分布式下如何根据token解析登录用户

最新推荐文章于 2024-06-01 22:55:42 发布
最新推荐文章于 2024-06-01 22:55:42 发布
阅读量5.7k 收藏 9
点赞数 5
分类专栏: 登录验证 文章标签: 分布式 java tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37436172/article/details/128880824
版权

token介绍

为什么需要token,浏览器向服务器发的请求为Http请求,而Http是无状态的,也就是说,服务器处理每个http请求是并不知道这个请求是那个客户端发送的。
因此需要token作为一个凭证,token是用户登录成功后,服务器为用户生成的唯一凭证,并保存token与用户对象的映射关系,也就是我们常说的session,然后服务器会将这个凭证反回到浏览器,浏览器保存这个凭证,后续每次发送请求到服务器时都会将token放置到请求头中,服务器根据token可以获取到请求是那个用户发送的

tomcat维护了一个sessionMap
在ManagerBase类中

  /**
     * The set of currently active Sessions for this Manager, keyed by
     * session identifier.
     */
    protected Map<String, Session> sessions = new ConcurrentHashMap<>();

key为session的唯一凭证,value为Session对象
在单机的情况下,tomcat替我们管理了session,在接受到http请求时,读取请求头的token,在拦截器中,取出session
并且set到HttpServletRequest的seesion中,这样我们在controller中可以直接获取到用户。

分布式情况

分布式情况下,需要做到session在多个机器上共享。tomcat维护的session已经无法满足需要了,因此一般将session存储到redis中。
具体实现

登录时记录token到redis

伪代码

public void login(String account,String pwd){
       HttpSession session = httpServletRequest.getSession();


        UserLoginResponse userLoginResponse =  userReadFacade.findByAccount(loginRequest);
        if(userLoginResponse == null){
            throw new RestException("账号活密码不正确");
        }

        if(!passwordEncoder.matches(loginRequest.getPassward(),userLoginResponse.getPassward())) {
         throw new RestException("账号活密码不正确");
        }
       session.setAttribute("user",userDTO);//设置用户对象
}

实现tomcat拦截器

请求处理后保存session到resis

public class SessionRepositoryFilter<S extends Session> extends OncePerRequestFilter{
@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		request.setAttribute(SESSION_REPOSITORY_ATTR, this.sessionRepository);

		SessionRepositoryRequestWrapper wrappedRequest = new SessionRepositoryRequestWrapper(request, response);
		SessionRepositoryResponseWrapper wrappedResponse = new SessionRepositoryResponseWrapper(wrappedRequest,
				response);

		try {
			filterChain.doFilter(wrappedRequest, wrappedResponse);
		}
		finally {
			wrappedRequest.commitSession();//当请求结束后,session可能会发生变化,需要保存session到redis
		}
	}
}

image.png
key为sessionId,value为session对象
sessionId也就是客户端的token

请求前获取session

伪代码
可以重写httpRequest的getSession方法,从redis中获取

	private final class SessionRepositoryRequestWrapper extends HttpServletRequestWrapper {
    	@Override
		public HttpSessionWrapper getSession(boolrean create) {
			
			S session = SessionRepositoryFilter.this.sessionRepository.findById(sessionId);
					if (session != null) {
						this.requestedSession = session;
						this.requestedSessionId = sessionId;
						break;
					}
		    return session;
		}
}

设置用户信息到ThreadLocal

为了获取用户信息方法,经常将用户信息设置到threadLocal中,后续不需要传参
两种方式

1.使用springMvc拦截器

public class PageInterceptor implements HandlerInterceptor {
     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
           SsoSecUser ssoSecUser;
              
                ssoSecUser = (SsoSecUser)request.getSession().getAttribute("login_user");
                      if (ssoSecUser == null) {
                        Authentication.setSecUser((SsoSecUser)null);
                        return true;
                    } else {
                        Authentication.setSecUser(ssoSecUser);
                        return true;
                    }
                }
     }   
}

2.使用AOP切面拦截Controller,获取request中的session

@Aspect
@Slf4j
@Order(3)
public class UserContextAop {

    @Pointcut("execution(public * com.xishan.store.usercenter.userweb.controller.*.*(..))")
    private void userContextAspect() {
    }

    @Around("userContextAspect()")
    public Object webContextAround(ProceedingJoinPoint point) throws Throwable {
        //执行前,塞进UserContext中,执行后清除UserContext
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        UserDTO user = null;
        if( request.getSession().getAttribute("user") != null){
            user = (UserDTO) request.getSession().getAttribute("user");
        }
        if(user != null){
            UserContext.putCurrentUser(user);
            RpcContext.getContext().setAttachment("user",JSON.toJSONString(user));
        }
        Object result = null;
        try {
            result = point.proceed();//可能抛出异常,并且异常不能被吃了
        }catch (Throwable e){
            throw  e;
        }finally {
            UserContext.clearCurrentUser();
            RpcContext.getContext().removeAttachment("user");
        }
        return result;
        //执行目标
    }
}

