Token验证登录状态的简单实现

已于 2023-03-21 18:06:06 修改
阅读量1.8k 收藏 13
点赞数 1
分类专栏: C#编程语言 文章标签: java redis 开发语言
于 2021-03-10 10:22:50 首次发布
原文链接:https://www.jianshu.com/p/25402229376e
版权

设计思路

  1. 用户发出登录请求,带着用户名和密码到服务器经行验证,服务器验证成功就在后台生成一个token返回给客户端
  2. 客户端将token存储到cookie中,服务端将token存储到redis中,可以设置存储token的有效期。
  3. 后续客户端的每次请求资源都必须携带token,这里放在请求头中,服务端接收到请求首先校验是否携带token,以及token是否和redis中的匹配,若不存在或不匹配直接拦截返回错误信息(如未认证)。

  • token管理:生成、校验、解析、删除

  • token:这里使用userId_UUID的形式

  • 有效期:使用Redis key有效期设置(每次操作完了都会更新延长有效时间)

  • 销毁token:删除Redis中key为userId的内容

  • token存储:客户端(Cookie)、服务端(Redis)

  • Cookie的存取操作(jquery.cookie插件)

  • Redis存取(StringRedisTemplate)

实现

完整代码可到springboot2.x整合redis实现简单的token登录鉴权中下载
(本demo只是个小例子,还有很多不足,用于实际环境还需要根据实际考虑更多的问题)

【Redis操作类】

package com.bpf.tokenAuth.utils;

import java.util.concurrent.TimeUnit;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Component;

@Component
public class RedisClient {
    
    public static final long TOKEN_EXPIRES_SECOND = 1800;

    @Autowired
    private StringRedisTemplate redisTpl;
    
    /**
     * 向redis中设值
     * @param key 使用 a:b:id的形式在使用rdm进行查看redis情况时会看到分层文件夹的展示形式,便于管理
     * @param value
     * @return
     */
    public boolean set(String key, String value) {
        boolean result = false;
        try {
            redisTpl.opsForValue().set(key, value);
            result = true;
        } catch (Exception e) {
            e.printStackTrace();
        }
        return result;
    }
    
    
    /**
     * 向redis中设置,同时设置过期时间
     * @param key
     * @param value
     * @param time
     * @return
     */
    public boolean set(String key, String value, long time) {
        boolean result = false;
        try {
            redisTpl.opsForValue().set(key, value);
            expire(key, time);
            result =  true;
        } catch (Exception e) {
            e.printStackTrace();
        }
        return result;
    }
    
    /**
     * 获取redis中的值
     * @param key
     * @return
     */
    public String get(String key) {
        String result = null;
        try {
            result = redisTpl.opsForValue().get(key);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return result;
  
    }
    
    /**
     * 设置key的过期时间
     * @param key
     * @param time
     * @return
     */
    public boolean expire(String key, long time) {
        boolean result = false;
        try {
            if(time > 0) {
                redisTpl.expire(key, time, TimeUnit.SECONDS);
                result = true;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return result;
    }
    
    /**
     * 根据key删除对应value
     * @param key
     * @return
     */
    public boolean remove(String key) {
        boolean result = false;
        try {
            redisTpl.delete(key);
            result = true;
        } catch (Exception e) {
            e.printStackTrace();
        }
        return result;
    }
}

【Token管理类】

package com.bpf.tokenAuth.utils.token;

import java.util.UUID;

import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import com.bpf.tokenAuth.utils.RedisClient;

@Component
public class RedisTokenHelp implements TokenHelper {
    
    @Autowired
    private RedisClient redisClient;

    @Override
    public TokenModel create(Integer id) {
        String token = UUID.randomUUID().toString().replace("-", "");
        TokenModel mode = new TokenModel(id, token);
        redisClient.set(id == null ? null : String.valueOf(id), token, RedisClient.TOKEN_EXPIRES_SECOND);
        return mode;
    }

    @Override
    public boolean check(TokenModel model) {
        boolean result = false;
        if(model != null) {
            String userId = model.getUserId().toString();
            String token = model.getToken();
            String authenticatedToken = redisClient.get(userId);
            if(authenticatedToken != null && authenticatedToken.equals(token)) {
                redisClient.expire(userId, RedisClient.TOKEN_EXPIRES_SECOND);
                result = true;
            }
        }
        return result;
    }

    @Override
    public TokenModel get(String authStr) {
        TokenModel model = null;
        if(StringUtils.isNotEmpty(authStr)) {
            String[] modelArr = authStr.split("_");
            if(modelArr.length == 2) {
                int userId = Integer.parseInt(modelArr[0]);
                String token = modelArr[1];
                model = new TokenModel(userId, token);
            }
        }
        return model;
    }

