Cookie、Token、Redis混合使用

最新推荐文章于 2024-05-30 22:53:25 发布
最新推荐文章于 2024-05-30 22:53:25 发布
阅读量3.7k 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011302734/article/details/76438327
版权

在集群中,我们一般不会使用session,我们一般构造一个Cookie放入cookie和redis中。这里的token不是restful中的token,而是通过浏览器访问的token。restful的token不需要cookie,就是用responseEntity返回的。

Cookie的生命周期如果创建时不指定(也就是默认值<0),那么是指到浏览器关闭时,cookie就消失了。所以这里就要注意了,如果浏览器未关闭时,只要与应用程序有一次交互,就要延长redis中的token时间。否则就出现不管操作与不操作,在30分钟后都会找不到redis中的token,这就不合理了。

controller中doLogin()方法:

 

	@RequestMapping(value = "doLogin", method = RequestMethod.POST)
	@ResponseBody
	public Map<String, Object> doLogin(User user, HttpServletRequest request, HttpServletResponse response) {
		Map<String, Object> map = new HashMap<>();
		try {
			String token = userService.doLogin(user.getUsername(), user.getPassword());
			if (StringUtils.isEmpty(token)) {
				map.put("status", 500);
				return map;
			}
			CookieUtils.setCookie(request, response, TOKEN_NAME, token);
			map.put("status", 200);
		} catch (Exception e) {
			map.put("status", 500);
			e.printStackTrace();
			return map;
		}
		return map;
	}@RequestMapping(value = "doLogin", method = RequestMethod.POST)
	@ResponseBody
	public Map<String, Object> doLogin(User user, HttpServletRequest request, HttpServletResponse response) {
		Map<String, Object> map = new HashMap<>();
		try {
			String token = userService.doLogin(user.getUsername(), user.getPassword());
			if (StringUtils.isEmpty(token)) {
				map.put("status", 500);
				return map;
			}
			CookieUtils.setCookie(request, response, TOKEN_NAME, token);
			map.put("status", 200);
		} catch (Exception e) {
			map.put("status", 500);
			e.printStackTrace();
			return map;
		}
		return map;
	}

这里没有使用Restful格式,所以状态200或500都是业务状态,不是http状态。

个人理解controller一般要去做try-catch,而service层要做抛异常操作。

返回类型为Map的话,对于前台json接收也是很方便的,data.xxx就是Map中get(xxx)的返回值。

controller中操作cookie(写cookie,名为自定义,值为token)

service中操作校验以及redis存储。这里redis不在作为缓存,而是作为数据库,所以它和业务是绑定的,即:如果redis报错,业务也应报错。而不像缓存。

service方法:

public String doLogin(String username, String password) throws Exception {
		User record = new User();
		record.setUsername(username);
		User user = userMapper.selectOne(record);
		if (user == null) {
			return null;
		}
		if (!StringUtils.equals(DigestUtils.md5Hex(password), user.getPassword())) {
			return null;
		}
		String token = DigestUtils.md5Hex(username + System.currentTimeMillis());
		redisService.set("TOKEN_" + token, user, 30L);
		return token;
	}

如果我们在做redis存user对象时,不想序列化password,那么只要在User类上的password上加@JsonIgnore。注意:@JsonIgnoreProperties(ignoreUnknown = true)用在类上,一般在string转object时用。如果字段上用@JsonIgnore,那么我的理解是在用object转string时会忽略,反过来转化时如果字符串没有该字段也不会报错(这和JsonIgnoreProperties一致)。用这种方式要求restTemplate的泛型为<String,String>并结合ObjectMapper的writeValueAsString和readValue比较好。而不是使用RedisTemplate<Serializable, Serializable>,同时RedisSerializer要用StringRedisSerializer。RedisTemplate和RedisSerializer要一致,RedisTemplate主要用opsForValue方法

 

当有与应用程序交互时,可以在过滤器或拦截器中使用redisService.expire("TOKEN_" + token, 30L);(redisTemplate.expire(key, minutes, TimeUnit.MINUTES);)

当用户退出(logout方法),controller层删除cookie(时间设为0),service层删除redis中的token对应的user。redisTemplate.delete(key);key的为自定义的如“TOKEN_”+token值。我们不用写代码去判断token时间是否超时,因为redis能够自动对超时的token进行删除,使用redis就必须在拦截器中对每一次业务请求进行redisService.expire("TOKEN_" + token, 30L);重新设置过期时间,不是在原来基础上延长。之前的session每次都会自动更新过期时间。

 

 


 

 

 

 

 

 

 

 

