基于cookie的简单鉴权与JWT鉴权

最新推荐文章于 2024-06-02 20:54:30 发布
最新推荐文章于 2024-06-02 20:54:30 发布
阅读量1k 收藏 1
点赞数
分类专栏: mvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/reee112/article/details/89886944
版权

1.基于cookie的简单登录校验

cookie鉴权在本文没有做token的加密,通过token/用户信息json键值对的方式存入redis,这样避免了session共享的问题,由于本文实现上省略了token加密,不能从cookie里解密拿到用户信息,再加上cookie有被伪造的风险,所以安全性较低.

有token加密的实现在本文JWT里有做

1.1 用户登录controler

 @ApiOperation(value = "用户登录", notes = "登录接口")
    @PostMapping("/login")
    public ApiResult login(@RequestBody Users uss, HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse) throws IOException {
        ApiResult apiResult = new ApiResult<>();
        Users us = new Users();
        us.setLoginname(uss.getLoginname());
        us.setPassword(uss.getPassword());
        Users userss = iUsersService.isUser(uss);
        if (userss != null) {

            String key = UUID.randomUUID().toString().substring(0, 16);
            LOG.info("往redis里塞值key:{},value:{}", key, userss.toString());
            ApiResult result = redisFeignClient.set(key, JSON.toJSONString(userss), MainConstants.TOKEN_LIFETIME);

            if (result.getCode() == CommonCode.SUCCESS.getKey()) {
                Cookie cookie = new Cookie(MainConstants.COOKIE_NAME, key);
                cookie.setMaxAge(MainConstants.COOKIE_LIFETIME);
                cookie.setPath("/");
                cookie.setDomain("");
                // cookie.setHttpOnly(true);
                httpServletResponse.addCookie(cookie);
            } else {
                apiResult.setMsg(CommonCode.ERROR.getValue());
                apiResult.setCode(CommonCode.ERROR.getKey());
                apiResult.setMsg("redis服务错误,请联系管理员");
                return apiResult;
            }
            apiResult.setData(userss);
            return apiResult;
        }
        apiResult.setMsg(CommonCode.ERROR.getValue());
        apiResult.setCode(CommonCode.ERROR.getKey());
        apiResult.setMsg("错误");
        return apiResult;
    }

1.2 cookie拦截器

public class TokenIntecptor implements HandlerInterceptor {

    // redis微服务
    private RedisFeignClient redisFeignClient;

    public TokenIntecptor(RedisFeignClient redisFeignClient) {
        this.redisFeignClient = redisFeignClient;
    }

    protected static Logger Log = LoggerFactory.getLogger(TokenIntecptor.class);

    /**
     * 处理前
     *
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {


        // 设置跨域
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Headers", "content-type");
        response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));

        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/html; charset=utf-8");

        if (null != request.getCookies()) {
         //   System.out.println("cookie长度" + request.getCookies().length);
            String token = null;
            for (Cookie cookie : request.getCookies()
                    ) {
                //  System.out.println("cookie name" + cookie.getName() + "cookie value" + cookie.getValue());
                if (MainConstants.COOKIE_NAME.equals(cookie.getName())) {
                    token = cookie.getValue();
                }
            }
          //  System.out.println("token是" + token);
            if (token != null) {
                ApiResult apiResult = redisFeignClient.get(token);
                // 判断redis返回是否能查到数据
                if (apiResult.getCode() == CommonCode.SUCCESS.getKey()) {
                    // 重新设置过期时间
                    redisFeignClient.getandsetexpire(token, MainConstants.TOKEN_LIFETIME);
                    // 将user塞入threadlocal中,方便线程获取user对象
                    String user = apiResult.getData().toString();
                    RequestHolder.add(JSON.parseObject(user, Users.class));

                    return true;
                } else {
                  //  System.out.println("cookie过期,重新登录");
                    PrintWriter printWriter = response.getWriter();
                    ApiResult result = new ApiResult<>();
                    result.setCode(CommonCode.TOKEN_INVALID.getKey());
                    result.setMsg("请重新登录");
                    printWriter.write(result.toString());
                    return false;
                }
            }
        } else {
            PrintWriter printWriter = response.getWriter();
           // System.out.println("未携带cookie,重新登录");
            ApiResult result = new ApiResult<>();
            result.setCode(CommonCode.TOKEN_INVALID.getKey());
            result.setMsg("请重新登录");
            printWriter.write(result.toString());
            return false;
        }
        PrintWriter printWriter = response.getWriter();
       // System.out.println("未携带cookie,重新登录");
        ApiResult result = new ApiResult<>();
        result.setCode(CommonCode.TOKEN_INVALID.getKey());
        result.setMsg("请重新登录");
        printWriter.write(result.toString());
        return false;
    }


