token替代session进行登录验证

最新推荐文章于 2022-12-06 08:33:59 发布
最新推荐文章于 2022-12-06 08:33:59 发布
阅读量358 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whalesharks/article/details/108959528
版权

文章目录

在这里插入图片描述
在这里插入图片描述

LoginHandler(将登陆成功的token存入响应头发给前端)

@Controller
@RequestMapping("login")
public class LoginHandler {
    @Resource
    private LoginService loginService;

    /**
     * 获取登录验证码
     *
     * @param phone 手机号
     * @return
     */
    @GetMapping("valCode")
    public ResponseEntity getValidateCode(String phone) {
        String valCode = loginService.getValCode(phone);
        return ResponseEntity.ok(new ResponseBean(StatusEnum.OPE_SUC, valCode));
    }

    /**
     * 通过手机号和验证码验证登录
     *
     * @return
     */
    @PostMapping("doLogin")
    public ResponseEntity doLogin(@RequestBody Map<String, String> map, HttpSession session) {
        String phone = map.get("phone");
        String valCode = map.get("valCode");
        Myuser myuser = loginService.doLogin(phone, valCode);
        if (myuser == null) {
            throw new MyExceptin(StatusEnum.OPE_ERR);
        }
//        session.setAttribute("LOGIN_USER", myuser);
//        return ResponseEntity.ok(new ResponseBean(StatusEnum.LOGIN_SUC, myuser));

        // 登陆成功,生成token字符串
        Map<String, Object> token = new HashMap<>();
        token.put("phone", phone);
        String generate = JwtUtil.generate(token);
        // 将token信息放在响应头中发给客户端
        myuser.setUpass("");
        HttpHeaders headers = new HttpHeaders();
        headers.set("token", generate);
        return new ResponseEntity(new ResponseBean(StatusEnum.LOGIN_SUC, myuser), headers, HttpStatus.OK);
    }

	// 注销操作
    @GetMapping("doLogout")
    public ResponseEntity diLogout(HttpServletRequest request) {
        String token = request.getHeader("token");
        loginService.doLogout(token);
        return ResponseEntity.ok(new StatusBean(StatusEnum.OPE_SUC));
    }
}

LoginServiceImpl(登录与注销操作与redis交互)

@Service
public class LoginServiceImpl implements LoginService {

    private Logger logger = LoggerFactory.getLogger(LoginServiceImpl.class);

    @Resource
    private ShardedJedisPool jedisPool;

    @Resource
    private LoginMapper loginMapper;

    /**
     * 获取验证码
     *
     * @param phone 手机号
     * @return
     */
    @Override
    public String getValCode(String phone) {
        if (phone == null) {
            throw new MyExceptin(StatusEnum.PHONE_EMPTY);
        }
        String valCode = StringRandom.getValCode();
        // 打印日志
        logger.info("获取到了验证码,验证码为:" + valCode);

        ShardedJedis resource = jedisPool.getResource();
        // 5分钟自动过期
        resource.setex(RedisHeadInfo.CODE_HEAD + phone, 30 * 60, valCode);
        resource.close();

        return valCode;
    }

    /**
     * 验证登录信息,返回用户信息
     *
     * @param phone   登录手机号
     * @param valCode 登录验证码
     * @return
     */
    @Override
    public Myuser doLogin(String phone, String valCode) {
        if (phone == null) {
            throw new MyExceptin(StatusEnum.PHONE_EMPTY);
        }
        ShardedJedis resource = jedisPool.getResource();
        // 查看登录黑名单是否有此对象,有即删除
        if (resource.hexists(RedisHeadInfo.LOGOUT_KEY, phone)) {
            logger.info("黑名单中有此用户数据,此次操作为重新登陆,将此用户信息移除黑名单");
            resource.hdel(RedisHeadInfo.LOGOUT_KEY, phone);
        };
        resource.close();

        // 验证码验证
        boolean checked = checkValidateCode(phone, valCode);
        // 验证不通过
        if (!checked) {
            throw new MyExceptin(StatusEnum.OPE_ERR);
        }
        // 验证通过
        return getMyuserByPhone(phone);
    }