其中setCookie的方法是

if (cookieValue == null) {

cookieValue = "";
} else if (isEncode) {
cookieValue = URLEncoder.encode(cookieValue, "utf-8");
}
Cookie cookie = new Cookie(cookieName, cookieValue);
if (cookieMaxage > 0) {
cookie.setMaxAge(cookieMaxage);
}
if (null != request) {
cookie.setDomain(getDomainName(request));
}
cookie.setPath("/");
response.addCookie(cookie);

redis使用

JdkSerializationRedisSerializer jdkSerializer = new JdkSerializationRedisSerializer();

@Autowired

private RedisTemplate<Serializable, Serializable> redisTemplate;

redisTemplate.opsForValue().set(key, jdkSerializer.serialize(value), minutes, TimeUnit.MINUTES);

其中value就是user对象

登录时,会在拦截器中通过CookieUtils.getCookieValue(request, TOKEN_NAME);得到token值

getCookieValue的方法是

Cookie[] cookieList = request.getCookies();
if ((cookieList == null) || (cookieName == null)){
return null;
}
String retValue = null;
try {
for (int i = 0; i < cookieList.length; i++) {
if (cookieList[i].getName().equals(cookieName)) {
if (isDecoder) {
retValue = URLDecoder.decode(cookieList[i].getValue(), "UTF-8");
} else {
retValue = cookieList[i].getValue();
}
break;
}
}
} catch (UnsupportedEncodingException e) {
logger.error("Cookie Decode Error.", e);
}

return retValue;

最终调用redis的

Object obj = redisTemplate.opsForValue().get(key);