    /**
     * 处理后调用(正常)
     *
     * @param request
     * @param response
     * @param handler
     * @param modelAndView
     * @throws Exception
     */
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    /**
     * 处理后调用(任何情况)
     *
     * @param request
     * @param response
     * @param handler
     * @param ex
     * @throws Exception
     */
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

        // 清除threadlocal存储信息,防止内存泄漏
        removeThreadLocalInfo();
    }

    /**
     * 移除信息,包括数据源类型,与user信息
     */
    public void removeThreadLocalInfo() {
        DbContextHolder.clearDbType();
        RequestHolder.remove();
    }

1.3 cookie拦截器配置类

@Configuration
public class InterceptorConfig extends WebMvcConfigurerAdapter {

    // 将redisFeignClient作为TokenIntecptor构造方法的传参,避免了由于Spring         
    // bean加载顺序的原因导致在TokenIntecptor中redisFeignClient注入失败
    @Autowired
    RedisFeignClient redisFeignClient;


    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //注册自定义拦截器,添加拦截路径和排除拦截路径
        registry.addInterceptor(new TokenIntecptor(redisFeignClient)).addPathPatterns("/**")
                // 排除用户登录
                .excludePathPatterns("/user/login")
                .excludePathPatterns("/user/logout");           
    }

1.4   ThreadLocal线程获取对象类

用以方便从线程中拿到对象

public class RequestHolder {
    private static final ThreadLocal<Users> userHolder = new ThreadLocal<Users>();

    private static final ThreadLocal<HttpServletRequest> requestHolder = new ThreadLocal<>();

    public static void add(Users sysUser){
        userHolder.set(sysUser);
    }

    public static void add(HttpServletRequest request){
        requestHolder.set(request);
    }

    public static Users getCurrentUser(){
        return userHolder.get();
    }

    public static HttpServletRequest getCurrentRequest(){
        return requestHolder.get();
    }

    public static void remove(){
        userHolder.remove();
        requestHolder.remove();
    }

}

2. JWT鉴权

cookie与jwt都是将认证信息返回给了客户端,最主要的区别是JWT不存在cookie跨域的问题.

2.1 jwt依赖

                <dependency>
			<groupId>io.jsonwebtoken</groupId>
			<artifactId>jjwt</artifactId>
			<version>0.7.0</version>
		</dependency>

2.2 jwt工具类

@Component
public class JwtUtil {
    @Value("${jwt.key}")
    private String key;
    @Value("${jwt.ttl}")
    private long ttl;//一个小时

    public String getKey() {
        return key;
    }

    public void setKey(String key) {
        this.key = key;
    }

    public long getTtl() {
        return ttl;
    }

    public void setTtl(long ttl) {
        this.ttl = ttl;
    }

    /**
     * 生成JWT
     *
     * @param id
     * @param subject
     * @return
     */
    public String createJWT(String id, String subject, String roles) {
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        JwtBuilder builder = Jwts.builder().setId(id)
                .setSubject(subject)
                .setIssuedAt(now)
                // SHA256
                .signWith(SignatureAlgorithm.HS256, key).claim("roles",
                        roles);
        if (ttl > 0) {
            builder.setExpiration(new Date(nowMillis + ttl));
        }
        return builder.compact();
    }

    /**
     * 解析JWT
     *
     * @param jwtStr
     * @return
     */
    public Claims parseJWT(String jwtStr) {
        return Jwts.parser()
                .setSigningKey(key)
                .parseClaimsJws(jwtStr)
                .getBody();
    }
}

2.3 用户登录controller

 @Autowired
    private JwtUtil jwtUtil;

    /**
     * 用户登陆
     *
     * @param loginname
     * @param password
     * @return
     */
    @RequestMapping(value = "/login", method = RequestMethod.POST)
    public Result login(@RequestBody Map<String, String> loginMap) {
        Admin admin =
                adminService.findByLoginnameAndPassword(loginMap.get("loginname"),
                        loginMap.get("password"));
        if (admin != null) {
//生成token
            String token = jwtUtil.createJWT(admin.getId(),
                    admin.getLoginname(), "admin");
            Map map = new HashMap();
            map.put("token", token);
            map.put("name", admin.getLoginname());//登陆名
            return new Result(true, StatusCode.OK, "登陆成功", map);
        } else {
            return new Result(false, StatusCode.LOGINERROR, "用户名或密码错
                    误");
        }
    }

2.4 token拦截器

    @Configuration
    public class JwtFilter extends HandlerInterceptorAdapter {
        @Autowired
        private JwtUtil jwtUtil;

