node怎么把token放到redis_SpringBoot2.0实战(27)整合SpringSecurity前后端分离Token鉴权...

最新推荐文章于 2024-07-10 14:34:58 发布
最新推荐文章于 2024-07-10 14:34:58 发布
阅读量130 收藏
点赞数
文章标签: node怎么把token放到redis springbsecurity 登录token验证过滤器 springsecurity登录验证 springsecurity登陆失败
d41e95146a6256d21fed9b062d1f3ef9.png

通过前一篇文章,我们已经实现了前后端分离模式下,使用JSON数据进行前后端交互

第二十四章:整合SpringSecurity之最简登录及方法鉴权

第二十五章:整合SpringSecurity之使用数据库实现登录鉴权

第二十六章:整合SpringSecurity之JSON格式前后端交互

主要涉及到

  • 实现 AbstractAuthenticationProcessingFilter 接口,接收JSON格式登录表单数据,执行登录校验
  • 实现 AuthenticationSuccessHandler 接口,登录成功,返回JSON格式信息
  • 实现 AuthenticationFailureHandler 接口,登录失败,返回JSON格式错误信息
  • 实现 AccessDeniedHandler 接口,登录成功,但无资源访问权限时,返回JSON格式错误信息
  • 实现 AuthenticationEntryPoint 接口,未登录访问资源时,返回JSON格式错误信息

要实现前后端分离,还有一个重要的环节就是存储用户登录状态,在前一篇文章中,虽然我们实现的JSON格式交互,但是依然使用 session 存储用户登录状态,但是在实际项目中,客户端不再是单纯的网页,还可以是手机,平板,公众号,小程序等,不是每一个客户端都能够支持 session+cookie 的模式,怎么样可以使用一套代码,实现多个客户端登录、鉴权。

使用 token 代替 session 的流程:

用户登录成功,服务端向客户端分发一个 token,客户端根据自已的情况自行存储,并且在每一次请求中附带上该 token,服务端接收到请求,对该 token 进行校验,判断请求用户登录状态,获取权限信息,实现权限校验。

目标

整合 SpringSecurity 实现使用 token 进行鉴权。

思路

分成两个部分,第一部分是登录,客户端向服务端发起登录请求时,

服务端需要生成token并存储起来,然后将token分发给客户端,客户端需要自行存储该token。

流程图:

5adad760051b590a4f3b0e5c54cadf97.png

在第二部分是登录成功后,访问资源时,客户端需要将登录时收到的token,附加在请求中,发送给服务端,服务端需要判断该token的有效性,并通过该token,可以获取到当前用户信息。

流程图:

eb23d4627899a6bee46d56f95b316123.png

本文使用数据库存储token,实际项目中会使用 redis 之类的更高效的存储

准备工作

创建用户表 user、角色表 role、用户角色关系表 user_role 及 token 表

696e82d9930432d45b301a8ee798c96d.png

操作步骤

添加依赖

引入 Spring Boot Starter 父工程

771108c0bf618e41a8973aadd15741f7.png

添加 springSecurity 及 mybatisPlus 的依赖,添加后的整体依赖如下

ba21fc8e2b0baa519996cd1575ee4ab2.png

配置

配置一下数据源

16d8cf1b4c81cf1e217b10e7f54bcf44.png

编码

实体类

角色实体类 Role,实现权限接口 GrantedAuthority

cbac02ed77b08eeb11c8dde78fe4db96.png

用户实体类 user,实现权限接口 UserDetails,主要方法是 getAuthorities,用于获取用户的角色列表

65c64110af15ece9d88962056a3f682b.png

用户角色关系实体

bb76c3fcaeeb7b94ccb5c7f16d769199.png

Token实体

94bc7be9e506551e199d480f4906481c.png

Repository 层

分别为四个实体类添加 Mapper

06956704e6add05f5a081c3673c1c5df.png

实现 UserDetailsService 接口

UserDetailsService 是 SpringSecurity 提供的登陆时用于根据用户名获取用户信息的接口

a40ea990761bae6f26eccc441e70221c.png

自定义登录参数格式

b033b15110cb0035f5a92413f1cefb60.png

自定义登录过滤器

继承 SpringSecurity 提供的 AbstractAuthenticationProcessingFilter 类,实现 attemptAuthentication 方法,用于登录校验。

