1.首先了解一下Token

1、token也称作令牌,由uid+time+sign[+固定参数]组成:

  • uid: 用户唯一身份标识
  • time: 当前时间的时间戳
  • sign: 签名, 使用 hash/encrypt 压缩成定长的十六进制字符串,以防止第三方恶意拼接
  • 固定参数(可选): 将一些常用的固定参数加入到 token 中是为了避免重复查数据库

2.token 验证的机制(流程)

  1. 用户登录校验,校验成功后就返回Token给客户端。
  2. 客户端收到数据后保存在客户端
  3. 客户端每次访问API是携带Token到服务器端。
  4. 服务器端采用filter过滤器校验。校验成功则返回请求数据,校验失败则返回错误码

3.使用SpringBoot搭建基于token验证

3.1 引入 POM 依赖

        <dependency>

              <groupId>com.auth0</groupId>

              <artifactId>java-jwt</artifactId>

              <version>3.4.0</version>

        </dependency>

3.2  新建一个拦截器配置 用于拦截前端请求 实现   WebMvcConfigurer

 /***

  * 新建Token拦截器

 * @Title: InterceptorConfig.java

 * @author MRC

 * @date 2019年5月27日 下午5:33:28

 * @version V1.0

  */

 @Configuration

 public class InterceptorConfig implements WebMvcConfigurer {

     @Override

     public void addInterceptors(InterceptorRegistry registry) {

         registry.addInterceptor(authenticationInterceptor())

                 .addPathPatterns("/**");    // 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录

     }

     @Bean

     public AuthenticationInterceptor authenticationInterceptor() {

         return new AuthenticationInterceptor();// 自己写的拦截器

     }
    
    //省略其他重写方法

 }

3.3 新建一个 AuthenticationInterceptor  实现HandlerInterceptor接口  实现拦截还是放通的逻辑

 public class AuthenticationInterceptor implements HandlerInterceptor {

     @Autowired

     UserService userService;

     @Override

     public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {

         String token = httpServletRequest.getHeader("token");// 从 http 请求头中取出 token

         // 如果不是映射到方法直接通过

         if(!(object instanceof HandlerMethod)){

             return true;

         }

         HandlerMethod handlerMethod=(HandlerMethod)object;

         Method method=handlerMethod.getMethod();

         //检查是否有passtoken注释,有则跳过认证

         if (method.isAnnotationPresent(PassToken.class)) {

             PassToken passToken = method.getAnnotation(PassToken.class);

             if (passToken.required()) {

                 return true;

             }

         }

         //检查有没有需要用户权限的注解

         if (method.isAnnotationPresent(UserLoginToken.class)) {

             UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class);

             if (userLoginToken.required()) {

                 // 执行认证

                 if (token == null) {

                     throw new RuntimeException("无token,请重新登录");

                 }

                 // 获取 token 中的 user id

                 String userId;

                 try {

                     userId = JWT.decode(token).getAudience().get(0);

                 } catch (JWTDecodeException j) {

                     throw new RuntimeException("401");

                 }

                 User user = userService.findUserById(userId);

                 if (user == null) {

                     throw new RuntimeException("用户不存在,请重新登录");

                 }

                 // 验证 token

                 JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();

                 try {

                     jwtVerifier.verify(token);

                 } catch (JWTVerificationException e) {

                     throw new RuntimeException("401");

                 }

                 return true;

             }

         }

         return true;

     }

     @Override

     public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

     }

     @Override

     public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

     }

 }

3.4 新建两个注解 用于标识请求是否需要进行Token 验证

/***

 * 用来跳过验证的 PassToken

 * @author MRC

 * @date 2019年4月4日 下午7:01:25

 */

@Target({ElementType.METHOD, ElementType.TYPE})

@Retention(RetentionPolicy.RUNTIME)

public @interface PassToken {

    boolean required() default true;

}
/**

 * 用于登录后才能操作

 * @author MRC

 * @date 2019年4月4日 下午7:02:00

 */

@Target({ElementType.METHOD, ElementType.TYPE})

@Retention(RetentionPolicy.RUNTIME)

public @interface UserLoginToken {

    boolean required() default true;