    @Override
    public boolean delete(Integer id) {
        return redisClient.remove(id == null ? null : String.valueOf(id));
    }

}

【拦截器逻辑】

package com.bpf.tokenAuth.interceptor;

import java.lang.reflect.Method;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.bpf.tokenAuth.annotation.NoneAuth;
import com.bpf.tokenAuth.constant.NormalConstant;
import com.bpf.tokenAuth.entity.JsonData;
import com.bpf.tokenAuth.utils.JsonUtils;
import com.bpf.tokenAuth.utils.token.TokenHelper;
import com.bpf.tokenAuth.utils.token.TokenModel;

@Component
public class LoginInterceptor extends HandlerInterceptorAdapter {
    
    @Autowired
    private TokenHelper tokenHelper;
    
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        System.out.println(11);
        // 如果不是映射到方法直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        //如果被@NoneAuth注解代表不需要登录验证,直接通过
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        if(method.getAnnotation(NoneAuth.class) != null) return true;       
        //token验证
        String authStr = request.getHeader(NormalConstant.AUTHORIZATION);
        TokenModel model = tokenHelper.get(authStr);
        
        //验证通过
        if(tokenHelper.check(model)) {
            request.setAttribute(NormalConstant.CURRENT_USER_ID, model.getUserId());
            return true;
        }
        //验证未通过
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        response.getWriter().write(JsonUtils.obj2String(JsonData.buildError(401, "权限未认证")));
        return false;
    }
}

【登录逻辑】

package com.bpf.tokenAuth.controller;

import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.DeleteMapping;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import com.bpf.tokenAuth.annotation.NoneAuth;
import com.bpf.tokenAuth.constant.MessageConstant;
import com.bpf.tokenAuth.constant.NormalConstant;
import com.bpf.tokenAuth.entity.JsonData;
import com.bpf.tokenAuth.entity.User;
import com.bpf.tokenAuth.enums.HttpStatusEnum;
import com.bpf.tokenAuth.mapper.UserMapper;
import com.bpf.tokenAuth.utils.token.TokenHelper;
import com.bpf.tokenAuth.utils.token.TokenModel;

@RestController
@RequestMapping("/token")
public class TokenController {
    
    @Autowired
    private UserMapper userMapper;
    
    @Autowired
    private TokenHelper tokenHelper;
    
    @NoneAuth
    @GetMapping
    public Object login(String username, String password) {
        User user = userMapper.findByName(username);
        if(user == null || !user.getPassword().equals(password)) {
            return JsonData.buildError(HttpStatusEnum.NOT_FOUND.getCode(), MessageConstant.USERNAME_OR_PASSWORD_ERROR);
        }
        //用户名密码验证通过后,生成token
        TokenModel model = tokenHelper.create(user.getId());
        return JsonData.buildSuccess(model);    
    }
    
    @DeleteMapping
    public Object logout(HttpServletRequest request) {
        Integer userId = (Integer) request.getAttribute(NormalConstant.CURRENT_USER_ID);
        if(userId != null) {
            tokenHelper.delete(userId);
        }
        return JsonData.buildSuccess();
    }

}

测试

【login.html】

在这里插入图片描述


<!DOCTYPE html>
<html>  
<head>
<title>Login</title>
<link rel="stylesheet" href="../res/css/login.css">
<script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
<script src="https://cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.js"></script>
</head>
<body>
    <form>
        <input type="text" name="username" id="username">
        <input type="password" name="password" id="password">
    </form>
    <input type="button" value="Login" onclick="login()">
</body>
<script type="text/javascript">
function login(){
    $.ajax({
        url: "/tokenAuth/token",
        dataType: "json",
        data: {'username':$("#username").val(), 'password':$("#password").val()},
        type:"GET",
        success:function(res){
            console.log(res);
            if(res.code == 200){
                var authStr = res.data.userId + "_" + res.data.token;
                //把生成的token放在cookie中
                $.cookie("authStr", authStr);
                window.location.href = "index.html";
            }else alert(res.msg);
        }
    });
}
</script>
</html>

【index.html】

在这里插入图片描述

<!DOCTYPE html>
<html>  
<head>
<title>Index</title>
<script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
<script src="https://cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.js"></script>
</head>
<body>
    <input type="button" value="Get" onclick="get()">
    <input type="button" value="logout" onclick="logout()">
</body>
<script type="text/javascript">

function get(){
    $.ajax({
        url: "/tokenAuth/user/bpf",
        dataType: "json",   
        type:"GET",
        beforeSend: function(request) {
            //将cookie中的token信息放于请求头中
            request.setRequestHeader("authStr", $.cookie('authStr'));
        },
        success:function(res){
            console.log(res);
        }
    });
}

function logout(){
    $.ajax({
        url: "/tokenAuth/token",
        dataType: "json",   
        type:"DELETE",
        beforeSend: function(request) {
            //将cookie中的token信息放于请求头中
            request.setRequestHeader("authStr", $.cookie('authStr'));
        },
        success:function(res){
            console.log(res);
        }
    });
}
</script>
</html>

