欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

springboot集成JWT之雙重token的實現(xiàn)

 更新時間:2025年03月12日 10:34:57   作者:編夢小匠  
本文主要介紹了springboot集成JWT之雙重token的實現(xiàn),前端使用accessToken進行登錄和驗證,后端使用refreshToken定期更新accessToken,具有一定的參考價值,感興趣的可以了解一下

一,單個token缺點

token一般存儲在瀏覽器中,容易被盜取,而為了防止被盜取長期使用,token的有效時間必然無法不能設置太長,此舉也必然引起用戶的頻繁登錄,給用戶帶來不好的體驗

二,雙重token(accessToken,refreshToken)

(一)設計思路

1,將accessToken作為是否登錄的標識,存儲在瀏覽器當中。由于該token可瀏覽器看到,容易被盜取,可將有效時間設置的盡可能短一些,解決盜取長期使用問題
2,將refreshToken作為是否更新accessToken的標識,只要refreshToken不過期,則自動更新accessToken,可將有效時間設置的長些,解決頻繁登錄問題
3,不直接將refreshToken存儲到瀏覽器上,而是將其存儲到accessToken的載荷里,后端通過獲取accessToken的載荷內(nèi)容獲取到refreshToken,防止refreshToken被盜取
4,accessToken構(gòu)成:
         載荷:refreshToken
         有效時間:盡可能短(這里我設置為30分鐘)
         密鑰:用戶的密碼
     refreshToken構(gòu)成:
         載荷:用戶的id
         有效時間:長(這里我設置為一天)
         密鑰:用戶的密碼

(二)后端代碼

1,TokenUtil(生成token和獲取用戶信息)

具體步驟看注釋

@Component
@Slf4j
public class TokenUtils {
    private static IUserService staticAdminService;

    @Resource
    private IUserService adminService;

    @PostConstruct
    public void setUserService() {
        staticAdminService = adminService;
    }
    
	//	生成token
    public static String genToken(String adminId, String sign, Integer time) {
    	//生成過期時間
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND, time*60);

        return JWT.create().withAudience(adminId) //載荷
                .withExpiresAt(instance.getTime()) //time分鐘后過期
                .sign(Algorithm.HMAC256(sign)); // 密鑰
    }
    
    //根據(jù)accessToken獲取用戶信息
    //  1.通過accessToken的載荷拿到refreshToken
    //  2.通過refreshToken的載荷拿到userId
    //  3.調(diào)用根據(jù)用戶id獲取用戶信息的方法拿到用戶信息
    public static User getCurrentAdmin() {
        String accessToken = null;
        try {
            HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
            accessToken = request.getHeader("token");
            System.out.println("access"+accessToken);
            if (StrUtil.isBlank(accessToken)) {
                log.error("獲取當前登錄的accessToken失敗, token: {}", accessToken);
                return null;
            }
            String refreshToken = JWT.decode(accessToken).getAudience().get(0);
            if (StrUtil.isBlank(refreshToken)) {
                log.error("獲取當前登錄的refreshToken失敗, token: {}", refreshToken);
                return null;
            }
            String userId = JWT.decode(refreshToken).getAudience().get(0);
            return staticAdminService.getById(Integer.valueOf(userId));
        } catch (Exception e) {
            log.error("獲取當前登錄的管理員信息失敗, token={}", accessToken,  e);
            return null;
        }
    }
}

2,JwtInterceptor(檢驗accessToken是否合法)

實現(xiàn)思路:
(1)檢驗accessToken是否為空
(2)通過accessToken的載荷內(nèi)容拿到refreshToken
(3)驗證獲取到的refreshToken是否合法,若不合法,則accessToken為無效token,合法則返回密鑰
(4)通過該密鑰去判斷accessToken是否過期

