springboot后端实现携带token登陆

最新推荐文章于 2024-05-07 15:49:19 发布
最新推荐文章于 2024-05-07 15:49:19 发布
阅读量2.8k 收藏 5
点赞数 2
文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011518365/article/details/115468130
版权

实现思路

使用oauth2+redis+mysql来完成登陆校验,本案例使用oauth2简单的密码模式来实现。
最终实现的效果为:

  • 登陆页面不设置权限审核,用户通过登陆界面登陆,输入账户密码,后端接收到账户密码之后会去数据库验证,如果验证通过,则返回token给前端。
  • 除了登陆页面之外,其余的页面访问的时候会进行权限的鉴定,如果携带的token对应用户的权限不足或没有携带token、携带了错误的token,不允许访问。
  • token具有时限,超时token会失效,可以通过refresh_token来刷新token的持续时间。

项目结构

项目的结构为:

├─.idea
│  └─dictionaries
├─log
├─src
│  ├─main
│  │  ├─java
│  │  │  └─Rush
│  │  │      ├─config
│  │  │      ├─controller
│  │  │      ├─mapper
│  │  │      ├─pojo
│  │  │      ├─service
│  │  │      └─util
│  │  └─resource
│  └─test
│
└─target

项目的重点其实也就在于config包内
config包内定义了4个类

  1. AuthorizationServerConfig
  2. ResourceServerConfig
  3. WebSecurityConfig
  4. CORSFilter「额外针对OAuth跨域问题」

除此之外,继承了UserDetails接口的User类,继承UserDetailsService类的UserService类也很关键。
除了这6个类之外,别的类和普通mybatis项目无异

  • AuthorizationServerConfig
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.store.redis.RedisTokenStore;
import org.springframework.web.bind.annotation.CrossOrigin;

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig
        extends AuthorizationServerConfigurerAdapter {
    @Autowired
    AuthenticationManager authenticationManager;
    @Autowired
    RedisConnectionFactory redisConnectionFactory;
    @Autowired
    UserDetailsService userDetailsService;
    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
    @Override
    public void configure(ClientDetailsServiceConfigurer clients)
            throws Exception {
        clients.inMemory()
                .withClient("password")
                .authorizedGrantTypes("password", "refresh_token")
                .accessTokenValiditySeconds(1800)
                .resourceIds("rid")
                .scopes("all")
                .secret("$2a$10$RMuFXGQ5AtH4wOvkUqyvuecpqUSeoxZYqilXzbz50dceRsga.WYiq");
    }
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints)
            throws Exception {
        endpoints.tokenStore(new RedisTokenStore(redisConnectionFactory))
                .authenticationManager(authenticationManager)
                .userDetailsService(userDetailsService);
    }
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security)
            throws Exception {
        security.allowFormAuthenticationForClients();
    }
}
  • ResourceServerConfig
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.web.bind.annotation.CrossOrigin;

@Configuration
@EnableResourceServer
public class ResourceServerConfig
        extends ResourceServerConfigurerAdapter {
    @Override
    public void configure(ResourceServerSecurityConfigurer resources)
            throws Exception {
        resources.resourceId("rid").stateless(true);
    }
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("admin")
                .antMatchers("/user/**").hasAnyRole("user","admin")
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginProcessingUrl("/home").permitAll()
                .and()
                .csrf().disable();
    }
}
  • WebSecurityConfig
import bocRush.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.web.bind.annotation.CrossOrigin;

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    UserService userService;

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
    @Bean
    @Override
    protected UserDetailsService userDetailsService() {
        return super.userDetailsService();
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//        auth.inMemoryAuthentication()
//                .withUser("admin")
//                .password("$2a$10$RMuFXGQ5AtH4wOvkUqyvuecpqUSeoxZYqilXzbz50dceRsga.WYiq")
//                .roles("admin")
//                .and()
//                .withUser("sang")
//                .password("$2a$10$RMuFXGQ5AtH4wOvkUqyvuecpqUSeoxZYqilXzbz50dceRsga.WYiq")
//                .roles("user");
        auth.userDetailsService(userService);
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.antMatcher("/oauth/**").authorizeRequests()
                .antMatchers("/oauth/**").permitAll()
                .and().cors()
                .and().csrf().disable();
    }
}
  • CORSFilter
/**
 * Date   : 2021/3/25 17:48
 * Author : nicolas
 */
import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;


/*全局跨域配置*/
@Order(Ordered.HIGHEST_PRECEDENCE)
@Configuration
public class CORSFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest,
                         ServletResponse servletResponse,
                         FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "POST,GET,OPTIONS,PUT,DELETE,PATCH,HEAD");
        response.setHeader("Access-Control-Allow-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "*");
        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            filterChain.doFilter(servletRequest, servletResponse);
        }
    }

