SpringBoot使用token簡單鑒權(quán)的具體實(shí)現(xiàn)方法
本文使用SpringBoot結(jié)合Redis進(jìn)行簡單的token鑒權(quán)。
1.簡介
剛剛換了公司,所以最近有些忙碌,所以一直沒有什么產(chǎn)出,最近朋友問我登錄相關(guān)的,所以這里先寫一篇簡單使用token鑒權(quán)的文章,后續(xù)會補(bǔ)充一些高階的,所以如果感覺這篇文章簡單,可以直接繞行,言歸正傳,現(xiàn)在一般系統(tǒng)都進(jìn)行了前后端分離,為了保證一定的安全性,現(xiàn)在很流行使用token來進(jìn)行會話的驗(yàn)證,一般流程如下:
- 用戶登錄請求登錄接口時(shí),驗(yàn)證用戶名密碼等,驗(yàn)證成功會返回給前端一個(gè)token,這個(gè)token就是之后鑒權(quán)的唯一憑證。
- 后臺可能將token存儲在redis或者數(shù)據(jù)庫中。
- 之后前端的請求,需要在header中攜帶token,后端取出token去redis或者數(shù)據(jù)庫中進(jìn)行驗(yàn)證,如果驗(yàn)證通過則放行,如果不通過則拒絕操作。
當(dāng)然,如上的說法只是簡單的實(shí)現(xiàn),實(shí)質(zhì)上還有很多需要優(yōu)化的地方。
2.具體實(shí)現(xiàn)
2.1 工程結(jié)構(gòu)
本文工程結(jié)構(gòu)如下:
其中:
- config:用于配置攔截器
- controller:這里只編寫了LoginController(用于登錄和注銷)和TestController(用于測試未登錄效果)
- interceptor:編寫攔截器代碼
- service:只寫了操作redis的代碼和登錄相關(guān)的代碼
2.2 代碼實(shí)現(xiàn)
本文使用redis存儲token信息,用戶只是創(chuàng)建了一個(gè)固定的用戶,在pom中加入相關(guān)依賴,完整內(nèi)容如下:
<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.2.0.RELEASE</version> <relativePath/> <!-- lookup parent from repository --> </parent> <groupId>com.dalaoyang</groupId> <artifactId>springboot2_redis_login</artifactId> <version>0.0.1-SNAPSHOT</version> <name>springboot2_redis_login</name> <description>springboot2_redis_login</description> <properties> <java.version>1.8</java.version> </properties> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-devtools</artifactId> <scope>runtime</scope> <optional>true</optional> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> <exclusions> <exclusion> <groupId>org.junit.vintage</groupId> <artifactId>junit-vintage-engine</artifactId> </exclusion> </exclusions> </dependency> </dependencies> <build> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> </plugins> </build> </project>
配置文件中配置對應(yīng)的redis信息,如下:
server.port=8888 ##redis配置 spring.redis.host=localhost spring.redis.port=6379
接下來編寫redis相關(guān)操作,本文示例只需要使用到get,set和delete操作,都是簡單的使用RedisTemplate,RedisService內(nèi)容如下:
package com.dalaoyang.service; import org.springframework.data.redis.core.RedisTemplate; import org.springframework.data.redis.core.ValueOperations; import org.springframework.data.redis.serializer.RedisSerializer; import org.springframework.data.redis.serializer.StringRedisSerializer; import org.springframework.stereotype.Service; import javax.annotation.Resource; @Service public class RedisService { @Resource private RedisTemplate<String,Object> redisTemplate; public void set(String key, Object value) { //更改在redis里面查看key編碼問題 RedisSerializer redisSerializer =new StringRedisSerializer(); redisTemplate.setKeySerializer(redisSerializer); ValueOperations<String,Object> vo = redisTemplate.opsForValue(); vo.set(key, value); } public Object get(String key) { ValueOperations<String,Object> vo = redisTemplate.opsForValue(); return vo.get(key); } public Boolean delete(String key) { return redisTemplate.delete(key); } }
LoginService只是進(jìn)行登錄和注銷操作,其中登錄就是先判斷用戶名密碼是否正確,如果正確,那么會生成一個(gè)字符串做為token(本文中使用uuid),并且做為返回值,密碼錯誤則提示錯誤。注銷實(shí)質(zhì)就是刪除redis中token的緩存,完整內(nèi)容如下:
package com.dalaoyang.service; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Service; import javax.servlet.http.HttpServletRequest; import java.util.Objects; import java.util.UUID; @Service public class LoginService { @Autowired private RedisService redisService; public String login(String username, String password) { if (Objects.equals("dalaoyang", username) && Objects.equals("123", password)) { String token = UUID.randomUUID().toString(); redisService.set(token, username); return "用戶:" + username + "登錄成功,token是:" + token; } else { return "用戶名或密碼錯誤,登錄失??!"; } } public String logout(HttpServletRequest request) { String token = request.getHeader("token"); Boolean delete = redisService.delete(token); if (!delete) { return "注銷失敗,請檢查是否登錄!"; } return "注銷成功!"; } }
LoginController內(nèi)容很簡單,只是對LoginService的簡單調(diào)用,如下:
