基于springboot的自定义token实现登录功能

最新推荐文章于 2024-06-20 17:04:37 发布
最新推荐文章于 2024-06-20 17:04:37 发布
阅读量1.3k 收藏 11
点赞数
文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46287227/article/details/115211962
版权

一般的登录权限框架有spring security和shiro两种,但是如果只是单单实现一个登录功能,没有更多的权限交互,引入沉重的框架来处理反而会出现很多问题或者加重程序的处理效率,所以,用自定义的token来实现登录功能在一些小开发中也可以使用到.

首先推荐大家一款非常实用的工具包—hutool,这个工具包整合了很多细节方法,平时开发中利用这个包可以实现很多之前觉得非常复杂的业务,在本案例中,我也采用了hutool中的一些方法,着实舒服!!

image.png

先介绍一下我用到的hutool中的方法吧!!

对于登录功能,当然最主要的还是密码的加密校验和token的生成,在这里我使用相对比较严谨的hutool中的签名和验证进行,当然,如果业务过于简单,也可以使用UUID来充当token(顺便说一句,hutool中也有生成UUID的方法,而且没有"-"哦!!)
image.png

话不多说,开整 !

1.首先,引入相关的maven包


<!--redis:用户存放token信息-->

		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-redis</artifactId>
            <version>1.4.7.RELEASE</version>
        </dependency>


<!--hutool:工具类,用于密码加密,生成token -->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.6.1</version>
        </dependency>

<!--前后端交互-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
<!--mysql连接-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>

<!--简化实体类-->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>

<!--测试包-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

<!--mybatis-plus:mybatis孪生兄弟,用过的都说好-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.0.5</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <configuration>
                    <excludes>
                        <exclude>
                            <groupId>org.projectlombok</groupId>
                            <artifactId>lombok</artifactId>
                        </exclude>
                    </excludes>
                </configuration>
            </plugin>
        </plugins>
    </build>

至于配置文件,百度一下mysql的连接配置和redis的连接配置即可

2.创建数据库表和实体类

新建admin表:

image.png

创建实体类:

import com.baomidou.mybatisplus.annotation.TableId;
import com.baomidou.mybatisplus.annotation.TableName;
import lombok.Data;

import java.io.Serializable;

@Data
@TableName("admin")
public class Admin implements Serializable {
    @TableId(type = IdType.AUTO)
    private Integer id;
    private String username;
    private String password;
}

2.requestDTO 用于以json格式接收前端数据

import lombok.Data;

@Data
//登录传输数据
public class LoginDTO {
   private String username;
   private String password;
}

import lombok.Data;

@Data
//新增管理员传输数据
public class ReqAddAdmin {
    private String username;
    private String password;
}

3.编写登录方法(需要注意的是,在第一次编写的时候千万不要加密密码,否则无法校验成功,所以我在这里新建了一个添加管理员方法,明文登录后添加一个加密后的管理员账号,然后就可以把之前的管理员删除了)

或者还有一种简单的方法,用bcript直接将密码加密后打印到控制台,然后复制到数据库中,bcript方法在hutool工具包中有DigestUtil.bcrypt(password),在代码中会有展示.

1.controller

package com.ccas.admin.controller;


import com.ccas.admin.common.Result;
import com.ccas.admin.common.StatusCode;
import com.ccas.admin.request.LoginDTO;
import com.ccas.admin.request.ReqAddAdmin;
import com.ccas.admin.service.AdminService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@RestController
@RequestMapping("admin")
public class AdminController {

    @Autowired
    private AdminService adminService;


    @PostMapping("login")
    public Result<Object> login(@RequestBody LoginDTO loginDTO, HttpServletResponse response) {
        //service层会处理具体逻辑,处理完成后会返回一个token,如果token为null,则返回错误信息,如果token不为null,则登录成功,且将token返回给前端
        String token = adminService.findByUsername(loginDTO,response);
        if (token == null) {
            return new Result<>(StatusCode.UNAUTHORIZED, "账号或密码错误");
        }
        return new Result<>(StatusCode.SUCCESS, "登录成功", token);
    }


    @PostMapping("addAdmin")
    public Result<Object> addAdmin(HttpServletRequest request, @RequestBody ReqAddAdmin reqAddAdmin) {
        //service层会校验token的有效性,如果token无效,则返回错误信息,如果token有效,则处理具体业务逻辑,这里是添加一个管理员
        if (!adminService.checkToken(request)) {
            return new Result<>(StatusCode.UNAUTHORIZED, "添加失败");
        }
        adminService.addAdmin(reqAddAdmin);
        return new Result<>(StatusCode.SUCCESS, "添加成功");
    }
}

