springboot集成JWT之双重token

已于 2024-08-07 21:15:39 修改
阅读量807 收藏 31
点赞数 19
文章标签: spring boot java 后端 vue 前端
于 2024-08-05 16:37:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74093287/article/details/140927809
版权

目录

一,单个token缺点

token一般存储在浏览器中,容易被盗取,而为了防止被盗取长期使用,token的有效时间必然无法不能设置太长,此举也必然引起用户的频繁登录,给用户带来不好的体验

二,双重token(accessToken,refreshToken)

(一)设计思路

1,将accessToken作为是否登录的标识,存储在浏览器当中。由于该token可浏览器看到,容易被盗取,可将有效时间设置的尽可能短一些,解决盗取长期使用问题
2,将refreshToken作为是否更新accessToken的标识,只要refreshToken不过期,则自动更新accessToken,可将有效时间设置的长些,解决频繁登录问题
3,不直接将refreshToken存储到浏览器上,而是将其存储到accessToken的载荷里,后端通过获取accessToken的载荷内容获取到refreshToken,防止refreshToken被盗取
4,accessToken构成:
         载荷:refreshToken
         有效时间:尽可能短(这里我设置为30分钟)
         密钥:用户的密码
     refreshToken构成:
         载荷:用户的id
         有效时间:长(这里我设置为一天)
         密钥:用户的密码

(二)后端代码

1,TokenUtil(生成token和获取用户信息)

具体步骤看注释

@Component
@Slf4j
public class TokenUtils {
    private static IUserService staticAdminService;

    @Resource
    private IUserService adminService;

    @PostConstruct
    public void setUserService() {
        staticAdminService = adminService;
    }
    
	//	生成token
    public static String genToken(String adminId, String sign, Integer time) {
    	//生成过期时间
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND, time*60);

        return JWT.create().withAudience(adminId) //载荷
                .withExpiresAt(instance.getTime()) //time分钟后过期
                .sign(Algorithm.HMAC256(sign)); // 密钥
    }
    
    //根据accessToken获取用户信息
    //  1.通过accessToken的载荷拿到refreshToken
    //  2.通过refreshToken的载荷拿到userId
    //  3.调用根据用户id获取用户信息的方法拿到用户信息
    public static User getCurrentAdmin() {
        String accessToken = null;
        try {
            HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
            accessToken = request.getHeader("token");
            System.out.println("access"+accessToken);
            if (StrUtil.isBlank(accessToken)) {
                log.error("获取当前登录的accessToken失败, token: {}", accessToken);
                return null;
            }
            String refreshToken = JWT.decode(accessToken).getAudience().get(0);
            if (StrUtil.isBlank(refreshToken)) {
                log.error("获取当前登录的refreshToken失败, token: {}", refreshToken);
                return null;
            }
            String userId = JWT.decode(refreshToken).getAudience().get(0);
            return staticAdminService.getById(Integer.valueOf(userId));
        } catch (Exception e) {
            log.error("获取当前登录的管理员信息失败, token={}", accessToken,  e);
            return null;
        }
    }
}

2,JwtInterceptor(检验accessToken是否合法)

实现思路:
(1)检验accessToken是否为空
(2)通过accessToken的载荷内容拿到refreshToken
(3)验证获取到的refreshToken是否合法,若不合法,则accessToken为无效token,合法则返回密钥
(4)通过该密钥去判断accessToken是否过期

@Slf4j
public class JwtInterceptor implements HandlerInterceptor {

    @Autowired
    private IUserService userService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        String accessToken = request.getHeader("token");
        if (StrUtil.isBlank(accessToken)) {
            accessToken = request.getParameter("token");
        }
        //执行认证
        if (StrUtil.isBlank(accessToken)) {
            throw new ServiceException(ErrorCode.TOKEN_NO_EXIST.getCode(), ErrorCode.TOKEN_NO_EXIST.getMsg());
        }
        String refreshToken;
        try{
            refreshToken = JWT.decode(accessToken).getAudience().get(0);
        }catch (Exception e){
            throw new ServiceException(ErrorCode.TOKEN_ERROR.getCode(), ErrorCode.TOKEN_ERROR.getMsg());
        }
        String password = verifyRefreshToken(refreshToken);
        try {
            // 用户密码加签验证 token
            JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(password)).build();
            jwtVerifier.verify(accessToken); // 验证token
        } catch (JWTVerificationException e) {
            throw new ServiceException(ErrorCode.TOKEN_ERROR.getCode(), ErrorCode.TOKEN_ERROR.getMsg());
        }
        return true;
    }
	
