SpringBoot使用token简单鉴权
本文使用SpringBoot结合Redis进行简单的token鉴权。html
1.简介
刚刚换了公司,因此最近有些忙碌,因此一直没有什么产出,最近朋友问我登陆相关的,因此这里先写一篇简单使用token鉴权的文章,后续会补充一些高阶的,因此若是感受这篇文章简单,能够直接绕行,言归正传,如今通常系统都进行了先后端分离,为了保证必定的安全性,如今很流行使用token来进行会话的验证,通常流程以下:前端
- 用户登陆请求登陆接口时,验证用户名密码等,验证成功会返回给前端一个token,这个token就是以后鉴权的惟一凭证。
- 后台可能将token存储在redis或者数据库中。
- 以后前端的请求,须要在header中携带token,后端取出token去redis或者数据库中进行验证,若是验证经过则放行,若是不经过则拒绝操做。
固然,如上的说法只是简单的实现,实质上还有不少须要优化的地方。java
2.具体实现
2.1 工程结构
本文工程结构以下:git
其中:web
- config:用于配置拦截器
- controller:这里只编写了LoginController(用于登陆和注销)和TestController(用于测试未登陆效果)
- interceptor:编写拦截器代码
- service:只写了操做redis的代码和登陆相关的代码
2.2 代码实现
本文使用redis存储token信息,用户只是建立了一个固定的用户,在pom中加入相关依赖,完整内容以下:redis
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.2.0.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.dalaoyang</groupId>
<artifactId>springboot2_redis_login</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>springboot2_redis_login</name>
<description>springboot2_redis_login</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-devtools</artifactId>
<scope>runtime</scope>
<optional>true</optional>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
<exclusions>
<exclusion>
<groupId>org.junit.vintage</groupId>
<artifactId>junit-vintage-engine</artifactId>
</exclusion>
</exclusions>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
复制代码
配置文件中配置对应的redis信息,以下:spring
server.port=8888
##redis配置
spring.redis.host=localhost
spring.redis.port=6379
复制代码
接下来编写redis相关操做,本文示例只须要使用到get,set和delete操做,都是简单的使用RedisTemplate,RedisService内容以下:数据库
package com.dalaoyang.service;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.data.redis.serializer.RedisSerializer;
import org.springframework.data.redis.serializer.StringRedisSerializer;
import org.springframework.stereotype.Service;
import javax.annotation.Resource;
@Service
public class RedisService {
@Resource
private RedisTemplate<String,Object> redisTemplate;
public void set(String key, Object value) {
//更改在redis里面查看key编码问题
RedisSerializer redisSerializer =new StringRedisSerializer();
redisTemplate.setKeySerializer(redisSerializer);
ValueOperations<String,Object> vo = redisTemplate.opsForValue();
vo.set(key, value);
}
public Object get(String key) {
ValueOperations<String,Object> vo = redisTemplate.opsForValue();
return vo.get(key);
}
public Boolean delete(String key) {
return redisTemplate.delete(key);
}
}
复制代码
LoginService只是进行登陆和注销操做,其中登陆就是先判断用户名密码是否正确,若是正确,那么会生成一个字符串作为token(本文中使用uuid),而且作为返回值,密码错误则提示错误。注销实质就是删除redis中token的缓存,完整内容以下:apache
package com.dalaoyang.service;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import javax.servlet.http.HttpServletRequest;
import java.util.Objects;
import java.util.UUID;
@Service
public class LoginService {
@Autowired
private RedisService redisService;
public String login(String username, String password) {
if (Objects.equals("dalaoyang", username) &&
Objects.equals("123", password)) {
String token = UUID.randomUUID().toString();
redisService.set(token, username);
return "用户:" + username + "登陆成功,token是:" + token;
} else {
return "用户名或密码错误,登陆失败!";
}
}
public String logout(HttpServletRequest request) {
String token = request.getHeader("token");
Boolean delete = redisService.delete(token);
if (!delete) {
return "注销失败,请检查是否登陆!";
}
return "注销成功!";
}
}
复制代码
LoginController内容很简单,只是对LoginService的简单调用,以下:后端
package com.dalaoyang.controller;
