jwt+redis實現(xiàn)登錄認證的示例代碼
項目環(huán)境:spring boot項目
pom.xml引入jwt和redis
<!-- jwt --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>4.3.0</version> </dependency> <!-- redis坐標--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency>
application.yml配置文件中,對redis進行配置
data: redis: port: 6379 host: localhost
JwtUtil工具類
package com.utils; import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import java.util.Date; import java.util.Map; public class JwtUtil { /*生成jwt字符串時用到的秘鑰*/ private static final String KEY = "itheima"; //接收業(yè)務(wù)數(shù)據(jù),生成token并返回 public static String genToken(Map<String, Object> claims) { return JWT.create() .withClaim("claims", claims) .withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 24 )) //失效時間 單位毫秒 當前值為1天 .sign(Algorithm.HMAC256(KEY)); } //接收token,驗證token,并返回業(yè)務(wù)數(shù)據(jù) public static Map<String, Object> parseToken(String token) { return JWT.require(Algorithm.HMAC256(KEY)) .build() .verify(token) .getClaim("claims") .asMap(); } }
Md5Util工具類(因為登錄時有對密碼進行md5加密的邏輯)
package com.utils; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; public class Md5Util { /** * 默認的密碼字符串組合,用來將字節(jié)轉(zhuǎn)換成 16 進制表示的字符,apache校驗下載的文件的正確性用的就是默認的這個組合 */ protected static char hexDigits[] = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'}; protected static MessageDigest messagedigest = null; static { try { messagedigest = MessageDigest.getInstance("MD5"); } catch (NoSuchAlgorithmException nsaex) { System.err.println(Md5Util.class.getName() + "初始化失敗,MessageDigest不支持MD5Util。"); nsaex.printStackTrace(); } } /** * 生成字符串的md5校驗值 * * @param s * @return */ public static String getMD5String(String s) { return getMD5String(s.getBytes()); } /** * 判斷字符串的md5校驗碼是否與一個已知的md5碼相匹配 * * @param password 要校驗的字符串 * @param md5PwdStr 已知的md5校驗碼 * @return */ public static boolean checkPassword(String password, String md5PwdStr) { String s = getMD5String(password); return s.equals(md5PwdStr); } public static String getMD5String(byte[] bytes) { messagedigest.update(bytes); return bufferToHex(messagedigest.digest()); } private static String bufferToHex(byte bytes[]) { return bufferToHex(bytes, 0, bytes.length); } private static String bufferToHex(byte bytes[], int m, int n) { StringBuffer stringbuffer = new StringBuffer(2 * n); int k = m + n; for (int l = m; l < k; l++) { appendHexPair(bytes[l], stringbuffer); } return stringbuffer.toString(); } private static void appendHexPair(byte bt, StringBuffer stringbuffer) { char c0 = hexDigits[(bt & 0xf0) >> 4];// 取字節(jié)中高 4 位的數(shù)字轉(zhuǎn)換, >>> // 為邏輯右移,將符號位一起右移,此處未發(fā)現(xiàn)兩種符號有何不同 char c1 = hexDigits[bt & 0xf];// 取字節(jié)中低 4 位的數(shù)字轉(zhuǎn)換 stringbuffer.append(c0); stringbuffer.append(c1); } }
登錄的控制器
package com.controller; import com.pojo.Result; import com.pojo.User; import com.service.UserService; import com.utils.JwtUtil; import com.utils.Md5Util; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.data.redis.core.StringRedisTemplate; import org.springframework.data.redis.core.ValueOperations; import org.springframework.validation.annotation.Validated; import org.springframework.web.bind.annotation.