学妹教我写代码【四】--写一个简单的鉴权系统

已于 2023-11-13 13:17:47 修改
阅读量145 收藏
点赞数 4
分类专栏: java 后端 文章标签: java
于 2023-11-13 13:15:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61673879/article/details/134374850
版权

我们平时开发的程序一般都会涉及到用户模块,有时候的业务必须要用户登录才能实现,涉及到登录那么就不可避免的要涉及到鉴权,那么一个简单的鉴权应该怎么做?下面来介绍一下。

主要思路

在用户登录的时候返回一个token给前端,往后前端的每次请求都用请求拦截器拦截,并且在请求头添加一个 Authorization ,值就是之前后端返回的token,后端对每次请求进行拦截并且鉴权。

实现

前端

下面是axios的实例化和对应的请求拦截器。

const service = axios.create({
  baseURL: "http://localhost:8080", // url = base url + request url
  // withCredentials: true, // send cookies when cross-domain requests
  headers: {
    "content-type": "application/x-www-form-urlencoded"
  },
  withCredentials: true, // 允许携带凭证
  timeout: 5000 // request timeout
})

// request interceptor
service.interceptors.request.use(
  config => {
    if (getToken()) {
      config.headers['Authorization'] = getToken()
    }
    return config
  },
  error => {
    // do something with request error
    console.log(error) // for debug
    return Promise.reject(error)
  }
)

对token的操作我们可以封装成函数

const TokenKey = 'token'

export function getToken() {
  return localStorage.getItem(TokenKey);
}

export function setToken(token) {
  return localStorage.setItem(TokenKey, token);
}

export function removeToken() {
  return localStorage.removeItem(TokenKey);
}

上面就是前端的实现啦,简单点来说前端只负责接收token并且储存,在每次发请求的时候带上就行

后端

后端鉴权的机制比较多,我们首先来想一下,token如何来?里面的内容是什么?答案是用jwt等安全框架造出来,里面的内容可以我们自己来定(比如储存好用户的id,过期时间等)
ok,有了上面的基础,我们可以猜到肯定需要一个工具类来完成加密信息产生token,解密token,验证token,刷新token等。
下面是工具类代码(需要加密什么信息可以自己添加,算法也比较基础,可以更换加密机制)


package com.sky.utils;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;

import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.auth0.jwt.interfaces.JWTVerifier;

import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtUtil {
    private static final int EXPIRATION_HOURS = 24;
    private static final String SECRET = "demoCat";

    /**
     * 生成token
     *
     * @param userId         用户id
     * @param expiresInHours 有效时间
     * @return JWT token
     */
    public static String createToken(Long userId, int expiresInHours) {
        Calendar nowTime = Calendar.getInstance();
        nowTime.add(Calendar.HOUR, expiresInHours);
        Date expiresDate = nowTime.getTime();

        Map<String, Object> map = new HashMap<>();
        map.put("typ", "JWT");
        map.put("alg", "HS256");

        return JWT.create()
                .withHeader(map)
                .withClaim("id", userId)
                .withExpiresAt(expiresDate)
                .withIssuedAt(new Date())
                .sign(Algorithm.HMAC256(SECRET));
    }

    /**
     * 验证token是否过期
     *
     * @param token JWT token
     * @return true 如果 token 有效,否则 false
     */
    public static Boolean verifyToken(String token) {
        if (token == null || token.isEmpty()) {
            return false; // Token 为空
        }

        try {
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            JWTVerifier verifier = JWT.require(algorithm).build();
            DecodedJWT jwt = verifier.verify(token);
            Date expirationDate = jwt.getExpiresAt();
            Date currentDate = new Date();
            return !expirationDate.before(currentDate);
        } catch (JWTVerificationException e) {
            return false;
        }
    }

    /**
     * 解析token
     *
     * @param token JWT token
     * @return 包含 JWT 令牌声明的映射
     * @throws Exception 如果解析失败
     */
    public static Map<String, Claim> parseToken(String token) throws Exception {
        JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
        DecodedJWT jwt = verifier.verify(token);
        return jwt.getClaims();
    }

