_KEY, userKey, "/", getSessionTimeout());//单位分钟
            RedisClient.set(userKey, userId, Cluster.getTimeoutSecond());//单位秒
            RedisClient.set(userKey+"Username", user.getUserName(), Cluster.getTimeoutSecond());//单位秒
            RedisClient.set(user.getUserName(), user.getPasswd(), Cluster.getTimeoutSecond());//单位秒
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    private static void addCookie(HttpServletResponse response, String name, String value, String path, int maxAge) {
        Cookie cookie = new Cookie(name, value);
        cookie.setPath(path);
        cookie.setMaxAge(maxAge);
        response.addCookie(cookie);
    }

3.登录接口

登录逻辑判断用户名密码,通过则将用户信息返回,同时将用户信息存在Redis中,向前端返回token
代码如下(示例):

	@RequestMapping(value = "/login", method = RequestMethod.POST, produces = "application/json;charset=utf-8")
    @ResponseBody
    public String login(@RequestBody String jsonStr, HttpServletResponse response) {
        JSONObject object = JSON.parseObject(jsonStr);
        String account = object.getString("account");
        String password = object.getString("password");
        JSONObject result = new JSONObject(3);
        if (StringUtils.isEmpty(account) || StringUtils.isEmpty(password)) {
        	result .put("state", false);
            result .put("msg", "账号或密码不能为空");
            return result.toString();
        }
        // 判断用户名和密码
        User userInfo = userService.login(account, password);
        if (userInfo instanceof String) {
            return (String) userInfo;
        } else {
            User user = (User) userInfo;
            String id = user.getId();
            String s = id + System.currentTimeMillis();
            String token = MD5Util.MD5(s);
            Author.setLoginUserId(token, user.getId());
            AuthSessionContext.setLoginUser(response, user, token);
            result .put("state", true);
            result .put("oauth_token", token);
        }
        return result.toString();
    }

4.登录之后获取用户信息

通过扩展工具类获取信息。
代码如下(示例):

String userId = AuthSessionContext.getLoginUserId();

User userInfo = AuthSessionContext.getLoginUser();

总结

基于token最直观的好处就是无状态和可扩展性,token可以设置过期时间,超过时间之后,用户将重新登录。还可以根据相同的授权许可使特定的token甚至一组token无效来实现用户退出登录。