*; import java.util.HashMap; import java.util.Map; import java.util.concurrent.TimeUnit; @RestController @RequestMapping("/user") @Validated @CrossOrigin public class UserController1 { @Autowired private UserService userService; @Autowired private StringRedisTemplate stringRedisTemplate; @PostMapping("/login") public Result login(String username, String password) { //查詢用戶 String md5Password = Md5Util.getMD5String(password); User user = userService.login(username, md5Password); if (user == null) {//用戶名或密碼錯誤 return Result.error("用戶名或密碼錯誤"); } else { //登錄成功 Map<String, Object> claims = new HashMap<>(); claims.put("id", user.getId()); claims.put("username", user.getUsername()); String jwtToken = JwtUtil.genToken(claims); //往Redis中存儲一個鍵值對 ValueOperations<String, String> operations = stringRedisTemplate.opsForValue(); operations.set(jwtToken, jwtToken, 1, TimeUnit.DAYS); return Result.success(jwtToken); } } }
在前端發(fā)起登錄請求,用戶名和密碼驗證通過后,生成jwt,把jwt字符長的值,存放在redis緩存中,然后把jwt字符串返回到前端。
前端拿到j(luò)wt字符串后存在一個變量中,在之后的每次請求中,都在請求頭中攜帶上jwt,后端再根據(jù)jwt的內(nèi)容進行驗證,判斷是否是已登錄的正常請求,如果是已經(jīng)登錄后的請求,就放行,否則就返回401(未認證)。
后端是通過聲明一個攔截器,對請求進行判斷的,代碼如下:
LoginInterceptor.java
package com.interceptor; import com.utils.JwtUtil; import com.utils.ThreadLocalUtil; import jakarta.servlet.http.HttpServletRequest; import jakarta.servlet.http.HttpServletResponse; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.data.redis.core.StringRedisTemplate; import org.springframework.data.redis.core.ValueOperations; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterceptor; import java.util.List; import java.util.Map; /** * @projectName: big-event * @package: com.interceptor * @className: LoginInterceptor * @author: liangmeng * @description: 登錄攔截器 * @date: 2024/1/14 17:20 * @version: 1.0 */ @Component public class LoginInterceptor implements HandlerInterceptor { @Autowired private StringRedisTemplate stringRedisTemplate; //Controller方法處理之前執(zhí)行 @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { //獲取到請求頭的jwt字符串 String token = request.getHeader("Authorization"); //驗證token try { //獲取redis的值 ValueOperations<String, String> operations = stringRedisTemplate.opsForValue(); String redisToken = operations.get(token); if (redisToken == null) { //token失效 攔截請求 throw new RuntimeException(); } else { Map<String, Object> claims = JwtUtil.parseToken(token); //把業(yè)務(wù)數(shù)據(jù)存儲到ThreadLocal中 ThreadLocalUtil.set(claims); //放行請求 return true; } } catch (Exception e) { //相應(yīng)碼401 response.setStatus(401); //攔截請求 return false; } } //該方法將在整個請求完成之后執(zhí)行 @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { //清空ThreadLocal中的信息 防止內(nèi)存泄漏 ThreadLocalUtil.remove(); } }
上面代碼是自定義的登錄攔截器,在請求到來后,控制器方法執(zhí)行前,會進入到攔截器的preHandle方法中,在這個方法里面,或獲取到請求頭中的Authorization屬性值,也就是jwt的值,然后再獲取到redis中的值,redis中key和values是相同的,都是jwt字符串的內(nèi)容,所以這里是用jwt的值作為key去獲取value,如果value有值則說明該請求是可以放行的(已經(jīng)登錄過),否則攔截請求,返回響應(yīng)碼401。
afterCompletion方法是在整個請求完成之后執(zhí)行,示例中是把ThreadLocal的值清空,這里根據(jù)需要,如果使用到了ThreadLocal,就把它清空,防止內(nèi)存泄漏,如果沒有使用到,則不需要處理。
攔截器定義好了之后,還需要把自定義的攔截器注冊到全局攔截器中,使其生效。
WebConfig.java
package com.config; import com.interceptor.CorsInterceptor; import com.interceptor.LoginInterceptor; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebConfig implements WebMvcConfigurer { @Autowired private LoginInterceptor loginInterceptor; @Autowired private CorsInterceptor corsInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { //把自定義的攔截器注冊到全局攔截器中 排除登錄和注冊請求 registry.addInterceptor(loginInterceptor).excludePathPatterns("/user/login","/user/register"); } }