本例中,模拟前端使用 json 格式传递参数,所以通过 objectMapper.readValue 的方式从流中获取入参,之后借用了用户名密码登录的校验,并返回权限对象

c688d294d14e3b4aab6c03a68046dc24.png

自定义登陆成功后处理

实现 SpringSecurity 提供的 AuthenticationSuccessHandler 接口,使用 JSON 格式返回

7efe8872ea6522f8bafc7779d7a3f50f.png

自定义登陆失败后处理

实现 SpringSecurity 提供的 AuthenticationFailureHandler 接口,使用 JSON 格式返回

554f1102a68c859928a13b3f62873f0b.png

自定义权限校验失败后处理

登陆成功之后,访问接口之前 SpringSecurity 会进行鉴权,如果没有访问权限,需要对返回进行处理。实现 SpringSecurity 提供的 AccessDeniedHandler 接口,使用 JSON 格式返回

2c9e18510cc87b79ca800b02d3da51f1.png

自定义未登录后处理

实现 SpringSecurity 提供的 AuthenticationEntryPoint 接口,使用 JSON 格式返回

d5631765c2faa745825b795159036ed6.png

自定义 Token 验证过滤器

客户端登录成功时,后台会把生成的 token 返回给前端,之后客户端每次请求后台接口将会把这个 token 附在 header 头中传递给后台,

后台会验证这个 token 是否有效,如果有效就把用户信息加载至 SpringSecurity 中,如果无效则会跳转至上一步提供 AuthenticationEntryPoint 进行处理。

2aa0da7e61443743e45c99311bc20f4b.png

注册

在 configure 方法中将自定义的 jsonAuthenticationFilter 及 tokenAuthenticationFilter 注册进 SpringSecurity 的过滤器链中,并禁用 session。

