【SpringBoot】拦截器认证鉴权

最新推荐文章于 2024-04-23 14:44:44 发布
最新推荐文章于 2024-04-23 14:44:44 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: SpringBoot 文章标签: java 开发语言 springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52061711/article/details/123831543
版权

Result

具有链式编程。

@Setter
@Getter
public class Result {
    private Integer code;
    private String msg;
    private Object data;

    public Result(Integer code, String msg){
        this.code = code;
        this.msg = msg;
    }

    public static Result ok() {
        return new Result(200,"success");
    }

    public static Result error() {
        return new Result(201,"error");
    }

    public Result code(Integer code) {
        this.setCode(code);
        return this;
    }

    public Result msg(String msg) {
        this.setMsg(msg);
        return this;
    }

    public Result data(Object data) {
        this.setData(data);
        return this;
    }
}

Redis

FastJsonRedisSerializer

public class FastJsonRedisSerializer<T> implements RedisSerializer<T> {
    public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8");

    private Class<T> clazz;

    static {
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
    }

    public FastJsonRedisSerializer(Class<T> clazz) {
        this.clazz = clazz;
    }

    @Override
    public byte[] serialize(T t) throws SerializationException {
        if (t == null){
            return new byte[0];
        }
        return JSON.toJSONString(t, SerializerFeature.WriteClassName).getBytes(DEFAULT_CHARSET);
    }

    @Override
    public T deserialize(byte[] bytes) throws SerializationException {
        if (bytes == null || bytes.length <= 0){
            return null;
        }
        String str = new String(bytes,DEFAULT_CHARSET);
        return JSON.parseObject(str,clazz);
    }

    protected JavaType getJavaType(Class<T> clazz){
        return TypeFactory.defaultInstance().constructType(clazz);
    }
}

RedisConfig

@Configuration
public class RedisConfig {
    @Bean
    public RedisTemplate<Object,Object> redisTemplate(RedisConnectionFactory connectionFactory){
        RedisTemplate<Object,Object> template = new RedisTemplate<>();
        template.setConnectionFactory(connectionFactory);

        FastJsonRedisSerializer<Object> serializer = new FastJsonRedisSerializer<>(Object.class);

        // 使用 StringRedisSerializer 来序列化和反序列化 redis 的 key
        template.setKeySerializer(new StringRedisSerializer());
        template.setValueSerializer(serializer);

        // Hash 的 key 也采用 StringRedisSerializer 的序列化方式
        template.setHashKeySerializer(new StringRedisSerializer());
        template.setHashValueSerializer(serializer);

        template.afterPropertiesSet();
        return template;
    }
}

JwtUtil

public class JwtUtil {
    /**
     * 有效期
     */
    public static final Long JWT_TTL = 60 * 60 * 1000L;
    /**
     * 密匙明文
     */
    public static final String JWT_KEY = "Linge999jutSOFJKJkhFDoe90VJlINji";

    public static String getUUID() {
        String token = UUID.randomUUID().toString().replaceAll("-", "");
        return token;
    }

    /**
     * 生成 jwt
     *
     * @param subject token中要存在的数据(json 格式)
     * @return
     */
    public static String createJWT(String subject) {
        // 设置过期时间
        JwtBuilder builder = getJwtBuilder(subject, null, getUUID());
        return builder.compact();
    }

    /**
     * 生成 jwt
     *
     * @param subject   token中要存在的数据(json 格式)
     * @param ttlMillis token 超时时间
     * @return
     */
    public static String createJWT(String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, getUUID());
        return builder.compact();
    }

    /**
     * 生成 token
     *
     * @param id
     * @param subject
     * @param ttlMillis
     * @return
     */
    public static String createJWT(String id, String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, id);
        return builder.compact();
    }

    public static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        SecretKey secretKey = generalKey();

        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        if (ttlMillis == null) {
            ttlMillis = JwtUtil.JWT_TTL;
        }
        long exMillis = nowMillis + ttlMillis;
        Date exDate = new Date(exMillis);

        return Jwts.builder()
                // 唯一 id
                .setId(uuid)
                // 主题 可以是 json 数据
                .setSubject(subject)
                // 签发者
                .setIssuer("linge")
                // 签发时间
                .setIssuedAt(now)
                // 使用 HS256 对称加密算法签名,第二个参数未密匙
                .signWith(signatureAlgorithm, secretKey)

