SpringBoot使用token简单鉴权的具体实现方法

网友投稿 425 2023-07-13

SpringBoot使用token简单鉴权的具体实现方法

SpringBoot使用token简单鉴权的具体实现方法

本文使用SpringBoot结合Redis进行简单的token鉴权。

1.简介

刚刚换了公司,所以最近有些忙碌,所以一直没有什么产出,最近朋友问我登录相关的,所以这里先写一篇简单使用token鉴权的文章,后续会补充一些高阶的,所以如果感觉这篇文章简单,可以直接绕行,言归正传,现在一般系统都进行了前后端分离,为了保证一定的安全性,现在很流行使用token来进行会话的验证,一般流程如下:

用户登录请求登录接口时,验证用户名密码等,验证成功会返回给前端一个token,这个token就是之后鉴权的唯一凭证。

后台可能将token存储在redis或者数据库中。

之后前端的请求,需要在header中携带token,后端取出token去redis或者数据库中进行验证,如果验证通过则放行,如果不通过则拒绝操作。

当然,如上的说法只是简单的实现,实质上还有很多需要优化的地方。

2.具体实现

2.1 工程结构

本文工程结构如下:

其中:

config:用于配置-

controller:这里只编写了LoginController(用于登录和注销)和TestController(用于测试未登录效果)

interceptor:编写-代码

service:只写了操作redis的代码和登录相关的代码

2.2 代码实现

本文使用redis存储token信息,用户只是创建了一个固定的用户,在pom中加入相关依赖,完整内容如下:

xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">

4.0.0

org.springframework.boot

spring-boot-starter-parent

2.2.0.RELEASE

com.dalaoyang

springboot2_redis_login

0.0.1-SNAPSHOT

springboot2_redis_login

springboot2_redis_login

1.8

org.springframework.boot

spring-boot-starter-data-redis

org.springframework.boot

spring-boot-starter-web

org.springframework.boot

spring-boot-devtools

runtime

true

org.springframework.boot

spring-boot-starter-test

test

org.junit.vintage

org.springframework.boot

spring-boot-maven-plugin

xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">

4.0.0

org.springframework.boot

spring-boot-starter-parent

2.2.0.RELEASE

com.dalaoyang

springboot2_redis_login

0.0.1-SNAPSHOT

springboot2_redis_login

springboot2_redis_login

1.8

org.springframework.boot

spring-boot-starter-data-redis

org.springframework.boot

spring-boot-starter-web

org.springframework.boot

spring-boot-devtools

runtime

true

org.springframework.boot

spring-boot-starter-test

test

org.junit.vintage

org.springframework.boot

spring-boot-maven-plugin

配置文件中配置对应的redis信息,如下:

server.port=8888

##redis配置

spring.redis.host=localhost

spring.redis.port=6379

接下来编写redis相关操作,本文示例只需要使用到get,set和delete操作,都是简单的使用RedisTemplate,RedisService内容如下:

package com.dalaoyang.service;

import org.springframework.data.redis.core.RedisTemplate;

import org.springframework.data.redis.core.ValueOperations;

import org.springframework.data.redis.serializer.RedisSerializer;

import org.springframework.data.redis.serializer.StringRedisSerializer;

import org.springframework.stereotype.Service;

import javax.annotation.Resource;

@Service

public class RedisService {

@Resource

private RedisTemplate redisTemplate;

public void set(String key, Object value) {

//更改在redis里面查看key编码问题

RedisSerializer redisSerializer =new StringRedisSerializer();

redisTemplate.setKeySerializer(redisSerializer);

ValueOperations vo = redisTemplate.opsForValue();

vo.set(key, value);

}

public Object get(String key) {

ValueOperations vo = redisTemplate.opsForValue();

return vo.get(key);

}

public Boolean delete(String key) {

return redisTemplate.delete(key);

}

}

LoginService只是进行登录和注销操作,其中登录就是先判断用户名密码是否正确,如果正确,那么会生成一个字符串做为token(本文中使用uuid),并且做为返回值,密码错误则提示错误。注销实质就是删除redis中token的缓存,完整内容如下:

package com.dalaoyang.service;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.stereotype.Service;

import javax.servlet.http.HttpServletRequest;

import java.util.Objects;

import java.util.UUID;