@Slf4j
public class JwtInterceptor implements HandlerInterceptor {

    @Autowired
    private IUserService userService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        String accessToken = request.getHeader("token");
        if (StrUtil.isBlank(accessToken)) {
            accessToken = request.getParameter("token");
        }
        //執(zhí)行認證
        if (StrUtil.isBlank(accessToken)) {
            throw new ServiceException(ErrorCode.TOKEN_NO_EXIST.getCode(), ErrorCode.TOKEN_NO_EXIST.getMsg());
        }
        String refreshToken;
        try{
            refreshToken = JWT.decode(accessToken).getAudience().get(0);
        }catch (Exception e){
            throw new ServiceException(ErrorCode.TOKEN_ERROR.getCode(), ErrorCode.TOKEN_ERROR.getMsg());
        }
        String password = verifyRefreshToken(refreshToken);
        try {
            // 用戶密碼加簽驗證 token
            JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(password)).build();
            jwtVerifier.verify(accessToken); // 驗證token
        } catch (JWTVerificationException e) {
            throw new ServiceException(ErrorCode.TOKEN_ERROR.getCode(), ErrorCode.TOKEN_ERROR.getMsg());
        }
        return true;
    }
	
	//驗證refreshToken是否合法
    public String verifyRefreshToken(String token){
        // 獲取 token 中的adminId
        String adminId;
        User user;
        try {
            adminId = JWT.decode(token).getAudience().get(0);
            // 根據(jù)token中的userid查詢數(shù)據(jù)庫
            user = userService.getById(Integer.parseInt(adminId));
            System.out.println(user);
        } catch (Exception e) {
            e.printStackTrace();
            throw new ServiceException(ErrorCode.REFRESE_TOKEN_ERROR.getCode(), ErrorCode.REFRESE_TOKEN_ERROR.getMsg());
        }
        if (user == null) {
            throw new ServiceException(ErrorCode.USER_NO_EXIST.getCode(), ErrorCode.USER_NO_EXIST.getMsg());
        }

        try {
            // 用戶密碼加簽驗證 token
            JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
            jwtVerifier.verify(token); // 驗證token
        } catch (JWTVerificationException e) {
            throw new ServiceException(ErrorCode.REFRESE_TOKEN_ERROR.getCode(), ErrorCode.REFRESE_TOKEN_ERROR.getMsg());
        }
        return user.getPassword();
    }
}

3, WebConfig(設置攔截規(guī)則)

@Configuration
public class WebConfig implements  WebMvcConfigurer {
    // 加自定義攔截器JwtInterceptor,設置攔截規(guī)則
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor()).addPathPatterns("/**").excludePathPatterns("/user/login","/user/register","/refreshToken/refresh");
    }
    @Bean
    public JwtInterceptor jwtInterceptor(){
        return new JwtInterceptor();
    }
}

4,登陸接口處生成accessToken和refreshToken

String refreshToken= TokenUtils.genToken(user.getId().toString(),user.getPassword(),24*60);
String accessToken=TokenUtils.genToken(refreshToken,user.getPassword(),30);

5,編寫更新refreshToken的接口

實現(xiàn)思路:
(1)檢驗accessToken是否為空
(2)通過accessToken的載荷內(nèi)容拿到refreshToken
(3)驗證獲取到的refreshToken是否合法,不合法,則accessToken為無效token(此處無效token單指自己編寫,不是后端生成的token),不對accessToken進行更新操作,合法則重新生成新的accessToken

@RestController
@RequestMapping("/refreshToken")
public class refreshTokenController {
    @Autowired
    private IUserService userService;