    /**
     * 进行验证码校验
     *
     * @param phone
     * @param valCode
     * @return
     */
    private boolean checkValidateCode(String phone, String valCode) {
        ShardedJedis resource = jedisPool.getResource();
        String code = resource.get(RedisHeadInfo.CODE_HEAD + phone);
        if (code == null || valCode == null || !code.equals(valCode.trim())) {
            logger.info("验证码为空或验证码输入错误,操作账户为:" + phone + ",正确验证码为:" + code + ",用户输入的验证码为:" + valCode);
            resource.close();
            return false;
        }
        resource.close();
        return true;
    }

    /**
     * 检测是否是已注册用户。
     * 是的话,合法账户登录。执行登录逻辑
     * 否的话,注册新用户,并加标志表示这是一个新用户,执行登录逻辑,返回
     *
     * @param phone
     * @return
     */
    public Myuser getMyuserByPhone(String phone) {
        ShardedJedis resource = jedisPool.getResource();
        // 查看黑名单中是否有此用户数据,有即说明该用户已登出,此次访问为恶意访问
        if (resource.hexists(RedisHeadInfo.LOGOUT_KEY, phone)){
            resource.close();
            logger.info("用户已登出,存在非法访问");
            throw new MyExceptin(StatusEnum.USER_LOGOUT);
        }

        // 先查缓存中是否存有用户信息
        String userStr = resource.hget(RedisHeadInfo.LOGIN_KEY, phone);
        if (userStr != null) {
            logger.info("缓存中存有该用户信息");
            resource.close();
            return JSON.parseObject(userStr, Myuser.class);
        }
        // 缓存中没有用户信息,去数据库查找
        Myuser myuser = loginMapper.selectByPhone(phone);
        if (myuser == null) { // 说明是新用户,新插入一条数据,以默认值自动注册
            logger.info("数据库无此用户信息,自动注册");
            myuser = new Myuser();
            myuser.setUname("游客");
            myuser.setUpass("1234");
            myuser.setUphone(phone);
            loginMapper.insertMyuser(myuser);
            myuser.setNewuser("yes"); // 非数据库字段
        }
        // 将用户的登录信息存入redis
        resource.hset(RedisHeadInfo.LOGIN_KEY, phone, JSON.toJSONString(myuser));
        logger.info("将用户的登录信息存入了redis");
        resource.close();
        return myuser;
    }

    /**
     * 注销操作
     *
     * @param token
     * @return
     */
    @Override
    public void doLogout(String token) {
        Claims claim = JwtUtil.getClaim(token);
        Object phone = claim.get("phone");
        ShardedJedis resource = jedisPool.getResource();
        resource.hset(RedisHeadInfo.LOGOUT_KEY, (String) phone, "1");
        logger.info("将注销用户的信息存入了redis黑名单");
        resource.close();
    }
}

前端axios请求与响应拦截器写法

axios.defaults.baseURL = 'http://localhost:8080/0807/';
// axios.defaults.withCredentials = true; //跨域配置

//配置发送请求前的拦截器 可以设置token信息 
axios.interceptors.request.use(
	config => {
		// debugger;
		let token = localStorage.getItem("token");
		let requestUrl = config.url;
		
		if (requestUrl != "login/doLogin" && requestUrl.indexOf("login/valCode") != 0) {
			if (token != null) {
				// 向请求头加入token信息
				config.headers.token = token;
			}else{
				// 未登录,转到登录页面
				location.href = "http://127.0.0.1:8848/ssm/login.html";
			}
		}


		return config
	}, error => {
		return Promise.reject(error)
	}
)

// 配置响应拦截器 
axios.interceptors.response.use(
	res => {
		// if(res.data.code == 50001){
		// 	// 说明用户未登录	
		// 	location.href = "http://127.0.0.1:8848/ssm/login.html";
		// }
		// debugger;
			
		if(res.data.data == 50002 || res.data.data == 50003){ // token过期失效或者用户已登出的非法访问
			location.href = "http://127.0.0.1:8848/ssm/login.html";
		}
	