}

3.5 新建一个Server 用于下发Token

/***

 * token 下发

* @Title: TokenService.java

* @author MRC

* @date 2019年5月27日 下午5:40:25

* @version V1.0

 */

@Service("TokenService")

public class TokenService {

    public String getToken(User user) {

        Date start = new Date();

        long currentTime = System.currentTimeMillis() + 60* 60 * 1000;//一小时有效时间

        Date end = new Date(currentTime);

        String token = "";

        token = JWT.create().withAudience(user.getId()).withIssuedAt(start).withExpiresAt(end)

                .sign(Algorithm.HMAC256(user.getPassword()));

        return token;

    }

}

3.6 新建一个工具类 用户从token中取出用户Id

 /*

 * @author MRC

 * @date 2019年4月5日 下午1:14:53

 * @version 1.0

 */

 public class TokenUtil {

     public static String getTokenUserId() {

         String token = getRequest().getHeader("token");// 从 http 请求头中取出 token

         String userId = JWT.decode(token).getAudience().get(0);

         return userId;

     }

     /**

      * 获取request

      *

      * @return

      */

     public static HttpServletRequest getRequest() {

         ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder

                 .getRequestAttributes();

         return requestAttributes == null ? null : requestAttributes.getRequest();

     }

 }

3.7 新建一个简单的控制器 用于验证

@RestController

public class UserApi {

    @Autowired

    UserService userService;

    @Autowired

    TokenService tokenService;

    // 登录

    @GetMapping("/login")

    public Object login(User user, HttpServletResponse response) {

        JSONObject jsonObject = new JSONObject();

        User userForBase = new User();

        userForBase.setId("1");

        userForBase.setPassword("123");

        userForBase.setUsername("mrc");

        if (!userForBase.getPassword().equals(user.getPassword())) {

            jsonObject.put("message", "登录失败,密码错误");

            return jsonObject;

        } else {

            String token = tokenService.getToken(userForBase);

            jsonObject.put("token", token);

            Cookie cookie = new Cookie("token", token);

            cookie.setPath("/");

            response.addCookie(cookie);

            return jsonObject;

        }

    }

    /***

     * 这个请求需要验证token才能访问

     *

     * @author: MRC

     * @date 2019年5月27日 下午5:45:19

     * @return String 返回类型

     */

    @UserLoginToken

    @GetMapping("/getMessage")

    public String getMessage() {

        // 取出token中带的用户id 进行操作

        System.out.println(TokenUtil.getTokenUserId());

        return "你已通过验证";

    }

}

3.8 开始测试

## 成功登陆后保存token到前端cookie 以后的请求带上token即可区别是哪个用户的请求!

我们下一个请求在请求的时候带上这个token试试

成功通过验证! 我们看一下后端控制台打印的结果!

打印出带这个token的用户

DEMO测试版本:https://gitee.com/mrc1999/springbootToken

参考博客:https://www.jianshu.com/p/310d307e44c6

Springboot token令牌验证解决方案 在SpringBoot实现基于Token的用户身份验证的更多相关文章

  1. Nginx集群之基于Redis的WebApi身份验证

    目录 1       大概思路... 1 2       Nginx集群之基于Redis的WebApi身份验证... 1 3       Redis数据库... 2 4       Visualbox ...

  2. 第11章 使用OpenID Connect添加用户身份验证 - Identity Server 4 中文文档(v1.0.0)

    在本快速入门中,我们希望通过OpenID Connect协议向我们的IdentityServer添加对交互式用户身份验证的支持. 一旦到位,我们将创建一个将使用IdentityServer进行身份验证 ...

  3. 802.11X用户身份验证

    静态WEP企图同时解决802.11无线网络安全的两个问题.它即打算提供身份验证以限定拥有特定密钥方能进行网络访问,也想要提供机密性以在数据经过无线链路时予以加密.然而,它在这两方面的表现都不是特别好. ...

  4. HTTP 请求未经客户端身份验证方案“Anonymous”授权。从服务器收到的身份验证标头为“Negotiate,NTLM”

    转自:http://www.cnblogs.com/geqinggao/p/3270499.html 近来项目需要Web Service验证授权,一般有两种解决方案: 1.通过通过SOAP Heade ...

  5. 基于表单的身份验证(FBA)

    https://technet.microsoft.com/zh-cn/library/ee806890(office.15).aspx http://www.tuicool.com/articles ...