	//验证refreshToken是否合法
    public String verifyRefreshToken(String token){
        // 获取 token 中的adminId
        String adminId;
        User user;
        try {
            adminId = JWT.decode(token).getAudience().get(0);
            // 根据token中的userid查询数据库
            user = userService.getById(Integer.parseInt(adminId));
            System.out.println(user);
        } catch (Exception e) {
            e.printStackTrace();
            throw new ServiceException(ErrorCode.REFRESE_TOKEN_ERROR.getCode(), ErrorCode.REFRESE_TOKEN_ERROR.getMsg());
        }
        if (user == null) {
            throw new ServiceException(ErrorCode.USER_NO_EXIST.getCode(), ErrorCode.USER_NO_EXIST.getMsg());
        }

        try {
            // 用户密码加签验证 token
            JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
            jwtVerifier.verify(token); // 验证token
        } catch (JWTVerificationException e) {
            throw new ServiceException(ErrorCode.REFRESE_TOKEN_ERROR.getCode(), ErrorCode.REFRESE_TOKEN_ERROR.getMsg());
        }
        return user.getPassword();
    }
}

3, WebConfig(设置拦截规则)

@Configuration
public class WebConfig implements  WebMvcConfigurer {
    // 加自定义拦截器JwtInterceptor,设置拦截规则
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor()).addPathPatterns("/**").excludePathPatterns("/user/login","/user/register","/refreshToken/refresh");
    }
    @Bean
    public JwtInterceptor jwtInterceptor(){
        return new JwtInterceptor();
    }
}

4,登陆接口处生成accessToken和refreshToken

String refreshToken= TokenUtils.genToken(user.getId().toString(),user.getPassword(),24*60);
String accessToken=TokenUtils.genToken(refreshToken,user.getPassword(),30);

5,编写更新refreshToken的接口

实现思路:
(1)检验accessToken是否为空
(2)通过accessToken的载荷内容拿到refreshToken
(3)验证获取到的refreshToken是否合法,不合法,则accessToken为无效token(此处无效token单指自己编写,不是后端生成的token),不对accessToken进行更新操作,合法则重新生成新的accessToken

@RestController
@RequestMapping("/refreshToken")
public class refreshTokenController {
    @Autowired
    private IUserService userService;

    @GetMapping("/refresh")
    public Result refresh(@RequestParam String accessToken) {
        if (StrUtil.isBlank(accessToken)) {
            throw new ServiceException(ErrorCode.TOKEN_NO_EXIST.getCode(), ErrorCode.TOKEN_NO_EXIST.getMsg());
        }
        String refreshToken;
        try{
            refreshToken = JWT.decode(accessToken).getAudience().get(0);
        }catch (Exception e){
            throw new ServiceException(ErrorCode.TOKEN_ERROR.getCode(), ErrorCode.TOKEN_ERROR.getMsg());
        }
        if(StrUtil.isBlank(refreshToken)){
            return Result.error(ErrorCode.REFRESH_TOKEN_NULL.getCode(), ErrorCode.REFRESH_TOKEN_NULL.getMsg());
        }
        // 获取 token 中的adminId
        String adminId;
        User user;
        try {
            adminId = JWT.decode(refreshToken).getAudience().get(0);
            // 根据token中的userid查询数据库
            user = userService.getById(Integer.parseInt(adminId));
            System.out.println(user);
        } catch (Exception e) {
            e.printStackTrace();
            throw new ServiceException(ErrorCode.REFRESE_TOKEN_ERROR.getCode(), ErrorCode.REFRESE_TOKEN_ERROR.getMsg());
        }
        if (user == null) {
            throw new ServiceException(ErrorCode.USER_NO_EXIST.getCode(), ErrorCode.USER_NO_EXIST.getMsg());
        }

        try {
            // 用户密码加签验证 token
            JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
            jwtVerifier.verify(refreshToken); // 验证token
        } catch (JWTVerificationException e) {
            throw new ServiceException(ErrorCode.REFRESE_TOKEN_ERROR.getCode(), ErrorCode.REFRESE_TOKEN_ERROR.getMsg());
        }
        String currentAccessToken= TokenUtils.genToken(refreshToken,user.getPassword(),30);
        return Result.success(currentAccessToken);
    }
}

