SkyBlog中的Token认证机制

最新推荐文章于 2022-11-22 14:57:05 发布
最新推荐文章于 2022-11-22 14:57:05 发布
阅读量262 收藏
点赞数
分类专栏: SkyBlog源码解析 文章标签: SkyBlog Token JWT RESTful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35264464/article/details/79490629
版权

Session认证与Token认证的取舍

在项目刚刚开始的时候,我还是规划使用Session认证的,期间遇到了不少问题。

  1. Session认证是通过把Cookie交给服务端管理的,而fetch在设置credentials时又会要求CORS的Access-Control-Allow-Origin不能设置为*,必须指定域名。
  2. 前后端分离中,前端还是自行管理状态才是真正的前后端分离
  3. 后台提供的RESTfulAPI,指定域名不符合RESTful的设计要求

所以最终我决定改用Token认证,不过不使用OAuth2,而是自己编写相关逻辑

Token的生成使用的是JWT,减少请求时对数据库的查询

Token认证源码解析

项目是使用Spring Security作为安全框架,对用户进行认证、权限管理,所以要集成JWT的话,有几点要关注:

  1. 将存储在Header中的JWT转换为Spring SecurityUserDetails
  2. 将必要的信息存储在Token当中,返回给用户
  3. 提供获取、刷新Token的接口

所以就有了以下几个类

TokenFilter

负责将请求中的Token转换为UsernamePasswordAuthenticationToken

        // 有时请求会错误发送null与undefined
        final String nullStr = "null";
        final String undefinedStr = "undefined";

        String token = getRequestToken(request);

        // 如果token不存在,则直接放行,由之后的Filter拦截
        if(StringUtils.isBlank(token) ||
                nullStr.equals(token) ||
                undefinedStr.equals(token)) {
            chain.doFilter(request,response);
            return;
        }

        // 从Token中读取User,设置Authentication
        SecurityUser user = securityService.getUserByToken(token);
        if(user != null && SecurityUtils.getAuthentication() == null){
            UsernamePasswordAuthenticationToken authenticationToken =
                    new UsernamePasswordAuthenticationToken(user,null,user.getAuthorities());
            authenticationToken.setDetails(new WebAuthenticationDetails(request));
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        }

        chain.doFilter(request,response);

SecurityService

负责提供Token相关的服务

  1. 登录时,调用Spring SecurityAuthenticationManager,对用户进行验证,并在验证通过时生成Token
  2. Token中包装了三段重要的信息:id、username、role,通过这些信息便足以组成一个用户的基本对象
  3. 服务提供了从Token中获取各类信息的方法,也提供了验证Token是否合法、过期的方法,确保Token的可靠性
   @Override
    public AccessToken login(String username, String password) {
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
                username, password);

        HttpServletRequest request = ServletUtils.getRequest();
        authRequest.setDetails(new WebAuthenticationDetails(request));

        try{
            Authentication authentication = authenticationManager.authenticate(authRequest);
            SecurityUser user = (SecurityUser) authentication.getPrincipal();

            return generateToken(user);
        }catch (BadCredentialsException e){
            throw new CommonException("用户名/密码不正确");
        }catch (LockedException e){
            throw new CommonException("账号被锁定,请联系管理员");
        }
    }

    @Override
    public AccessToken generateToken(SecurityUser user) {
        if(user.getLocked()){
            throw new CommonException("账号被锁定,请联系管理员");
        }

        AccessToken accessToken = new AccessToken();
        long expire = jwtSettings.getExpire();

        Date nowDate = new Date();
        Date expireDate = new Date(nowDate.getTime() + expire * 1000);

        // 构建JWT
        String token = Jwts.builder()

                // 将User的标识信息放入JWT中
                .setSubject(String.valueOf(user.getId()))
                .claim(CLAIM_USERNAME,user.getUsername())
                .claim(CLAIM_ROLE,user.getRole())

                // 设置过期时间
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)

