登录接口JWT以及验证码

已于 2024-07-17 21:02:47 修改
阅读量311 收藏 9
点赞数 4
分类专栏: java项目功能 文章标签: java
于 2024-07-17 20:34:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44333770/article/details/140504478
版权

*1.

登录校验逻辑**

用户登录的校验逻辑分为三个主要步骤,分别是校验验证码校验用户状态校验密码,具体逻辑如下

  • 前端发送usernamepasswordcaptchaKeycaptchaCode请求登录。
  • 判断captchaCode是否为空,若为空,则直接响应验证码为空;若不为空进行下一步判断。
  • 根据captchaKey从Redis中查询之前保存的code,若查询出来的code为空,则直接响应验证码已过期;若不为空进行下一步判断。
  • 比较captchaCodecode,若不相同,则直接响应验证码不正确;若相同则进行下一步判断。
  • 根据username查询数据库,若查询结果为空,则直接响应账号不存在;若不为空则进行下一步判断。
  • 查看用户状态,判断是否被禁用,若禁用,则直接响应账号被禁;若未被禁用,则进行下一步判断。
  • 比对password和数据库中查询的密码,若不一致,则直接响应账号或密码错误,若一致则进行入最后一步。
  • 创建JWT,并响应给浏览器。

首先配置JWT

1.依赖


```java
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
</dependency>

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <scope>runtime</scope>
</dependency>

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <scope>runtime</scope>
</dependency>

2.工具类

public class JwtUtil {

    private static long tokenExpiration = 60 * 60 * 1000L;
    private static SecretKey tokenSignKey = Keys.hmacShaKeyFor("M0PKKI6pYGVWWfDZw90a0lTpGYX1d4AQ".getBytes());

    public static String createToken(Long userId, String username) {
        String token = Jwts.builder().
                setSubject("USER_INFO").
                setExpiration(new Date(System.currentTimeMillis() + tokenExpiration)).
                claim("userId", userId).
                claim("username", username).
                signWith(tokenSignKey).
                compressWith(CompressionCodecs.GZIP).
                compact();
        return token;
    }

    public static Claims parseToken(String token) {
        try {
            Jws<Claims> claimsJws = Jwts.parserBuilder().
                    setSigningKey(tokenSignKey).
                    build().parseClaimsJws(token);
            return claimsJws.getBody();

        } catch (ExpiredJwtException e) {
            throw new LeaseException(ResultCodeEnum.TOKEN_EXPIRED);
        } catch (JwtException e) {
            throw new LeaseException(ResultCodeEnum.TOKEN_INVALID);
        }
    }
}

3.调用

//登录
    public String login(LoginVo loginVo) {
        String username = loginVo.getUsername();
        String password = loginVo.getPassword();
        String captchaKey = loginVo.getCaptchaKey();
        String captchaCode = loginVo.getCaptchaCode();
        //非空校验
        if(StringUtils.isEmpty(username) || StringUtils.isEmpty(password) || StringUtils.isEmpty(captchaKey)||StringUtils.isEmpty(captchaCode)){
            throw new LeaseException(ResultCodeEnum.DATA_ERROR);
        }
        //校验验证码是否过期、错误
        String sysCaptchaCode = stringRedisTemplate.opsForValue().get(captchaKey);
        if(sysCaptchaCode.isEmpty()){
            throw new LeaseException(ResultCodeEnum.ADMIN_CAPTCHA_CODE_EXPIRED);
        }
        if (!captchaCode.equals(sysCaptchaCode)){
            throw new LeaseException(ResultCodeEnum.ADMIN_CAPTCHA_CODE_ERROR);
        }
        //校验用户名是否正确
        SystemUser systemUser = systemUserMapper.selectOne(new LambdaQueryWrapper<SystemUser>().eq(SystemUser::getUsername, username));
        //校验查询用户是否为空
        if(systemUser==null){
            throw  new LeaseException(ResultCodeEnum.ADMIN_ACCOUNT_NOT_EXIST_ERROR);
        }
        //校验密码是否正确
