2. 程式人生 > >SpringBoot(7)在SpringBoot實現基於Token的使用者身份驗證

SpringBoot(7)在SpringBoot實現基於Token的使用者身份驗證

阿新 發佈:2019-01-30

基於Token的身份驗證用來替代傳統的cookie+session身份驗證方法中的session。

    請求中傳送token而不再是傳送cookie能夠防止CSRF(跨站請求偽造)。即使在客戶端使用cookie儲存token,cookie也僅僅是一個儲存機制而不是用於認證。不將資訊儲存在Session中,讓我們少了對session操作。 
    token是有時效的,一段時間之後使用者需要重新驗證。我們也不一定需要等到token自動失效,token有撤回的操作,通過token revocataion可以使一個特定的token或是一組有相同認證的token無效。

基於Token的身份驗證流程如下。

  • 客戶端使用使用者名稱跟密碼請求登入
  • 服務端收到請求,去驗證使用者名稱與密碼
  • 驗證成功後,服務端會簽發一個 Token,再把這個 Token 傳送給客戶端
  • 客戶端收到 Token 以後可以把它儲存起來,比如放在 Cookie 裡或者 Local Storage 裡
  • 客戶端每次向服務端請求資源的時候需要帶著服務端簽發的 Token
  • 服務端收到請求,然後去驗證客戶端請求裡面帶著的 Token,如果驗證成功,就向客戶端返回請求的資料

那在SpringBoot中怎麼去實現呢?

首先前三步是一起的,DAO層就不寫了,就是設計一個相關的表用於儲存,那在service層和Controller層對應的實現如下,主體就是標記紅色的那一塊:

package com.springboot.springboot.service;

import com.springboot.springboot.dao.loginTicketsDAO;
import com.springboot.springboot.dao.userDAO;
import com.springboot.springboot.model.User;
import com.springboot.springboot.model.loginTickets;
import com.springboot.springboot.utils.WendaUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import org.springframework.util.StringUtils;

import java.util.*;

@Service
public class userService {
    Random random = new Random();

    @Autowired
    userDAO uDAO;

    @Autowired
    loginTicketsDAO lTicketsDAO;

    //註冊

    public Map<String,String > register(String userName,String password){

        Map<String,String> map = new HashMap<String, String >();
        if(StringUtils.isEmpty(userName)){
            map.put("msg", "使用者名稱不能為空");
            return map;
        }

        if(StringUtils.isEmpty(password)){
            map.put("msg","密碼不能為空");
            return  map;
        }

        User user = uDAO.selectByName(userName);
        if(user != null){
            map.put("msg","使用者名稱已被註冊");
            return  map;
        }
        user = new User();
        user.setName(userName);
        user.setSalt(UUID.randomUUID().toString().substring(0,5));
        user.setHead_url(String.format("http://images.nowcoder.com/head/%dt.png", random.nextInt(1000)));
        user.setPassword(WendaUtil.MD5(password + user.getSalt()));
        uDAO.addUser(user);

        //註冊完成下發ticket之後自動登入
        String ticket = addLoginTicket(user.getId());
        map.put("ticket",ticket);

        return map;
    }

    //登陸
    public Map<String,Object> login(String username, String password){
        Map<String,Object> map = new HashMap<String,Object>();
        if(StringUtils.isEmpty(username)){
            map.put("msg","使用者名稱不能為空");
            return map;
        }

        if(StringUtils.isEmpty(password)){
            map.put("msg","密碼不能為空");
            return map;
        }

        User user = uDAO.selectByName(username);
        if (user == null){
            map.put("msg","使用者名稱不存在");
            return map;
        }

        if (!WendaUtil.MD5(password+user.getSalt()).equals(user.getPassword())) {
            map.put("msg", "密碼錯誤");
            return map;
        }

        String ticket = addLoginTicket(user.getId());
        map.put("ticket",ticket);
        return map;
    }

    public String addLoginTicket(int user_id){
        loginTickets ticket = new loginTickets();
        ticket.setUserId(user_id);
        Date nowDate = new Date();
        nowDate.setTime(3600*24*100 + nowDate.getTime());
        ticket.setExpired(nowDate);
        ticket.setStatus(0);
        ticket.setTicket(UUID.randomUUID().toString().replaceAll("_",""));
        lTicketsDAO.addTicket(ticket);
        return ticket.getTicket();