(三)前端代码

1,登录成功后存储accessToken

存储方式不限,在这我是存储在localStorage里,并在vuex里共享该数据

//storage.js
const TOKEN_KEY = 'tk'
export const getInfo = () => {
  const token = localStorage.getItem(TOKEN_KEY)
  return token || ''
}
export const setInfo = (token) => {
  localStorage.setItem(TOKEN_KEY, token)
}
export const removeInfo = () => {
  localStorage.removeItem(TOKEN_KEY)
}


//token模块
import { getInfo, setInfo ,removeInfo} from '@/utils/storage'
export default {
  namespaced: true,
  state () {
    return {
      tokenInfo: getInfo()
    }
  },
  mutations: {
    setTokenInfo (state, info) {
      state.tokenInfo = info
      setInfo(state.tokenInfo)
    },
    removeTokenInfo () {
      removeInfo()
    }
  },
  actions: {}
}

store.commit('token/setTokenInfo', data)

2,axios请求拦截器处设置请求头

instance.interceptors.request.use(function (config) {
  const accessToken = store.state.token.tokenInfo
  if (accessToken) {
    config.headers.token = accessToken
  }
  return config
}, function (error) {
  // 对请求错误做些什么
  return Promise.reject(error)
})

3,axios响应拦截器配置

设置accessToken过期则判断refreshToken是否过期,如果未过期,重新生成accessToken,并重新发送请求

instance.interceptors.response.use(async function (response) {
  if (response.data.code === 200) {
    return response.data
  } else if (response.data.code === 1008 || response.data.code === 1009 || response.data.code === 1010) {
  	//accessToken过期
    const { data } = await refreshToken(store.state.token.tokenInfo)
    store.commit('token/setTokenInfo', data)
    return instance(response.config)
  } else if (response.data.code === 1014) {
  	//refreshToken过期
    window.location.href = '/login'
  } else {
    Vue.prototype.$message.error(response.data.msg)
    return Promise.reject(response.data.msg)
  }
}, function (error) {
  // 对响应错误做点什么
  return Promise.reject(error)
})