                .setExpiration(exDate);
    }

    /**
     * 生成加密后的密匙 secretKey
     *
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodeKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKeySpec key = new SecretKeySpec(encodeKey, 0, encodeKey.length, "AES");
        return key;
    }

    /**
     * 解析
     *
     * @param jwt
     * @return
     */
    public static Claims parseJWT(String jwt) {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }
}

User

在这里插入图片描述

@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
    private Integer id;
    private String username;
//    @JsonIgnore
    private String password;
    private int age;
}

UserMapper

@Mapper
public interface UserMapper extends BaseMapper<User> {
    List<String> getRolesById(Integer id);
}


<select id="getRolesById" resultType="java.lang.String">
    select name
    from user_role ur, `role` r
    where ur.rid = r.id
      and ur.uid = #{id}
</select>

UserService

用户登录

  1. 在数据库中查询用户
  2. 将用户 id 生成 jwt,返回给前端。前端再次访问将携带 jwt 于请求头中
  3. 将 jwt 存入 redis,logout 时删除。
  4. 查询用户权限 roles,并存入 redis
public interface UserService extends IService<User>  {

    void register(User user);

    Map<String,String> login(User user);

    List<String> getRolesById(Integer id);

}

@Service
@Transactional(rollbackFor = Exception.class)
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements UserService {

    final UserMapper userMapper;
    final RedisUtil redisUtil;

    public UserServiceImpl(UserMapper userMapper, RedisUtil redisUtil) {
        this.userMapper = userMapper;
        this.redisUtil = redisUtil;
    }


    @Override
    public void register(User user) {
        userMapper.insert(user);
    }

    @Override
    public List<String> getRolesById(Integer id) {
        return userMapper.getRolesById(id);
    }

    @Override
    public Map<String,String> login(User user) {
        // 1.查询用户
        LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();
        wrapper.eq(User::getUsername,user.getUsername());
        wrapper.eq(User::getPassword, user.getPassword());
        User u = userMapper.selectOne(wrapper);

        if (u == null){
            throw new RuntimeException("用户名或密码错误");
        }

        // 2.将用户 id 生成 jwt
        String jwt = JwtUtil.createJWT(u.getId().toString());
        Map<String,String> map = new HashMap<>(1);
        map.put("token",jwt);
        
        // 3.将 token 存入 redis,用于验证 token 是否过期
        redisUtil.set("token:" + u.getId(),jwt);


        // 4.查询 用户权限,并存入 redis
        List<String> roles = userMapper.getRolesById(u.getId());
        redisUtil.set("user:"+ u.getId().toString(),roles);

        return map;
    }
}

ResponseBody

controller 中的返回数据,同一在此封装为 Result,再返回给前端。

@RestControllerAdvice("com.linge.controller")
public class RespAdvice implements ResponseBodyAdvice {

    @Override
    public boolean supports(MethodParameter returnType, Class converterType) {
        return true;

    }

    @Override
    public Object beforeBodyWrite(Object body,
                                  MethodParameter returnType,
                                  MediaType selectedContentType,
                                  Class selectedConverterType,
                                  ServerHttpRequest request,
                                  ServerHttpResponse response) {

        Result ok = Result.ok();

        if (null == body) {
            return ok;
        } else if(body instanceof Result) {
            ok =  (Result)body;
        }
        else {
            ok.data(body);
        }

        return ok;
    }
}

Interceptor

HandlerInterceptor

  1. 获取 uri,依次判断请求是否需要权限
  2. 从请求头中获取 token,若为null,则未登录
  3. 从 token 中解析出 用户 id,与 redis 中的权限信息对比
@Component
public class AuthenticationInterceptor implements HandlerInterceptor {

    final
    UserService userService;
    final RedisUtil redisUtil;

    public AuthenticationInterceptor(UserService userService, RedisUtil redisUtil) {
        this.userService = userService;
        this.redisUtil = redisUtil;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {


        // 不同的请求资源,需要不同的权限

        if (request.getRequestURI().contains("/logout")) {
            String token = request.getHeader("token");
            Integer uid = Integer.parseInt(JwtUtil.parseJWT(token).getSubject());

            // 删除 token 使之过期
            redisUtil.del("token:" + uid);
            return true;

        } else if (true) {
            // 2.获取 token,并判断 是否具有 一定的权限
            return hasAuthority(request.getHeader("token"), "admin");
        }

        return false;