  6. 写给大忙人的centos下ftp服务器搭建(以及启动失败/XFTP客户端一直提示“用户身份验证失败”解决方法)

    注:个人对偏向于底层基本上拿来就用的应用,倾向于使用安装包,直接yum或者rpm安装:而对于应用层面控制较多或者需要大范围维护的,倾向于直接使用tar.gz版本. 对于linux下的ftp服务器,实际 ...

  7. IdentityServer4 使用OpenID Connect添加用户身份验证

    使用IdentityServer4 实现OpenID Connect服务端,添加用户身份验证.客户端调用,实现授权. IdentityServer4 目前已更新至1.0 版,在之前的文章中有所介绍.I ...

  8. MVC4商城项目二:用户身份验证的实现

    用户身份验证,依赖于 forms 身份验证类:FormsAuthentication,它是一串加密的cookie 来实现对控制器访问限制和登陆页面的访问控制.它在浏览器端是这样子的: 需求:我们要实现 ...

  9. asp.net用户身份验证时读不到用户信息的问题 您的登录尝试不成功。请重试。 Login控件

    原文:asp.net用户身份验证时读不到用户信息的问题 您的登录尝试不成功.请重试. Login控件 现象1.asp.net使用自定义sql server身份验证数据库,在A机器新增用户A,可以登录成 ...

  10. Github官方app分析——用户身份验证模块

    这篇文章记述的是我对Giuhub官方app的用户身份验证模块的分析. Giuhub的官方app虽然是一个非常小众的程序,但是从程序的设计的角度看,这是一个非常优秀的项目.对于其用户身份验证模块,给我留 ...

随机推荐

  1. 3、kafka工作流程

    一.kafka各成员 kafka: 分布式消息系统,将消息直接存入磁盘,默认保存一周. broker: 组成kafka集群的节点,之间没有主从关系,依赖zookeeper来协调,broker负责满息的 ...

  2. 55、Spark Streaming:updateStateByKey以及基于缓存的实时wordcount程序

    一.updateStateByKey 1.概述 SparkStreaming 7*24 小时不间断的运行,有时需要管理一些状态,比如wordCount,每个batch的数据不是独立的而是需要累加的,这 ...

  3. 桥接:JS调用安卓方法报错Uncaught Error: Error calling method on NPObject

    说一说自己粗心踩到的一个不算坑的坑: 项目是安卓webview嵌入SPA单页应用页面,涉及到JS调用原生安卓方法,但就是在调用安卓方法时死活一直报错xxx  NPObject一堆错误.写了一个测试页面 ...

  4. 微信小程序 base64格式图片的显示及保存

    当我们拿到如下base64格式的图片(如下图)时, base64格式的图片数据: 如何显示 ? 使用image标签,src属性添加data:image/png;base64, (注意:若imgData ...

  5. D3.js的v5版本入门教程(第五章)—— 选择、插入、删除元素

    D3.js的v5版本入门教程(第五章) 1.选择元素 现在我们已经知道,d3.js中选择元素的函数有select()和selectAll(),下面来详细讲解一下 假设我们的<body>中有 ...

  6. spring boot validation参数校验

    对于任何一个应用而言在客户端做的数据有效性验证都不是安全有效的,这时候就要求我们在开发的时候在服务端也对数据的有效性进行验证. Spring Boot自身对数据在服务端的校验有一个比较好的支持,它能将 ...

  7. automapper 源中有多个属性类映射到同一个 目标中

    CreateMap<TempBranchActivity, BranchActivityOutput>() .ConstructUsing((src, ctx) => ctx.Map ...

  8. java JBDC操作

    类似:c# 里面的ado.net  增删改查,动手做Demo  (当然实际企业开发很少用这种方式 ). ps:以前从一开始 搞ssm spring Boot spring Mvc 什么都懂一点.什么都 ...

  9. .net core facebook 容易进的一个坑

    Microsoft.AspNetCore.Authentication.Facebook 库 services.AddAuthentication(CookieAuthenticationDefaul ...

  10. Spark布隆过滤器(bloomFilter)

    数据过滤在很多场景都会应用到,特别是在大数据环境下.在数据量很大的场景实现过滤或者全局去重,需要存储的数据量和计算代价是非常庞大的.很多小伙伴第一念头肯定会想到布隆过滤器,有一定的精度损失,但是存储性 ...