本文使用SpringBoot结合Redis进行简单的token鉴权。

1.简介

刚刚换了公司,所以最近有些忙碌,所以一直没有什么产出,最近朋友问我登录相关的,所以这里先写一篇简单使用token鉴权的文章,后续会补充一些高阶的,所以如果感觉这篇文章简单,可以直接绕行,言归正传,现在一般系统都进行了前后端分离,为了保证一定的安全性,现在很流行使用token来进行会话的验证,一般流程如下:

  1. 用户登录请求登录接口时,验证用户名密码等,验证成功会返回给前端一个token,这个token就是之后鉴权的唯一凭证。
  2. 后台可能将token存储在redis或者数据库中。
  3. 之后前端的请求,需要在header中携带token,后端取出token去redis或者数据库中进行验证,如果验证通过则放行,如果不通过则拒绝操作。

当然,如上的说法只是简单的实现,实质上还有很多需要优化的地方。

2.具体实现

2.1 工程结构

本文工程结构如下:

其中:

  • config:用于配置拦截器
  • controller:这里只编写了LoginController(用于登录和注销)和TestController(用于测试未登录效果)
  • interceptor:编写拦截器代码
  • service:只写了操作redis的代码和登录相关的代码

2.2 代码实现

本文使用redis存储token信息,用户只是创建了一个固定的用户,在pom中加入相关依赖,完整内容如下:

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">

	<modelVersion>4.0.0</modelVersion>

	<parent>

		<groupId>org.springframework.boot</groupId>

		<artifactId>spring-boot-starter-parent</artifactId>

		<version>2.2.0.RELEASE</version>

		<relativePath/> <!-- lookup parent from repository -->

	</parent>

	<groupId>com.dalaoyang</groupId>

	<artifactId>springboot2_redis_login</artifactId>

	<version>0.0.1-SNAPSHOT</version>

	<name>springboot2_redis_login</name>

	<description>springboot2_redis_login</description>

	<properties>

		<java.version>1.8</java.version>

	</properties>

	<dependencies>

		<dependency>

			<groupId>org.springframework.boot</groupId>

			<artifactId>spring-boot-starter-data-redis</artifactId>

		</dependency>

		<dependency>

			<groupId>org.springframework.boot</groupId>

			<artifactId>spring-boot-starter-web</artifactId>

		</dependency>

		<dependency>

			<groupId>org.springframework.boot</groupId>

			<artifactId>spring-boot-devtools</artifactId>

			<scope>runtime</scope>

			<optional>true</optional>

		</dependency>

		<dependency>

			<groupId>org.springframework.boot</groupId>

			<artifactId>spring-boot-starter-test</artifactId>

			<scope>test</scope>

			<exclusions>

				<exclusion>

					<groupId>org.junit.vintage</groupId>

					<artifactId>junit-vintage-engine</artifactId>

				</exclusion>

			</exclusions>

		</dependency>

	</dependencies>

	<build>

		<plugins>

			<plugin>

				<groupId>org.springframework.boot</groupId>

				<artifactId>spring-boot-maven-plugin</artifactId>

			</plugin>

		</plugins>

	</build>

</project>

配置文件中配置对应的redis信息,如下:

server.port=8888

##redis配置

spring.redis.host=localhost

spring.redis.port=6379

接下来编写redis相关操作,本文示例只需要使用到get,set和delete操作,都是简单的使用RedisTemplate,RedisService内容如下:

package com.dalaoyang.service;

import org.springframework.data.redis.core.RedisTemplate;

import org.springframework.data.redis.core.ValueOperations;

import org.springframework.data.redis.serializer.RedisSerializer;

import org.springframework.data.redis.serializer.StringRedisSerializer;

import org.springframework.stereotype.Service;

import javax.annotation.Resource;

@Service

public class RedisService {

    @Resource

    private RedisTemplate<String,Object> redisTemplate;

    public void set(String key, Object value) {

        //更改在redis里面查看key编码问题

        RedisSerializer redisSerializer =new StringRedisSerializer();

        redisTemplate.setKeySerializer(redisSerializer);

        ValueOperations<String,Object> vo = redisTemplate.opsForValue();

        vo.set(key, value);

    }

    public Object get(String key) {

        ValueOperations<String,Object> vo = redisTemplate.opsForValue();

        return vo.get(key);

    }

    public Boolean delete(String key) {

        return redisTemplate.delete(key);

    }

}

LoginService只是进行登录和注销操作,其中登录就是先判断用户名密码是否正确,如果正确,那么会生成一个字符串做为token(本文中使用uuid),并且做为返回值,密码错误则提示错误。注销实质就是删除redis中token的缓存,完整内容如下:

package com.dalaoyang.service;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.stereotype.Service;

import javax.servlet.http.HttpServletRequest;

import java.util.Objects;

import java.util.UUID;