    }


    private boolean hasAuthority(String token, String authority) {
        if (token == null) {
            throw new RuntimeException("please login");
        }

        // 登录即可,无需任何权限
        if (authority == null) {
            return true;
        }



        // 2.解析出 用户id ----------------------------------------------
        Claims claims = null;
        try {
            claims = JwtUtil.parseJWT(token);
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("token error");
        }
        Integer uid = Integer.parseInt(claims.getSubject());
        System.out.println(uid);


        // 3.判断 token 是否过期 -----------------------------
        if (!(token).equals(redisUtil.get("token:"+uid))){
            throw new RuntimeException("token 过期");
        }

        // 4.查询 用户权限  ----------------------------------------------
        List<String> roles;
        if (redisUtil.hasKey("user:" + uid)) {
            // 查 redis
            Object o = redisUtil.get("user:" + uid);
            System.out.println(o);
            roles = (List<String>) (redisUtil.get("user:" + uid));
        } else {
            // 查 数据库
            roles = userService.getRolesById(uid);

            // 存入 redis
            redisUtil.set("user:" + uid, roles);
        }


        // 5.鉴权 --------------------------------------------------------
        if (roles.contains(authority)) {
            return true;
        } else {
            throw new RuntimeException("have no authority");
        }
    }
}

InterceptorConfig

@Component
public class InterceptorConfig extends WebMvcConfigurationSupport {

    final
    UserService userService;
    final RedisUtil redisUtil;

    public InterceptorConfig(UserService userService, RedisUtil redisUtil) {
        this.userService = userService;
        this.redisUtil = redisUtil;
    }

    @Override
    protected void addInterceptors(InterceptorRegistry registry) {

        // 白名单
        List<String> list = new ArrayList<>();
        list.add("/index");
        list.add("/user/register");
        list.add("/user/login");

        registry.addInterceptor(new AuthenticationInterceptor(userService, redisUtil))
                .excludePathPatterns(list)
                .addPathPatterns("/**").order(1);