4,守卫路由配置

判断是否有accessToken,是否在登录注册页面,若都无则跳转到登录页,重新登录

router.beforeEach(async (to, from, next) => {
  const token = store.state.token.tokenInfo
  if (
    // 检查用户是否已登录
    !token &&
    // ❗️ 避免无限重定向
    to.path !== '/login' && to.path !== '/register'
  ) {
    // 将用户重定向到登录页面
    next({ path: '/login' })
  } else {
    next()
  }
})
编梦小匠
关注
3-3. SpringBoot项目集成【用户身份认证】实战 【全流程篇】基于JWT+双重检查的登录+登出+拦截器
天罡gg的专栏
04-03 2730
书接上文 实战核心篇,我们已经把JWT的核心代码实现了! 文中不止是代码实现,更是使用到了设计原则,提升大家的内功心法。并且抛转引玉的实现了RSA和HMAC两种算法,还没看过的同学,建议先看上文。所以对于基于JWTToken用户身份认证机制来说,剩下的就是与接口结合起来,服务端需要做三部分处理:登录接口,生成JWT,返回给前端。其它接口,校验JWT。如果每个接口在调用前都去调用一下校验Token,对接口的侵入性太强,这显然不是我们期望的。这时,我们可以使用拦截器对请求进行拦截实现。登出接口,目的是能主动退
3-1. SpringBoot项目集成【用户身份认证】实战 【技术选型篇】基于Session、TokenJWT怎么选?
天罡gg的专栏
03-29 4923
接下来开始第三章,主要做用户身份认证,主要实现一套统一鉴权的用户身份认证的机制。 我已经提前和狗哥一起讨论确定了认证机制,会采用目前流行的基于JWTToken用户身份认证机制,主流程如下: 前端请求【用户名+密码登录】接口,后端验证通过后生成Token 返回给前端; 前端保存Token,以后每次请求API都会携带Token后端校验Token通过就正常返回数据; 直到后端校验Token已失效,这时再从第1步重新开始。
Token方案实现Token自动续期(基于springboot+vue后端分离项目)
qq_44286009的博客
06-10 2527
jwt理论介绍springboot+vue项目中使用jwt实现登录认证本篇文章的代码是在springboot+vue项目中使用jwt实现登录认证的基础上实现的Token自动续期的功能。token解决方案是一种用于增强用户登录安全性和提升用户体验的认证机制。它主要涉及两个令牌:访问令牌(accessToken)和刷新令牌(refreshToken)。
Springboot 整合 JWT + Redis 实现Token 校验Demo(简单实现)
MR.骑士道
11-23 1万+
Springboot 整合 JWT + Redis 实现Token 校验Demo(简单实现)
JWT令牌认证实现无感Token自动续约
最新发布
八戒的博客
08-25 1079
Access Token 用于基于 Token 的认证模式,允许应用访问一个资源 API。用户认证授权成功后,服务端会签发 Access Token 给应用。应用需要携带 Access Token 访问资源 API,资源服务 API 会通过拦截器查验 Access Token 中的 scope 字段是否包含特定的权限项目,从而决定是否返回资源。通常有效时间通常较短。通常用户在获取资源的时候需要携带,当过期后,用户需要获取一个新的 AccessToken。这时候就需要了。用于获取新的。这样可以缩短。
springboot jwt redis实现token刷新
csdn_0xFFFF的博客
08-03 1434
使用jwt的好处就是,服务器不需要维护,存储token的状态。服务器只需要验证Token是否合法就行。确实省了不少事儿。但是弊端也显而易见,就是服务器没法主动让一个Token失效,并且给Token指定了exp过期时间后,不能修改。 配合redis,就可以轻松的解决上面两个问题 token的续约 服务器主动失效指定的token 接下来,我会演示一个实现Demo 初始化一个工程 <parent> <groupId>org.springframework.boot</group
token过期机制的问题
qq_46940224的博客
10-15 4220
浅谈一下token过期机制的问题
springBoot集成token认证
zhiyikeji的博客
09-19 2060
1.我们先大概了解一下 jwt认证token的基本原理 1.什么是JWT 2.JWT请求流程 3.JWT的主要应用场景 Header Payload 标准中注册的声明 (建议但不强制使用) : 公共的声明 : 私有的声明 : Signature 2.与springBoot项目的集成 1.添加maven依赖 2.自定义两个注解 3.简单自定义一个实体类User 4.Mapper接口 5.service 6.service的实现类 7.UserMapper.xml 8.token的生成方..
SpringBoot + jwt + vue实现token下的用户登录状态控制
FengShiLiuNian的博客
07-15 476
用户登录后,后台springboot工程通过jwt技术生成scessToken和freshToken令牌,并且freshToken的有效时间是scessToken的两倍,如分别设置我半个小时和一个小时,前端vue将scessToken和freshToken存储至token,在业务请求的时候携带scessToken,在scessToken验证失败后,发送刷新token的请求,请求成功会返回新的scessToken和freshToken前端携带新的scessToken重新发送请求,若失败则退出登录。
JWT令牌(token)实现登录验证
weixin_43973161的博客
09-23 6595
就是在登陆操作之后由服务端返回两个token:accessToken和refreshToken,在之后的验证登录态的操作中使用这两个token进行验证,其中accessToken的过期时间相当短,refreshToken的过期时间相对于accessToken而言相当长,且会不断的刷新。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
基于springboot的车辆充电桩系统源码.zip
10-04
SpringBoot集成Logback或Log4j进行日志记录,便于问题排查。而Actuator组件则提供了丰富的监控和健康检查功能,帮助运维人员实时了解系统状态。 7. **测试与部署** 使用JUnit和Mockito进行单元测试,保证代码质量...