    @GetMapping("/refresh")
    public Result refresh(@RequestParam String accessToken) {
        if (StrUtil.isBlank(accessToken)) {
            throw new ServiceException(ErrorCode.TOKEN_NO_EXIST.getCode(), ErrorCode.TOKEN_NO_EXIST.getMsg());
        }
        String refreshToken;
        try{
            refreshToken = JWT.decode(accessToken).getAudience().get(0);
        }catch (Exception e){
            throw new ServiceException(ErrorCode.TOKEN_ERROR.getCode(), ErrorCode.TOKEN_ERROR.getMsg());
        }
        if(StrUtil.isBlank(refreshToken)){
            return Result.error(ErrorCode.REFRESH_TOKEN_NULL.getCode(), ErrorCode.REFRESH_TOKEN_NULL.getMsg());
        }
        // 獲取 token 中的adminId
        String adminId;
        User user;
        try {
            adminId = JWT.decode(refreshToken).getAudience().get(0);
            // 根據(jù)token中的userid查詢數(shù)據(jù)庫
            user = userService.getById(Integer.parseInt(adminId));
            System.out.println(user);
        } catch (Exception e) {
            e.printStackTrace();
            throw new ServiceException(ErrorCode.REFRESE_TOKEN_ERROR.getCode(), ErrorCode.REFRESE_TOKEN_ERROR.getMsg());
        }
        if (user == null) {
            throw new ServiceException(ErrorCode.USER_NO_EXIST.getCode(), ErrorCode.USER_NO_EXIST.getMsg());
        }

        try {
            // 用戶密碼加簽驗證 token
            JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
            jwtVerifier.verify(refreshToken); // 驗證token
        } catch (JWTVerificationException e) {
            throw new ServiceException(ErrorCode.REFRESE_TOKEN_ERROR.getCode(), ErrorCode.REFRESE_TOKEN_ERROR.getMsg());
        }
        String currentAccessToken= TokenUtils.genToken(refreshToken,user.getPassword(),30);
        return Result.success(currentAccessToken);
    }
}

(三)前端代碼

1,登錄成功后存儲accessToken

存儲方式不限,在這我是存儲在localStorage里,并在vuex里共享該數(shù)據(jù)

//storage.js
const TOKEN_KEY = 'tk'
export const getInfo = () => {
  const token = localStorage.getItem(TOKEN_KEY)
  return token || ''
}
export const setInfo = (token) => {
  localStorage.setItem(TOKEN_KEY, token)
}
export const removeInfo = () => {
  localStorage.removeItem(TOKEN_KEY)
}


//token模塊
import { getInfo, setInfo ,removeInfo} from '@/utils/storage'
export default {
  namespaced: true,
  state () {
    return {
      tokenInfo: getInfo()
    }
  },
  mutations: {
    setTokenInfo (state, info) {
      state.tokenInfo = info
      setInfo(state.tokenInfo)
    },
    removeTokenInfo () {
      removeInfo()
    }
  },
  actions: {}
}

store.commit('token/setTokenInfo', data)

2,axios請求攔截器處設置請求頭

instance.interceptors.request.use(function (config) {
  const accessToken = store.state.token.tokenInfo
  if (accessToken) {
    config.headers.token = accessToken
  }
  return config
}, function (error) {
  // 對請求錯誤做些什么
  return Promise.reject(error)
})

3,axios響應攔截器配置

設置accessToken過期則判斷refreshToken是否過期,如果未過期,重新生成accessToken,并重新發(fā)送請求

instance.interceptors.response.use(async function (response) {
  if (response.data.code === 200) {
    return response.data
  } else if (response.data.code === 1008 || response.data.code === 1009 || response.data.code === 1010) {
  	//accessToken過期
    const { data } = await refreshToken(store.state.token.tokenInfo)
    store.commit('token/setTokenInfo', data)
    return instance(response.config)
  } else if (response.data.code === 1014) {
  	//refreshToken過期
    window.location.href = '/login'
  } else {
    Vue.prototype.$message.error(response.data.msg)
    return Promise.reject(response.data.msg)
  }
}, function (error) {
  // 對響應錯誤做點什么
  return Promise.reject(error)
})

4,守衛(wèi)路由配置

判斷是否有accessToken,是否在登錄注冊頁面,若都無則跳轉(zhuǎn)到登錄頁,重新登錄

router.beforeEach(async (to, from, next) => {
  const token = store.state.token.tokenInfo
  if (
    // 檢查用戶是否已登錄
    !token &&
    // ?? 避免無限重定向
    to.path !== '/login' && to.path !== '/register'
  ) {
    // 將用戶重定向到登錄頁面
    next({ path: '/login' })
  } else {
    next()
  }
})

到此這篇關于springboot集成JWT之雙重token的實現(xiàn)的文章就介紹到這了,更多相關springboot 雙重token內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家! 

