SpringBoot使用token简单鉴权的具体实现方法
本文使用SpringBoot结合Redis进行简单的token鉴权。
1.简介
刚刚换了公司,所以最近有些忙碌,所以一直没有什么产出,最近朋友问我登录相关的,所以这里先写一篇简单使用token鉴权的文章,后续会补充一些高阶的,所以如果感觉这篇文章简单,可以直接绕行,言归正传,现在一般系统都进行了前后端分离,为了保证一定的安全性,现在很流行使用token来进行会话的验证,一般流程如下:
- 用户登录请求登录接口时,验证用户名密码等,验证成功会返回给前端一个token,这个token就是之后鉴权的唯一凭证。
- 后台可能将token存储在redis或者数据库中。
- 之后前端的请求,需要在header中携带token,后端取出token去redis或者数据库中进行验证,如果验证通过则放行,如果不通过则拒绝操作。
当然,如上的说法只是简单的实现,实质上还有很多需要优化的地方。
2.具体实现
2.1工程结构
本文工程结构如下:
其中:
- config:用于配置拦截器
- controller:这里只编写了LoginController(用于登录和注销)和TestController(用于测试未登录效果)
- interceptor:编写拦截器代码
- service:只写了操作redis的代码和登录相关的代码
2.2代码实现
本文使用redis存储token信息,用户只是创建了一个固定的用户,在pom中加入相关依赖,完整内容如下:
4.0.0 org.springframework.boot spring-boot-starter-parent 2.2.0.RELEASE com.dalaoyang springboot2_redis_login 0.0.1-SNAPSHOT springboot2_redis_login springboot2_redis_login 1.8 org.springframework.boot spring-boot-starter-data-redis org.springframework.boot spring-boot-starter-web org.springframework.boot spring-boot-devtools runtime true org.springframework.boot spring-boot-starter-test test org.junit.vintage junit-vintage-engine org.springframework.boot spring-boot-maven-plugin
配置文件中配置对应的redis信息,如下:
server.port=8888 ##redis配置 spring.redis.host=localhost spring.redis.port=6379
接下来编写redis相关操作,本文示例只需要使用到get,set和delete操作,都是简单的使用RedisTemplate,RedisService内容如下:
packagecom.dalaoyang.service; importorg.springframework.data.redis.core.RedisTemplate; importorg.springframework.data.redis.core.ValueOperations; importorg.springframework.data.redis.serializer.RedisSerializer; importorg.springframework.data.redis.serializer.StringRedisSerializer; importorg.springframework.stereotype.Service; importjavax.annotation.Resource; @Service publicclassRedisService{ @Resource privateRedisTemplateredisTemplate; publicvoidset(Stringkey,Objectvalue){ //更改在redis里面查看key编码问题 RedisSerializerredisSerializer=newStringRedisSerializer(); redisTemplate.setKeySerializer(redisSerializer); ValueOperations vo=redisTemplate.opsForValue(); vo.set(key,value); } publicObjectget(Stringkey){ ValueOperations vo=redisTemplate.opsForValue(); returnvo.get(key); } publicBooleandelete(Stringkey){ returnredisTemplate.delete(key); } }
LoginService只是进行登录和注销操作,其中登录就是先判断用户名密码是否正确,如果正确,那么会生成一个字符串做为token(本文中使用uuid),并且做为返回值,密码错误则提示错误。注销实质就是删除redis中token的缓存,完整内容如下:
packagecom.dalaoyang.service; importorg.springframework.beans.factory.annotation.Autowired; importorg.springframework.stereotype.Service; importjavax.servlet.http.HttpServletRequest; importjava.util.Objects; importjava.util.UUID; @Service publicclassLoginService{ @Autowired privateRedisServiceredisService; publicStringlogin(Stringusername,Stringpassword){ if(Objects.equals("dalaoyang",username)&& Objects.equals("123",password)){ Stringtoken=UUID.randomUUID().toString(); redisService.set(token,username); return"用户:"+username+"登录成功,token是:"+token; }else{ return"用户名或密码错误,登录失败!"; } } publicStringlogout(HttpServletRequestrequest){ Stringtoken=request.getHeader("token"); Booleandelete=redisService.delete(token); if(!delete){ return"注销失败,请检查是否登录!"; } return"注销成功!"; } }
LoginController内容很简单,只是对LoginService的简单调用,如下:
packagecom.dalaoyang.controller; importcom.dalaoyang.service.LoginService; importorg.springframework.beans.factory.annotation.Autowired; importorg.springframework.web.bind.annotation.GetMapping; importorg.springframework.web.bind.annotation.RequestMapping; importorg.springframework.web.bind.annotation.RestController; importjavax.servlet.http.HttpServletRequest; @RestController @RequestMapping("/login") publicclassLoginController{ @Autowired privateLoginServiceloginService; @GetMapping({"/",""}) publicStringlogin(Stringusername,Stringpassword){ returnloginService.login(username,password); } @GetMapping("/logout") publicStringlogout(HttpServletRequestrequest){ returnloginService.logout(request); } }