                // 设置加密方式
                .signWith(SignatureAlgorithm.HS512,
                        jwtSettings.getSecret())
                .compact();

        accessToken.setToken(token);
        accessToken.setExpire(expire);
        accessToken.setUser(user);

        return accessToken;
    }

AuthController

负责提供登录以及刷新Token的接口

   /**
     * @param username 用户名
     * @param password 密码
     * @return AccessToken
     */
    @ApiOperation(value = "登录,获取Token")
    @RequestMapping(value = "/login",method = RequestMethod.POST)
    public Result<AccessToken> login(@ApiParam("用户名") @RequestParam String username,
                                     @ApiParam("密码") @RequestParam String password) {
        AccessToken accessToken = securityService.login(username,password);
        return Result.ok(accessToken);
    }

    /**
     * 通过老Token换取新Token
     * @param token 老Token
     * @return 新Token
     */
    @ApiOperation("通过老Token换取新Token")
    @RequestMapping(value = "/refresh",method = RequestMethod.POST)
    public Result<AccessToken> refresh(@ApiParam("老Token") @RequestParam String token){
        Integer userId = securityService.getIDByToken(token);
        UserDO user = userService.getByID(userId);

        AccessToken accessToken = securityService.generateToken(new SecurityUser(user));
        return Result.ok(accessToken);
    }