    /**
     * 刷新token
     *
     * @param token JWT token
     * @return 刷新后的 JWT token
     */
    public static String refreshToken(String token) {
        try {
            DecodedJWT decodedJWT = JWT.decode(token);
            Long userId = decodedJWT.getClaim("id").asLong();
            return createToken(userId, EXPIRATION_HOURS);
        } catch (JWTVerificationException e) {
            // Token 解码失败或签名验证失败,处理异常
            return null;
        }
    }
}

ok,有了这个工具,下面就要来编写我们的业务了。

首先我们每次都要拦截,那么肯定需要一个拦截器了,我们先来写一个拦截器并且注册到系统中

package com.sky.interceptor;

import com.auth0.jwt.interfaces.Claim;
import com.sky.utils.JwtUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.server.ResponseStatusException;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Map;

/**
 * jwt令牌校验的拦截器
 * 相当于系统的锁
 */
@Component
@Slf4j
public class JwtTokenAdminInterceptor implements HandlerInterceptor {


    /**
     * 校验jwt
     *
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //TODO 写一篇博客如何做一个权限系统shiro(权限五表,包括vip也可以直接用的那种)
        //判断当前拦截到的是Controller的方法还是其他资源
        if (!(handler instanceof HandlerMethod)) {
            //当前拦截到的不是动态方法,直接放行
            return true;
        }
        if ("/user/login".equals(request.getRequestURI())
                ||"/upload".equals(request.getRequestURI())) {
            return true;
        }

        //1、从请求头中获取令牌
        String token = request.getHeader("Authorization");

        Boolean loggedIn = JwtUtil.verifyToken(token);

        //2、校验令牌
        try {
            //TODO 思考如何为系统搭建一个日志系统,如何打日志为佳,
            log.info("jwt校验:{}", token);
            if (token != null && loggedIn) {
                Map<String, Claim> stringClaimMap = JwtUtil.parseToken(token);
                Long userId = stringClaimMap.get("id").asLong();
                request.setAttribute("current_user", userId.intValue());
                System.out.println("当前用户id:"+userId);
                return true;
            }else {
                throw new ResponseStatusException(HttpStatus.FORBIDDEN, "Unauthorized access");
            }

            //3、通过,放行
        } catch (Exception ex) {
            //4、不通过,响应401状态码
            response.setStatus(403);
            return false;
        }
    }




}

然后注册拦截器

@Configuration
@Slf4j
public class WebMvcConfiguration extends WebMvcConfigurationSupport {

    @Autowired
    private JwtTokenAdminInterceptor jwtTokenAdminInterceptor;

    /**
     * 注册自定义拦截器
     *
     * @param registry
     */
    protected void addInterceptors(InterceptorRegistry registry) {
        log.info("开始注册自定义拦截器...");
        registry.addInterceptor(jwtTokenAdminInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/login");
    }
}

到目前为止,我们的鉴权就初步打造完成啦,还有最后一步就是用户登录的时候发令牌给用户。这个我们结合自己的业务就行啦。

上面就是我们实现的简单的鉴权系统啦,为什么简单?因为我们还可以在这个基础上加入权限(比如vip,管理员等),加密算法也可以更完善,还有token也没有实现刷新机制。
当然,这些都是随业务的变化而变化的。我们知道了基础,要用的时候再加就行啦!
今天的鉴权就到这里,下次见!