TestController中只是写了一个简单返回字符串的接口,如下:
packagecom.dalaoyang.controller; importorg.springframework.web.bind.annotation.GetMapping; importorg.springframework.web.bind.annotation.RequestMapping; importorg.springframework.web.bind.annotation.RestController; @RestController @RequestMapping("/test") publicclassTestController{ @GetMapping({"/",""}) publicStringdosomething(){ return"dosomething"; } }
接下来是拦截器,拦截器中需要取出header中的token,然后去redis中进行判断,如果存在,则允许操作,则返回提示信息,内容如下:
packagecom.dalaoyang.interceptor; importcom.dalaoyang.service.RedisService; importorg.springframework.beans.factory.annotation.Autowired; importorg.springframework.util.StringUtils; importorg.springframework.web.servlet.HandlerInterceptor; importorg.springframework.web.servlet.ModelAndView; importjavax.servlet.http.HttpServletRequest; importjavax.servlet.http.HttpServletResponse; importjava.util.Objects; publicclassAuthInterceptorimplementsHandlerInterceptor{ @Autowired privateRedisServiceredisService; @Override publicbooleanpreHandle(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler)throwsException{ response.setCharacterEncoding("UTF-8"); response.setContentType("text/html;charset=utf-8"); Stringtoken=request.getHeader("token"); if(StringUtils.isEmpty(token)){ response.getWriter().print("用户未登录,请登录后操作!"); returnfalse; } ObjectloginStatus=redisService.get(token); if(Objects.isNull(loginStatus)){ response.getWriter().print("token错误,请查看!"); returnfalse; } returntrue; } @Override publicvoidpostHandle(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler,ModelAndViewmodelAndView)throwsException{ } @Override publicvoidafterCompletion(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler,Exceptionex)throwsException{ } }
最后配置一下拦截器,由于拦截器中使用了RedisService,所以这里需要使用如下方式注入拦截器,内容如下:
packagecom.dalaoyang.config; importcom.dalaoyang.interceptor.AuthInterceptor; importorg.springframework.context.annotation.Bean; importorg.springframework.context.annotation.Configuration; importorg.springframework.web.servlet.config.annotation.InterceptorRegistry; importorg.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration publicclassAuthConfigimplementsWebMvcConfigurer{ @Bean publicAuthInterceptorinitAuthInterceptor(){ returnnewAuthInterceptor(); } @Override publicvoidaddInterceptors(InterceptorRegistryregistry){ registry.addInterceptor(initAuthInterceptor()).addPathPatterns("/test/**").excludePathPatterns("/login/**"); } }
内容到这里就已经完成了。
3.测试
可以使用如下步骤进行简单测试:
首先在浏览器访问:http://localhost:8888/test,可以看到提示
用户未登录,请登录后操作!
在使用错误密码浏览器访问:http://localhost:8888/login?username=dalaoyang&password=1,看到提示
用户名或密码错误,登录失败!
在浏览器使用用户名密码访问:http://localhost:8888/login?username=dalaoyang&password=123,看到提示
用户:dalaoyang登录成功,token是:02fdd2bd-1669-48b9-b51b-1e724f97688f
使用http工具,如postman等,将token放入header中,请求:http://localhost:8888/test,看到提示,请求成功。
dosomething
4.扩展点
本文只是简单对token使用做了一个样例,并不适用于生产环境,有很多地方是可以扩展的,比如:
- 本文redis值存储的只是username,而且并没有利用,实际情况可以存储用户信息等。
- 可以扩展使用jwt进行token管理。
- 可以放行几个固定的token用作内部接口调用等。
- 注意token的生成规则,不要有规律让别人利用。
5.源码
源码地址:https://gitee.com/dalaoyang/springboot_learn/tree/master/springboot2_redis_login
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。