    @Override
    public void destroy() {

    }
}
  • User
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

public class User implements UserDetails {
    private Integer id;
    private String username;
    private String password;
    private Boolean enabled;
    private Boolean locked;
    private List<Role> roles;
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for (Role role : roles) {
            authorities.add(new SimpleGrantedAuthority("ROLE_" + role.getName()));
        }
        return authorities;
    }
    @Override
    public String getPassword() {
        return password;
    }
    @Override
    public String getUsername() {
        return username;
    }
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    @Override
    public boolean isAccountNonLocked() {
        return !locked;
    }
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    @Override
    public boolean isEnabled() {
        return enabled;
    }
    //省略getter/setter

    public Integer getId() {
        return id;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }


    public void setEnabled(Boolean enabled) {
        this.enabled = enabled;
    }

    public Boolean getLocked() {
        return locked;
    }

    public void setLocked(Boolean locked) {
        this.locked = locked;
    }

    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }

}
  • UserService
import bocRush.mapper.UserInfoMapper;
import bocRush.mapper.UserMapper;
import bocRush.pojo.User;
import bocRush.pojo.UserInfo;
import org.apache.ibatis.annotations.Param;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class UserService implements UserDetailsService {
    @Autowired
    UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userMapper.loadUserByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("账户不存在!");
        }
        user.setRoles(userMapper.getUserRolesByUid(user.getId()));
        //System.out.println(user.getRoles().get(1).getName() + " --- " + user.getUsername());
        return user;
    }
}

对于接口的传参数

获取token

使用POST方法

http://localhost:8080/oauth/token?username=sang&password=123&grant_type=password&client_id=password&scope=all&client_secret=123

刷新token

使用POST方法

http://localhost:8080/oauth/token?grant_type=refresh_token&refresh_token=1a1c67a0-5f9b-49b1-9f95-dc7889c85cf5&client_id=password&client_secret=123