41807344919e2e6e4741778236a26c15.png

启动类

1cb845ea8470a13f38e6283ef88f425f.png

验证结果

初始化数据

a1b7b7402114a4b4c3eb1b8748a0af03.png

源码地址

本章源码 : https://gitee.com/gongm_24/spring-boot-tutorial.git

weixin_39849127
关注
基于SpringBoot2+Jpa+SpringSecurity+redis+Vue的前后端分离系统
03-10
系统功能模块 用户管理 提供用户的相关配置 角色管理 角色菜单分配权限 权限管理 权限细化到接口 菜单管理 已实现动态路由,后端可配置化 系统日志 记录用户访问监控异常信息 系统缓存管理 将redis的操作可视化,提供对redis的基本操作 Sql监控 采用 druid 监控数据库访问性能 技术栈 基础框架:Spring Boot 2.1.0.RELEASE 持久层框架:Spring boot Jpa 安全框架:Spring Security 缓存框架:Redis 日志打印:logback+log4jdbc 接口文档 swagger2 其他:fastjson,aop,MapStruct等。 页面框架:Vue 前端源码:eladmin-qt 后端源码:eladmin
node怎么把token放到redis_面试问Redis集群,被虐的不行了......
weixin_39546661的博客
11-20 134
【51CTO.com原创稿件】 上一篇我们讲解了 Redis 哨兵的工作原理,哨兵主要针对单节点故障无法自动恢复的解决方案,集群主要针对单节点容量、并发问题、线性可扩展性的解决方案。图片来自 Pexels本篇我将讲解 Redis 集群的工作原理,文末有你们想要的设置 SSH 背景哦!本文主要围绕如下几个方面介绍集群:集群简介集群作用配置集群手动、自动故障转移故障转移原理本文实现环境:CentOS ...
spring-security-oauth2-authorization-server(四)Redis存储token实现
最新发布
2301_78976656的博客
07-10 1193
org.apache.commons commons-pool2
springboot2.0.4+spring security+vue前后分离开发一直提示anonymousUser
baidu_37302589的博客
09-11 9070
后台角色权限认证提示匿名用户,使用postman却没有发现该问题 vue2.0 index.js配置的跨域 各种查找资料都没发现有相关解决文档,无奈只能重新搭建项目,从而发现问题所在,故此记录一下解决办法 后台去掉 servlet: context-path:/interest 更改后的配置,前端vue做相对应的处理   就此解决前后分离提示匿名用户问题!...
node.js实现token验证——从数据库验证登录redis存储
weixin_43930421的博客
08-20 1874
做过前后端分离项目的同学应该都做过 token 验证,在前端登录的时候需要缓存后端传过来的 token,然后在需要验证权限的接口带上 token。本章节来实现使用 node 进行 token 的权限验证
SpringBoot_整合SpringSecurity前后端分离版)
m0_67393619的博客
08-02 4099
1、登录校验流程2、SpringSecurity简单过滤器链(完整的过滤器大概是14个),前后端分离一般用jwt,前后端不分离一般采用session。
springboot_security_oauth2.0_redis:redis 缓存,mysql存储用户信息
04-30
springboot_security_oauth2.0 add requeset: add response: {"access_token":"b2c338d7-c71d-4e8b-b2bf-809a2fb1b27c","token_type":"bearer","refresh_token":"3c66fd1c-60b5-44d2-a614-548941c13c25","expires_in...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring Security、JWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)
黄团团的个人博客
07-28 5608
最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!
springboot+redis+token保持登录
08-03
通过redis 设置session过期时间,实现token 登录机制
基于redis实现token验证用户是否登陆
09-09
主要为大家详细介绍了基于redis实现token验证用户是否登陆,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringSecurity6.0+Redis+JWT+MP基于token认证功能开发(源码级剖析可用于实际生产项目)
laizhenghua的博客
06-25 5965
引子:最近做项目时遇到了一个特殊的需求,需要写共享接口把本系统的一些业务数据共享给各地市的自建系统,为了体现公司的专业性以及考虑到程序的扩展性(通过各地市的行政区划代码做限制),决定要把接口做的高级一些,而不是简单的传个用户名和密码对比数据库里面的,那样真的很low。于是写了基于token的认证功能,在这里分享出来供大家学习与探讨。
[小黄书后台]redis鉴权
天地会珠海分舵
02-17 1894
上一章我们通过引入mongodb实现了基本的用户管理,已经实现了异常处理的基本框架。今天我们会开始实现小红书后台的鉴权功能。 鉴权的主要目的就是为了: 让授权的用户访问相应的api资源,而禁止没有授权的用户去访问不属于它的资源。 现在比较流行的方案就是基于Token鉴权方式, 请看知乎上的描述: https://zhuanlan.zhihu.com/p/19920223?columnSlug...
Spring Security+redis+jwt的简单使用(登入登出及token验证)
weixin_65247941的博客
09-22 2080
​ 自定义的登入接口放行@Autowired//创建BCryptPasswordEncoder 注入容器@Bean //注入IOC容器@Overridehttp//关闭csrf//不通过Session获取SecurityContext.and()// 对于登录接口 允许匿名访问// 除上面外的所有请求全部需要鉴权认证//把token校验过滤器添加到过滤器链中http@Override@Bean//用户认证后的封装@Autowired。
Spring Security+Redis实现登录
sky2019116的博客
02-03 1381
Spring Security是一个基于Spring框架的安全框架,它提供了一套完整的认证和授权机制,可以方便地实现登录功能需要实现UserDetails接口,并重写其中方法和定义一下自己需要用到的属性。@Data/** 用户唯一标识 *//** 登陆时间 *//** 过期时间 *//** 登录IP地址 *//** 浏览器类型 *//** 操作系统 *//** 用户信息 */@Override@Override/*** 账户是否未过期,过期无法验证*/
Spring Security 的 jwt 与 token+redis方案
wangooo的博客
02-24 1592
1. 去中心化的JWT token 优点: 去中心化,便于分布式系统使用 基本信息可以直接放在token中。 username,nickname,role 功能权限信息可以直接放在token中。用bit位表示用户所具有的功能权限。 缺点:服务端无法主动让token失效 2. 中心化的 redis token / memory session等 优点:服务端可以主动让token失效 缺点:每次都要进行redis查询。占用redis存储空间。 这里redis存储的是token的白名单。用户的其他.
Spring boot+redis实现token权限验证
qq_42591612的博客
07-19 1854
1.token认证流程 1、用户登录之后,先校验用户名和密码,如果验证失败则返回登录失败的提示。如果验证成功,则生成 token 然后将 username 和 token 双向绑定 (可以根据 username 取出 token 也可以根据 token 取出username)存入redis,同时使用 token+username 作为key把当前时间戳也存入redis。并且给它们都设置过期时间。 2、每次请求接口都会走拦截器,如果该接口标注了@AuthToken注解,则要检查客户端传过来的Au
springboot 集成 springsecurity 调用外部URL进行用户登录验证 登录后生成token 存储到redis
05-26
首先,需要在Spring Security中配置一个自定义的认证提供者,用于调用外部URL进行用户登录验证。可以实现`AuthenticationProvider`接口,重写`authenticate()`方法,用于验证用户身份。具体实现可以参考以下代码示例...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值