2.service

package com.ccas.admin.service;

import com.ccas.admin.request.LoginDTO;
import com.ccas.admin.request.ReqAddAdmin;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public interface AdminService {
    String findByUsername(LoginDTO loginDTO, HttpServletResponse response);

    boolean checkToken(HttpServletRequest request);

    void addAdmin(ReqAddAdmin reqAddAdmin);
}

3.serviveImpl

package com.ccas.admin.service.impl;

import cn.hutool.core.codec.Base64Decoder;
import cn.hutool.core.codec.Base64Encoder;
import cn.hutool.crypto.SecureUtil;
import cn.hutool.crypto.asymmetric.Sign;
import cn.hutool.crypto.asymmetric.SignAlgorithm;
import cn.hutool.crypto.digest.DigestUtil;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.ccas.admin.dao.AdminMapper;
import com.ccas.admin.domain.Admin;
import com.ccas.admin.request.LoginDTO;
import com.ccas.admin.request.ReqAddAdmin;
import com.ccas.admin.service.AdminService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.concurrent.TimeUnit;

@Service
@Transactional
public class AdminServiceImpl implements AdminService {

    @Autowired
    private AdminMapper adminMapper;
    @Autowired
    private StringRedisTemplate redisTemplate;
	//全局定义一个唯一的sign对象,这是用户签名和验证的对象.
    //之前尝试过在方法内部建立该对象,由于签名和验证不在同一个方法中,两次新建该对象会产生不同的签名对象,会导致签名和验证不匹配,校验不通过
    private final Sign sign = SecureUtil.sign(SignAlgorithm.MD5withRSA);

    @Override
    public String findByUsername(LoginDTO loginDTO, HttpServletResponse response) {
        String token = null;
        //用mybatis-plus查询,根据用户名查询对象,如果不存在该对象,则直接返回token=null
        Admin admin = adminMapper.selectOne(new QueryWrapper<Admin>().eq("username", loginDTO.getUsername()));
        if (admin == null) {
            return null;
        }
        //如果存在该对象,则校验密码,密码是用bcript加密的,可以用hutool中的工具类来校验,当然后面的密码加密也使用hutool的bcript加密
        //如果密码不正确,则返回token=null
        if (!DigestUtil.bcryptCheck(loginDTO.getPassword(), admin.getPassword())) {
            return null;
        }
        //接下来就是签名了,这一步比较难理解,可以去hutool官网的签名例子,非常好理解
        //1.首先我们将签名数据转换为字节数组,因为这是他方法参数需要传递的数据类型
        byte[] data = admin.getUsername().getBytes();
        //2.然后我们将这字节数组放到sign对象的sign方法中,注意,sign对象是全局唯一的,然后就会生成一个字节数组的签名signed
        byte[] signed = sign.sign(data);
        //为了能够保证签名的时效性,我们需要将这个签名放到Redis中,并设置过期时间
        //然而,这是一个字节数组,存入redis非常困难,于是我们可以先签名通过base64进行转码,解析为字符串形式
        token = Base64Encoder.encode(signed);
        //最后,我们至于要将token放在redis中,这里需要注意的是,我们可以将token设置为key,用户id设置为value
        //这样的好处是:我们可以直接判断是否存在key,并且可以通过key获取到管理员信息
        redisTemplate.boundValueOps(token).set(admin.getId().toString(), 1, TimeUnit.DAYS);
        return token;
    }

    @Override
    public boolean checkToken(HttpServletRequest request) {
        //前端会将token放置在请求头中,我们就将请求头中将token拿出来
        String token = request.getHeader("token");
        //只有在请求头中拿到token,并且该token存在于redis中,才进行后续操作,否则直接返回null
        if (token != null && redisTemplate.hasKey(token)) {
            //从redis中获取到管理员id
            Integer adminId = Integer.valueOf(redisTemplate.boundValueOps(token).get());
            //通过id查询到admin对象
            Admin admin = adminMapper.selectById(adminId);
            //获取对象用户名
            String username = admin.getUsername();
            //签名校验,该方法需要传递两个参数,一个是签名数据(即上个方法中的data),一个是签名(即上个方法中的signed)
            //签名数据其实对应的就是用户名username,签名其实对应的就是token,但他们都是字符串,所以我们需要将其转化为字节数组
            //签名数据可以直接用getBytes()方法,但是token由于是base64解析的,所以我们需要通过base64反解析回字节数组,而不能用普通的getBytes()方法
            return sign.verify(username.getBytes(), Base64Decoder.decode(token));
        }
        return false;
    }