至此,便完成了Spring SecurityJWT的整合便完成了。

青云桑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【前端】fetch和axios发送请求
weixin_51290060的博客
02-03 1659
axios和fetch向后端发送请求
Redis实现单点登录
热门推荐
WuCourage的博客
09-02 3万+
单点登录功能分析 请求的url:/user/login 请求的方法:POST 参数:username、password,表单提交的数据。可以使用方法的形参接收。 返回值:json数据,包含一个token。 业务逻辑: 登录的业务流程:登录的处理流程:1、登录页面提交用户名密码。 2、登录成功后生成tokenToken相当于原来的sessionid,字符串,可以使用uuid。 3、把
学习淘淘商城第八十九课(单点登录之通过token获取用户信息)
u012453843的专栏
06-09 4845
首先还是看接口文档关于通过token获取用户信息的说明,如下图所示。             看了说明文档我们便知道该怎么做了,在taotao-sso-interface工程的UserService接口类添加一个接口,如下图所示。          添加的接口代码如下: //通过token获取用户信息 TaotaoResult getUserByToken(String t
使用Fetch
weixin_33827965的博客
05-14 391
原文链接:css-tricks.com/using-fetch… 。 本文介绍了Fetch基本使用方法及zlFetch库的使用 无论用JavaScript发送或获取信息,我们都会用到Ajax。Ajax不需要刷新页面就能发送和获取信息,能使网页实现异步更新。 几年前,初始化Ajax一般使用jQuery的ajax方法: $.ajax('some-url', { success: (data) ...
责任链设计模式实例 Token登录验证
tpaer的博客
03-10 608
Token介绍 session是存储服务器端,cookie是存储在客户端,获取session里的信息是通过存放在会话cookie里的session id获取的。而session是存放在服务器的内存里,所以session里的数据不断增加会造成服务器的负担。而基于 token 的身份验证是无状态的,我们不用将用户信息存在服务器或 Session token具有无状态、可拓展、安全、多平台与跨域的优势。 责任链设计模式介绍 责任链(Chain of Responsibility)模式的...
SkyBlog:一个简单的Spring Boot + Vue 前后端分离的博客系统 https
04-19
SkyBlog 一个简单的Spring Boot + Vue 前后端分离的博客系统 ...Token 认证jwt 持久层框架:MyBatisPlus java版本:JDK8 功能 首页 最新文章: 按照发布时间来进行倒序排序展示 导航栏:首页、分类、归档、友链、关于
LeoCMS-开源
07-14
在提供的压缩包文件,我们可以看到以下几个文件: - **skyblog2rdf.bat**:这是一个批处理文件,可能用于将Skyblog格式的数据转换为RDF(Resource Description Framework)格式,这是一种标准的元数据模型,有助...
Fetch的数据获取和发送以及异常处理
包磊磊的博客
03-30 4708
无论用JavaScript发送或获取信息,我们都会用到Ajax。Ajax不需要刷新页面就能发送和获取信息,能使网页实现异步更新。 几年前,初始化Ajax一般使用jQuery的ajax方法: $.ajax('some-url', { success: (data) => { /* do something with the data */ }, error: (err) => { /* do something when an error happens */} }); 也可
ajax封装、fetch的使用,原生js+ajax、js+fetch实现登录保存token到localStorage,跳转用户页
最新发布
reed_0805的博客
11-22 2470
请求用户接口需要添加请求头 Authorization: localStorage.getItem("userinfo")才可以获取用户数据。如: localStorage.setItem('userinfo', res.data.sessionToken),因为懒所以都是通过id名.value获取元素,严谨一些你们还是通过document.getElementById('id名')获取元素。3、配置网络请求(通过open方法), open方法可以传入两个参数;参数二: url(请求的地址)
SpringBoot集成Spring Security实现登陆和简单权限验证
不经意的博客
09-21 7181
1.数据库配置好 2.导依赖 <!-- spring security 安全认证 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependen
React+fetch 发送post请求 处理请求头参数配置
weixin_45966674的博客
10-21 3990
可以看到 我们body传的参数 是字符串 不能用对象 那我们用json转字符串的方法处理一下。可以看到 我们的接口给我们 报500错误了 说我们的参数不是json 我们去看一下参数。接口地址和token我都是改过的 抱歉 这个无法提供给你们 你们需要自己去寻找资源。我们接口的数据也正常的输出在了控制台上 没有任何问题。这就是一个基本的结构 例如我们这样写。然后我们来看 pust基本语法。接口返回成功 我们看一下控制台。这是我们传的就是一个json了。然后再去查看我们的参数。
fetch 添加请求头headers
weixin_30747253的博客
09-13 9856
// var headers = new Headers(); // headers.append('Authorization', localStorage.getItem('token')); fetch('/distributor/sidebar',{ headers:{ 'Authorization':localStorage.get...
Keystone身份认证--主要总结Role的相关配置
Chen Xiao, OpenStack博客
06-04 6760
用户管理有三个概念Tenant,User,Role
AOP如何获取注解参数
qq_43028226的博客
11-15 2495
标题SpringBoot AOP获取参数 getControllerMethodInfo(JoinPoint joinPoint){ //获取目标类名 String targetName = joinPoint.getTarget().getClass().getName(); //获取方法名 String methodName = joinPoint.getSignature().getName(); //获取相关参数
controller获取用户信息的方式
u010659877的专栏
01-02 4437
目录1. 利用session获取(不优雅)2. 定义AOP3. 拦截器+方法参数解析器 大多数controller都需要获得用户信息,根据用户做一些操作 1. 利用session获取(不优雅) 每个controller之前首先通过tokenUtils.getUserByToken(token)获取User。 2. 定义AOP 使用AOP的方法,在进入controller之前,将user赋值到参数 @Aspect @Component public class UserIdAdvice {
React 使用Fetch+Antd 实现 携带token 下载附件
hzxOnlineOk的博客
09-03 2565
使用a标签下载: render: (text, record) => { return <a onClick={() => window.open('http://111.111.11.11:7000/cms_service/common/download?[%22259b92fd-e6d9-4c3e-92cb-7ab189d9fe33%22]', '_...
react 将token充入_React-Native Fetch (header设置token)
weixin_42511338的博客
01-12 891
React native Axios header设置tokenstatic Axios_post(ori_url, params, bodyParams = '', suffixType) {let new_url = this.encodeURL(ori_url, params, suffixType)switch (suffixType) {case HttpSuffixType.IS_DO...
React 登录获取token并存储及解析token
周家大小姐
03-26 2万+
仓库地址:https://gitee.com/zhouyunfang/react-project/tree/formAuthenticated/ 目录 存储token 解析token 解决页面刷新,数据消失问题 当前目录: 存储token login.js import React, { Component } from 'react' // 实现ui组件和数据连接 i...
淘淘商城第97讲——单点登录之通过token获取用户信息
李阿昀的博客
06-14 1万+
首先我们还是看下接口文档关于通过token获取用户信息的说明,如下图所示。 看了说明文档我们便知道该怎么做了,在taotao-sso-interface工程的UserLoginService接口添加一个方法,如下图所示。 下面我们到taotao-sso-service工程的UserLoginServiceImpl类实现getUserByToken方法,如下图所示。 Servi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值