同步把登錄和注冊接口的請求放行,不需要攔截。
修改密碼的接口處理邏輯,當用戶修改密碼后,需要主動將jwt做失效操作,下面是控制器的代碼:
package com.controller; import com.pojo.Result; import com.pojo.User; import com.service.UserService; import com.utils.Md5Util; import com.utils.ThreadLocalUtil; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.data.redis.core.StringRedisTemplate; import org.springframework.data.redis.core.ValueOperations; import org.springframework.util.StringUtils; import org.springframework.validation.annotation.Validated; import org.springframework.web.bind.annotation.*; import java.util.Map; @RestController @RequestMapping("/user") @Validated @CrossOrigin public class UserController { @Autowired private UserService userService; @Autowired private StringRedisTemplate stringRedisTemplate; //更新用戶密碼 @PatchMapping("/updatePwd") public Result updatePwd(@RequestBody Map<String, String> params, @RequestHeader("Authorization") String jwtToken) { String oldPwd = params.get("oldPwd"); String newPwd = params.get("newPwd"); String reNewPwd = params.get("reNewPwd"); if (!StringUtils.hasLength(oldPwd) || !StringUtils.hasLength(newPwd) || !StringUtils.hasLength(reNewPwd)) { return Result.error("缺少必要的參數(shù)"); } //判斷原始密碼是否正確 //獲取用戶名 Map<String, Object> claims = ThreadLocalUtil.get(); String username = (String) claims.get("username"); //根據(jù)用戶名查詢用戶 User user = userService.findByUserName(username); String currPwd = user.getPassword(); String oldPwdMd5 = Md5Util.getMD5String(oldPwd); if (!oldPwdMd5.equals(currPwd)) { return Result.error("原始密碼不正確"); } //判斷輸入的兩次密碼是否一致 if (!newPwd.equals(reNewPwd)) { return Result.error("兩次密碼不一致"); } //更新密碼 //獲取用戶名 String userId = (String) claims.get("id"); String newPwdMd5 = Md5Util.getMD5String(newPwd); userService.updatePwd(userId, newPwdMd5); //密碼更新完畢,刪除redis中的緩存jwtToken值,讓用戶重新登陸 ValueOperations<String, String> operations = stringRedisTemplate.opsForValue(); operations.getOperations().delete(jwtToken); return Result.success(); } }
在密碼修改完畢后,根據(jù)請求頭中的Authorization屬性值來刪除redis中存儲的數(shù)據(jù)。這樣原來的jwt就失效了,無法使用原來的jwt進行登錄認證。
總結(jié):因為http請求是無狀態(tài)請求,使用jwt可以解決這一問題,登錄成功后,在一段時間內(nèi)就可以直接向后端發(fā)送請求,這樣不需要重復(fù)進行登錄操作。
因為jwt數(shù)據(jù)在后端沒有進行存儲,所以會出現(xiàn)一個問題,無法使其失效。這時候就引入了redis緩存,在redis緩存中將jwt的數(shù)據(jù)存下來,當用戶修改密碼、或退出登錄后,將緩存的數(shù)據(jù)刪除,然后在請求處理時(攔截器中)判斷當前jwt是否有效,有效則正常處理請求,否則攔截請求,從而完成請求的權(quán)限控制。
一般項目還會使用sessionID作為請求控制的方式,其邏輯如下圖所示:
到此這篇關(guān)于jwt+redis實現(xiàn)登錄認證的示例代碼的文章就介紹到這了,更多相關(guān)jwt redis登錄認證內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
相關(guān)文章
Redis教程(六):Sorted-Sets數(shù)據(jù)類型
這篇文章主要介紹了Redis教程(六):Sorted-Sets數(shù)據(jù)類型,本文講解了Sorted-Sets數(shù)據(jù)類型概述、相關(guān)命令列表、命令使用示例、應(yīng)用范圍等內(nèi)容,需要的朋友可以參考下2015-04-04如何操作Redis和zookeeper實現(xiàn)分布式鎖
這篇文章主要介紹了如何操作Redis和zookeeper實現(xiàn)分布式鎖的相關(guān)資料,需要的朋友可以參考下2017-07-07SpringBoot整合Mybatis-plus和Redis實現(xiàn)投票功能
投票功能是一個非常常見的Web應(yīng)用場景,這篇文章將為大家介紹一下如何將Redis和Mybatis-plus整合到SpringBoot中,實現(xiàn)投票功能,感興趣的可以了解一下2023-05-05Redis有序集合類型的操作_動力節(jié)點Java學(xué)院整理
今天通過本文給大家說一下Redis中最后一個數(shù)據(jù)類型 “有序集合類型”,需要的的朋友參考下吧2017-08-08