    }

    public User getUser(int id){
        return uDAO.selectById(id);
    }
}
 
package com.springboot.springboot.controller;

import com.springboot.springboot.service.userService;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.CookieValue;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
import java.util.Map;

//首頁的登入功能
@Controller
public class registerController {
    private static final Logger logger = LoggerFactory.getLogger(registerController.class);

    @Autowired
    userService uService;

    //註冊
    @RequestMapping(path = {"/reg/"}, method = {RequestMethod.POST})
    public String reg(Model model, @RequestParam("username") String username, @RequestParam("password") String password,
                      @RequestParam(value = "rememberme",defaultValue = "false") boolean rememberme,
                      HttpServletResponse response) {
        try {
            Map<String, String> map = uService.register(username, password);
            if (map.containsKey("ticket")) {
                Cookie cookie = new Cookie("ticket",map.get("ticket"));
                cookie.setPath("/");
                response.addCookie(cookie);
                return "redirect:/";
            }else{
                model.addAttribute("msg", map.get("msg"));
                return "login";
            }
        } catch (Exception e) {
            logger.error("註冊異常" + e.getMessage());
            return "login";
        }
    }

    @RequestMapping(path = {"/reglogin"}, method = {RequestMethod.GET})
    public String register(Model model) {
        return "login";
    }

    //登陸
    @RequestMapping(path={"/login/"},method = {RequestMethod.POST})
    public String login(Model model,@RequestParam("username") String username, @RequestParam("password") String password,
                        @RequestParam(value = "rememberme",defaultValue = "false") boolean rememberme,
                        HttpServletResponse response){
        try{
            Map<String,Object> map = uService.login(username,password);
            if(map.containsKey("ticket")){
               Cookie cookie = new Cookie("ticket",map.get("ticket").toString());
               cookie.setPath("/");           //可在同一應用伺服器內共享cookie
               response.addCookie(cookie);
               return "redirect:/";
            }
             else{
                model.addAttribute("msg",map.get("msg"));
                return "login";
            }
        }catch (Exception e){
            logger.error("登陸異常" + e.getMessage());
            return "login";
        }
    }

}

從上面能夠清楚的看出來,使用者先去請求註冊或者是登陸,然後伺服器去驗證他的使用者名稱和密碼

驗證成功後會下發一個Token,我這裡是ticket,客戶端收到ticket之後呢會把ticket存在Cookie中,如下圖,我登入成功之後會有一個與當前使用者對應的ticket


每次訪問伺服器資源的時候需要帶著這個ticket,然後怎麼判斷是否有呢?就要用攔截器來實現過濾,用攔截器去判斷這個ticket當前的狀態是什麼樣的?有沒有過期?身份狀態是不是有效的?然後根據這個來判斷應該賦予什麼樣的許可權?當驗證成功之後就把ticket對應的使用者的通過下面一段傳送給freemaker的上下文,實現頁面的正常的渲染

 @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        //就是為了能夠在渲染之前所有的freemaker模板能夠訪問這個物件user,就是在所有的controller渲染之前將這個user加進去
        if(modelAndView != null){
            //這個其實就和model.addAttribute一樣的功能,就是把這個變數與前端檢視進行互動 //就是與header.html頁面的user對應
            modelAndView.addObject("user",hostHolder.getUser());
        }
    }
完整的如下:
package com.springboot.springboot.interceptor;

import com.springboot.springboot.dao.loginTicketsDAO;
import com.springboot.springboot.dao.userDAO;
import com.springboot.springboot.model.HostHolder;
import com.springboot.springboot.model.User;
import com.springboot.springboot.model.loginTickets;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Date;

/**
 * 攔截器
 * @ 用來判斷使用者的
 *1. 當preHandle方法返回false時,從當前攔截器往回執行所有攔截器的afterCompletion方法,再退出攔截器鏈。也就是說,請求不繼續往下傳了,直接沿著來的鏈往回跑。
 2.當preHandle方法全為true時,執行下一個攔截器,直到所有攔截器執行完。再執行被攔截的Controller。然後進入攔截器鏈,運
 行所有攔截器的postHandle方法,完後從最後一個攔截器往回執行所有攔截器的afterCompletion方法.
 */