		// 将登陆成功后的token存入localSorage
		if ("token" in res.headers) {
			// 
			let token = res.headers.token;
			localStorage.setItem("token", token);
		}

		return Promise.resolve(res.data) // 这里直接返回data, 即接口返回的所有数据
	},
	error => {
		return Promise.reject(error);
	}
)

前端页面登出

islogout() {
this.$confirm('此操作将退出系统, 是否继续?', '提示', {
			confirmButtonText: '确定',
			cancelButtonText: '取消',
			type: 'warning'
		}).then(() => {
			axios.get('login/doLogout')
				.then(response => {
					console.log(response);
					if (response.code == 20000) {
						localStorage.removeItem("token");
						location.href = "http://127.0.0.1:8848/ssm/login.html";

					}

				}).catch(function(error) {
					console.log(error);
				});

			// location.href = "/secondStage/login?method=logout";
		});
	}

LoginInterceptor(spring注册登录拦截器)

跨域设置开启暴露响应头设置
    <mvc:cors>
        <mvc:mapping path="/**" exposed-headers="token" allow-credentials="true"/>
    </mvc:cors>
配置登陆拦截器
    <mvc:interceptors>
        <mvc:interceptor>
            <mvc:mapping path="/**"/>
            <mvc:exclude-mapping path="/login/doLogin"></mvc:exclude-mapping>
            <mvc:exclude-mapping path="/login/valCode"></mvc:exclude-mapping>
            <mvc:exclude-mapping path="/login/doLogout"></mvc:exclude-mapping>
            <bean class="com.javasm.common.interceptor.LoginInterceptor"></bean>
        </mvc:interceptor>
    </mvc:interceptors>

public class LoginInterceptor implements HandlerInterceptor {
    @Autowired
    private CurrentLoginUser loginUser;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 对预检请求放行
        String method = request.getMethod();
        if (method.equals("OPTIONS")) {
            return true;
        }

        String token = request.getHeader("token");
        if (token != null) {
            Claims claim = JwtUtil.getClaim(token);
            if(claim!=null){
                // 可以设置当前登录用户信息,共享至其他接口
                String phone = (String)claim.get("phone");
                loginUser.setLoginUser(phone);

                //刷新token
                String s = refreshToken(claim);
                if(s!=null){
                    response.addHeader("token",s);
                }
                return true;
            }else{
                //token已过期
                throw new MyExceptin(StatusEnum.TOKEN_EXPIR);
            }
        } else {
            throw new MyExceptin(StatusEnum.OPE_ERR);
        }
    }

    private String refreshToken(Claims claim) {
        Date nowDate = new Date();
        Date expiration = claim.getExpiration();
        //如果剩余有效时间仅剩3分钟的话,刷新token
        if ((expiration.getTime() - nowDate.getTime()) <= 3 * 60 * 1000) {
            //要刷新token
            Object phone = claim.get("phone");
            Map<String, Object> map = new HashMap<>();
            map.put("phone", phone);
            String token = JwtUtil.generate(map);
            return token;
        }
        return null;
    }
}

CurrentLoginUser(共享当前登录用户信息)

  • 将登录用户信息放入threadLocal维护,使得其他接口也能获得当前登录的用户信息
@Component
public class CurrentLoginUser {
    @Resource
    private LoginService loginService;

    private static final ThreadLocal<Myuser> MYUSER_THREAD_LOCAL = new ThreadLocal<>();

    // 通过手机号查询已登录用户信息
    public Myuser getLoginUser(){
        return MYUSER_THREAD_LOCAL.get();
    }


    public void setLoginUser(String phone){
        Myuser loginUser = loginService.getMyuserByPhone(phone);
        MYUSER_THREAD_LOCAL.set(loginUser);
    }
    
}

JwtUtil(生成与解析token)

  • 依赖jjwt-0.9.1.jar
public class JwtUtil {
    public static final String UID = "uid";
    private static final String SECRET = "6A50A18D70FA63636645C65459F1D78A";
    private static final long EXPIRE = 5 * 60 * 1000;//有效时间,5分钟