总结

使用缓存session的方法,往往只有在登录的时候,才会将session存起来。那么加入后续用户对象更新,那么session的用户信息就不是最新的了,这也是往往我们更改用户信息需要重新登录的原因

氵奄不死的鱼
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
根据Token获取用户信息的N种姿势,这种最完美!
weixin_57467236的博客
08-22 8453
根据Token获取用户信息的N种姿势,这种最完美!
如何完美通过token获取用户信息(springboot)
只会写bug的靓仔的博客
09-18 5748
身份验证令牌(Authentication Token):在身份验证过程中,“token”可以表示一个包含用户身份信息的令牌。例如Token(JWT)是一种常见的身份验证令牌,它包含用户的身份信息(例如用户名或用户ID)以及其他相关信息,如权限或过期时间。无意义令牌token,这种一般在获取后通过nosql查询token对应的用户信息。当然,设计token网上大多有现成的解决方案,但是通过token如何拿个人信息呢?我还是推荐方法1,无疑,虽然多查一次,但是结构简单,耦合度低,并且代码较为简洁。
对前端传过来的token进行解析获取用户信息
最新发布
weixin_65363325的博客
06-01 381
是一个字符串(utf-8 编码)、缓冲区、对象或 KeyObject,其中包含 HMAC 算法的密钥或 RSA 和 ECDSA 的 PEM 编码私钥。如果私钥带有密码,则可以使用对象。(一般是用户信息解析之后可以看到信息,建议生token的时候剔除用户敏感信息,例如登录密码)原因:因为node后端生成的token是一个字符串,不带有Bearer ,把jwt**.**decode(token)中token去除Bearer。简单来说:他就一个密钥,可以自己定义,在一个文件定义好之后,在需要的地方,调用它。
AOP如何获取注解参数
qq_43028226的博客
11-15 2483
标题SpringBoot AOP获取参数 getControllerMethodInfo(JoinPoint joinPoint){ //获取目标类名 String targetName = joinPoint.getTarget().getClass().getName(); //获取方法名 String methodName = joinPoint.getSignature().getName(); //获取相关参数
token获取用户信息
qq_32733803的博客
08-05 4853
1 在拦截器中解析token并将用户信息加入headrs中。/// 获取用户id。2 编写获取header中用户信息。3 接口获取用户信息
vue:如何携带token发送请求获取用户信息(会穿插一些关于aysnc&await执行顺序、宏任务&微任务相关知识)
m0_46339022的博客
12-11 3577
上一篇文章讲到了如何应用路由监听或组件重载让登录状态保持,这篇文章主要讲解如何携带token发送请求获取用户信息,会穿插一些关于aysnc&await执行顺序、宏任务&微任务相关知识,同时对一些在该过程中出现的bug进行分析。以上就是今天要讲的内容,下一篇该系列文章会将首页渲染完成,并开始处理详情页的渲染。
开源的分布式单点登录框架
03-13
4. **Cookie+Token支持**:Cookie常用于保持用户登录状态,而Token则是一种更安全的身份验证方式,尤其适用于移动应用。该框架支持这两种方式,既满足了Web应用的需求,也适应了APP的场景。 5. **Web+APP均支持**...
ABP框架之OpenIddict分布式认证授权学习手册v1.0
06-13
- **授权码认证授权**:涉及交互式的用户登录过程,通常适用于Web应用。Swagger的授权演示展示了如何在API文档中集成授权流程。 - **隐式认证授权**:适用于单页应用(SPA),客户端在用户同意授权后,可以直接在...
JWT Token生成及验证
07-16
当JWT即将过期时,用户可以使用刷新Token获取新的JWT,而旧的JWT则失效。 8. **JWT在API安全中的应用**:JWT常用于API的身份验证,客户端在请求时附带JWT,服务器验证通过后才允许执行相应操作。这种方式减少了...
sa-token-dev.zip
05-27
1. **登录认证**:sa-token 提供了用户登录验证的机制,能够处理用户登录请求,验证身份,并在验证成功后生成相应的身份标识。 2. **权限认证**:框架支持基于角色和权限的访问控制,能够对用户的操作进行权限校验...
MongoDB原生高可用及分布式能力解析.pdf
10-15
MongoDB 4.4 引入了断点续传机制,即使在全量同步中断后,也能基于resume token继续同步,提高了同步效率和可用性。 2. MongoDB 原生分布式能力 - **副本集 - writeConcern/readConcern**:writeConcern定义了写...
Java中后端是怎么通过token确定是哪个用户
weixin_35755434的博客
01-03 1415