import com.dalaoyang.service.LoginService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import javax.servlet.http.HttpServletRequest;
@RestController
@RequestMapping("/login")
public class LoginController {
@Autowired
private LoginService loginService;
@GetMapping({"/", ""})
public String login(String username, String password) {
return loginService.login(username, password);
}
@GetMapping("/logout")
public String logout(HttpServletRequest request) {
return loginService.logout(request);
}
}
复制代码
TestController中只是写了一个简单返回字符串的接口,以下:
package com.dalaoyang.controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("/test")
public class TestController {
@GetMapping({"/", ""})
public String dosomething() {
return "dosomething";
}
}
复制代码
接下来是拦截器,拦截器中须要取出header中的token,而后去redis中进行判断,若是存在,则容许操做,则返回提示信息,内容以下:
package com.dalaoyang.interceptor;
import com.dalaoyang.service.RedisService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Objects;
public class AuthInterceptor implements HandlerInterceptor {
@Autowired
private RedisService redisService;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
response.setCharacterEncoding("UTF-8");
response.setContentType("text/html;charset=utf-8");
String token = request.getHeader("token");
if (StringUtils.isEmpty(token)) {
response.getWriter().print("用户未登陆,请登陆后操做!");
return false;
}
Object loginStatus = redisService.get(token);
if( Objects.isNull(loginStatus)){
response.getWriter().print("token错误,请查看!");
return false;
}
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
}
}
复制代码
最后配置一下拦截器,因为拦截器中使用了RedisService,因此这里须要使用以下方式注入拦截器,内容以下:
package com.dalaoyang.config;
import com.dalaoyang.interceptor.AuthInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class AuthConfig implements WebMvcConfigurer {
@Bean
public AuthInterceptor initAuthInterceptor(){
return new AuthInterceptor();
}
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(initAuthInterceptor()).addPathPatterns("/test/**").excludePathPatterns("/login/**");
}
}
复制代码
内容到这里就已经完成了。
3.测试
可使用以下步骤进行简单测试:
- 首先在浏览器访问:http://localhost:8888/test,能够看到提示
用户未登陆,请登陆后操做!
- 在使用错误密码浏览器访问:http://localhost:8888/login?username=dalaoyang&password=1,看到提示
用户名或密码错误,登陆失败!
- 在浏览器使用用户名密码访问:http://localhost:8888/login?username=dalaoyang&password=123,看到提示
用户:dalaoyang登陆成功,token是:02fdd2bd-1669-48b9-b51b-1e724f97688f
- 使用http工具,如postman等,将token放入header中,请求:http://localhost:8888/test,看到提示,请求成功。
dosomething
4.扩展点
本文只是简单对token使用作了一个样例,并不适用于生产环境,有不少地方是能够扩展的,好比:
- 本文redis值存储的只是username,并且并无利用,实际状况能够存储用户信息等。
- 能够扩展使用jwt进行token管理。
- 能够放行几个固定的token用做内部接口调用等。
- 注意token的生成规则,不要有规律让别人利用。
5.源码
相关文章
- 1. token鉴权
- 2. token简单的使用
- 3. 如何在SpringBoot中集成JWT(JSON Web Token)鉴权
- 4. SpringBoot简单使用
- 5. 使用token机制作登陆鉴权(threadlocal+redis)
- 6. 使用nginx + lua脚本 + redis进行token鉴权
- 7. 接口测试:postman之使用token鉴权
- 8. 基于token机制鉴权架构
- 9. JWT实现基于token的鉴权
- 10. sa-token 路由拦截式鉴权
- 更多相关文章...
- • MySQL用户授权(GRANT) - MySQL教程
- • TortoiseSVN 使用教程 - SVN 教程
- • Git可视化极简易教程 — Git GUI使用方法
- • Composer 安装与使用
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 「插件」Runner更新Pro版,帮助设计师远离996
- 2. 错误 707 Could not load file or assembly ‘Newtonsoft.Json, Version=12.0.0.0, Culture=neutral, PublicKe
- 3. Jenkins 2018 报告速览,Kubernetes使用率跃升235%!
- 4. TVI-Android技术篇之注解Annotation
- 5. android studio启动项目
- 6. Android的ADIL
- 7. Android卡顿的检测及优化方法汇总(线下+线上)
- 8. 登录注册的业务逻辑流程梳理
- 9. NDK(1)创建自己的C/C++文件
- 10. 小菜的系统框架界面设计-你的评估是我的决策
欢迎关注本站公众号,获取更多信息