return jdkSerializer.deserialize((byte[]) obj);强转成user

然后去比较即可,注意在拦截器中一旦通过,那么要延长redis中token的时间,而浏览器中的cookie由于设了-1,所以只要浏览器不关闭,就一直在

qianjiayinuo
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot结合RedisToken存入缓存中进行登录
m0_74436268的博客
06-14 2637
将登录的Token存储在Redis中可以带来以下好处:提高安全性:将Token存储在Redis中,比将Token保存在本地Cookie或浏览器存储中更加安全,因为攻击者无法访问您的服务器上存储的Token。此外,由于Redis支持设置过期时间,可以通过设置Token的过期时间来自动删除旧Token,进一步提高安全性。分布式部署:如果您的应用程序采用分布式部署架构,则在每个节点上保存Token可能不是最佳选择,因为这会增加管理和同步Token的复杂性。
springMVC的controller中获取request,response对象的两个方法
Ark方舟
12-03 1245
@GetMapping("outLogin") public String outLogin(){ ServletRequestAttributes attributes=(ServletRequestAttributes)RequestContextHolder.getRequestAttributes(); HttpServ...
redis缓存token设置jwt令牌过期时间
最新发布
2202_75352238的博客
05-30 876
在上文中 我们已经设置了自定义登录接口自定义拦截器jwt登录校验接口模拟账号登录_jwt自定义拦截器-CSDN博客但是上文jwt过期时间是由yml文件中配置的,比较不优雅,我们今天来用redis缓存token 的方法来进行 jwt的过期设置。
session和cookietoken
Myuanforever的博客
06-28 198
session
一文必懂cookie+session、token区别和用法
weixin_45629623的博客
08-16 3902
首先要明白cookie+session、token。是两套东西,并且session不是前端存储的session 什么是session+cookie? seesion+cookie 举例:第一次请求时候,服务器生成一个信物,并要求客户端也定一个信物。每次请求时候你都带上信物,你我信物一比对,欧了。信物有过期时间。服务器会生成一个信物储物柜(占空间),用来存取信物(cookie),本质是空间换时间,时间即没有计算耗时。 什么是token? token 举例:一开始登录给你一个暗号,定一套密钥,下次你发起
request,response ,cookies的常用几种方法
qq_35598240的博客
03-28 7653
String fullContentType = "application/json;charset=UTF-8"; response.setContentType(fullContentType);//告知客户端响应正文类型  response.setHeader("Cache-Control", "no-cache");//控制浏览器不要缓存 //设置允许跨域response.setHeade...
Laravel的Auth验证Token验证使用自定义Redis的例子
10-16
今天小编就为大家分享一篇Laravel的Auth验证Token验证使用自定义Redis的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
springboot+redis+token保持登录
08-03
下面是如何使用Spring Boot、RedisToken实现登录保持的步骤: 1. **配置Spring Boot**: 首先,我们需要在Spring Boot项目中引入相关依赖,包括Spring Security、Spring Session(用于Redis集成)和Redis的连接库...
api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr
09-24
`api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr`这个标题暗示了我们在讨论一个使用Redis作为存储机制,来处理Django框架中的Token验证的场景。这里的`exclaimedthp`和`roselgr`可能是项目或特定组件的...
Golang CookieToken使用
01-20
func GetXXX(ctx *gin.Context){ ... fmt.Println(uri) req:= GetInfo(uri) resp, err := client.Do(req) if err != nil { fmt.Println(访问接口出错) } body := resp.Body defer body.Close() ...
nginx+lua+redis实现token验证
09-29
例如,我们可以编写一个`lua`脚本来从请求头中提取`token`,然后使用`redis`进行验证。`lua`连接`redis`的库,如`lua-resty-redis`,可以帮助我们与`redis`进行通信,查询或设置键值。 以下是`lua`连接`redis`的一...
vue3中,js-cookie使用 & token之获取token-getToken()、存储token-setToken()、移除token-removeToken()
weixin_44867717的博客
03-27 762
【代码】vue3中,js-cookie使用 & token之获取token-getToken()、存储token-setToken()、移除token-removeToken()
整合tokencookie实现登陆及验证,实现跨域前后端分离
四十岁后转行程序员的博客
06-22 1925
session管理支持cookie token两种方式
【微思探索】【实战】账号系统有了cookie,为什么还需要token
koukou2009的博客
07-22 1423
大家在使用很多网站的过程中,实际上都只需要cookie来管理用户session就够了,然而实际上,笔者认为如果在cookie的基础上,再加入用户的token,两者共同来管理用户的session,那就更加完美了。 以我新上线的网站微思探索为例,我们使用cookie的同时,也增加了token作为用户的另外一重身份认证机制。 众所周知,cookie存在CSRF窃取session的问题,当然你可以通...
安全的cookietoken机制
kekefen01的博客
12-16 1380
单独使用cookie或者token都是不够安全的。 单独使用token做验证:不够安全,只要XSS就会被窃取token,黑客可以随意执行任何操作。 单独使用cookie做验证:会遭遇csrf攻击 正确的策略:使用cookie,并配置httpOnly,可以防止被js读取cookie。设置csrftoken,防止csrf攻击。设置正确的CSP白名单策略,防止XSS后读取csrftoken。 这样,哪怕被XSS得手,还得继续执行csrf攻击才能执行特定的操作。 ...
身份验证——Cookie&Session&Token&JWT
weixin_44915595的博客
12-17 1194
什么是凭证 在互联网应用中,一般网站(如掘金)会有两种模式,游客模式和登录模式。游客模式下,可以正常浏览网站上面的文章,一旦想要点赞/收藏/分享文章,就需要登录或者注册账号。当用户登录成功后,服务器会给该用户使用的浏览器颁发一个令牌(token),这个令牌用来表明你的身份,每次浏览器发送请求时会带上这个令牌,就可以使用游客模式下无法使用的功能。 Cookie HTTP是无状态的协议(对于事务处理没有记忆能力,每次客户端与服务器会话完成后,服务端不会保存任何会话信息):每个请求都是完全独立的,服务端无法确认当
【实战】cookie+token实现网站『持久登录』
小管打天下的博客
09-04 1679
一、基础概念 (1)正确获取复选框数据 javascript <input type="checkbox" name="body[]" value="fb"/> 中括号的作用是告诉后端它是一个数组 (2)语义化 因为HTML不具备语义化所以HTML5出了很多标签 同时举例,input将type值设置为submit/reset也可以实现提交和重置,但是因为不够具备语义化所以将用button来实现表单的提交和重置 (3)合法性 合法性的意思并不是数据长度够不够,而是制定了一套规则,提交的数据是否符
ICCV 2023 | 中科大联合 MSRA 提出轻量级神经网络架构 AFFNet: 自适应频率滤波器
专注计算机视觉全栈知识分享
08-12 1104
目前主流的三大视觉基础架构:CNN、Transformer 和 MLP,在各大视觉任务上均表现良好,很大一部分原因功于它们在全局范围内有效的信息融合。然而,由于自注意力机制、大卷积核和全连接层的高计算成本,特别是在移动设备上的高效部署仍然存在挑战。通过引入自适应频率滤波(AFF)token混合器,本文提出了一种新颖的全局token混合方法,并构建了一种轻量级视觉网络架构AFFNet。该方法有效地克服了传统深度学习模型在移动和边缘设备上的计算挑战,并展示了在广泛视觉任务上的卓越性能。
Token + Cookie 登录验证
YUAN_YONG_的博客
07-21 1955
一、完整流程 1.登录:通过用户名和密码发送请求。 2.服务器端程序验证用户身份的合法性,若用户存在,服务器端程序则返回一个带签名的token。 3.客户端将token储存到cookie中,并且每次访问API都携带Token到服务端。 4.服务端验证token,校验成功则返回请求数据,校验失败则返回错误码。 二、具体实现 1、用户首次发起登录请求,携带用户名和密码 2、服务端首先进行用户身份校验,若存在该用户,则生成token。 Controller: @ApiOperation("登录") @R
token redis
05-14
Redis中的“token”通常指的是访问令牌(access token),它是一种用于身份验证和授权的凭证,通常用于访问第三方应用程序或API。在Redis中,可以使用字符串数据类型来存储和管理访问令牌。可以使用Redis提供的命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值