        String encodePassword = DigestUtils.md5DigestAsHex(password.getBytes());
        if(!encodePassword.equals(systemUser.getPassword())){
            throw new LeaseException(ResultCodeEnum.ADMIN_ACCOUNT_ERROR);
        }
        //判断用户是否被禁用
        if(systemUser.getStatus().getCode()==0){
            throw new LeaseException(ResultCodeEnum.ADMIN_ACCOUNT_DISABLED_ERROR);
        }
        **//封装 token返回**
        String token = JwtUtil.createToken(systemUser.getId(), username);
        return token;
    }

4.编写HandlerInterceptor

/**
 * 验证用户是否登录的拦截器
 */
@Component
public class AuthenticationInterceptor implements HandlerInterceptor {
    //处理请求之前调用
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //获取请求头中的token
        String token = request.getHeader("access-token");
        if(StringUtils.isEmpty(token)){
            //抛出异常
            throw new LeaseException(ResultCodeEnum.ADMIN_ACCESS_FORBIDDEN);
        }else{
            //使用JwtUtil工具类解析token
            Claims claims = JwtUtil.parseToken(token);
            //获取用户id
            Long userId = claims.get("userId", Long.class);
            //获取用户名
            String username = claims.get("username", String.class);
            //创建LoginUser对象
            LoginUser loginUser = new LoginUser(userId, username);
            //将LoginUser对象跟当前线程绑定
            LoginUserContext.setLoginUser(loginUser);
        }
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        //将LoginUser从当前线程移除
        LoginUserContext.removeLoginUser();
    }
}

创建工具类 将当前线程和loginUser对象进行绑定,提供设置并获取方法 并且在上述拦截器中进行增加和删除loginUser对象



public class LoginUserContext {

    public static final ThreadLocal<LoginUser> threadLocal = new ThreadLocal<>();

    //向当前线程放Login对象的方法
    public static void setLoginUser(LoginUser loginUser){

        threadLocal.set(loginUser);
    }
    //从当前线程中获取LoginUser的方法
    public static LoginUser getLoginUser(){
        return threadLocal.get();
    }
    //从当前线程中将LoginUser对象移除的
    public static void removeLoginUser(){
        threadLocal.remove();
    }
}

在这里插入图片描述

注意:我们约定,前端登录后,后续请求都将JWT,放置于HTTP请求的Header中,其Header的key为access-token

5.注册 AuthenticationInterceptor

@SpringBootConfiguration
//拦截支持路径
@EnableConfigurationProperties(value = AuthPathProperties.class)
//todo 未知的继承关系
public class MyWebMvcConfiguration implements WebMvcConfigurer {

    @Autowired
    private StringToBaseEnumConverter stringToBaseEnumConverter;
    @Autowired
    private AuthenticationInterceptor authenticationInterceptor;

    @Autowired
    private AuthPathProperties authPathProperties;

    @Override
    //注册类型转换器工厂
    public void addFormatters(FormatterRegistry registry) {
        registry.addConverterFactory(stringToBaseEnumConverter);
    }

    @Override
    //注册拦截器 并添加拦截路径
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor)
                .addPathPatterns(authPathProperties.getInclude())
                .excludePathPatterns(authPathProperties.getExclude());
    }
}

注意:@EnableConfigurationProperties(value = AuthPathProperties.class)加载配置类映射

在这里插入图片描述
在这里插入图片描述
最后一步简便写法
在这里插入图片描述

C4程序员
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Security+jwt+验证码实现验证和授权
爱哭的毛毛虫的博客
11-26 4590
