SpringBoot使用token簡單鑒權

本文使用SpringBoot結(jié)合Redis進行簡單的token鑒權。

image

1.簡介

剛剛換了公司,所以最近有些忙碌,所以一直沒有什么產(chǎn)出,最近朋友問我登錄相關的,所以這里先寫一篇簡單使用token鑒權的文章,后續(xù)會補充一些高階的,所以如果感覺這篇文章簡單,可以直接繞行,言歸正傳,現(xiàn)在一般系統(tǒng)都進行了前后端分離,為了保證一定的安全性,現(xiàn)在很流行使用token來進行會話的驗證,一般流程如下:

  1. 用戶登錄請求登錄接口時,驗證用戶名密碼等,驗證成功會返回給前端一個token,這個token就是之后鑒權的唯一憑證。
  2. 后臺可能將token存儲在redis或者數(shù)據(jù)庫中。
  3. 之后前端的請求,需要在header中攜帶token,后端取出token去redis或者數(shù)據(jù)庫中進行驗證,如果驗證通過則放行,如果不通過則拒絕操作。

當然,如上的說法只是簡單的實現(xiàn),實質(zhì)上還有很多需要優(yōu)化的地方。

2.具體實現(xiàn)

2.1 工程結(jié)構

本文工程結(jié)構如下:

image

其中:

  • config:用于配置攔截器
  • controller:這里只編寫了LoginController(用于登錄和注銷)和TestController(用于測試未登錄效果)
  • interceptor:編寫攔截器代碼
  • service:只寫了操作redis的代碼和登錄相關的代碼

2.2 代碼實現(xiàn)

本文使用redis存儲token信息,用戶只是創(chuàng)建了一個固定的用戶,在pom中加入相關依賴,完整內(nèi)容如下:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.2.0.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.dalaoyang</groupId>
    <artifactId>springboot2_redis_login</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>springboot2_redis_login</name>
    <description>springboot2_redis_login</description>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
            <scope>runtime</scope>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

配置文件中配置對應的redis信息,如下:

server.port=8888
##redis配置
spring.redis.host=localhost
spring.redis.port=6379

接下來編寫redis相關操作,本文示例只需要使用到get,set和delete操作,都是簡單的使用RedisTemplate,RedisService內(nèi)容如下:

package com.dalaoyang.service;

import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.data.redis.serializer.RedisSerializer;
import org.springframework.data.redis.serializer.StringRedisSerializer;
import org.springframework.stereotype.Service;

import javax.annotation.Resource;

@Service
public class RedisService {
    @Resource
    private RedisTemplate<String,Object> redisTemplate;

    public void set(String key, Object value) {
        //更改在redis里面查看key編碼問題
        RedisSerializer redisSerializer =new StringRedisSerializer();
        redisTemplate.setKeySerializer(redisSerializer);
        ValueOperations<String,Object> vo = redisTemplate.opsForValue();
        vo.set(key, value);
    }

    public Object get(String key) {
        ValueOperations<String,Object> vo = redisTemplate.opsForValue();
        return vo.get(key);
    }

    public Boolean delete(String key) {
        return redisTemplate.delete(key);
    }
}

LoginService只是進行登錄和注銷操作,其中登錄就是先判斷用戶名密碼是否正確,如果正確,那么會生成一個字符串做為token(本文中使用uuid),并且做為返回值,密碼錯誤則提示錯誤。注銷實質(zhì)就是刪除redis中token的緩存,完整內(nèi)容如下:

package com.dalaoyang.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import javax.servlet.http.HttpServletRequest;
import java.util.Objects;
import java.util.UUID;

@Service
public class LoginService {

    @Autowired
    private RedisService redisService;

    public String login(String username, String password) {
        if (Objects.equals("dalaoyang", username) &&
                Objects.equals("123", password)) {
            String token = UUID.randomUUID().toString();
            redisService.set(token, username);
            return "用戶:" + username + "登錄成功,token是:" + token;
        } else {
            return "用戶名或密碼錯誤,登錄失??!";
        }
    }

    public String logout(HttpServletRequest request) {
        String token = request.getHeader("token");
        Boolean delete = redisService.delete(token);
        if (!delete) {
            return "注銷失敗,請檢查是否登錄!";
        }
        return "注銷成功!";
    }
}

LoginController內(nèi)容很簡單,只是對LoginService的簡單調(diào)用,如下:

package com.dalaoyang.controller;


import com.dalaoyang.service.LoginService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;

@RestController
@RequestMapping("/login")
public class LoginController {

    @Autowired
    private LoginService loginService;

    @GetMapping({"/", ""})
    public String login(String username, String password) {
        return loginService.login(username, password);
    }

    @GetMapping("/logout")
    public String logout(HttpServletRequest request) {
        return loginService.logout(request);
    }
}

TestController中只是寫了一個簡單返回字符串的接口,如下:

package com.dalaoyang.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
public class TestController {

    @GetMapping({"/", ""})
    public String dosomething() {
        return "dosomething";
    }
}

接下來是攔截器,攔截器中需要取出header中的token,然后去redis中進行判斷,如果存在,則允許操作,則返回提示信息,內(nèi)容如下:

package com.dalaoyang.interceptor;

import com.dalaoyang.service.RedisService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Objects;

public class AuthInterceptor implements HandlerInterceptor {

    @Autowired
    private RedisService redisService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/html;charset=utf-8");
        String token = request.getHeader("token");
        if (StringUtils.isEmpty(token)) {
            response.getWriter().print("用戶未登錄,請登錄后操作!");
            return false;
        }
        Object loginStatus = redisService.get(token);
        if( Objects.isNull(loginStatus)){
            response.getWriter().print("token錯誤,請查看!");
            return false;
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

最后配置一下攔截器,由于攔截器中使用了RedisService,所以這里需要使用如下方式注入攔截器,內(nèi)容如下:

package com.dalaoyang.config;

import com.dalaoyang.interceptor.AuthInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class AuthConfig implements WebMvcConfigurer {

    @Bean
    public AuthInterceptor initAuthInterceptor(){
        return new AuthInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(initAuthInterceptor()).addPathPatterns("/test/**").excludePathPatterns("/login/**");
    }

}

內(nèi)容到這里就已經(jīng)完成了。

3.測試

可以使用如下步驟進行簡單測試:

  1. 首先在瀏覽器訪問:http://localhost:8888/test,可以看到提示

用戶未登錄,請登錄后操作!

  1. 在使用錯誤密碼瀏覽器訪問:http://localhost:8888/login?username=dalaoyang&password=1,看到提示

用戶名或密碼錯誤,登錄失??!

  1. 在瀏覽器使用用戶名密碼訪問:http://localhost:8888/login?username=dalaoyang&password=123,看到提示

用戶:dalaoyang登錄成功,token是:02fdd2bd-1669-48b9-b51b-1e724f97688f

  1. 使用http工具,如postman等,將token放入header中,請求:http://localhost:8888/test,看到提示,請求成功。

dosomething

4.擴展點

本文只是簡單對token使用做了一個樣例,并不適用于生產(chǎn)環(huán)境,有很多地方是可以擴展的,比如:

  1. 本文redis值存儲的只是username,而且并沒有利用,實際情況可以存儲用戶信息等。
  2. 可以擴展使用jwt進行token管理。
  3. 可以放行幾個固定的token用作內(nèi)部接口調(diào)用等。
  4. 注意token的生成規(guī)則,不要有規(guī)律讓別人利用。

5.源碼

源碼地址:https://gitee.com/dalaoyang/springboot_learn/tree/master/springboot2_redis_login

?著作權歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

相關閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容