谢林365
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
系统鉴权简述
m0_60585331的博客
08-06 1727
一、什么是系统鉴权 指验证用户是否拥有访问系统的权利。 鉴权分两方面: 服务端用户鉴权,从业务数据层面对客户端进行鉴权 网络鉴权,从网络层面对客户端进行鉴权 二、有哪些系统鉴权 1、session-cookie 2、token(auth) 3、OAuth(开放授权) 4、sign(签名鉴权) 三、token鉴权流程 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证登录是否成功 3、验证成功后,服务端会返回一个Token给客户端,反之,返回身份验证失败的信息 4、客.
vue项目中对token的封装处理
oilpastell的博客
06-19 1421
1.将token存储在localstorage中的处理 //设置一个固定的key值 const KEY='Authorization' //暴露三个方法 //设置token export function setToken(token){ window.localStorage.setItem(KEY,token); } //获取token export function getToken(){ return window.localStorage.getItem(KEY); } //删
基于Vue的会员管理系统(六)
一只柠檬菜鸡
09-12 614
很久没更新这个坑了,今天复习了一下Vuex,打算把Vuex在这个项目里面的使用一下。 根据官方文档 当我们的应用遇到多个组件共享状态时,单向数据流的简洁性很容易被破坏: 多个视图依赖于同一状态。 来自不同视图的行为需要变更同一状态。 项目中,每次跳转路由前都会被导航守卫拦截一次,从localstorage中获取token和user信息,验证token以及user信息是否有效。为了方便获取和管理登录信息,使用Vuex进行状态管理。 具体实现 根目录下创建一个store文件夹,文件夹下创建一个index
vue项目axios封装
zh_hao123的博客
07-01 273
vue项目axios封装
Vue项目 成员管理系统 Vuex状态管理(10)
不是独角兽的博客
04-22 846
Vuex是一个专为Vue.js应用程序开发的状态管理模式.它采用集中式储存管理应用的所有组件的转台并以相应的规则保证装填以一中可预测的方式发生变化. Vuex可以将组件中的某些属性、值或者方法拿出来统一去声明、统一去定义,在Vuex中去声明,设置一些方法以及一些逻辑运算,来修改这些组件用到的相同的值. ...
python记忆口诀-学妹问我: 如何提高编程能力
q6q6q的专栏
10-28 1327
聊天截图 聊天截图前言开局两张图,剩下全靠吹了。上面这两张图便是这篇文章的原由。对话框的另一边,是一位大二计算机科班在读的小姐姐,看似平静的文字背后透露着迷茫与困惑,还对未来的焦虑。透过屏幕,似乎看到了大一时的自己,不会装环境、不知道怎么编译,报错也不会解决,更不知道除了计算水仙花数、打印乘法口诀表...还能些什么。感同身受让我觉得有必要认真的好好回答一下(其实是因为这是小姐姐问的�,也...
PC端面经后台管理项目-element-UI,sass/scss,axios、localstorage二次封装,响应拦截器
weixin_53850394的博客
03-25 776
这一次的项目是基于上一次移动端的面经项目的后台管理部分,与移动端的不同,移动端主要在于对vant组件库的熟悉和学习,pc端则是在于对element-ui的熟悉和学习,整体来说,和移动端面经项目有很多的相似之处,能够从上次的项目中借鉴经验,也能借此来加深对这套架子的熟悉。接口文档: https://www.apifox.cn/apidoc/project-934563/api-19465917本项目的技术栈 本项目技术栈基于和。
axios封装请求request.js等工具函数较完整 三方登录
qq_34114535的博客
12-25 576
/ Axios 无感知刷新令牌,参考 https://www.dashingdog.cn/article/11 与 https://segmentfault.com/a/1190000020210980 实现。baseURL: process.env.VUE_APP_BASE_API + '/admin-api/', // 此处的 /admin-api/ 地址,原因是后端的基础路径为 /admin-api/return ['日', '一', '二', '三', '', '五', '六'][value]
vue项目封装auth.js工具,用vuex实现登录信息校验管理token
weixin_45849112的博客
08-19 4713
1.在 src\utils\ 目录下创建 auth.js, 封装 token 和 用户信息工具模块 const TOKEN_KEY = 'mxg-msm-token' const USER_KEY = 'mxg-msm-user' // 获取 token export function getToken() { return localStorage.getItem(TOKEN_KEY) } // 保存 token export function setToken(token) { retu