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
基于SpringBoot+SpringCloud+Vue后端分离项目实战 --开篇
热门推荐
天罡gg的专栏
03-07 1万+
如何高效学习Java? 毕业设计项目应该怎么做?入门实战项目应该怎么做? 做Java开发都应该学习哪些框架技术? 我想来跟你聊聊为什么要学习此专栏?我们经常说,看一个事儿千万不要直接陷入细节里,你应该先鸟瞰其全貌,这样能够帮助你从高维度理解问题。同样,当你迷茫想努力没有方向时,最事半功倍的方法是:找人带你! 因为过来人,更懂得如何学、如何做、如何少走弯路! 那今天就给大家带来一门专栏课程,由 天罡gg 和 经海路大白狗 两位实力大牛合力打造的一款专栏,可以让你从0到1快速拥有企业级规范的项目实战经验!
7.14 注册登录如何安全传输密码?如何安全保存密码?SpringBoot实战项目手把手教你
天罡gg的专栏
09-16 453
在前面的章节中,我们实现了简易的注册和登录功能,其它功能,像验证码、限流等或许你稍微研究一下都能找到解决方案,但有一个点你可能不那么容易搞定,那就是注册登录密码如何安全传输?可以肯定的是:密码一定需要加密,一定不能明文传输!但加密算法怎么选?密码又要怎么安全保存?如果你没有一些项目经验,估计有点棘手,最后还会感觉不那么保险。难者不会, 会者不难!基于此,我今天决定写一篇简短的博文,手把手教你在SpringBoot实战项目中解决密码传输和密码保存的问题!
Springboot+Axiostoken解决token过期续签问题
huang714的专栏
11-10 3245
Springboot+Axiostoken解决token过期续签问题
Flask项目中实现JWT认证机制---token机制
sn0wp3ak技术分享
04-06 2348
核心思想 解决单一token的安全问题,设置2个token一个对接业务,有需求就带着业务token去认证然后操作相关功能,有效期较短,2小时;另一个token专门用来刷新业务token,简称刷新token,具有较长的过期时间,14天; 当业务token过期时,必须携带刷新token通过put接口来实现token的刷新,新的业务token还是存活2小时,这期间刷新token一直不变,直到14天后刷新...
java不同项目加token访问_SpringBoot:基于JWTtoken校验、单点登录等
weixin_39757739的博客
11-07 437
前言用户鉴权一直是我先前的一个问题,以前我用户接口鉴权是通过传入参数进行鉴权,只要是验证用户的地方就写token验证,虽然后面也把token验证方法提取到基类中,但是整体来说仍然不是太雅观,当时的接口如下所示.@RequestMapping(value = "like",method = RequestMethod.POST) public ResultMap userLikeOrDisL...
SpringBoot 集成token实践详解
MENGXIXIXIXI的博客
10-22 1990
一、需求 SpringBoot 集成 JWTtoken), 拦截器自动验证验证 token 是否过期 token 自动刷新(单个 token 刷新机制,保证活跃用户不会掉线) 标准统一的 RESTFul 返回体数据格式 异常统一拦截处理 单个 token 刷新机制(介绍): token 距离发布token 2 个小时内的token为新生token,2-3 个小时的token为老年token 每次请求,前端带上 token, (1)如果 token
一百六十八
ouhou999的博客
12-28 199
简介 登录模块很简单,前端发送账号密码的表单,后端接收验证后即可~ 淦!可是我想多了,于是有了以下几个问题(里面还包含网络安全问题): 1.登录时的验证码 2.自动登录的实现 3.怎么维护前后端登录状态 在这和大家分享下我实现此功能的过程,包括一些技术和心得 1.登录时的验证码 为什么要验证码,原因很简单,防止脚本无限次重复登录,来暴力破解用户密码或者攻击服务器 验证码的出现,使得每次登录都有个动态变量需要输入,无法用脚本写死代码 具体可以参考:滑动验证码的设计和理解 2.自动登录的实现 所谓自动登录,指的
springboot websocket token身份认证
07-15
### 回答1: Spring Boot是一个开源的Java框架,用于快速开发基于Spring的应用程序。它提供了许多功能和工具,其中包括支持WebSocket的功能。 WebSocket是一种用于实现向通信的协议,在Web应用程序中可以用于实时通信和数据推送。在Spring Boot中使用WebSocket可以轻松地实现实时通信功能。 要实现基于token的身份认证,可以按照以下步骤进行: 1. 创建一个WebSocket处理程序:在Spring Boot中,可以使用@ServerEndpoint注解创建一个WebSocket处理程序。在该处理程序中,可以定义onOpen、onMessage、onClose和onError等方法来处理WebSocket连接的生命周期事件。 2. 创建一个Token认证过滤器:可以使用Spring Security框架来实现基于token的身份认证。创建一个Token认证过滤器,将其配置为在WebSocket连接建立之前进行身份认证。 3. 在WebSocket处理程序中验证token:在WebSocket处理程序的onOpen方法中,可以获取到WebSocket连接的会话对象。可以使用这个会话对象来获取到发送的token,并将其验证。 4. 发送认证结果:根据token的验证结果,可以发送不同的消息给客户端。如果验证成功,则可以发送连接成功的消息给客户端;如果验证失败,则可以发送连接失败的消息给客户端。 通过以上步骤,就可以实现基于token的身份认证了。客户端在建立WebSocket连接时,需要将token作为参数发送给服务器。服务器在接收到连接请求后,会进行身份认证,根据认证结果发送相应的消息给客户端。 使用Spring Boot和WebSocket实现基于token的身份认证,可以让应用程序更安全和可靠。同时,使用Spring Security可以提供更多的身份认证和授权功能,进一步增强应用程序的安全性。 ### 回答2: Spring Boot提供了一个强大的WebSocket支持,可以非常方便地实现Token身份认证。 要实现WebSocket的Token身份认证,首先需要创建一个WebSocket处理程序,可以通过实现`WebSocketHandler`接口或者继承`TextWebSocketHandler`类来实现。然后,可以使用`@Component`注解将该处理程序注册为Spring组件。 接下来,我们需要对WebSocket进行配置,可以创建一个类继承自`WebSocketConfigurer`接口,并实现其中的`registerWebSocketHandlers`方法。