Java 中,后端可以通过以下步骤来使用 token 确定某个用户: 客户端在登录时,后端会为其生成一个 token,并将其返回给客户端。 客户端在进行后续的请求时,会在请求头中携带 token。 后端收到请求后,会从请求头中获取 token,并使用对应的算法对 token 进行解码。 如果解码成功,则说明 token 是合法的,并且能够获取用户信息。 后端可以使用解码后的用户信息...
解析token获取用户信息
xylwws的博客
04-26 1233
ThreadLocal是JDK包提供的,它提供线程本地变量,如果创建一乐ThreadLocal变量,那么访问这个变量的每个线程都会有这个变量的一个副本,在实际多线程操作的时候,操作的是自己本地内存中的变量,从而规避了线程安全问题,如下图所示。多线程访问同一个共享变量的时候容易出现并发问题,特别是多个线程对一个变量进行写入的时候,为了保证线程安全,一般使用者在访问共享变量的时候需要进行额外的同步措施才能保证线程安全性。利用切面在用户访问时先写入,这边截取部分代码展示,大多校验token时写入。
day03_token获取用户信息
m0_64512588的博客
07-04 2666
2项目中如何使用token获取用户的id信息 2.1大体实现流程 因为token涵盖了用户信息id,所以同项目一我们通过解析token,得到用户的信息,进而存入到ThreadLocal中,至此我们就能够在统一进程中,随时拿到当前用户的id信息。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IZdRtZ9V-1656921948696)(E:/heima01/10_黑马头条/day03-自媒体文章发布/笔记/自媒体文章发布.assets/image-202104261446
Jwts(jwt)生成token以及根据token获取用户信息
rxhcsdn的博客
11-23 5554
jwt生成token
在springBoot中使用JWT实现1.生成token,2.接收前端token进行身份认证,3.通过token获取对象信息
weixin_48122970的博客
08-06 4250
在Spring MVC的配置中,可以通过实现WebMvcConfigurer接口的addInterceptors方法来注册自定义的HandlerInterceptor。通过使用HandlerInterceptor,我们可以实现一些与请求和响应相关的公共逻辑和功能,如身份验证、日志记录、参数解析、跨域处理等。拦截器提供了一种灵活的方式来对请求进行拦截和处理,帮助开发人员实现系统层面的功能和逻辑。
Java Spring Security OAuth2.0 通过token 获取用户信息(ID)
xiaobai_notexc的博客
05-25 3896
解密token获取用户信息
ToKen获取想要的信息。比如用户ID、设备SN号
m0_72405471的博客
07-05 1031
1、创建Token时,里面必须包含你要的信息,比如用户ID、设备SN号。Pom.xml中有你用的解析Token的工具依赖。2、从 HttpServletRequest request 中拿到你要的Token信息。,可以打断点查看Token用户iD与SN号的命名是什么,然后进行替换。
分布式系统统一登录的实现
谢小鱼的博客
11-25 4207
一、 运用Redis缓存将Token存入缓存; 将 session 全部存放到 Redis 中,Redis 全局管理数据,因为独特的 key 过期时间特性,对应 session 的过期特性,也很般配。另外,Redis 比较轻量,性能也很好。 用户登录的时候如果通过鉴权体系的鉴定,可以生成 Token 数据,以 Token 作为键名,用户登录信息作为值,写入到 Redis 中,设置过期时间,并将 ...
nodejs基于token登录验证
10-23
Node.js基于token登录验证是一种常见的身份验证和授权机制。它使用令牌作为凭据来验证用户身份并授权访问受保护的资源。 当用户登录成功后,服务器会生成一个token。这个token是一个随机字符串,它包含了一些用户信息和相关权限。服务器将这个token发送给客户端,客户端将其保存在本地,如localStorage或cookie中。 当用户访问需要身份验证的资源时,客户端将token作为请求头或请求参数发送给服务器。服务器接收到请求后,会解析token并验证其有效性。若token有效且未过期,则认为用户登录,可以授权用户访问受保护的资源。否则,服务器会返回未授权的错误响应。 优点: 1. 无状态:服务器不需要保存用户登录状态,因此可以更好地扩展和分布式。 2. 安全性:通信过程中token被加密和签名,使其难以伪造和改变。 3. 高效性:验证过程简单,减少了服务器的负载。 4. 可扩展性:可以轻松地用于支持多个客户端和API。 缺点: 1. 客户端存储:客户端需要存储token,如果被盗用或泄露,可能会导致安全风险。 2. 无法废止tokens:一旦发出的token被盗用,服务器无法废止,除非过期时间到期或用户进行密码重置。 总之,基于token登录验证是一种简单且高效的身份验证和授权机制,适用于大多数Web应用程序。但在实施时,必须注意安全风险,例如使用HTTPS来确保通信安全,并定期更新token以减少盗用的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值