package com.dalaoyang.controller; import com.dalaoyang.service.LoginService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; import javax.servlet.http.HttpServletRequest; @RestController @RequestMapping("/login") public class LoginController { @Autowired private LoginService loginService; @GetMapping({"/", ""}) public String login(String username, String password) { return loginService.login(username, password); } @GetMapping("/logout") public String logout(HttpServletRequest request) { return loginService.logout(request); } }
TestController中只是寫了一個(gè)簡單返回字符串的接口,如下:
package com.dalaoyang.controller; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; @RestController @RequestMapping("/test") public class TestController { @GetMapping({"/", ""}) public String dosomething() { return "dosomething"; } }
接下來是攔截器,攔截器中需要取出header中的token,然后去redis中進(jìn)行判斷,如果存在,則允許操作,則返回提示信息,內(nèi)容如下:
package com.dalaoyang.interceptor; import com.dalaoyang.service.RedisService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.util.StringUtils; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.util.Objects; public class AuthInterceptor implements HandlerInterceptor { @Autowired private RedisService redisService; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { response.setCharacterEncoding("UTF-8"); response.setContentType("text/html;charset=utf-8"); String token = request.getHeader("token"); if (StringUtils.isEmpty(token)) { response.getWriter().print("用戶未登錄,請登錄后操作!"); return false; } Object loginStatus = redisService.get(token); if( Objects.isNull(loginStatus)){ response.getWriter().print("token錯誤,請查看!"); return false; } return true; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { } }
最后配置一下攔截器,由于攔截器中使用了RedisService,所以這里需要使用如下方式注入攔截器,內(nèi)容如下:
package com.dalaoyang.config; import com.dalaoyang.interceptor.AuthInterceptor; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class AuthConfig implements WebMvcConfigurer { @Bean public AuthInterceptor initAuthInterceptor(){ return new AuthInterceptor(); } @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(initAuthInterceptor()).addPathPatterns("/test/**").excludePathPatterns("/login/**"); } }
內(nèi)容到這里就已經(jīng)完成了。
3.測試
可以使用如下步驟進(jìn)行簡單測試:
首先在瀏覽器訪問:http://localhost:8888/test,可以看到提示
用戶未登錄,請登錄后操作!
在使用錯誤密碼瀏覽器訪問:http://localhost:8888/login?username=dalaoyang&password=1,看到提示
用戶名或密碼錯誤,登錄失敗!
在瀏覽器使用用戶名密碼訪問:http://localhost:8888/login?username=dalaoyang&password=123,看到提示
用戶:dalaoyang登錄成功,token是:02fdd2bd-1669-48b9-b51b-1e724f97688f
使用http工具,如postman等,將token放入header中,請求:http://localhost:8888/test,看到提示,請求成功。
dosomething
4.擴(kuò)展點(diǎn)
本文只是簡單對token使用做了一個(gè)樣例,并不適用于生產(chǎn)環(huán)境,有很多地方是可以擴(kuò)展的,比如:
- 本文redis值存儲的只是username,而且并沒有利用,實(shí)際情況可以存儲用戶信息等。
- 可以擴(kuò)展使用jwt進(jìn)行token管理。
- 可以放行幾個(gè)固定的token用作內(nèi)部接口調(diào)用等。
- 注意token的生成規(guī)則,不要有規(guī)律讓別人利用。
5.源碼
源碼地址:https://gitee.com/dalaoyang/springboot_learn/tree/master/springboot2_redis_login
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。
相關(guān)文章
Spring與Shiro整合及加載權(quán)限表達(dá)式問題
這篇文章主要介紹了Spring與Shiro整合及加載權(quán)限表達(dá)式問題,本文給大家介紹的非常詳細(xì),具有一定的參考借鑒價(jià)值,需要的朋友可以參考下2019-12-12Day14基礎(chǔ)不牢地動山搖-Java基礎(chǔ)
這篇文章主要給大家介紹了關(guān)于Java中方法使用的相關(guān)資料,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2021-08-08springboot項(xiàng)目開啟https協(xié)議的項(xiàng)目實(shí)現(xiàn)
本文主要介紹了springboot項(xiàng)目開啟https協(xié)議的項(xiàng)目實(shí)現(xiàn),文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2023-07-07SpringBoot?中使用?Validation?校驗(yàn)參數(shù)的方法詳解
Validation?是用于檢查程序代碼中參數(shù)的有效性的框架,作為?Spring?框架中的一個(gè)參數(shù)校驗(yàn)工具,集成在?spring-context?包中,這篇文章主要介紹了SpringBoot?中使用?Validation?校驗(yàn)參數(shù),需要的朋友可以參考下2022-05-05java使用@Scheduled注解執(zhí)行定時(shí)任務(wù)
這篇文章主要給大家介紹了關(guān)于java使用@Scheduled注解執(zhí)行定時(shí)任務(wù)的相關(guān)資料,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2021-01-01springboot中mybatis多數(shù)據(jù)源動態(tài)切換實(shí)現(xiàn)
在開發(fā)中,動態(tài)數(shù)據(jù)源配置還是用的比較多的,比如在多數(shù)據(jù)源使用方面,又或者是在多個(gè)DB之間切換方面。這里給出一個(gè)動態(tài)數(shù)據(jù)源的配置方案,感興趣的可以了解一下2021-07-07