微服务Security+jwt+验证码实现认证和授权简要介绍基本流程核心代码测试 简要介绍 本次博客采用Spring Security、jwt验证码的形式实现登录验证,项目本上是一个前后端分离项目。如果你的项目在登陆时不需要验证码,你只需要在后续的代码中,将有关验证码的过滤器删除。 基本流程 1、前端请求后端"/captcha"验证接口,后端生成验证码文本及编码并将其存入redis缓存,然后返回验证码文本(五个字符)和验证码base64编码给前端。 2、前端显示验证码图片,用户输入用户名、密码、验证
JWT Token生成及验证
02-11
http://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.html
集成JWT 结合验证码实现登录
ZeroJcA的博客
04-25 468
若返回结果不为null:则将对应的key和value 存入redis缓存中,即:key: sys_config:sys.account.captchaEnabled -> value: true(false);若返回结果为null: 则返回结果为“” (空字符串),在利用Convert.toBool(captchaEnabled)返回boolean类型的值。集成jwt (注入jwt实现 三种模式:简单模式,混入模式,无状态模式;第二步调用了获取验证码开关的方法 返回值是true 或者false。
SPA项目开发之登录注册
hao_dream_xi的博客
08-09 7110
SPA项目开发之登录注册 1. vue怎么引入和配置使用element-ui框架: 1.1 使用vue-cli脚手架工具创建一个vue项目 vue init webpack pro01 1.2 npm安装elementUI cd pro01 #进入新建项目的根目录 npm install ...
CRM——验证码(JWT技术)、接口资源鉴权
DOVISSSS的博客
08-31 1349
验证码(JWT技术)、接口资源鉴权
jwt如何验证验证码_如何使用节点创建和验证JWT
12-04 1265
jwt如何验证验证码 本文最初发布在Okta开发人员博客上 。 感谢您支持使SitePoint成为可能的合作伙伴。 多年来,互联网上的身份验证已经发展了很多。 有很多方法可以做到这一点,但是在90年代行之有效的方法今天还不能完全解决。 在本教程中,我将简要介绍一些较旧的,更简单的身份验证形式,然后向您展示一种更现代,更安全的方法。 在本文结束时,您将能够在Node中自己创建和验证JWT。 我还...
go-sso:基于Golang实现的单点登录系统(go-sso),实现手机号注册,手机号+验证登录,手机号+密码登录,账号登出等功能,用户认证采用cookie和jwt两种方式
03-11
这是一个基于Go语言开发的单点登录系统,实现手机号注册,手机号+验证登录,手机号+密码登录,账号登出等功能,用户认证采用cookie和jwt两种方式。方法已提供,仅需根据短信通道提供商提供的接口做相应的参数配置...
spring security 实现动态权限和短信验证登录
07-23
在这个场景中,我们探讨的是如何利用Spring Security实现动态权限管理和短信验证登录,并结合JWT(JSON Web Tokens)和Redis来提升系统的效率和安全性。 首先,让我们深入了解Spring Security的基础。Spring ...
一个简易的后台登录注册搜索接口的实现
11-01
用户在登录成功后会获得一个JWT,之后的每次请求都将该令牌包含在请求头中,服务器验证令牌的有效性,决定是否授权访问。 8. **RESTful原则**:为了使接口易于理解和使用,应遵循REST(Representational State ...
springboot+security.zip
06-05
此外,我们还将讨论如何利用Redis来存储和验证这些令牌,以及如何实现短信登录这一额外的安全措施。 首先,Spring Boot是基于Spring框架的一个微服务开发工具,它简化了初始化、配置和部署应用程序的过程。而Spring...
Objective-C - NSURLSession实现短信验证码注册登录完整示例:Objective-C - NSURLSession.m和附件说明
11-06
如果是登录,则会生成一个会话标识符(如JWT),供后续请求使用。 为了处理这些网络请求,你需要实现NSURLSessionDelegate和NSURLSessionTaskDelegate的代理方法,以便在请求完成时得到通知。同时,你还需要处理...
007-基于JWT实现登陆验证
学习笔记
08-06 479
🧑‍🎓 个人主页:Silence Lamb 📖 本章内容:【基于JWT实现登陆验证
vue+springboot实现JWT登录验证
xc9711的博客
04-08 1365
vue+springboot实现jwt登录验证,前后端逻辑皆给出
Springsecurity结合boot,jwt,Redis,图片验证码实现登录认证权限功能(完整版)
xiangguang_fight的博客
01-20 2332
我们先简单了解一下security过滤链执行的大致流程: 注意一下过滤器链的执行顺序~~~~~~ 流程说明: 客户端发起一个请求,进入 Security 过滤器链。 当到 LogoutFilter 的时候判断是否是登出路径,如果是登出路径则到 logoutHandler ,如果登出成功则到 logoutSuccessHandler 登出成功处理。如果不是登出路径则直接进入下一个过滤器。 当到 UsernamePasswordAuthenticationFilter 的时候判断是否为登录路径,如果是,.
SpringBoot整合jwt+redis+随机验证码+Vue的登录功能
yueyue763184的博客
06-16 3590
注意:前端的Vue项目中要引入element-ui和axios# npm安装element-ui、axios# 在main中引入// 引入ElementUI// 使用axios。
基于jwt的token验证、原理及流程
z_ssyy的博客
05-31 6040
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
SpringBoot SpringSecurity JWT+Redis+RSA授权登录登出 验证码 前后端分离 分布式
qq_50909707的博客
10-08 3897
对于微服务来说,私钥放在认证服务上,其他服务只需要存公钥即可。因为其他服务只做校验,不加密JWT。私钥加密,公钥解密。公钥和私钥放到服务器上,私钥用于授权服务器授权token时加密,其他服务器仅需要通过公钥便可对加密内容进行解析了。服务器通过用户输入的验证码结果和redis中的缓存进行比较得出是否验证码正确。只要安装了JDK,就有这个工具。携带错误的token测试:可以看到错误的token会被服务器警告。退出登录后,redis中缓存的用户信息将被删除。这里我们便实现了登录逻辑。复制文本,重命名文件。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 271
1.导入hutool的maven依赖。2.复制一下代码执行。
springboot+阿里云短信+jwt+Redis+mysql实现用户手机号验证登录
05-05