在这个方法中,我们可以指定处理程序的路径,并添加自定义的拦截器,用于Token的身份认证。 在拦截器中,可以通过WebSocket握手时的`HandshakeInterceptor`,在`afterHandshake`方法中进行身份认证逻辑的处理。可以通过获取WebSocket握手的`HttpServletRequest`和`HttpServletResponse`,来获取和验证Token。如果Token验证通过,则可以继续进行握手,并返回true;否则,可以拒绝握手,返回false。 在身份认证通过后,可以通过`WebSocketSession`发送和接收消息。在发送消息时,可以通过`sendMessage`方法发送消息给指定的WebSocket会话;在接收消息时,可以通过实现`WebSocketHandler`接口的`handleTextMessage`方法来处理接收到的消息。 总结起来,要实现Spring Boot WebSocket的Token身份认证,需要创建WebSocket处理程序,配置WebSocket,添加拦截器进行Token验证,并在处理程序中处理收发消息的逻辑。这样,我们就可以在Spring Boot中实现带有Token身份认证的WebSocket功能了。 ### 回答3: Spring Boot提供了一种简便的方式来实现WebSocket身份认证,可以使用Token来验证用户身份。下面是一个简单的实现步骤。 首先,需要在Spring Boot项目中配置WebSocket,并添加相关依赖。可以通过在pom.xml文件中添加以下依赖来引入WebSocket支持: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-websocket</artifactId> </dependency> ``` 接下来,创建一个WebSocket配置类,继承自`AbstractWebSocketMessageBrokerConfigurer`类,并覆盖其中的方法。在`registerStompEndpoints()`方法中,可以设置WebSocket的端点和消息传输方式: ```java @Configuration @EnableWebSocketMessageBroker public class WebSocketConfig extends AbstractWebSocketMessageBrokerConfigurer { @Override public void registerStompEndpoints(StompEndpointRegistry registry) { registry.addEndpoint("/websocket").withSockJS(); } @Override public void configureMessageBroker(MessageBrokerRegistry registry) { registry.enableSimpleBroker("/topic"); registry.setApplicationDestinationPrefixes("/app"); } } ``` 然后,在WebSocket处理类中,可以实现`WebSocketConfigurer`接口,通过重写其中的方法来进行身份验证。在`registerWebSocketHandlers()`方法中,可以设置拦截器来验证Token: ```java @Configuration public class WebSocketHandlerConfig implements WebSocketConfigurer { @Autowired private WebSocketInterceptor webSocketInterceptor; @Override public void registerWebSocketHandlers(WebSocketHandlerRegistry registry) { registry.addHandler(myHandler(), "/websocket") .addInterceptors(webSocketInterceptor) .setAllowedOrigins("*"); } @Bean public WebSocketHandler myHandler() { return new MyHandler(); } } ``` 在拦截器`WebSocketInterceptor`中,可以在用户连接WebSocket之前验证Token的有效性,例如检查Token是否过期、用户是否存在等: ```java @Component public class WebSocketInterceptor implements HandshakeInterceptor { @Override public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Map<String, Object> attributes) throws Exception { // 根据Token验证用户身份 // 如果验证失败,可以使用response返回错误信息,然后返回false拒绝连接 // 如果验证成功,可以在attributes中存储用户信息,以便后面使用 return true; } @Override public void afterHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Exception exception) { } } ``` 最后,在处理WebSocket消息的类中,可以通过获取用户信息来实现对特定用户的消息推送等操作: ```java @Component public class MyHandler extends TextWebSocketHandler { @Override public void afterConnectionEstablished(WebSocketSession session) throws Exception { // 根据用户信息保存WebSocketSession等操作 } @Override protected void handleTextMessage(WebSocketSession session, TextMessage message) throws Exception { // 处理用户传输的消息 } } ``` 通过以上方式,可以实现在Spring Boot中使用Token进行WebSocket身份认证。根据具体的需求,可以定制化处理用户信息、Token验证等功能。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值