@Service

public class LoginService {

    @Autowired

    private RedisService redisService;

    public String login(String username, String password) {

        if (Objects.equals("dalaoyang", username) &&

                Objects.equals("123", password)) {

            String token = UUID.randomUUID().toString();

            redisService.set(token, username);

            return "用户:" + username + "登录成功,token是:" + token;

        } else {

            return "用户名或密码错误,登录失败!";

        }

    }

    public String logout(HttpServletRequest request) {

        String token = request.getHeader("token");

        Boolean delete = redisService.delete(token);

        if (!delete) {

            return "注销失败,请检查是否登录!";

        }

        return "注销成功!";

    }

}

LoginController内容很简单,只是对LoginService的简单调用,如下:

package com.dalaoyang.controller;

import com.dalaoyang.service.LoginService;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.web.bind.annotation.GetMapping;

import org.springframework.web.bind.annotation.RequestMapping;

import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;

@RestController

@RequestMapping("/login")

public class LoginController {

    @Autowired

    private LoginService loginService;

    @GetMapping({"/", ""})

    public String login(String username, String password) {

        return loginService.login(username, password);

    }

    @GetMapping("/logout")

    public String logout(HttpServletRequest request) {

        return loginService.logout(request);

    }

}

TestController中只是写了一个简单返回字符串的接口,如下:

package com.dalaoyang.controller;

import org.springframework.web.bind.annotation.GetMapping;

import org.springframework.web.bind.annotation.RequestMapping;

import org.springframework.web.bind.annotation.RestController;

@RestController

@RequestMapping("/test")

public class TestController {

    @GetMapping({"/", ""})

    public String dosomething() {

        return "dosomething";

    }

}

接下来是拦截器,拦截器中需要取出header中的token,然后去redis中进行判断,如果存在,则允许操作,则返回提示信息,内容如下:

package com.dalaoyang.interceptor;

import com.dalaoyang.service.RedisService;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.util.StringUtils;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.util.Objects;

public class AuthInterceptor implements HandlerInterceptor {

    @Autowired

    private RedisService redisService;

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        response.setCharacterEncoding("UTF-8");

        response.setContentType("text/html;charset=utf-8");

        String token = request.getHeader("token");

        if (StringUtils.isEmpty(token)) {

            response.getWriter().print("用户未登录,请登录后操作!");

            return false;

        }

        Object loginStatus = redisService.get(token);

        if( Objects.isNull(loginStatus)){

            response.getWriter().print("token错误,请查看!");

            return false;

        }

        return true;

    }

    @Override

    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override

    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }

}

最后配置一下拦截器,由于拦截器中使用了RedisService,所以这里需要使用如下方式注入拦截器,内容如下:

package com.dalaoyang.config;

import com.dalaoyang.interceptor.AuthInterceptor;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration

public class AuthConfig implements WebMvcConfigurer {

    @Bean

    public AuthInterceptor initAuthInterceptor(){

        return new AuthInterceptor();

    }

    @Override

    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(initAuthInterceptor()).addPathPatterns("/test/**").excludePathPatterns("/login/**");

    }

}

内容到这里就已经完成了。

3.测试

可以使用如下步骤进行简单测试:

  1. 首先在浏览器访问:http://localhost:8888/test,可以看到提示

用户未登录,请登录后操作!

  1. 在使用错误密码浏览器访问:http://localhost:8888/login?username=dalaoyang&password=1,看到提示

用户名或密码错误,登录失败!

  1. 在浏览器使用用户名密码访问:http://localhost:8888/login?username=dalaoyang&password=123,看到提示

用户:dalaoyang登录成功,token是:02fdd2bd-1669-48b9-b51b-1e724f97688f

  1. 使用http工具,如postman等,将token放入header中,请求:http://localhost:8888/test,看到提示,请求成功。

dosomething

4.扩展点

本文只是简单对token使用做了一个样例,并不适用于生产环境,有很多地方是可以扩展的,比如:

  1. 本文redis值存储的只是username,而且并没有利用,实际情况可以存储用户信息等。
  2. 可以扩展使用jwt进行token管理。
  3. 可以放行几个固定的token用作内部接口调用等。
  4. 注意token的生成规则,不要有规律让别人利用。

5.源码

源码地址:https://gitee.com/dalaoyang/springboot_learn/tree/master/springboot2_redis_login

SpringBoot使用token简单鉴权的更多相关文章

  1. Session, Token, OAuth 鉴权那些事儿

    鉴权那些事 整体思路 无论什么样的服务, Web 服务总是不能绕开鉴权这个话题的, 通过有效的鉴权手段来保护网站数据, 来为特定用户提供服务. 整体来说, 有三种方式: Session-Cookie ...

