哦吼,我是卷卷毛,我回来啦。这一次我们来实现一个使用Token方式的用户登录机制。
听说现在使用token方式登录非常流行,可以替代之前使用cookie/session方式实现用户登录。
对博主而言,一个非常便捷的地方在于,使用token进行登录验证,在前后端分离开发时可以避免许多跨域相关的问题。(cookie跨域问题真的是调了好久好久。。。。)
首先,对于演示环境,后台使用的框架是Spring Boot
,调试使用的软件是Postman
我们先创建一个基本的spring boot项目,部署在端口80上。如何快速创建spring boot项目,可以查看这篇文章:SpringBoot入门 快速创建并部署web后端
搞一个测试用controller,看看是否能连接上:
启动程序,访问本地,的/test/hello
:
接着,我们来进行token登录验证的过程,它的过程不难理解,大致如下:
- 用户发起登录请求,向后台传递账号密码
- 服务端校验账号密码,确认无误后,为用户创建token
- 服务端备份token,并将token返回给用户
- 用户保留token,并在后续的请求中携带token以表明登录状态
- 服务端拦截请求,查验token以确定用户的登录状态。
过程也可以用下面的图示表示:
原理不难理解,但在实现的时候会有很多变化,也会有很多细节问题。例如,token用什么生成啊?生成的token存在哪里啊?等等
还有一个很容易想到的问题就是:前端如何每次请求都携带Token?
一般来说,小伙伴们包括博主第一反应都是:加在参数里面呀
其实不然,加在参数里面可以是可以,但是会很麻烦。通常的做法是:将它放到HTTP报文的请求头中,作为字段Authorization
的值
这样来传递token就会方便许多并且后端过滤起来也会非常方便。
(当然这里没有考虑任何安全问题)
说了这么多理论,现在就来实现一下。
为了便于演示,我们就使用UUID作为token,并将生成的token存放在session中。
在实际开发中,我们也可以选择将其存放在数据库或者是redis中等等。
先创建UserController
和AuthorizationFilter
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("user")
public class UserController {
}
//目前拦截所有请求,可以根据需求修url匹配样式
@WebFilter(filterName="AuthorizationFilter",urlPatterns= {
"*"})
public class AuthorizationFIlter implements Filter{
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
// TODO Auto-generated method stub
}
}
- userController用来处理用户业务,包括登录,登出,登录信息查询等等。
- AuthorizationFilter是一层拦截器,拦截需要查验登录情况的请求,将token取出并进行验证。
使用filter,一定记得在启动类上添加注解@ServletComponentScan
!!!!