.猫的树
关注
专栏目录
java 生成token 实例_Java大白话—–Token入门案例(附demo下载)
weixin_29447313的博客
02-16 1351
Java大白话—–Token入门案例Token入门案例今天为大家介绍一下Token的基本原理(以最直白的方式)两片同样的钥匙这是一家神奇的酒店,所有的客房居然都没有钥匙孔,可是每间房们前都做着一位钥匙匠。这种革命性的酒店安全管理方式是这样的:客人来到大厅,告诉前台他的账号与密码,前台给了他一把钥匙他拿着钥匙来到房门前,钥匙匠询问了他的姓名,随即做出了一把钥匙,再与前台的钥匙进行比对,如果一致,用户...
JWT token心得与使用实例
热门推荐
God Liao On The Way
06-20 6万+
本文你能学到什么?token的组成 token串的生成流程。 token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码JWT token的组成头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符
简单介绍vue获取token实现token登录的示例代码
Free雅轩的博客
12-02 1792
最近新做了个vue项目,正好项目中有登录部分,本文就详细的介绍一下登录部分的实现,文中通过示例代码介绍的非常详细,感兴趣的小伙伴们可以参考一下 使用token做登录验证的思路大致如下: 1、在第一次登录的时候前端调用后端的接口,把用户名和密码传给后端。 2、后端收到请求,验证用户名和密码,验证成功后,返回给前端一个token值。 3、前端收到后端传给的token值,将token存储在本地 loaclStorage和vuex中。(本次项目用的是vue框架,使用了vuex全局状态管理) 4、前端每次
居然可以这样理解【token】,中学生都能看懂!
最新发布
2401_85375186的博客
09-30 998
首先,我们知道,大模型(自然语言模型)处理的信息通常是文本。但是,计算机直接处理文本是很困难的,因为它只能理解数字和二进制代码。所以,我们需要把文本转换成计算机能理解的格式。这里引入了“token”的概念。token可以理解为对输入文本进行分割和编码时的最小单位,它可以是单词、子词、字符或其他形式的文本片段。就像我们说话时,一个句子是由很多单词组成的,同样,一个文本也是由很多token组成的。这些token可以是单词,也可以是标点符号、数字等。
webapi token验证例子
06-05
webapi token验证例子
token令牌以及登录小例子
m566666的博客
03-19 2636
token令牌:通过账号密码换取一个有时效的token令牌,基于token去进行认证和授权相关的操作。 在进行登录验证时,我们需要session或cookie会话进行验证,前端包括浏览器还有微信小程序、app、公众号,而采用前后端分离并且不使用浏览器的情况下就会导致前端无法用cookie存储信息,这时我们就需要使用token令牌进行登录验证。 使用token令牌前后端交互验证登录过程如下图: 从上图可以看到和session验证时很相似的。 基于内存存储token令牌示例如下: 先在spring
token令牌结合简单例子用法
来一杯Java咖啡
12-03 802
1、token使用所需要的依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> 2、生成token的测试类 publ
JAVA中的Token 基于Token的身份验证实例
08-24
主要介绍了JAVA中的Token 基于Token的身份验证实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
基于vue 实现token验证的实例代码
08-28
基于Vue实现Token验证的实例代码是指在Vue框架中实现Token验证的方法,该方法可以确保用户的身份验证和授权。Token验证是指在用户登录成功后,服务端生成一个Token,并将其返回给客户端,客户端在后续的请求中携带该...
基于Java验证jwt token代码实例
08-25
基于Java验证jwt token代码实例 基于Java验证jwt token代码实例是指使用Java语言来验证JSON Web TokenJWT)的代码实现。JWT是一种常用的身份验证机制,通过使用密钥对和加密算法来生成和验证token。 在这个代码...
创建token令牌的算法示例
12-30
这是一个token的示例,众所周知,token是用于后台服务器认证浏览器的一种技术,它弥补了cookie对数据大小限制和安全性问题
标记Token实例
10-30
Token实例Token实例Token实例
自己写的一个可以获取到token的小案例
03-04
自己写的一个可以获取到token的小案例
token生成示例
程序员的日常
02-08 275
【代码】token生成示例。
转载-token的实战
qq_41811281的博客
04-26 530
https://www.cnblogs.com/demodashi/p/8512847.html
Java大白话—–Token入门案例(附demo下载)
a8250852的博客
05-21 1万+
Java大白话—–Token入门案例Token入门案例今天为大家介绍一下Token的基本原理(以最直白的方式)
[JAVA]Token机制及管理类代码实例
身披白袍的博客
03-11 1506
Token是一种分布在客户端的无状态用户登陆证明;包含token的运转机制及管理代码(JAVA)
Token验证流程、代码示例、优缺点和安全策略,一文告诉你。
贝格前端工场的博客
05-29 2248
Token是一种用于身份验证和授权的令牌,通常用于在客户端和服务器之间进行安全的通信。在Web开发中,Token通常指的是JSON Web TokenJWT),它是一种开放标准(RFC 7519),定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。JWT通常由三部分组成,通过句点(.)分隔开来:1包含了Token的类型和使用的加密算法等信息。2.包含了要传输的信息,例如用户的身份信息、权限等。
ASP.NET Core实战:基于Token的身份验证教程
"本文档主要介绍了如何在ASP.NET Core中实现基于Token身份认证,特别是使用JwtSecurityTokenHandler来创建Bearer Token实例。" 在ASP.NET Core中,身份验证机制的实现可以多样化,传统的Cookie和Session方式在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.猫的树

你的鼓励就是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值