redis + jwt实现token认证

最新推荐文章于 2024-04-25 21:05:21 发布
最新推荐文章于 2024-04-25 21:05:21 发布
阅读量8.2k 收藏 67
点赞数 6
分类专栏: Redis web spring boot 文章标签: springboot redis jwt token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41922289/article/details/100903822
版权
spring boot 同时被 3 个专栏收录
38 篇文章 0 订阅
订阅专栏
Redis
15 篇文章 2 订阅
订阅专栏
web
12 篇文章 0 订阅
订阅专栏

文章目录

业务场景

在前后端分离的场景下,越来越多的项目使用token作为接口的安全机制,APP或者web端使用token与后端接口交互,以达到安全的目的

拦截器

  • 拦截器

    • 获取前端请求的token
    • 判断token是否为空
    • token不为空,则查询redis缓存是否有相关token
    • 有相关token则通过拦截,请求资源
@Configuration
@Slf4j
public class JwtInterceptor implements HandlerInterceptor {

    @Autowired
    private TbGuestMapper tbGuestMapper;

    @Autowired
    private LoginMapper loginMapper;

    @Autowired
    private RedisUtils redisUtils;

    /**
     * 预处理方法
     *
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 允许跨域
        response.setHeader("Access-Control-Allow-Origin", "*");
        String token = request.getHeader("authorization");
        //服务器内置的token,用于测试接口
        if ("testToken".equals(token)) {
            return true;
        }

        // 1.----------- 解析jwt信息

        //判断token是否为null,使用Optional防止出现空指针异常(optional可以接受null值)
        Optional.ofNullable(token)
                .map(n -> {
                    //判断token是否过期,过期则抛出异常
                    try {
                        log.info("----->" + n);
                        log.info("----->" + JwtUtils.parseJWT(n));
                        return JwtUtils.parseJWT(n);
                    } catch (Exception e) {
                        log.warn(">>>>>>>>>>>>>>>>>>token不存在!,重新授权登录!>>>>>>>>>>>>>>>>>>");
                        throw new RuntimeException("token不存在!,重新授权登录!");
                    }
                });

//        // 2.------------- 数据库交互
//        //解密出该用户的unionid,并去数据库教验是否存在,不存在则让其重新授权登录
//        Claims claims = JwtUtils.parseJWT(token);
//        String base64UnionId = (String) claims.get("key");
//        if("admin".equals(claims.getSubject())){
//            //后台登录情况
//        }
//        byte[] decode = Base64.getDecoder().decode(base64UnionId);
//        String unionId = new String(decode);
//        TbGuestExample tbGuestExample = new TbGuestExample();
//        tbGuestExample.createCriteria().andUnionidEqualTo(unionId);
//        long i = tbGuestMapper.countByExample(tbGuestExample);
//        if(i < 1){
//            //不存在该用户
//            log.warn("用户unionid:" + unionId + "不存在于数据库中,重新授权登陆");
//            return false;
//        }

        //解析token
        Claims claims = JwtUtils.parseJWT(token);
        //获取登录token标识
        String base64UnionId = (String)claims.get("key");
        //分情况登录
        //后台登录
        if("admin".equals(claims.getSubject())){

        }
        // 小程序登录
        // 取出token中的unionid
        byte[] decode = Base64.getDecoder().decode(base64UnionId);
        String unionId = new String(decode);
        //查redis中有无该token
        String tokenKey = "token:"+unionId;
        log.info("redis中查到相关token");
        if (redisUtils.get(tokenKey) == null){
            //不存在该key
            log.warn("用户unionid:" + unionId + "不存在于数据库中,重新授权登陆");
            return false;
        }
        return true;
    }
}

1.登录授权获取token

第一种业务场景就是最普遍的登录授权获取到token后,前端带上token去请求资源接口,token具有一定有效期限

流程图

在这里插入图片描述

流程解释

  • 流程:
    • 1.前端传unionid给后端
    • 2.后端生成jwt后,以token:unionid为key将token存入redis
    • 3.调用拦截路径外的接口需要提供token。
    • 4.后端拿到token后查询redis是否有相关token,有则放行
    @Autowired
    private RedisUtils redisUtils;

