springboot登陆拦截器+Jwt+ThreadLocal 组合使用

已于 2024-05-20 14:56:36 修改
阅读量2.1k 收藏 4
点赞数
分类专栏: 功能模块 # springboot SSM框架+springboot系列 文章标签: spring boot 后端 java
于 2019-09-21 10:00:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41712271/article/details/101098204
版权

登陆接口生成jwt
拦截器先判断有无token,token有效性,都通过的话,将jwt中的信息放入threadlocal中,否则拒绝访问
其它页面:从threadlocal中取出数据

1 pom.xml

 <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.8.26</version>
        </dependency>

        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>4.3.0</version>
        </dependency>

2 JWT 工具类编写

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import java.util.Date;
import java.util.Map;

public class JwtUtils {

    private static final String KEY = "%$^%$&$%HGHFDSFSDGFDHDHD";

	//接收业务数据,生成token并返回
	// withClaim 配置有效载荷
 	// withExpiresAt 配置过期时间
 	// sign 配置加密算法和密钥
    public static String genToken(Map<String, Object> claims) {
        return JWT.create()
                .withClaim("claims", claims)
                .withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 12))
                .sign(Algorithm.HMAC256(KEY));
    }

	//接收token,验证token,并返回业务数据
    public static Map<String, Object> parseToken(String token) {
        return JWT.require(Algorithm.HMAC256(KEY))
                .build()
                .verify(token)
                .getClaim("claims")
                .asMap();
    }
}

3 Threadlocal工具类

import java.util.Map;

public class ThreadLocalUtil {

	private static ThreadLocal<Map<String, Object>> threadLocal = new ThreadLocal<>();

	public static void set(Map<String, Object> data){
		threadLocal.set(data);
	}

	public static Map<String, Object> get(){
		return threadLocal.get();
	}

	//防止内存泄漏
	public static void remove(){
		threadLocal.remove();
	}
}

4 拦截器编写

import com.example.demo_7.util.JwtUtils;
import com.example.demo_7.util.ThreadLocalUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Map;

/**
 * 拦截器
 */
@Component
@Order(1)
@Slf4j
public class LoginInterceptor implements HandlerInterceptor {

    /**
     * 在请求处理之前进行调用(Controller方法调用之前)
     * true:放行
     * false:拦截
     *
     * token 有效性校验 (有没有towen, 是否过期,是否被篡改,是否被伪造等)
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("request.getRequestURI().toString() = " + request.getRequestURI().toString());
        response.setContentType("application/json;charset=utf-8");

        String token = request.getHeader("Authorization"); // 假设Token放在Authorization头中

        // 直接检查token是否存在,不存在则立即返回false并发送错误响应
        if (!StringUtils.hasText(token)) {
            sendErrorResponse(response, HttpServletResponse.SC_UNAUTHORIZED, "没有携带Token,请在请求头中添加Token。");
            return false;
        }

        Map<String, Object> stringObjectMap=null;
        try {
            stringObjectMap = JwtUtils.parseToken(token); // 验证并解析Token
            if (stringObjectMap == null) {
                // Token无效,返回false并发送错误响应
                sendErrorResponse(response, HttpServletResponse.SC_UNAUTHORIZED, "无效的Token。");
                return false;
            }
        } catch (Exception e) {
            log.error("Token验证过程中发生错误", e);
            sendErrorResponse(response, HttpServletResponse.SC_INTERNAL_SERVER_ERROR, "Token验证过程中发生错误。");
            return false; // 发生异常也返回false
        }

        // 如果以上验证都通过,则将用户信息存入ThreadLocal,并在最后返回true以放行请求
        ThreadLocalUtil.set(stringObjectMap);
        return true;
    }

    /**
     * 发送错误响应
     * @param response
     * @param statusCode
     * @param message
     */
    private void sendErrorResponse(HttpServletResponse response, int statusCode, String message) throws Exception {
        response.setStatus(statusCode);
        response.getWriter().write(message);
    }

    /**
     * 在请求处理之后进行调用,但是在视图被渲染之前(Controller方法调用之后)
     * @param request
     * @param response
     * @param handler
     * @param ex
     * @throws Exception
     */
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 清除 ThreadLocal 中的数据,切记不要忘了,否则会有内存泄漏的风险
        ThreadLocalUtil.remove();
    }
}

5 拦截器配置

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Autowired
    private LoginInterceptor loginInterceptor;

    /**
     * 配置拦截器
     * @param registry 相当于拦截器的注册中心
     * addPathPatterns 配置要拦截哪些路径
     *    如 addPathPatterns("/**")表示拦截所有请求,包括我们的静态资源
     * excludePathPatterns 表示我们要放行哪些(表示不用经过拦截器)
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/login","/")
                ;
    }
}

6 登陆接口和从threadlocal中取数据等测试

import cn.hutool.core.bean.BeanUtil;
import cn.hutool.core.bean.copier.CopyOptions;
import com.example.demo_7.util.JwtUtils;
import com.example.demo_7.util.ThreadLocalUtil;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.EqualsAndHashCode;
import lombok.ToString;
import org.springframework.util.StringUtils;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;