    }
}

GlobalExceptionHandler

@RestControllerAdvice
//@Slf4j
public class GlobalExceptionHandler {

    @ExceptionHandler(value = Exception.class)
    public Result handlerException(HttpServletRequest request,Exception e) {
        System.out.println(e.getMessage());
        e.printStackTrace();
        return Result.error().data(e.getMessage());
    }
}
苹果不肖皮
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot使用拦截拦截验证签名sign
wuxiao3816的博客
04-25 2652
1生成签名 2使用拦截验证签名 2.1重写request,以读取存储二级制流 2.2配置过滤,将默认的request替换为重写的 2.3配置过滤 2.4写拦截 2.5配置拦截 1生成签名 import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.databind.ObjectMapper; import io.renren.common.utils.SM3Util; import
SpringBoot使用token简单的具体实现方法
08-25
拦截中,可以使用 token 进行,验证通过则放行,否则拒绝操作。 四、实现 token 的步骤 1. 用户登录请求登录接口时,验证用户名密码等,验证成功会返回给前端一个 token。 2. 后台可能将 token 存储在...
springboot拦截
weixin_38977651的博客
05-29 424
实现处理预处理,请求会先到这里,当这个方法返回值是true的时候表示处理可以正常往下执行,返回false,则不会继续执行处理的代码,一般用来身份验证和。在springboot中可以通过实现HandlerInterceptor接口实现拦截,这里主要介绍通过预处理做身份的方法。拦截:作用类似于Servlet中的Filter,用于对处理进行预处理和后处理。在视图渲染完毕时候调用,一般用来进行统一的异常处理,日志处理。是后处理回调方法,也就是控制完成后执行。
Spring Boot实现接口签名验证
最新发布
涛哥是个大帅比
04-23 1940
一个用于生成签名,另一个用于验证签名。生成签名的方法通常将请求参数按照特定规则计算出一个签名值。常见的签名算法有HMAC-SHA1、HMAC-SHA256等。验证签名的方法则是对接收到的请求参数进行同样的处理,并计算出一个签名值,然后与请求中携带的签名值进行比对。/*** 获取签名* @param secretKey 密钥* @param data 需要签名的数据* @return 签名*/try {/*** 验证签名* @param secretKey 密钥。
JWT拦截
taiguolaotu的博客
12-15 1024
Spring 拦截——HandlerInterceptor
东方一号蓝的博客
09-23 627
介绍Spring拦截——HandlerInterceptor的简单使用。采用注解的方式。
Spring boot之拦截的实现
xinzi11243094的博客
06-28 505
场景:由于用Spring boot编写了关于Ranger策略以及Hive脱敏相关的接口,并以http方式向外部提供。为了防止请求被非法模仿,因而编写了一个访问Ip 类,也就是设置了访问ip白名单,只有在白名单上的ip才可以访问接口。Spring boot自带HandlerInterceptor,可通过继承它来实现拦截功能,其的功能跟过滤类似,但是提供更精细的的控制能力:在request被响应...
springboot + jwt + websocket + 拦截
09-02
3. **拦截WebSocket连接**:为了增强安全性,可以使用Spring的WebSocket消息拦截(WebSocketMessageBrokerConfigurer)来拦截WebSocket连接请求,对JWT进行验证,只有当JWT有效时才允许建立WebSocket连接。...
认证starter
02-23
系统与系统间,api调用,需要认证,基于springboot的starter自动加载机制,完成似本地调用代码,基于feign的拦截实现,做到用户零代码,使用非常简单,改配置,maven引入,spring注入客户端api类,本地方法...
sureness认证框架.rar
07-11
无特定框架依赖(本质就是过滤拦截判断,已有springboot,quarkus,javalin,ktor等集成样例) 支持动态修改限配置(动态修改配置每个rest api谁有访问) 支持主流http容 servlet 和 jax-rs 支持多种认证策略, jwt...
SpringBoot集成SpringSecurity和JWT做登陆的实现
08-19
SpringBoot项目中集成SpringSecurity,我们需要配置安全拦截,定义哪些URL需要进行身份验证,哪些URL是公开的。然后,我们可以设置登录页面和登录处理控制,当用户成功登录时,系统会创建一个JWT令牌并返回给...
SpringBoot 、Shiro、 自定义注解限控制源码下载
04-06
6. **数据库连接与事务管理**:理解SpringBoot中如何配置数据源和事务管理,以及如何在服务层处理事务。 7. **日志和异常处理**:了解如何配置日志框架(如Logback、Log4j等)和全局异常处理。 通过这个项目,...
springboot springsecurity动态限控制
09-18
Spring Security是一个基于过滤链的安全框架,它通过拦截HTTP请求并执行一系列预定义或自定义的过滤来处理认证和授。在Spring Boot中,我们可以利用其自动配置特性快速设置安全环境。 1. **配置Spring ...
spring boot blog
10-10
在这个"spring boot blog"项目中,我们将深入探讨如何利用Spring Boot来构建一个博客应用,其中包括创建拦截以实现特定的功能增强,以及设置机制以确保应用的安全性。我们还将了解如何使用IntelliJ IDEA这款...
springboot整合Oauth2,GateWay实现网关登录授验证
12-14
然后,创建资源服务,配置必要的安全拦截,以验证OAuth2令牌。此外,我们还需要为用户提供注册和登录界面,处理授请求和回调。 接下来,Spring Gateway的角色是作为所有微服务的统一入口,它可以对所有请求...
SpringBoot下token短信验证登入登出限操作(token存放redis,ali短信接口)
08-25
对于限控制,可以在每个需要的API前添加`@PreAuthorize`或自定义的注解,结合Spring Security的拦截来判断Token的有效性,并解析Token中的用户信息和限。如果Token无效或过期,则返回相应的错误信息。 ...
springboot请求执行监控拦截拦截
文盲青年的博客
03-19 435
public class RestInterceptor extends HandlerInterceptorAdapter { private static final Logger logger = LoggerFactory.getLogger(HandlerInterceptorAdapter.class); private static ThreadLocal<Long> threadLocal = new ThreadLocal<>(); @
SpringBoot工具篇--使用拦截
拽着尾巴的鱼儿的博客
12-14 1146
使用拦截
SpringBoot使用拦截方式实现Jwt-token
weixin_44232093的博客
05-28 870
文章目录1. 环境配置2. JWT配置2.1 过滤2.2 拦截3. Controller层 1. 环境配置 pom.xml <!--jwt 依赖--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0
SpringBoot API 统一认证
06-10
SpringBoot API 统一认证可以通过以下步骤实现: 1. 配置 Spring Security:在 SpringBoot 中,可以通过 Spring Security 实现认证。在 pom.xml 文件中添加 Spring Security 依赖,然后在配置类中配置认证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值