    /**
     * jwt + redis 实现登录授权
     * 流程:
     *      1.前端传unionid给后端
     *      2.后端生成jwt后,以token:unionid为key将token存入redis
     *      3.调用拦截路径外的接口需要提供token。
     *      4.后端拿到token后查询redis是否有相关token,有则放行
     * @param unionId
     * @return
     */
    @RequestMapping("/login")
    public AjaxResult login(@RequestParam("unionId") String unionId){
        // ----- 验证用户名密码 ------
        //JWT token
        String token = null;
        //生成token
        if(unionId != null || "".equals(unionId)) {
            try {
                Map claims = new HashMap<String, Integer>();
                String key = Base64.getEncoder().encodeToString(unionId.getBytes());
                claims.put("key", key);
                token = JwtUtils.createJwt(claims, "WxUser", 1000 * 60 * 60 * 72);
                log.info("生成的toen:" + token);
                //生成的token保存到redis中
                redisUtils.set("token:"+unionId,token,1000 * 60 * 60 * 72);
            }catch (Exception e){
                log.error("生成token失败: "+e.getMessage());
                throw new RuntimeException("生成token失败");
            }
        }
        return new AjaxResult().ok(token);
    }

2.登出使token失效

登出的时候需要删除相关token,使token失效

    /**
     * 用户登出并且使jwt token失效
     * 流程:
     *      1.前端传入unionid
     *      2.后端删除redis中key为token:unionid的token
     * @Param unionId
     * @return
     */
    @RequestMapping("/loginOut")
    public AjaxResult loginOut(@RequestParam("unionId")String unionId){
        String key = "token:"+unionId;
        redisUtils.del(key);
        return new AjaxResult().ok("登出成功");
    }

测试

token为空情况下请求资源接口

在这里插入图片描述

请求结果:

在这里插入图片描述

使用已经登出的token去请求资源接口

在这里插入图片描述

3.续期token

  • 流程:

    • 1.前端传入unionid和续期时间

    • 2.后端重新设置token失效时间为:剩余时间 + 指定失效时间

    /**
     * 续期token
     * 流程:
     *      1.前端传入unionid和续期时间
     *      2.后端重新设置token失效时间为:剩余时间 + 指定失效时间
     * @param unionId
     * @return
     */
    @RequestMapping("/renewalToken")
    public AjaxResult renewalToken(@RequestParam("unionId")String unionId,
                                   @RequestParam("time")long time){
        String key = "token:"+unionId;
        if(redisUtils.get(key) == null){
            return new AjaxResult().ok("token不存在");
        }
        long oldTime = redisUtils.getExpire(key);
        log.info("oldTime:"+oldTime);
        boolean b = redisUtils.expire(key,oldTime+time);
        return b == true ? new AjaxResult().ok("续期成功") : new AjaxResult().error("续期失败");
    }