    @Override
    public void addAdmin(ReqAddAdmin reqAddAdmin) {
        Admin admin = new Admin();
        admin.setUsername(reqAddAdmin.getUsername());
        //通过bcript加密
        admin.setPassword(DigestUtil.bcrypt(reqAddAdmin.getPassword()));
        //插入数据库
        adminMapper.insert(admin);
    }
}

4.dao

package com.ccas.admin.dao;

import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.ccas.admin.domain.Admin;
import org.springframework.stereotype.Repository;

@Repository
public interface AdminMapper extends BaseMapper<Admin> {
}

总结:大概的实现思路是

1.前端传入账号密码登录,后端进行校验(注意密码的加密)

2.如果校验通过,则通过签名生成token,登录成功并将token返回给前端

3.前端将token放在头信息中,调用其他方法时,后端会尝试去获取头信息中是否含有token,并获取该token

4.签名校验,如果token信息合法,则处理业务,如果不合法,则返回统一状态码,前端可根据该状态码提示对应信息或跳转到登录界面

穿不起AJ的阿鉴
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoottoken短信验证登入登出权限操作(token存放redis,ali短信接口)
08-25
3. 实现登录逻辑,创建并存储Token到Redis。 4. 设置权限控制,对API进行鉴权,确保只有合法用户才能访问。 通过以上步骤,我们就能够在SpringBoot应用中构建一套完整的短信验证登录和权限管理系统。当然,实际开发...
SpringBoot实现token登录
m0_52012606的博客
03-23 9469
在进行登录验证时,我们需要session或cookie会话进行验证,客户端包括浏览器、app、微信小程序、公众号,只有浏览器有session和cookie机制,当我们脱离浏览器用app等向服务端发请求就没有session和cookie机制,这时我们就需要使用token令牌进行登录验证。...
springboot实现token登录
qq_40820235的博客
12-03 7745
一、Controller层login接口进行账密验证,验证成功返回token controller: @PostMapping("/login") public Result<TokenStatus> login(@RequestBody LoginVO loginVO, HttpServletRequest request) { Result<TokenStatus> result = new Result<>(); UserDO
SpringBoot登录认证
最新发布
qq_51773341的博客
06-20 794
什么是会话?在我们日常生活当中,会话指的就是谈话、交谈。在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话。在用户打开浏览器第一次访问服务器的时候,这个会话就建立了,直到有任何一方断开连接,此时会话就结束了。在一次会话当中,是可以包含多次请求和响应的。比如:打开了浏览器来访问web服务器上的资源(浏览器不能关闭、服务器不能断开)第1次:访问的是登录的接口,完成登录操作第2次:访问的是部门管理接口,查询所有部门数据第3次:访问的是员工管理接口,查询员工数据。
SpringBoot实现基于token登录验证
weixin_42408447的博客
06-11 9660
一.SpringBoot实现基于token登录验证 基于token登录验证实现原理:客户端通过用户名和密码调用登录接口,当验证数据库中存在该用户后,将用户的信息按照token的生成规则,生成一个字符串token,返回给客户端,客户端在调用其他接口的时候,需要在请求头上带上token,来验证登录信息。 二.Demo实现代码如下: (因为除登录接口外,其他接口每次都需要验证token信息,所以将验证token信息的部分放在了过滤器里面) 1.导入JWT(JSON WEB TOKEN)依赖 <depen
[记录]数据库小技巧
HaloTrriger的博客
12-01 386
目录--Oracle相关1. 使用PL/SQL登录时避免每次登录要输入登录信息2. 使用PL/SQL登录服务器数据库时,将带地址的库名为自己能读懂的库名 –Oracle相关 1. 使用PL/SQL登录时避免每次登录要输入登录信息 L跳过每次输入用户名和密码可以先找到PL/SQL的工具栏:工具->首选项->Oracle->登陆历史。 从“历史”中找到你想要记住的登录信息,直接鼠标左边拖拽到“固定用户”中。看看右边,你会看到“用user/passw@db 格式输入用户”,即“用户名/密码@库