测试环境中两个页面login.html和index.html均当做静态资源处理
【未登录状态】

在这里插入图片描述

【登录状态】

  • 访问登录网站http://localhost:8080/tokenAuth/page/login.html,输入username和password进行点击Login按钮登录

  • 登录成功并跳转到index页面,并且生成cookie,这里没有设置cookie有效期,默认关闭浏览器失效


在这里插入图片描述

  • 再次点击get按钮请求数据,请求成功


  • 在这里插入图片描述

    点击logout按钮销毁登录状态,然后再次请求数据


    在这里插入图片描述

Hacker_2020
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
1. **C#中的Token验证**: - ASP.NET Core Identity:这是.NET框架提供的一个身份管理库,支持用户注册、登录、密码重置等功能,并可以生成基于Cookie的认证令牌。 - JWT:JWT是一种轻量级的身份验证协议,它允许...
PHP实现防止表单重复提交功能【基于token验证
10-18
本文将详细介绍如何使用PHP实现基于token验证的表单重复提交防护功能。 首先,我们需要理解token的工作原理。在用户提交表单时,服务器会生成一个唯一的、随机的令牌(token),并将其隐藏在表单中,通常作为一个...
Springboot实现登录功能(tokenredis登录拦截器、全局异常处理)
qq_64680177的博客
10-06 3712
1、前端调用登录接口,往接口里传入账号,密码2、根据账号判断是否有这个用户,如果有则继续判断密码是否正确3、验证成功后,则是根据账号,登录时间生成token(用JWT)4、将token存入Redis当中,用于token过期策略5、将token和用户信息返回给前端6、此后调用后端任何接口都会先判断发来请求里token是否存在、有效(拦截器实现)7、然后继续接下来的正常调用。
Token登录原理分析
githubcurry
08-25 4070
1:首先,先了解一下request和session的区别 request 指在一次请求的全过程中有效,即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件,以及和当前web组件共享同一用户请求的web组件。如:被请求的jsp页面和该页面用指令包含的页面以及标记包含的其它jsp页面; Session是用户全局变量,在整个会话期间都有.
Token验证流程、代码示例、优缺点和安全策略,一文告诉你。
最新发布
贝格前端工场的博客
05-29 1307
Token是一种用于身份验证和授权的令牌,通常用于在客户端和服务器之间进行安全的通信。在Web开发中,Token通常指的是JSON Web Token(JWT),它是一种开放标准(RFC 7519),定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。JWT通常由三部分组成,通过句点(.)分隔开来:1包含了Token的类型和使用的加密算法等信息。2.包含了要传输的信息,例如用户的身份信息、权限等。
vue前后端分离单点登录,结合长token和短token进行登录
qq_42696432的博客
09-14 7842
在公司发展初期,公司拥有的系统不多,通常一个两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登陆,很方便,但是,随着企业的发展,用到的系统随之增加,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员来说很不方便,也是就想到是不是可以在一个系统登陆,其它系统就不用登陆了呢?那么单点登录就是解决这个问题。
全网最强,接口自动化测试-token登录关联实战总结(超详细)
大佬云集技术答疑交流群:743262921(进群暗号:222)
08-07 1649
在PC端登录公司的后台管理系统或在手机上登录某个APP时,经常会发现登录成功后,返回参数中会包含token,它的值为一段较长的字符串,而后续去请求的请求头中都需要带上这个token作为参数,否则就提示需要先登录。什么是tokentoken 由服务端产生,是客户端用于请求的身份令牌。第一次登录成功时,服务端会生成一个包含用户信息的加密字符串token,返回给客户端并保存在本地,后续客户端只需要带上token进行请求即可,无需带上用户名密码。
模拟登录,动态token,携带cookie,密文加密,登录拉勾网
Programmer_huangtao的博客
10-20 2252
import requests import re #导入相应的库文件 headers = { 'user-agent': 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3573.0 Safari/537.36' } #加入请求头 url = 'htt...
Token】JWT使用Token进行登录
m0_46628950的博客
08-07 1619
token:服务端生成的一串字符串,可以解决频繁登录的问题 它作为客户端进行请求的一个令牌: 第一次登录后,服务器生成一个token返回给客户端; 客户端只需要带上token来请求数据即可,无需再次带上用户名和密码...
Android使用token维持登陆状态的方法
08-31
本篇文章将深入探讨如何在Android应用中使用token来保持用户的登录状态,并阐述token的基本概念、作用以及具体实现方法。 **什么是token** Token,即令牌,是一种用于身份验证的字符串。在用户成功登录后,服务器...