  2. SpringBoot系列: Web应用鉴权思路

    ==============================web 项目鉴权============================== 主要的鉴权方式有:1. 用户名/密码鉴权, 然后通过 Sess ...

  3. 基于token机制鉴权架构

    常见的鉴权方式有两种,一种是基于session,另一种是基于token方式的鉴权,我们来浅谈一下两种 鉴权方式的区别. 两种鉴权方式对比 session 安全性:session是基于cookie进行用 ...

  4. SpringBoot整合SpringSecurityOauth2实现鉴权-动态权限

    写在前面 思考:为什么需要鉴权呢? 系统开发好上线后,API接口会暴露在互联网上会存在一定的安全风险,例如:爬虫.恶意访问等.因此,我们需要对非开放API接口进行用户鉴权,鉴权通过之后再允许调用. 准 ...

  5. 如何在SpringBoot中集成JWT(JSON Web Token)鉴权

    这篇博客主要是简单介绍了一下什么是JWT,以及如何在Spring Boot项目中使用JWT(JSON Web Token). 1.关于JWT 1.1 什么是JWT 老生常谈的开头,我们要用这样一种工具 ...

  6. 基于Springboot集成security、oauth2实现认证鉴权、资源管理

    1.Oauth2简介 OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAu ...

  7. SpringBoot+JWT+SpringSecurity+MybatisPlus实现Restful鉴权脚手架

    若图片查看异常,请前往掘金查看:https://juejin.im/post/5d1dee34e51d4577790c1cf4 前言 JWT(json web token)的无状态鉴权方式,越来越流行 ...

  8. 「快学springboot」集成Spring Security实现鉴权功能

    Spring Security介绍 Spring Security是Spring全家桶中的处理身份和权限问题的一员.Spring Security可以根据使用者的需要定制相关的角色身份和身份所具有的权 ...

  9. RESTful登录设计(基于Spring及Redis的Token鉴权)

    转载自:http://www.scienjus.com/restful-token-authorization/ http://m.blog.csdn.net/article/details?id=4 ...

随机推荐

  1. redis之漏斗限流

    Redis 4.0 提供了一个限流 Redis 模块,它叫 redis-cell.该模块也使用了漏斗算法,并提供了原子的限流指令.有了这个模块,限流问题就非常简单了.

  2. 什么是IDE(集成开发环境)?

    实际开发中,除了编译器是必须的工具,我们往往还需要很多其他辅助软件,例如: 编辑器:用来编写代码,并且给代码着色,以方便阅读: 代码提示器:输入部分代码,即可提示全部代码,加速代码的编写过程: 调试器 ...

  3. 【UOJ#389】【UNR#3】白鸽(欧拉回路,费用流)

    [UOJ#389][UNR#3]白鸽(欧拉回路,费用流) 题面 UOJ 题解 首先第一问就是判断是否存在一条合法的欧拉回路,这个拿度数和连通性判断一下就行了. 第二问判断转的圈数,显然我们只需要考虑顺 ...

  4. Neo4j 第九篇:查询数据(Match)

    Cypher使用match子句查询数据,是Cypher最基本的查询子句.在查询数据时,使用Match子句指定搜索的模式,这是从Neo4j数据库查询数据的最主要的方法.match子句之后通常会跟着whe ...

  5. OpenJDK下SpringBoot使用HttpSession时页面打开卡住

    近期将一个老项目向ARM版的CentOS7移植时,遇到了SpringBoot启动顺利,但访问页面卡住的问题.由于是aarch64架构,因此使用了openjdk,这个项目之前在x86_64环境下一直是用 ...

  6. 10道Python常见面试题

    1.MySQL索引种类 1.普通索引 2.唯一索引 3.主键索引 4.组合索引 5.全文索引 2.索引在什么情况下遵循最左前缀的规则? 最左前缀原理的一部分,索引index1:(a,b,c),只会走a ...

  7. 花了近十年的时间,整理出史上最全面Java面试题

    1.String 是最基本的数据类型吗? 不是.Java中的基本数据类型只有8个:byte.short.int.long.float.double.char.boolean:除了基本类型(primit ...

  8. Spring循环依赖原因及如何解决

    浅谈Spring解决循环依赖的三种方式 SpringBoot构造器注入循环依赖及解决 原文:https://www.baeldung.com/circular-dependencies-in-spri ...

  9. delphi消息发送字符串

    delphi消息发送字符串 其实不论什么方法,归根揭底都是通过传递对象的指针来达到效果的. 方法一: procedure SendString(strMSG: string);var  Data: t ...

  10. java的数据类型相关知识点

    总结就是八个字: 数据2型,四类八种 (个人理解,仅供参考) 解析图如下: 基本数据类型: 1.逻辑类:boolean 布尔类型,它比较特殊,布尔类型只允许存储true(真)或者false(假),不可 ...