SpringBoot集成JWT实现Token登录验证
weixin_42672802的博客
12-18 3192
SpringBoot集成JWT实现Token登录验证
基于springboot+springSecurity+jwt实现的基于token的权限管理
02-24
这个基于"springboot+springSecurity+jwt实现的基于token的权限管理"的示例项目,旨在帮助开发者理解和实践这些技术。 首先,Spring BootSpring框架的简化版,它提供了快速构建和部署应用程序的能力。通过自动...
SpringBoot使用JWT实现登录验证的方法示例
08-25
SpringBoot应用中,我们可以利用JWT来实现登录验证,为用户提供安全的身份验证体验。 在SpringBoot中使用JWT的基本步骤如下: 1. **添加JWT依赖**: 首先,我们需要在项目的pom.xml文件中添加JWT库的依赖,例如...
基于springboot+security+jwt+redis实现微信小程序登录token权限鉴定源码+项目说明.zip
12-20
基于springboot+security+jwt+redis实现微信小程序登录token权限鉴定源码+项目说明.zip springboot+security+jwt+redis 实现微信小程序登录token权限鉴定 tips:这是实战篇,默认各位看官具备相应的基础(文中使用...
SpringBoot + Vue 实现用户名密码登录.zip
11-05
- **前端**:Vue组件化开发用户界面,包括登录表单,使用Vue Router管理页面路由,实现登录后的页面跳转。 - **后端**:创建登录接口,接收前端发送的用户名和密码,验证后返回成功或失败信息。 - **测试**:单元...
Springboot实现登录功能token、redis、登录拦截器、全局异常处理)
qq_64680177的博客
10-06 3733
1、前端调用登录接口,往接口里传入账号,密码2、根据账号判断是否有这个用户,如果有则继续判断密码是否正确3、验证成功后,则是根据账号,登录时间生成token(用JWT)4、将token存入Redis当中,用于token过期策略5、将token和用户信息返回给前端6、此后调用后端任何接口都会先判断发来请求里token是否存在、有效(拦截器实现)7、然后继续接下来的正常调用。
springboot项目使用jwt+token实现登录
qq_36090537的博客
11-23 2150
登录接口获取的token,存储在客户端, 客户端下次发起请求时放在header中Authorization中,AuthenticationInterceptor拦截器直接解析,解析通过后放行,否则抛出异常。
SpringBoot 实现登录token,这五步很关键!
D_boj的博客
03-13 293
此处验证token是使用 字符串中包含“token”字符串,而进行验证。自我感觉这样异常处理不合适请各位大佬指教。1.此处验证token是否存在 2.验证解析的jwt中是否含有自己所带的参数。
基于spring-boottoken登录验证
qq_44148674的博客
11-07 523
基于spring-boottoken登录验证1.什么是token2.token是干什么的3.token的组成基于boottoken登录好了,到这里token的简单登录就完成了,当然,我也阅读了几篇大佬的token文章,谢谢你们,现在我将我学到的及自己理解的传播下去.希望大家阅读后能有收获,当然随时欢迎大家指出我的错误,在下不甚感激,最后希望大家都能进步,在如今的互联网行业中,停下来也就被淘汰了...
Spring Boot项目之用户登陆-利用用户令牌Token的方式实现
pikcacho_pkq的博客
10-18 2575
用户登陆最主要的目的就是为了完成两件事情:身份验证和登陆状态的保持。一种比较常见的方案时利用Cookie和Session,将用户的信息存放其中,这样就可以通过读取Cookie或者Session中的数据获取用户的登录信息,从而达到验证用户,记录状态的目的。这里就不具体介绍这两种方案。另一种就是通过生成用户令牌Token的形式进行用户验证和状态保持,Token是通过一些无状态的数据生成的字符串并不包含用户信息,所以相对来说更加安全。这里就主要介绍一下该方式实现用户登陆。登陆流程大致如下图所示: 由于是一个登陆d
自定义生成token 使用UUID加时间戳的方式或使用账号、密码加时间戳的方式
2301_76846839的博客
06-25 1252
因为时间为毫秒值,所以推荐使用乘的方式,这样方便后续修改,的方法,通过截取时间戳的方式进行验证,如果返回的是。当然也可以加入其他的字段进行拼接生成。加时间戳的方式生成自定义的。,所以对他们进行加密操作。就是一分钟,以此类推。因为用户名和密码都是。可以看到都能正常使用。
springboot使用token实现登录验证接口
06-13
可以使用Spring Security和JWT(JSON Web Token)来实现基于token登录验证接口。下面是一个简单的示例: 1. 添加依赖 在pom.xml中添加以下依赖: ``` <groupId>org.springframework.boot <artifactId>spring...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值