实现用户手机号验证登录可以分为以下几个步骤: 1. 用户输入手机号和验证码,点击登录按钮。 2. 后端接收到手机号和验证码后,先验证验证码是否正确。 3. 如果验证码正确,后端生成JWT token并将token存储到Redis中,同时将token返回给前端。 4. 前端将token存储到本地,以便后续请求时使用。 5. 后续请求时,前端需要在请求头中加入token,后端通过解析token来判断用户是否已登录。 下面是具体实现过程: 1. 在阿里云短信控制台创建短信模板,获取accessKeyId和accessKeySecret。 2. 在Spring Boot项目中添加依赖: ``` <dependency> <groupId>com.aliyun</groupId> <artifactId>aliyun-java-sdk-core</artifactId> <version>4.0.3</version> </dependency> ``` 3. 实现发送短信验证码的接口: ``` @PostMapping("/sendSms") public Result sendSms(@RequestParam("phone") String phone) { // 生成随机验证码 String code = String.valueOf((int) ((Math.random() * 9 + 1) * 100000)); // 发送短信验证码 DefaultProfile profile = DefaultProfile.getProfile("cn-hangzhou", accessKeyId, accessKeySecret); IAcsClient client = new DefaultAcsClient(profile); CommonRequest request = new CommonRequest(); request.setSysMethod(MethodType.POST); request.setSysDomain("dysmsapi.aliyuncs.com"); request.setSysVersion("2017-05-25"); request.setSysAction("SendSms"); request.putQueryParameter("RegionId", "cn-hangzhou"); request.putQueryParameter("PhoneNumbers", phone); request.putQueryParameter("SignName", "短信签名"); request.putQueryParameter("TemplateCode", "短信模板编号"); request.putQueryParameter("TemplateParam", "{\"code\":\"" + code + "\"}"); try { CommonResponse response = client.getCommonResponse(request); // 将验证码存储到Redis中,有效期为5分钟 redisTemplate.opsForValue().set(phone, code, 5, TimeUnit.MINUTES); return Result.success("短信验证码发送成功"); } catch (Exception e) { return Result.error("短信验证码发送失败"); } } ``` 4. 实现用户手机号验证登录接口: ``` @PostMapping("/login") public Result login(@RequestParam("phone") String phone, @RequestParam("code") String code) { // 验证验证码是否正确 String redisCode = redisTemplate.opsForValue().get(phone); if (StringUtils.isBlank(redisCode)) { return Result.error("验证码已过期,请重新发送"); } if (!redisCode.equals(code)) { return Result.error("验证码不正确"); } // 生成JWT token,并存储到Redis中 String token = JwtUtils.generateToken(phone); redisTemplate.opsForValue().set(phone, token, 1, TimeUnit.DAYS); // 将token返回给前端 return Result.success(token); } ``` 5. 实现JWT token的生成和解析: ``` public class JwtUtils { private static final String SECRET_KEY = "jwt_secret_key"; // JWT密钥 private static final long EXPIRATION_TIME = 7 * 24 * 60 * 60 * 1000; // JWT过期时间(7天) public static String generateToken(String phone) { Date now = new Date(); Date expiration = new Date(now.getTime() + EXPIRATION_TIME); return Jwts.builder() .setSubject(phone) .setIssuedAt(now) .setExpiration(expiration) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); } public static String getPhoneFromToken(String token) { try { Claims claims = Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody(); return claims.getSubject(); } catch (Exception e) { return null; } } } ``` 6. 在拦截器中验证token并获取用户信息: ``` public class JwtInterceptor implements HandlerInterceptor { private static final String AUTH_HEADER = "Authorization"; // token在请求头中的名称 @Autowired private StringRedisTemplate redisTemplate; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String token = request.getHeader(AUTH_HEADER); if (StringUtils.isBlank(token)) { throw new BusinessException("未登录登录已过期"); } String phone = JwtUtils.getPhoneFromToken(token); if (StringUtils.isBlank(phone)) { throw new BusinessException("无效的token"); } String redisToken = redisTemplate.opsForValue().get(phone); if (StringUtils.isBlank(redisToken) || !redisToken.equals(token)) { throw new BusinessException("未登录登录已过期"); } return true; } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值