Node.js-一个基于token验证登录
08-09
在本文中,我们将深入探讨如何使用Node.js、Vue.js和MongoDB实现基于Token验证登录系统,特别是通过JSON Web Tokens(JWT)进行身份验证。这是一个常见的Web应用安全实践,能够确保用户信息的安全,并且便于跨域...
Vue+Flask实现简单登录验证跳转的示例代码
08-28
Vue+Flask实现简单登录验证跳转的示例代码 本篇文章主要介绍了使用Vue和Flask实现简单登录验证跳转的示例代码,具体来说是使用Vue作为前端框架,Flask作为后端框架,实现了一个简单登录验证跳转功能。 首先...
Token登录认证详解
热门推荐
tc979907461的博客
05-25 2万+
参考文章: Token 认证的来龙去脉 前后端分离使用 Token 登录解决方案 理解Cookie和Session机制 基于 Cookie/Session 的认证方案 Cookie Cookie的工作原理 由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是。 cookie指的就是在浏览器里面存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cooki
登录并进行Token验证
cxdashuaibi的博客
12-22 3377
目录1、登录接口方法login(),其中用到密码工具类PasswordUtils和生成Token的userInfo()方法。1.1 login():1.2 PasswordUtils密码工具类:1.3 userInfo():其中包含JwtUtil工具类的sign()方法和RedisUtil工具类的set()和expire()1.3.1 sign():生成加密Token1.3.2 set()和expire():设置Token换成有效时间方法set()和Redis设置过期时间方法expire()2、Result
使用token登录完整流程前端加后端
weixin_46587302的博客
09-19 3657
完整代码请访问:https://github.com/ziheng42/token-.git效果如下:可以看出在没有登陆之前,点击路由跳转是没有作用的。在点击登录之后,便可以进行路由跳转,相应的本地存储空间,也是有了token的存在。在清除掉token后,路由跳转也是没有了作用。下边我们来一步一步实现。首先搭建项目框架,前端使用vue3,后端使用express。前端项目搭建不再赘述,这里主要说明后端的搭建安装好这些依赖后你的项目目录应该是这样的新建app.js,复制以下代码。
token实现
qq_37377082的博客
12-02 1097
基于jwt token实现 放弃以前的seesion,cookie 体系,使用token完成用户认证,实现前后端的用户同步。 如何实现前后端只传递 token 而完成 登录用户的认证与同步。 1、登陆时,生成token,并在redis中存储(以token为key,以用户信息为value,并设置key的过期时间)。然后把token信息传递给前端,并在前端保存。 2、每一次前端请求要求把token带回给后端(axios.js等框架可以全局设置请求头参数,即设置一个请求头的值为token) 3、后端设置
使用token机制来验证用户的安全性-b
weixin_34088838的博客
07-14 4266
登录的业务逻辑{    http:是短连接.         服务器如何判断当前用户是否登录?        // 1. 如果是即时通信类:长连接.    // 如何保证服务器跟客户端保持长连接状态?         // "心跳包" 用来检测用户是否在线!用来做长连接!   http:短连接使用token 机制来验证用户安全性         // token 值: 登录令牌! 用来...
使用token维持用户登录状态的原理及其实现方法
grand_brol的博客
08-24 3004
1、生成token,并返回给客户端 首先用户在客户端进行登录,发送请求给服务端,服务端验证用户和密码是否正确,完全一致后,服务端会生成一个当前用户所对应的一个token值,并在响应中将其返回给客户端。 2、客户端将该token值进行存储 3、携带token发送请求 后续客户端发送请求时,就会携带这个token。 4、服务器端验证token 当服务器拿到客户端提供的token值后,会判断其是否存在,如果存在则会返回对应用户所需要的数据。 ...
Java使用selenium模拟登录并获取token
冰之杍的博客
07-28 6079
Java使用selenium模拟登录并获取token需求背景登陆流程分析第一次尝试与思考采用Java使用selenium模拟登录CentOS7 安装Chrome浏览器准备linux下的chromedriver驱动 需求背景 上一次进行了Linux下一键部署区块链网络WeBASE(FISCO BCOS),并做了一下简单的使用测试,现需要通过登录进行token获取的测试,通过测试后就可以提供成接口给第三方应用使用了。 如图,需要通过程序进行登录并获取登录后的token. 这里的验证码被我设置成固定的8888了
php实现token登录
09-03
通过以上步骤,可以实现token登录的功能,并提供一种安全、高效的身份验证方法,避免了传统的基于会话的认证方式中需要保存用户状态的问题。同时,token登录还具有跨平台、跨语言的特性,使得不同系统之间的身份验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值