        @Override
        public boolean preHandle(HttpServletRequest request,
                                 HttpServletResponse response, Object handler) throws Exception {
            System.out.println("经过了拦截器");
            final String authHeader = request.getHeader("Authorization");
            if (authHeader != null && authHeader.startsWith("Bearer ")) {
                final String token = authHeader.substring(7); // The part
                after "Bearer "
                Claims claims = jwtUtil.parseJWT(token);
                if (claims != null) {
                    if ("admin".equals(claims.get("roles"))) {//如果是管理员
                        request.setAttribute("admin_claims", claims);
                    }
                    if ("user".equals(claims.get("roles"))) {//如果是用户
                        request.setAttribute("user_claims", claims);
                    }
                }
            }
            return true;
        }
    }

 

2.5 拦截器配置类

  @Configuration
    public class ApplicationConfig extends WebMvcConfigurationSupport {
        @Autowired
        private JwtFilter jwtFilter;
        @Override
        public void addInterceptors(InterceptorRegistry registry) {
            registry.addInterceptor(jwtFilter).
                    addPathPatterns("/**").
                    excludePathPatterns("/**/login");
        }
    }

 

长江水面写日记
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
react jwt_React身份验证:如何在Cookie中存储JWT
weixin_26722031的博客
08-31 1825
react jwt 重点 (Top highlight)???? Say hi to me on Twitter! ????在 Twitter上 对我问好 ! If you have a React app that needs to access data, perhaps your setup looks like this: 如果您有一个需要访问数据的React应用,则您的设置可能如下所示: If ...
cookie中的JWT身份验证
08-16
使用Postgresql+EF,.Net Core webapi中实现Cookie 中验证JWT,并且附有自定义权限策略
理解cookietokenJWT
小猴子的博客
07-23 773
文章目录理解cookietokenJWT) 理解cookietokenJWT
JWT工具类
最新发布
qq_62880571的博客
06-02 135
【代码】JWT工具类。
Cookie认证下验证JWT
wyf
05-16 519
ASP.NET Core中的cookies 认证不支持传递jwt。需要自定义实现 ISecureDataFormat接口的类。现在,你只是验证token,不是生成它们,只需要实现Unprotect方法,其他的交给System.IdentityModel.Tokens.Jwt.JwtSecurityTokenHandler这个类处理。 using System; using System.Id...
jwt+cookie 实现sso
wangjianwangzhefeng的博客
04-22 1103
看图理解JWT如何用于单点登录 阅读目录 前言 方案介绍 方案总结 本文小结 单点登录是我比较喜欢的一个技术解决方案,一方面他能够提高产品使用的便利性,另一方面他分离了各个应用都需要的登录服务,对性能以及工作量都有好处。自从上次研究过JWT如何应用于会话管理,加之以前的项目中也一直在使用CAS这个比较流行的单点登录框架,所以就一直在琢磨如何能够把JWT跟单点登录结合起来一起使用,尽量能把两种技术的...
JWT授权鉴权--相当nice
08-14
3. 客户端将JWT保存(例如在Cookie或LocalStorage中),并附带在后续对受保护资源的请求中。 4. 服务器验证JWT的有效性,如果有效,允许访问受保护的资源。 JWT的优势在于: - 无状态:服务器不需要存储会话信息,...
Oauth-jwt网关鉴权等项目系统认证的知识
09-01
在网关层实现OAuth-JWT鉴权,通常是这样运作的: 1. 用户登录时,服务器会通过OAuth流程生成一个JWT访问令牌。 2. 服务器返回这个JWT给客户端,客户端将其存储(例如在Cookie或LocalStorage中)。 3. 当客户端发起...
php实现JWT(json web token)鉴权实例详解
01-03
基于token的身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { alg: HS256, typ: JWT } 对应base64UrlEncode编码为:...