    /**
     * 生成token
     *
     * @param claims:字符串中要保存的用户信息
     * @return
     */
    public static String generate(Map<String, Object> claims) {
        Date nowDate = new Date();
        //过期时间
        Date expireDate = new Date(nowDate.getTime() + EXPIRE);
        return Jwts.builder()
                .setClaims(claims)
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS512, SECRET)
                .compact();
    }

    /**
     * 解析token
     *
     * @param token
     * @return
     */
    public static Claims getClaim(String token) {
        Claims claims = Jwts.parser()
                .setSigningKey(SECRET)
                .parseClaimsJws(token)
                .getBody();

        return claims;
    }

}
太阳以西.S
关注
shiro将session认证token认证_源码分析shiro认证授权流程
weixin_31286719的博客
01-12 578
1. shiro介绍Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”;授权 - 访问控制;密码加密 - 保护或隐藏数据防止被偷窥;会话管理 - 每用户相关的时间敏感的状态。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。2. shiro源码概况...
JWT(代替Session会话)
最新发布
qq_24769781的博客
06-11 287
经典的保持登陆状态的办法是Session,也就是用户登陆后,服务器产生唯一标识SessionId,并把SessionId和登陆的用户信息保存在服务器内存中,通时将SessionId发送给浏览器(),当浏览器再次访问的时候,http请求中便携带了SessionId,服务器根据该Id在内存中取到用户信息,这样就实现了登陆功能功能。1:如果Session保存在内存中,当登陆用户多的时候,会占用服务器大量服务器内存,而且无法支持分布式集群。
token代替session使用
Chelio_的博客
11-17 1982
1.面临问题: session存在于服务端,分布式中多个微服务,每个微服务都是独立的服务器,session信息不同步,该怎么办? 2.解决思路 token替代session使用流程: 1.用户登录成功 生成token存入redis(key:token,value:用户信息);把token返回给前端 2.将token加入header,使用过滤器,在每个接口执行前验证token是否有效,无效返回登录页 3.微服务中如果想获取登录的用户信息,可以获取redis的key=token token + redi
如何使用token验证代替session
weixin_43166227的博客
05-25 2956
简介 token:指访问资源的凭据,用于检验请求的合法性。适用于项目级的前后端分离。 可以用数据库存储token,也可以选择放在内存当中。比如 redis 很适合对 token 查询的需求。 token 可以避免 CSRF 攻击(因为不需要 cookie 了)。 完美契合移动端的需求。 sessionsession记录服务器和客户端会话状态的机制。session在服务端生成和保存,并转化为一个临时的Cookie(sessionId)发送给客户端,当客户端第一次请求服务器时,会检查是否携带了这个Sess
token代替session的一个方案,欢迎讨论发言
wuguowei1988的专栏
11-28 970
这几天出错做项目,重新审视了下token登录鉴权方面的一些优缺点。想了一个实现token代替session的方案,具体如下 用户登录 服务器生产带有过期时间(以30分钟为例)的tokentoken的payload包含用户信息的唯一标示(用户名/用户id)、常用基本信息 服务器将生成的token保存到缓存(redis)并通过response返回 客户端将response中的token解析...
分布式部署:token共享代替session共享
Brave_heart4pzj的博客
04-23 4459
java
Cookie、SessionToken三者的区别及使用
11-13
### Cookie、SessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
Cookie,Session,Token详解.pdf
07-30
由于Token不依赖于Cookie和Session,它在存储上更节省服务器资源,服务器直接解密Token即可进行验证。 综上所述,Cookie、SessionToken是Web开发中常用的三种用户身份验证机制。每种机制都有其特点和适用场景,...
【JavaWeb】实现基于Token方式的用户登录
wayne_lee_lwc的博客
04-07 6869