相關文章

  • java之this關鍵字用法實例分析

    java之this關鍵字用法實例分析

    這篇文章主要介紹了java之this關鍵字用法實例分析,較為詳細的講述了Java中this關鍵字的用法及適用范圍,并附帶實例程序加以說明,需要的朋友可以參考下
    2014-09-09
  • 完美解決springboot中使用mybatis字段不能進行自動映射的問題

    完美解決springboot中使用mybatis字段不能進行自動映射的問題

    今天在springboot中使用mybatis的時候不能字段不能夠進行自動映射,接下來給大家給帶來了完美解決springboot中使用mybatis字段不能進行自動映射的問題,需要的朋友可以參考下
    2023-05-05
  • java連接hdfs ha和調(diào)用mapreduce jar示例

    java連接hdfs ha和調(diào)用mapreduce jar示例

    這篇文章主要介紹了Java API連接HDFS HA和調(diào)用MapReduce jar包,需要的朋友可以參考下
    2014-03-03
  • JAVA異常體系結(jié)構(gòu)詳解

    JAVA異常體系結(jié)構(gòu)詳解

    Java把異常當作對象來處理,并定義一個基類java.lang.Throwable作為所有異常的超類,下面通過本文給大家分享JAVA異常體系結(jié)構(gòu),感興趣的朋友一起看看吧
    2017-11-11
  • SpringBoot整合Swagger2的完整過程記錄

    SpringBoot整合Swagger2的完整過程記錄

    Swagger是一款RESTful接口的文檔在線自動生成、功能測試功能框架,這篇文章主要給大家介紹了關于SpringBoot整合Swagger2的相關資料,文中通過示例代碼介紹的非常詳細,需要的朋友可以參考下
    2021-09-09
  • 詳解Netty編碼器和解碼器

    詳解Netty編碼器和解碼器

    很多小伙伴對Netty編解碼器這方面不是很了解,今天這篇文章給大家詳細介紹了Netty編碼器和解碼器的相關知識,需要的朋友可以參考下
    2021-06-06
  • 如何使用JWT的SpringSecurity實現(xiàn)前后端分離

    如何使用JWT的SpringSecurity實現(xiàn)前后端分離

    這篇文章主要介紹了使用JWT的SpringSecurity實現(xiàn)前后端分離,登錄成功需要返回json數(shù)據(jù)登錄失敗需要返回json數(shù)據(jù)權(quán)限不足時返回json數(shù)據(jù)未登錄訪問資源返回json數(shù)據(jù),需要的朋友可以參考下
    2024-08-08
  • 為什么Spring和IDEA都不推薦使用 @Autowired 注解

    為什么Spring和IDEA都不推薦使用 @Autowired 注解

    本文主要介紹了為什么Spring和IDEA都不推薦使用 @Autowired 注解,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2022-04-04
  • Jenkins自動部署SpringBoot項目實踐教程

    Jenkins自動部署SpringBoot項目實踐教程

    這篇文章主要介紹了Jenkins自動部署SpringBoot項目實踐教程,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2021-11-11
  • 深入了解final在java中的應用

    深入了解final在java中的應用

    談到final關鍵字,想必很多人都不陌生,在使用匿名內(nèi)部類的時候可能會經(jīng)常用到final關鍵字。另外,Java中的String類就是一個final類,那么今天我們就來了解final這個關鍵字的用法。
    2019-06-06

最新評論