@Service

public class LoginService {

@Autowired

private RedisService redisService;

public String login(String username, String password) {

if (Objects.equals("dalaoyang", username) &&

Objects.equals("123", password)) {

String token = UUID.randomUUID().toString();

redisService.set(token, username);

return "用户:" + username + "登录成功,token是:" + token;

} else {

return "用户名或密码错误,登录失败!";

}

}

public String logout(HttpServletRequest request) {

String token = request.getHeader("token");

Boolean delete = redisService.delete(token);

if (!delete) {

return "注销失败,请检查是否登录!";

}

return "注销成功!";

}

}

LoginController内容很简单,只是对LoginService的简单调用,如下:

package com.dalaoyang.controller;

import com.dalaoyang.service.LoginService;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.web.bind.annotation.GetMapping;

import org.springframework.web.bind.annotation.RequestMapping;

import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;

@RestController

@RequestMapping("/login")

public class LoginController {

@Autowired

private LoginService loginService;

@GetMapping({"/", ""})

public String login(String username, String password) {

return loginService.login(username, password);

}

@GetMapping("/logout")

public String logout(HttpServletRequest request) {

return loginService.logout(rSBUdoequest);

}

}

TestController中只是写了一个简单返回字符串的接口,如下:

package com.dalaoyang.controller;

import org.springframework.web.bind.annotation.GetMapping;

import org.springframework.web.bind.annotation.RequestMapping;

import org.springframework.web.bind.annotation.RestController;

@RestController

@RequestMapping("/test")

public class TestController {

@GetMapping({"/", ""})

public String dosomething() {

return "dosomething";

}

}

接下来是-,-中需要取出header中的token,然后去redis中进行判断,如果存在,则允许操作,则返回提示信息,内容如下:

package com.dalaoyang.interceptor;

import com.dalaoyang.service.RedisService;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.util.StringUtils;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.util.Objects;

public class AuthInterceptor implements HandlerInterceptor {

@Autowired

private RedisService redisService;

@Override

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

response.setCharacterEncoding("UTF-8");

response.setContentType("text/html;charset=utf-8");

String token = request.getHeader("token");

if (StringUtils.isEmpty(token)) {

response.getWriter().print("用户未登录,请登录后操作!");

return false;

}

Object loginStatus = redisService.get(token);

if( Objects.isNull(loginStatus)){

response.getWriter().print("token错误,请查看!");

return false;

}

return true;

}

@Override

public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

}

@Override

public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

}

}

最后配置一下-,由于-中使用了RedisService,所以这里需要使用如下方式注入-,内容如下:

package com.dalaoyang.config;

import com.dalaoyang.interceptor.AuthInterceptor;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration

public class AuthConfig implements WebMvcConfigurer {

@Bean

public AuthInterceptor initAuthInterceptor(){

return new AuthInterceptor();

}

@Override

public void addInterceptors(InterSBUdoceptorRegistry registry) {

registry.addInterceptor(initAuthInterceptor()).addPathPatterns("/test/**").excludePathPatterns("/login/**");

}

}

内容到这里就已经完成了。

3.测试

可以使用如下步骤进行简单测试:

首先在浏览器访问:http://localhost:8888/test,可以看到提示

用户未登录,请登录后操作!

在使用错误密码浏览器访问:http://localhost:8888/login?username=dalaoyang&password=1,看到提示

用户名或密码错误,登录失败!

在浏览器使用用户名密码访问:http://localhost:8888/login?username=dalaoyang&password=123,看到提示

用户:dalaoyang登录成功,token是:02fdd2bd-1669-48b9-b51b-1e724f97688f

使用http工具,如postman等,将token放入header中,请求:http://localhost:8888/test,看到提示,请求成功。

dosomething

4.扩展点

本文只是简单对token使用做了一个样例,并不适用于生产环境,有很多地方是可以扩展的,比如:

本文redis值存储的只是username,而且并没有利用,实际情况可以存储用户信息等。

可以扩展使用jwt进行token管理

可以放行几个固定的token用作内部接口调用等。

注意token的生成规则,不要有规律让别人利用。

5.源码

源码地址:https://gitee.com/dalaoyang/springboot_learn/tree/master/springboot2_redis_login

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:spring boot读取Excel操作示例
下一篇:SpringBoot如何统一配置bean的别名
相关文章

 发表评论

暂时没有评论,来抢沙发吧~