@Data
@AllArgsConstructor
@EqualsAndHashCode
@ToString(exclude = "password")
class User {
    private Integer userId;
    private String userName;
    private String nickName;
    private String password;
}

@RestController
public class ControllerTest {

    @RequestMapping("/")
    public String indexPage() {
        return "首页";
    }

    static HashSet<User> userHashSet = new HashSet<User>();

    static {
        //模拟数据库
        User user1 = new User(1, "zhangsan", "张三", "123456");
        userHashSet.add(user1);
        User user2 = new User(2, "lisi", "李四", "123123");
        userHashSet.add(user2);
        userHashSet.add(user2);
    }

    /**
     * 主要是用户密码的校验,并生成jwt字符串返回
     * jwt中不要存敏感信息
     *
     * @param username
     * @return
     */
    @RequestMapping("/login")
    public String login(String username, String password) {
        System.out.println("userHashSet = " + userHashSet);

        try {
            if (!StringUtils.hasText(username) || !StringUtils.hasText(password)) {
                return "请输入用户名和密码";
            }
            User user = userHashSet.stream().filter(uu -> {
                return uu.getUserName().equals(username) && uu.getPassword().equals(password);
            }).findFirst().get();

            CopyOptions copyOptions = CopyOptions.create().setIgnoreProperties("password");
            Map<String, Object> map = BeanUtil.beanToMap(user, new HashMap<String, Object>(), copyOptions);
            //生成jwt并返回
            return JwtUtils.genToken(map);
        } catch (Exception e) {
            return "用户登陆失败";
        }
    }


    /**
     * 演示 从threadlocal中取出信息
     *
     * @return
     */
    @RequestMapping("/threadLocalTest")
    public Object threadLocalTest() {
        try {
            Map<String, Object> map = ThreadLocalUtil.get();
            User bean = BeanUtil.toBean(map, User.class);
            return "hello:" + bean.toString();
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }
}