【Spring Boot】高效配置管理: 易用性与灵活性并重
weixin_68020300的博客
08-07 1278
本文探讨了Spring Boot中多样化的配置读取方法及其应用场景,强调了配置管理的重要性,并展示了Spring Boot如何通过灵活多变的配置选项简化这一过程。此外,文章还展望了配置管理领域未来的技术趋势和发展方向。对于任何希望深入了解Spring Boot配置管理的开发者来说,这是一篇不容错过的好文。
伐木工 (100%用例)D卷 (Java&&Python&&C++&&Node.js&&C语言)
荆赫同艺的博客
08-07 274
一根 4米长的树木,伐木工不需要切割为 2*2,省去切割成本,直接整根树木交易,为 4*1,收益最大为 4。方式二: 3,2,2,3,但方式二,伐木工多切割一次,增加了切割成本却卖了一样的价格,因此并不是最优收益。一根 2 米长的树木,伐木工不切割,为2*1,收益最大为 2。一根5 米长的树木,伐木工切割为 2*3,收益最大为 6。输出最优收益时的各个树木长度,以空格分隔,按升序排列。一根 10 米长的树木,伐木工可以切割。方式一:3,4,4,也可以切割为。
javaweb)请求响应postman
2301_79144798的博客
08-08 468
1.Tomcat又称为servlet容器前端浏览器发起请求携带http请求数据,web服务器负责请求协议的解析,Tomcat接收请求数据,并对请求数据进行解析。Tomcat将解析后所有的信息封装到一个对象当中:HttpServletRequest(请求对象)---应用程序从中获取请求数据。HttpServletResponse--通过这个对象设置要响应的数据 --响应信息给浏览器浏览器--服务器::BS架构(通过浏览器能访问到的网站:京东 淘宝 天猫 唯品会都是BS架构)
springboot民办高校科研项目管理系统-计算机毕业设计源码54009
VX_DZbishe的博客
08-11 208
论文主要是对基于springboot的民办高校科研项目管理系统进行了介绍,包括研究的现状,还有涉及的开发背景,然后还对系统的设计目标进行了论述,还有系统的需求以及整个的设计方案,对系统的设计以及实现,也都论述的比较细致,最后对基于springboot的民办高校科研项目管理系统进行了一些具体测试。本次报告,首先分析了研究的背景、作用、意义,为研究工作的合理性打下了基础。
SpringBoot快速入门(手动创建)
最新发布
m0_74124657的博客
08-11 247
代码如下//引导类项目的入口//注解添加导入进来你可以浏览器中查看自己编代码,看是否正确localhost:你命名的端口号(默认是8080。后面你也可以在配置文件修改)
Spring事务
c1tenj2的博客
08-07 437
以银行转账为例,一次转账操作伴随着一个账户的扣钱和另一个账户的加钱,这个流程是一个原子操作,要么同时发生,一气呵成,要么都不做。AccountServiceImpl实现AccountService接口,里面只有一个转账方法AccountMapper以及其映射文件account数据库测试代码用1/0模拟程序运行时出现异常的情况由于没有开启事务,出现了莫名其妙少了100块钱的情况,说明这个事务不是连续的。
反射和注解
supercool7的博客
08-08 257
反射的基本步骤包括获取Class对象、获取类的信息(构造函数、方法、字段等),然后通过Constructor、Method、Field等类的实例进行具体的操作。注解以@符号开头,通常紧跟着一个标识符,后面可以跟一些参数,用于给类、方法、字段等添加元数据信息,这些信息可以在编译时、运行时被读取和处理。通过Class类,可以获取类的构造函数、方法、字段等信息,而不需要在编译时确定这些信息。Spring、SpringBoot、Mybatis等框架中都大量使用了反射机制。此外,开发者还可以定义自己的注解,通过。
Java:继承,this,super
m0_75257168的博客
08-10 316
可以同名,但参数列表不能相同(有参无参构造)
安卓Android & JAVA校招/实习面试合集:多线程、强软弱虚引用、进程、内存管理、Activity、Fragment......
qq_41915623的博客
08-10 389
安卓Android、java面试资料合集:内存管理、多线程、进程、强软弱虚应用、Activity
python大作业数据_python 爬虫初探和简单数据分析及可视化,帮学妹个大作业...
06-12
好的,我可以提供一些思路和建议。 1. 确定数据来源:首先要确定你想要分析的数据来源,比如某个网站或者API接口。...以上是一个大致的思路,具体实现还需要根据具体的数据和需求进行调整。希望这些能对你有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谢林365

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值