申请新的token

在这里插入图片描述

剩余过期时间

在这里插入图片描述

续期

在这里插入图片描述

续期后的token过期时间

在这里插入图片描述

4.获取新的token

当token失效,前端还可以请求这个restful接口获取有效token,流程和登录授权接口差不多

    /**
     * 获取新的token
     * 流程:
     *      1.前端传入unionid后端刷新token
     *      2.后端刷新redis缓存
     * @param unionId
     * @return
     */
    @GetMapping(value = "/token/{unionId}")
    public AjaxResult getNewToken(@PathVariable(name = "unionId") String unionId) {
        String token = null;
        if (StringUtils.isBlank(unionId)) {
            return new AjaxResult(502, "unionId为空");
        }
        //获取token
        Map claims = new HashMap<String, Integer>();
        //在claims中添加通过base64加密过的unionId
        String encodeUnionid = Base64.getEncoder().encodeToString(unionId.getBytes());
        claims.put("key", encodeUnionid);
        //72h过期
        try {
            token = JwtUtils.createJwt(claims, "wxuser", 1000 * 60 * 60 * 72);
        } catch (Exception e) {
            e.printStackTrace();
        }
        if (!StringUtils.isBlank(token)) {
            redisUtils.set("token:"+unionId,token,1000 * 60 * 60 * 72);
            return new AjaxResult().ok(token);
        }
        return new AjaxResult().error("无法获取token");
    }
Kevin_cai09
关注
  • 6
    点赞
  • 67
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
JWT+Redis 实现接口 Token 校验
qq_45110186的博客
12-27 1051
本文介绍在Java中使用JWT生成Token,并且使用Redis配合校验
JWTTokenRedis的结合使用(前后端)
weixin_52917644的博客
08-10 947
Token的具体使用
Redis中缓存用户Token的推荐方法
最新发布
jakelihua
04-25 783
字符串数据结构在Redis中用于存储简单的键值对,是最基本的数据类型。由于Token本质上是键(用户ID或会话ID)和值(Token字符串)的映射,字符串类型非常适合这一用途。使用string类型与使用Hash类型的对比表格。
Springboot使用JWT+Redis实现一个简单的登录鉴权
rgrhiea的博客
08-07 5654
这是一个JWT+Redis实现登录鉴权的简单demo,通过它包括了springbootjwtRedisTemplate的简单使用
springboot+JWT+redis实现token身份令牌验证(附代码)(超详细)
pengpm的博客
04-10 5414
利用springboot + JWT + Redis 搭建一个带token身份令牌验证的后端框架 从零开始建议先看我的上一篇教程搭好sprongboot框架:快速搭建springboot+mybatis-plus代码自动生成器的后端框架 项目环境 IDEA 2020 springboot 2.3.7.RELEASE mybatis-plus 3.5.1 JDK 1.8 操作步骤 项目目录结构 用户类 import com.baomidou.mybatisplus.annotation.IdType
Spring Security如何使用JWT作为访问数据身份认证Token,并将身份数据存入Redis
weixin_59216829的博客
04-13 1987
本文将着重介绍在Spring Security中如何使用JWT作为数据访问的身份认证令牌,使用JWT这个将代替原来的cookie身份认证
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring Security、JWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
基于springboot+jwt实现刷新token过程解析
08-19
实现中,我们使用了JWT来生成Token,并使用Redis来存储Token和refToken。在登录方法中,我们使用JwtUtil.sign()方法来生成Token,并将其存储到Redis中。在拦截器中,我们使用JwtUtil.verify()方法来验证Token的...
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
05-14
story-admin本项目为前后端分离的Web应用后端程序,采用技术框架如下:springboot v2.1.2.RELEASEshirojwtredismybatis-plus v3.1.2包含代码生成器文档swagger2,使用jwt采用token有效期内刷新机制更新Token。...