小哇666
关注
专栏目录
【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)
黄团团的个人博客
07-28 5772
最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!
Springboot+Spring-Security+JWT实现登录和权限校验
liangshitian的博客
10-12 3414
JWT 请查阅这篇文章介绍:https://blog.csdn.net/qq_33612228/article/details/108853525 Spring Security Spring Security 是 Spring 全家桶中一个功能强大且高度可定制的身份验证和访问控制框架。与所有 Spring 项目一样,我们可以轻松扩展 Spring Security 以满足自定义要求。由于 Spring Security 功能十分强大,相比于其他技术来说很难上手,很多刚接触 Spring Securi
拦截器+ThreadLocal验证用户
chengbinbbs的专栏
05-23 1049
ThreadLocal 类定义 public class UserContext { public static final ThreadLocal<String> USER_NAME = new ThreadLocal<>(); } 拦截器编写 @Component public class UserSecurityInterceptor implements HandlerInterceptor { public static final Logger log
springboot拦截器ThreadLocal(每个线程的公共区域)
WYT11的博客
07-02 257
其实这种可以作为springAOP作日志记录。配置信息(拦截所有请求)
Threadlocal+拦截器+JWT实现登录
最新发布
ngczx的博客
08-28 1115
很多数据库表都会有创建时间和修改时间,这个可以用mp的自动填充来实现。也有修改人和更新人的字段,用户登录进来后,修改数据如何拿到修改人呢?每次操作不能把操作人的信息都携带者,那么如何拿到修改人的数据,主要是需要拿到id。
拦截器以及添加拦截器以及拦截安全问题-----ThreadLocal
weixin_52263247的博客
10-27 766
大家好!!!!! 我是小杨,今天再给大家分享个拦截器以及并发时的安全问题. 首先大家都知道在写一个项目登录拦截时,肯定首先想到的就是写个拦截器,再将拦截器添加到WebMvcHandler中去,好,废话不多说,上代码. 1.1 首先我们先写一个拦截器用来拦截的我们的请求 实现该接口 HandlerInterceptor public class LoginInterceptor implements HandlerInterceptor { @Override public boolea
Spring MVC】拦截器JWT 认证与 ThreadLocal 数据共享笔记
ajsbxi的博客
05-15 1146
Spring MVC框架中,拦截器JWT认证和ThreadLocal工具共同构建了强大的安全与请求处理机制。它们协同工作,确保了应用的安全性、高效性和线程安全。拦截器JWTThreadLocal在Web开发中扮演关键角色,提供安全认证、请求预处理和线程局部数据管理,强化了应用的安全性、效率和维护性,是构建现代Web服务不可或缺的技术栈。理解和掌握这些技术,对于提升开发质量至关重要。
SpringMVC:学习笔记(12)——ThreadLocal实现会话共享
weixin_30457881的博客
07-15 220
SpringMVC:学习笔记(12)——ThreadLocal实现会话共享 ThreadLocal   ThreadLocal,被称为线程局部变量。在并发编程的情况下,使用ThreadLocal创建的变量只能被当前线程访问,其他线程则无法访问和修改。每个Thread对象内部都维护了一个ThreadLocalMap它可以存放若干个ThreadLocal。如下为Thread源码部分: /* ...
3-3. SpringBoot项目集成【用户身份认证】实战 【全流程篇】基于JWT+双重检查的登录+登出+拦截器
天罡gg的专栏
04-03 2782
书接上文 实战核心篇,我们已经把JWT的核心代码实现了! 文中不止是代码实现,更是使用到了设计原则,提升大家的内功心法。并且抛转引玉的实现了RSA和HMAC两种算法,还没看过的同学,建议先看上文。所以对于基于JWT的Token用户身份认证机制来说,剩下的就是与接口结合起来,服务端需要做三部分处理:登录接口,生成JWT,返回给前端。其它接口,校验JWT。如果每个接口在调用前都去调用一下校验Token,对接口的侵入性太强,这显然不是我们期望的。这时,我们可以使用拦截器对请求进行拦截实现。登出接口,目的是能主动退
基于springboot实现JWT登录拦截及验证(超详细版)
Java程序员十六的博客
06-26 732
基于Springboot通过Jwt实现登录拦截及验证
Shiro+JWT实现认证和授权
qq_44759750的博客
03-12 941
流程: 1、将token(JWT生成和验证)封装成认证对象(使用ThreadLocal保证线程安全) 2、定义认证与授权的实现方法(Realm类) 3、拦截HTTP请求,验证Token(Filter) 4、把设置应用到Shiro框架(创建ShiroConfig回传四个对象) 5、 回传token:使用AOP拦截Web对象返回方法,从ThreadLocalToken中获取token写入返回对象,然后返回。 代码实现 JWT加密和验证token /** * JWT对userId进行加密生成token
JWT快速使用以及结合ThreadLocal获取token信息
weixin_58403235的博客
09-12 1003
JWT快速使用以及结合ThreadLocal获取token信息
springboot使用ThreadLocal
qq_21277357的博客
08-12 1092
我们在来看下remove源码是怎么解决内存泄漏的。
SpringSecurity Oauth2 - 06 拦截器获取用户登录信息并存储到本地线程ThreadLocal
你今天真好看呀
11-07 3919
上一讲已经我们分析了/oauth/token认证流程,明白了整个认证过程核心做了哪些事情,这一讲看一下如何配置拦截器判断用户是否登录并获取用户登录信息,同时将获取的登录信息存储到本地线程中,主要分为两点展开说明
登录+JWT+异常处理+拦截器+ThreadLocal-开发思想与代码实现
qq_63535554的博客
01-16 681
用户登录——>数据加密数据库比对——>生成jwt令牌封装返回——>拦截器统一拦截进行jwt校验-并将数据放入本地线程中。
Spring MVC 登录拦截器以及ThreadLocal
Yuanhaoxin的博客
03-31 973
因为项目用到自定义的登录而且是前后端分离,接口都需要登录后才能访问,同时在做数据的增加、删除、修改的时候需要传进当前账户ID,因此自定义的一个公共方法和拦截器。代码如下: 定义公共方法: 它的作用就是在各个地方都可以通过UserContext .getUserSession获取当前session public class UserContext implements Serializab...
Spring mvc 线程安全 threadLocal
weixin_43706468的博客
04-10 1126
我们知道Spring通过各种DAO模板类降低了开发者使用各种数据持久技术的难度。这些模板类都是线程安全的,也就是说,多个DAO可以复用同一个模板实例而不会发生冲突。我们使用模板类访问底层数据,根据持久化技术的不同,模板类需要绑定数据连接或会话的资源。但这些资源本身是非线程安全的,也就是说它们不能在同一时刻被多个线程共享。虽然模板类通过资源池获取数据连接或会话,但资源池本身解决的是数据连接或会...
SpringBootThreadLocal使用
qq_62592925的博客
01-25 1380
在用户每一次发起请求都会在tomcat服务器请求一个新的线程,我们在生成JWT token的时候将登录的用户信息注入到threadlocal中,那么这个线程进行其他请求都会携带着用户信息,我们可以在其他功能中得到当前的登录的用户信息,比如得到当前登录的用户信息。3.在进行数据修改时需要提供当前进行修改的用户ID,使用存放在ThreadLocal中的ID,这里使用AOP完成对公共字段的填充。2.在生成JWT令牌时将登录的用户信息使用工具类存放在当前线程的ThreadLocal中。
SpringBoot】登录认证(JWT)和 ThreadLocal
小秀的博客
12-21 695
定义了一种简洁的、自包含的格式,用于通信双方以json数据格式安全的传输信息。一般情况下,我们需要写成全局登录响应拦截器
SpringBoot+SpringSecurity+jwt集成实战与初次体验
作者之前使用Shiro作为安全框架,但这次选择SpringSecurity来探索其功能,同时利用JWT进行安全信息的客户端管理。 首先,确保在项目中引入了Spring Boot的security starter和JWT库。通过添加以下Maven依赖: ```xml...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值