//@component (把普通pojo例項化到spring容器中,相當於配置檔案中的
@Component
public class PassportInterceptor implements HandlerInterceptor{

    @Autowired
    loginTicketsDAO lTicketsDAO;

    @Autowired
    userDAO uDAO;

    @Autowired
    HostHolder hostHolder;

    //判斷然後進行使用者攔截
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String tickets = null;
        if(request.getCookies() != null){
            for(Cookie cookie : request.getCookies()){
                if(cookie.getName().equals("ticket")){
                    tickets = cookie.getValue();
                    break;
                }
            }
        }

        if(tickets != null ){
            loginTickets loginTickets  = lTicketsDAO.selectByTicket(tickets);
            if(loginTickets == null || loginTickets.getExpired().before(new Date()) || loginTickets.getStatus() != 0){
                return true;
            }

            User user = uDAO.selectById(loginTickets.getUserId());
            hostHolder.setUser(user);
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        //就是為了能夠在渲染之前所有的freemaker模板能夠訪問這個物件user,就是在所有的controller渲染之前將這個user加進去
        if(modelAndView != null){
            //這個其實就和model.addAttribute一樣的功能,就是把這個變數與前端檢視進行互動 //就是與header.html頁面的user對應
            modelAndView.addObject("user",hostHolder.getUser());
        }
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        hostHolder.clear();   //當執行完成之後呢需要將變數清空
    }
}

當用戶登出的時候就把ticket的身份狀態置位為無效狀態即可

public void logout(String ticket){
        lTicketsDAO.updateStatus(ticket,1);
    }
這樣就完成了在SpringBoot實現基於Token的身份驗證

相關推薦

SpringBoot7SpringBoot實現基於Token的使用者身份驗證

基於Token的身份驗證用來替代傳統的cookie+session身份驗證方法中的session。    請求中傳送token而不再是傳送cookie能夠防止CSRF(跨站請求偽造)。即使在客戶端使用cookie儲存token,cookie也僅僅是一個儲存機制而不是用於認證。

springBoot7:web開發-錯誤處理

spring boot 錯誤處理 處理方式一:實現ErrorController接口原理:Spring Boot 將所有的錯誤默認映射到/error, 實現ErrorController接口代碼:package com.example.demo.controller; import org.sp

Spring Boot學習總結7——SpringBoot之於Spring優勢

一、Spring在Java EE開發中是實際意義上的標準,但我們在開發Spring的時候可能會遇到以下令人頭疼的問題:(1)大量配置檔案的定義;(2)與第三方軟體整合的技術問題,Spring每個新版本的

SpringBoot4SpringBoot web開發

最終 查看 mpat entity 插入 pri vuejs bili deb 一、Web應用插件 1、自定義Filter 我們常常在項目中會使用filters用於錄調用日誌、排除有XSS威脅的字符、執行權限驗證等等。Spring Boot自動添加了OrderedChara

一起學習SpringBoot SpringBoot 開始準備

生效 alt release 選擇 pil 什麽 maven設置 框架 jar 一起學習SpringBoot(一) SpringBoot 開始準備 Spring Boot 簡介 簡化Spring應用開發的一個框架,整個Spring技術棧的一個大整合,J2EE開發的一站式解決

SpringBootspringboot整合SpringDataJPA

        在我們的專案開發中,資料庫的訪問及儲存都是最為核心的部分,SpringBoot為我們提供了多種資料庫來做資料的儲存及讀取。目前企業開發中應用最為廣泛的資料庫有,關係型資料庫MySQL,oracle,sqlserver,非關係型資料庫redis,mongodb等

SpringBootspringboot整合ActiveMQ

       訊息佇列中介軟體是分散式系統中重要的元件,主要解決應用耦合,非同步訊息,流量削鋒等問題。實現高效能,高可用,可伸縮和最終一致性架構。是大型分散式系統不可缺少的中介軟體。訊息形式支援點對點和訂閱-釋出。 ActiveMQ是什麼 ActiveMQ是訊息佇列技術,