springboot+redis+token保持登录
08-03
在现代Web应用开发中,保持用户登录状态是一个常见的需求,"springboot+redis+token保持登录"的主题就涉及到了如何利用Spring Boot、Redis以及Token技术来实现这一功能。本文将详细探讨这一技术栈的实现原理和步骤。...
SpringBoot+shiro+redis+jwt .zip
01-03
当我们开发需要简单的鉴权功能时,springboot更快捷、简单的集成JWT,使得项目更加简洁(Compact)、自包含(Self-contained)、安全(security);鉴权的流程为下。
springboot整合JWT+Redis
mclt2017的博客
06-29 4234
——————————已实际运用在项目中,可放心使用———————————————— 引入依赖 创建JWT工具类 创建JWT拦截器 创建Redis工具类 目录 引入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.
用户登录JWT技术,Redis存储token,登录拦截
fllow_wind的博客
03-17 3990
SpringBoot项目 用户登录JWT技术 JWT 登录使用JWT技术。 jwt 可以生成 一个加密的token,做为用户登录的令牌,当用户登录成功之后,发放给客户端。 请求需要登录的资源或者接口的时候,将token携带,后端验证token是否合法。 jwt 有三部分组成:A.B.C A:Header,{“type”:“JWT”,“alg”:“HS256”} 固定 B:playload,存放信息,比如,用户id,过期时间等等,可以被解密,不能存放敏感信息 C: 签证,A和B加上秘钥 加密而成,只要秘钥不丢
Springboot + vue前后端分离后台管理系统(七) -- 引入JWT
qq_36700462的博客
06-10 464
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 相关文章很多。。。 参考:https://www.jianshu.com/p/576
Spring Security TokenStore实现3+1详解
weixin_34205826的博客
12-29 1113
TokenStore:Persistence interface for OAuth2 tokens.(对于OAuth2令牌持久化接口) 官方文档 TokenStore 的默认实现有三种: InMemoryTokenStore JdbcTokenStore JwtTokenStore 此外,将会根据TokenStor的特性多自定义一种实现——RedisTokenStore 一、InMem...
Springboot+Spring-Security+JWT+Redis实现restful Api的权限管理以及token管理(超详细用爱发电版)
热门推荐
ech13an的博客
06-24 7万+
前言 其实挺早就想写一篇关于jwt的博文去好好总结一下之前踩过的坑了,但是事情有点太多了,一直没抽出时间来写,刚好现在有点时间可以好好静下来写一遍(可能)有点质量的博文吧,毕竟一直都是看别人的博文去学习,我也好好写一遍吧哈哈。既然如果偶然搜到这篇文章的话,我相信大家应该都了解了什么是jwt,比较想知道怎么使用springboot+spring-security去实现,当然也可以使用shiro,其...
基于redis+jwt+MD5实现登录功能
大叔的博客
03-21 1523
1.导入依赖 <!--redis--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <!--像Md5加密呀--> .
jwtredis实现token校验的优劣
05-27
JWTRedis 都可以用于实现 Token 校验,但具体的实现方式有所不同,下面分别介绍一下它们的优劣。 JWT 实现 Token 校验的优点: 1. 无状态:JWT 实现 Token 校验时不需要在服务器端存储任何信息,这样可以减轻服务器的负担,提高系统的性能。 2. 轻量级:JWT Token 的体积较小,可以减少网络传输的开销。 3. 可扩展性:JWT 可以很容易地与其他技术集成,如 OAuth、SAML 等,可以实现单点登录和跨域身份验证。 JWT 实现 Token 校验的缺点: 1. 无法注销:一旦颁发了 JWT,就无法撤回或注销,除非等到 JWT 过期或更改密钥。 2. 密钥管理困难:JWT 的安全性依赖于密钥的保护,如果密钥泄露或被攻击者获取,就可能会导致系统的安全问题。 3. 数据量较大:由于 JWT 包含了用户信息和签名等信息,因此数据量较大,可能会影响网络传输的性能。 Redis 实现 Token 校验的优点: 1. 数据存储在内存中:Redis 的数据存储在内存中,可以快速地对 Token 进行校验。 2. 高可用性:Redis 支持数据复制和故障转移,可以保证系统的高可用性。 3. 可扩展性:Redis 支持分布式部署和数据复制,可以实现数据的高可用和扩展性。 Redis 实现 Token 校验的缺点: 1. 数据存储成本高:Redis 的数据存储在内存中,如果数据量过大,可能会导致内存不足的问题。 2. 数据持久化成本高:Redis 的数据持久化可能会影响系统的性能,尤其是在大数据量或高并发的情况下。 3. 高可用性需要额外配置:Redis 的高可用性需要额外的配置和维护,可能会增加运维的成本。 综上所述,JWTRedis 都有其优点和缺点,具体的选择应根据具体的场景和需求进行考虑。如果需要实现无状态的 Token 校验并且数据量较小,可以考虑使用 JWT;如果需要实现高可用的 Token 校验并且数据量较大,可以考虑使用 Redis
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值