携带token访问资源

  • 在url内直接携带token
    GET方法
http://localhost:8080/user/hello?access_token=9bdde947-19b7-46fe-8fe0-0f2804150768
  • 在header内携带token
    GET方法
http://localhost:8080/admin/hello
------------Header----------------
Authorization : bearer 3929d92d-f5be-4b2d-9223-8b13e2412f14
Accept : application/json
nicolaszorth
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringBoot基于token的请求验证
一路向北的博客
09-09 4580
SpringBoot实现基于Token的请求验证
SpringBoot实现token登录
m0_52012606的博客
03-23 9443
在进行登录验证时,我们需要session或cookie会话进行验证,客户端包括浏览器、app、微信小程序、公众号,只有浏览器有session和cookie机制,当我们脱离浏览器用app等向服务端发请求就没有session和cookie机制,这时我们就需要使用token令牌进行登录验证。...
千峰商城-springboot项目搭建-55-通过Header传递token
LYly_B的博客
07-14 655
前端但凡访问受限资源,都必须携带token发送请求。token可以通过请求行(params)、请求头(header)以及请求体(data)传递,但是习惯性使用header传递。 1.axios通过请求头传值 axios({ method:"get", url:...
Springboot 整合JWT (token)+mybatis+自定义注解 实现简单的登录拦截模块
最新发布
2401_83330354的博客
05-07 273
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
【保姆级教程】Spring Boot单元测试(Controller层的Header处有Token验证的详细示例代码),文末介绍Postman 的基本使用
热门推荐
小名同学
01-10 5万+
文章目录一、 单元测试的概念二、单元测试的作用三、Spring Boot引入的MockMvc的概念四、Service层的单元测试五、Controller层的单元测试六、断言的概念七、新断言assertThat使用八、Postman与Spring Boot 单元测试的区别九、Postman基本用法 一、 单元测试的概念 概念: 单元测试(unit testing),是指对软件中的最小可测试单元进行检查和验证。在Java中单元测试的最小单元是类。 单元测试是开发者编的一小段代码,用于检验被测代码的一个很小的
SpringBoot集成Token
少年闰土
03-14 1132
在项目开发中,Token 是常见且重要的一个功能,目前对于 Token 设计有很多成熟的方案;比如使用 Redis 存储管理 Token,不过这种方式需要而额外集成 Redis 服务,虽然 Redis 查询效率很高,但是对于普通项目来说,还是增加了开发难度;
SpringBoot使用token简单鉴权的具体实现方法
08-25
SpringBoot 使用 Token 简单鉴权的具体实现方法 本文主要介绍了使用 SpringBoot 实现 token 简单鉴权的具体实现方法,通过示例代码详细介绍了相关内容,对大家的学习或者工作具有一定的参考学习价值。 一、简介 ...
微信小程序自助点餐系统springboot后端源码案例设计.zip
04-21
微信小程序自助点餐系统基于SpringBoot后端源码案例设计是一个综合性的项目,它涵盖了现代Web开发中的多个重要知识点。SpringBootJava领域广泛应用的框架,以其简洁的配置和快速的开发能力受到开发者喜爱。本项目...
基于springboot汽车维修管理系统微信小程序springboot后端源码案例设计.zip
04-21
3. **JWT(Json Web Token)认证**:可能包含JWT身份验证机制,JWT是一种轻量级的身份认证协议,可以在多个服务之间安全地传递用户信息,而无需在每次请求时都携带会话信息。 4. **MyBatis或JPA持久层框架**:后端...
api鉴权-token验证机制springboot版本java后端
04-24
客户端在后续的每次请求中携带这个Token,服务器通过验证Token的有效性来判断请求者的身份,从而实现鉴权。 JWT是一种轻量级的身份认证协议,它由三部分组成:Header、Payload(有效载荷)和Signature。Header通常...
springboot专栏 008 登录(index页面获取token) 同步
04-16
在本篇SpringBoot专栏的第008部分,我们将探讨如何实现登录功能,特别是通过index页面获取token并进行同步操作。这个过程涉及到几个关键的技术点,包括SpringBoot、MyBatis-Plus、以及token的管理和同步。下面将逐一...
token添加到Header中(基于vue+springboot)
何同学
11-29 1万+
后端JWTUtils.java public class JWTUtils { // 注意:在真正的开发中SING是很复杂的,这里只做演示 private static final String SING = "ADSD#$F"; /* * 生成Token */ public static String generateToken(Map<String, String> withClaims) { // 创建Map.
springboot实现token登录
qq_40820235的博客
12-03 7695
一、Controller层login接口进行账密验证,验证成功返回token controller: @PostMapping("/login") public Result<TokenStatus> login(@RequestBody LoginVO loginVO, HttpServletRequest request) { Result<TokenStatus> result = new Result<>(); UserDO
springboot2 前后台分离,token放入header进行验证的坑
博客模板
05-17 1万+
springboot2 使用前后台分离,token放入header进行验证的配置 注意 registry.addInterceptor(new MyInterceptorConfig ()); 不能添加,否则header下token有时无法获取到 @Configuration public class MyWebMvcConfigurer implements WebMvcConfigurer {...
Java - token的存储与获取
jcc4261的博客
03-17 1万+
问:为什么工具类呢???答:因为我们不知道前端将token怎么存储的,所以我们可以通过调用Token工具类来获取tokenToken工具类会检查header、URL中的属性值、以及Cookie等等!!!
[记录]数据库小技巧
HaloTrriger的博客
12-01 382
目录--Oracle相关1. 使用PL/SQL登录时避免每次登录要输入登录信息2. 使用PL/SQL登录服务器数据库时,将带地址的库名为自己能读懂的库名 –Oracle相关 1. 使用PL/SQL登录时避免每次登录要输入登录信息 L跳过每次输入用户名和密码可以先找到PL/SQL的工具栏:工具->首选项->Oracle->登陆历史。 从“历史”中找到你想要记住的登录信息,直接鼠标左边拖拽到“固定用户”中。看看右边,你会看到“用user/passw@db 格式输入用户”,即“用户名/密码@库
Spring Security添加token授权登陆
student100000的博客
08-03 7830
需求:其他项目要跳转我们的springboot+springsecurity项目,需要授权特定token登陆实现思路:添加过滤器,拦截请求中的token,传递给Authentication鉴权,如果这个请求不带有授权信息,被拦截后,会跳转登录页面。一.先来了解下springsecurity,熟悉的跳过该部分 1)Spring Security介绍: Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的
springboot整合security及token验证
缔曦的博客
09-01 6842
缘由 添加security安全框架,去除session,使用token票据验证 ps:token是指登录后向客户端发送一个票据,下次发起请求时,验证票据即可,票据中包含用户登录等信息,不需要session。 步骤 1.实现UserDetailsService接口,security的认证中会执行这个接口中的loadUserByUsername方法。 2.自定义登录逻辑,调用security的authenticationManager对象执行登入验证,security的配置就完成了。 3.在security中配
基于springboot的自定义token实现登录功能
保护我方程序员
03-25 1331
一般的登录权限框架有spring security和shiro两种,但是如果只是单单实现一个登录功能,没有更多的权限交互,引入沉重的框架来处理反而会出现很多问题或者加重程序的处理效率,所以,用自定义的token实现登录功能在一些小开发中也可以使用到. 首先推荐大家一款非常实用的工具包—hutool,这个工具包整合了很多细节方法,平时开发中利用这个包可以实现很多之前觉得非常复杂的业务,在本案例中,我也采用了hutool中的一些方法,着实舒服!! 先介绍一下我用到的hutool中的方法吧!! 对于登录功能,
使用springboot和vue实现登陆注册功能
05-27
好的,我可以为您提供一个简单的实现思路: 1. 后端使用Spring Boot框架,提供RESTful接口,用于处理前端的请求。可以使用Spring Security框架实现登录认证和授权管理。 2. 前端使用Vue.js框架,通过axios库向后端发送请求,并处理后端返回的数据。可以使用Vue Router实现路由管理。 3. 登录功能的实现:前端向后端发送登录请求,后端验证用户名和密码是否正确,如果正确则生成token并返回给前端,前端将token保存在本地存储中。之后的请求都需要在header中携带token。 4. 注册功能的实现:前端向后端发送注册请求,后端将用户信息保存到数据库中。 5. 可以考虑使用JWT(JSON Web Token)来实现身份认证,这样可以避免在服务端保存用户状态,提高服务端的性能和可扩展性。 以上是一个简单的实现思路,具体的实现过程涉及到很多细节问题,需要根据实际情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值