Springboot-----Springboot整合mybatis

在上一個Springboot(一)-----Springboot入門(各種常見問題解決)的基礎上,繼續。 1.修改pom.xml檔案增加資料庫配置和mybatis配置。 完整的pom.xml如下: <?xml version="1.0" encoding="UTF-8"?>

Springboot-----Springboot入門各種常見問題解決

本身搭建springboot專案是一個很easy的事,但親手搭建的時候,踩了很多坑,記錄一下。 一.構建一個springboot的maven專案。 訪問Spring 的網址https://start.spring.io/ 填寫Artifact為專案名稱。 二.確定本地的mave

Ajax提高篇7Ajax實現簡單的下拉框聯動顯示資料

頁面中的兩個下拉列表框:<tr> <td style="width: 130px"> 所在學院:</td> <td styl

SpringBootSpringBoot 啟動流程

SpringBoot 啟動流程: 首先我們看看一切的起源——SpringBoot啟動類: 執行main方法,然後呼叫SpringApplication.run()方法,這樣我們的專案就啟動了。是不是很神奇。 那麼我們來看看run方法,他到底為我們做了什麼,一起慢慢剝

登入--基於 Token身份驗證方法流程

客戶端使用使用者名稱跟密碼請求登入 服務端收到請求,去驗證使用者名稱與密碼 驗證成功後,服務端會簽發一個 Token,再把這個 Token 傳送給客戶端 客戶端收到 Token 以後可以把它儲存起來,比如放在 Cookie 裡或者 Local Storage 裡 客戶端每次向服務端請求資源的時候需要帶

Spring Security + JWT 實現基於Token的安全驗證

@Configuration @EnableWebSecurity //新增annotation 支援,包括(prePostEnabled,securedEnabled...) @EnableGlobalMethodSecurity(prePostEnabled = true) public class W

基於 Token身份驗證

問題 for tar dci 返回 name 主題 算法 sha2 最近了解下基於 Token 的身份驗證,跟大夥分享下。很多大型網站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起傳統的身份驗證方法,Token 擴展性更強,也更安

基於Token身份驗證——JWT

sig project 唯一標識 rocket 推薦 接收 含義 一個 esp 原文:基於Token的身份驗證——JWT初次了解JWT,很基礎,高手勿噴。 基於Token的身份驗證用來替代傳統的cookie+session身份驗證方法中的session。 JWT是啥?

JavaWeb—基於Token身份驗證 基於Token的WEB後臺認證機制

傳統身份驗證的方法 HTTP Basic Auth HTTP Basic Auth簡單點說明就是每次請求API時都提供使用者的username和password,簡言之,Basic Auth是配合RESTful API 使用的最簡單的認證方式,只需提供使用者名稱密碼即可,但由於有把使用者名稱密碼暴露給第三

基於 Token身份驗證:JSON Web Token

最近了解下基於 Token 的身份驗證,跟大夥分享下。很多大型網站也都在用,比如 Facebook,Twitter,Google+,Github 等等, 比起傳統的身份驗證方法,Token 擴充套件性更強

瞭解基於Token身份驗證的來龍去脈

簡介 在Web領域基於Token的身份驗證隨處可見。在大多數使用Web API的網際網路公司中,tokens 是多使用者下處理認證的最佳方式。 以下幾點特性會讓你在程式中使用基於Token的身份驗證 1.無狀態、可擴充套件  2.支援移動裝置  3.跨程式呼叫

使用JWT 進行基於 Token身份驗證方法

quest 傳播 token system 過期 with 需要 驗證用戶名 ren 一般weby應用服務都使用有狀態的session來存儲用戶狀態以便認證有權限的用戶進行的操作。但服務器在做橫向擴展時,這種有狀態的session解決方案就受到了限制。所以在一些通常的大型w

SpringBoot入門【基於2.x版本】

SpringBoot入門【基於2.x版本】 一、SpringBoot簡介 首先大家學習SpringBoot的話,我希望大家是有一定java基礎的,如果是有Spring的基礎的話,上手會更加得心應手,因為SpringBoot在我的理解範圍立面就是對Spring的一些簡化配置和效能優化。SpringBoot的