前后端常见的几种鉴权方式(小结)
10-16
Session-Cookie鉴权是传统Web应用中常用的方式。当用户登录成功后,服务器创建一个session对象存储用户信息,并将session ID以cookie的形式发送给客户端。之后的每次请求,客户端都会携带这个session ID,服务器...
聊聊鉴权那些事(推荐)
10-16
首先,让我们来看Session/Cookie鉴权。Session是在服务器端存储用户状态的一种方法,通常用于跟踪用户会话。当用户登录成功后,服务器创建一个Session对象,里面存储用户的登录信息,然后将Session ID通过Cookie返回...
asp.core 同时兼容JWT身份验证和Cookies 身份验证两种模式
虚幻私塾
02-14 370
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 在实际使用中,可能会遇到,aspi接口验证和view页面的登录验证情况。asp.core 同样支持两种兼容。 首先在startup.cs 启用身份验证。 var secrityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBy
JAVA基础 - token session cookie
zs1972551648的博客
02-28 1402
token session cookie
JWTCookie、Session
m0_61504888的博客
09-23 142
Cookie 定义:是由服务器端生成,发送给浏览器,浏览器会将cookie中key/value保存到某个目录下的文本文件内,下次请求同一网站时将自动发送该cookie给浏览器 特点: 1、是以键值队的格式存储数据的 2、不同域名之间的cookie是不能互相访问的 3、当浏览器请求某网站时,会将所关联的cookie发送给浏览器 Session 应用:对于一些相对于很敏感的信息,一般是由session保存在服务器端进行状态保持 Django项目默认...
JWT实现鉴权
柠檬树
03-10 8841
一、前言 JWT全称JSON Web Token,是一种基于JSON的,用于在网络上声明某种主张的令牌(Token)。JWT通常由三部分组成:头信息(header)、消息体(payload)、签名(signature)。 头信息(Header)指定了该JWT使用的签名算法: header = '{"alg":"HS256","typ":"...
一篇文章带你了解 cookie+session+jwt+OAuth 四大金刚
qq_43477721的博客
04-08 385
鉴权就是判断用户是否有权利登录该网站 鉴权的过程 常见的鉴权 Session / Cookie 优点 - 较易扩展 - 简单 缺点 - 安全性低 - 性能低,服务端存储 - 多服务器同步 seesion 困难 - 跨平台困难 JWT(JSON Web Token) 优点 - 易扩展 - 支持移动设备 - 跨应用调用 - 安全 - 承...
cookie, session,token鉴权
qq_36697780的博客
04-11 448
一、cookie 什么是cookiecookie是服务器产生的存储在客户端的一小段文本信息。格式是字典,键值对。 cookie的分类? 会话级:保存内容,当浏览器关闭就会丢失 持久化:保存硬盘,只有当失效时间到了才会被清除 如何查看cookie? 包含name,value,domain,path,expire ...
第03讲:Security之用户鉴权
分享日常工作技术
12-16 1158
loginPage:设置登陆页面,当前案例登陆页面的位置是/resources/static/login.htmlloginProcessingUrl:设置登陆访问的路径(该路径固定,是Security自己定义好的controller,所以不要修改)defaultSuccessUrl:设置从login.html登陆成功之后跳转的路径,如果是从其他url访问,并且通过了认证,是不走这个 defaultSuccessUrl配置的路径的,直接跳转到当前访问的url
用户服务—基于JWTToken认证实现登录鉴权接口
shenzhen_zsw的专栏
04-22 2123
目录 用户服务—基于JWTToken认证实现登录鉴权接口 基于session身份认证方案 基于token身份认证方案 JWT介绍 pom.xml JwtHelper 登录鉴权 获取用户信息 用户服务—基于JWTToken认证实现登录鉴权接口 基于session身份认证方案 基于token身份认证方案 JWT介绍 ...
springboot+springseurity+jwt进行登录鉴权
08-03
Spring Boot是一个基于Spring框架的快速开发的工具,它简化了Spring应用程序的配置和部署。 Spring Security是一个用于身份验证和授权的强大框架,它提供了一种灵活的方式来保护应用程序的安全性。 JWT(JSON Web Token)是一种用于安全传输信息的开放标准,它使用JSON对象进行安全传输。它是一种无状态的鉴权方式,服务器不需要存储用户的状态信息。 在使用Spring Boot和Spring Security进行登录鉴权时,可以借助JWT来进行身份验证。 首先,需要配置Spring Security来处理用户的登录请求和验证。可以使用Spring Security提供的身份验证过滤器来进行用户名和密码的验证。验证成功后,可以生成一个JWT,并返回给客户端。 在客户端接收到JWT后,将其存储在本地(通常是在前端Cookie或LocalStorage中)。在进行后续的请求时,需要将JWT作为请求的头部信息中的Authorization字段发送给服务器。 服务器在接收到请求时,会先验证JWT的合法性,验证通过后可以根据JWT中的信息来进行后续的鉴权操作。 可以在服务器端配置一个自定义的JWT过滤器,用于验证JWT的合法性,并根据JWT中的信息来进行鉴权操作。可以根据需要从JWT中解析出用户的角色和权限信息,并根据这些信息来进行接口的访问控制。 通过以上的配置,可以实现基于Spring Boot、Spring Security和JWT登录鉴权机制。这样可以保证系统的安全性,同时也能提高开发效率和灵活性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值