哦吼,我是卷卷毛,我回来啦。这一次我们来实现一个使用Token方式的用户登录机制。 听说现在使用token方式登录非常流行,可以替代之前使用cookie/session方式实现用户登录。 对博主而言,一个非常便捷的地方在于,使用token进行登录验证,在前后端分离开发时可以避免许多跨域相关的问题。(cookie跨域问题真的是调了好久好久。。。。) 首先,对于演示环境,后台使用的框架是Spring Boot,调试使用的软件是Postman 我们先创建一个基本的spring boot项目,部署在端口80上。如
Java框架!java使用token实现登录验证
m0_57066131的博客
06-30 428
第一篇:脑图篇 1.1 手绘 Spring 架构脑图 1.2 手绘 Spring5 架构脑图 1.3 手绘 Spring Security 架构脑图 1.4 手绘 Spring Boot 架构脑图 1.5 手绘Spring Cloud 架构脑图 1.6 手绘Spring MVC 架构脑图 第二篇:面试篇 2.1 Spring 灵魂100问 基本概念面试题集( Spring相关概念梳理) 1.谈谈对Spring loC的理解? ⒉谈谈对Spring Dl的理解? 3.BeanFacto
spring-boot-redis-token 分布式锁 redis session
09-14
http://localhost:8080/ass/getUser 测试是否登录 http://localhost:8080/any/user/passLogin 登录测试 http://localhost:8080/lock redis分布式锁测试
用MC替代session维持登录状态
最勇敢的鸟的砖栏
08-04 739
使用session作为用户标识实现登录,不适用分布式环境。分布式环境下,通常采用cookie+缓存的方式维持登录状态。 具体做法: 1、用户输入账号密码进行登录验证 2、验证通过后,在cookie里写入一个随机字符串;同时,以该字符串为key,在mc中保存对应用户登录票(代替session) 3、登录后才能看见的页面在struts2或者springMvc中配置拦截器,拦截器中读取cooki
JWT简介:从SessionToken的转变
ordinary_brony的博客
11-21 739
JWT,全称Json Web Token。我们平常所说的token实际上就是说JWT技术中的T。本篇将说SessionToken的对比。
session+cookie-->token 演变
try_go_go的博客
12-06 216
session+cookie-->token 演变 session :机制将用户所有的活动信息,上下文信息,登录信息等存储在服务端生成一个唯一标识ID发送给客户端,后续交互没有重复的交互信息,取而代之的是唯一标识ID. 客户端第一次请求,服务器会为客户端创建一个session,算出一个id标识session对象,返回给客户端,并由客户端保存;浏览器下次请求别的资源,浏览器会将sessionID放置请求头,服务器接受请求会解析sessionID,服务器
新老单点的造——-理解Cookie、SessionToken
weixin_30721077的博客
06-11 127
近期参与了新老单点的造,一直想总结一下,发现这篇文章比较贴切。 整理了如下: 随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统。 因为HTTP请求是无状态的,所以想出的办法就是给大家发一个会话标识(session id), 每个人收到的都不一样, 每次大家向我发起HTTP请求的...
使用session插件并且实现登录验证
weixin_34195364的博客
03-26 95
var express = require('express'); var cookieParser = require('cookie-parser'); var bodyParser = require('body-parser'); var session = require('express-session'); var swig = require('swig'); var...
SessionToken认证机制 前后端分离下如何登录
dglf54292的博客
09-17 3919
字号 1 Web登录涉及到知识点 1.1 HTTP无状态性 HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是...
java中sessiontoken以及token实现
qq_29950673的博客
03-01 5836
session:会话 由于网络种HTTP协议本身是无状态协议,无法确定请求的对象是否是同一个,所有出现了session。 当通过浏览器第一次访问服务端资源时,服务端会创建一个session,并未该session生成一个唯一的key,即sessionid,以key,value的方式保证在缓存种,也可持久化到数据库,具体看项目需求,一般情况不需要持久化(个人观点),服务端将生成的sessionid...
Session存放token/获取token,销毁session
周不老的博客
06-18 5381
Session存放token/获取token,销毁session 这里记录下session使用.方便学习 session使用的是: javax.servlet.http.HttpSession 话不多说了.直接上代码! java代码 request.getSession().setAttribute(“token”, token); 这里是放了个token,也可以直接放user对象.直接获取到user controller类: import com.email.demo.bean.User; import
JWT作为Session系统误区与替代方案深度解析
JWT通常被与Session进行对比,因为它们都是用于身份验证和状态管理的手段,但JWT更像是一个加密的令牌,而Session更像是存储和管理用户状态的容器。Cookies和LocalStorage则分别对应不同的数据存储方式,前者用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值