SpringBoot实现基于token的登录验证
一.SpringBoot实现基于token的登录验证基于token的登录验证实现原理:客户端通过用户名和密码调用登录接口,当验证数据库中存在该用户后,将用户的信息按照token的生成规则,生成一个字符串token,返回给客户端,客户端在调用其他接口的时候,需要在请求头上带上token,来验证登录信息。
二.Demo实现代码如下:
(因为除登录接口外,其他接口每次都需要验证token信息,所以将验证token信息的部分放在了过滤器里面)
1.导入JWT(JSON WEB TOKEN)依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.6.0</version>
</dependency>
2.Jwt工具类,包括token的生成和验证(加密秘钥先自己随便写了一个)
@Component
public class JwtUitls {
@Autowired
private UserService userService;
/**
* 过期时间5分钟
*/
private static final long EXPIRE_TIME=5*60*1000;
/**
* 加密密钥
*/
private static final String KEY = "liuhongfei";
/**
* 生成token
* @param id 用户id
* @param userName用户名
* @return
*/
public String createToken(String id,String userName){
Map<String,Object>header = new HashMap();
header.put("typ","JWT");
header.put("alg","HS256");
//setID:用户ID
//setExpiration:token过期时间当前时间+有效时间
//setSubject:用户名
//setIssuedAt:token创建时间
//signWith:加密方式
JwtBuilder builder = Jwts.builder().setHeader(header)
.setId(id)
.setExpiration(new Date(System.currentTimeMillis()+EXPIRE_TIME))
.setSubject(userName)
.setIssuedAt(new Date())
.signWith(SignatureAlgorithm.HS256,KEY);
return builder.compact();
}
/**
* 验证token是否有效
* @param token请求头中携带的token
* @returntoken验证结果2-token过期;1-token认证通过;0-token认证失败
*/
public int verify(String token){
Claims claims = null;
try {
//token过期后,会抛出ExpiredJwtException 异常,通过这个来判定token过期,
claims = Jwts.parser().setSigningKey(KEY).parseClaimsJws(token).getBody();
}catch (ExpiredJwtException e){
return 2;
}
//从token中获取用户id,查询该Id的用户是否存在,存在则token验证通过
String id = claims.getId();
User user = userService.selectUserById(id);
if(user != null){
return 1;
}else{
return 0;
}
}
}
3.过滤器,实现filter接口**
* @description:
* @author: hwx
* @date: 2022/05/23
**/
@Order(1)
//如果我们有多个过滤器,那这个Order就可以指定优先级
@Component
//这里可以使用@Compent,也可以不加这个@Component,而是在@SpringBootApplication入口类上新增注解@ServletComponentScan。@Component也可以替换成@Configration
@WebFilter(urlPatterns = "/*",filterName = "myFilter")
public class MyFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("我是过滤器的初始化方法init");
}
@Override
public void doFilter(ServletRequest var1, ServletResponse var2, FilterChain var3) throws IOException, ServletException {
System.out.println("我是过滤器的真正的执行方法doFilter,serverlet的请求,you are wanted one");
HttpServletResponse httpServletResponse=(HttpServletResponse)var2;
//允许的请求头字段
httpServletResponse.setHeader("Access-Control-Allow-Headers","Origin, X-Requested-With, Content-Type, Accept");
//是否允许后续请求携带认证信息(cookies),该值只能是true,否则不返回
httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
//指定允许其他域名访问
httpServletResponse.setHeader("Access-Control-Allow-Origin", "http://127.0.0.1:8070");
//参数 chain 为代表当前 Filter 链的对象。
var3.doFilter(var1,httpServletResponse);
System.out.println("我是过滤器的真正的执行方法doFilter,serverlet的请求,you are wanted two");
}
@Override
publicvoid destroy() {
System.out.println("不行了,我要被销毁了");
}
}
4.使用postman测试结果如下
(1)调用login接口,返回token
(2)调用查询用户接口,在请求头中加入token
(3)不携带token,调用查询接口
(4)token过期后,调用查询接口
以上就是一个简单的token登录机制
token登录机制的好处:不需要将登录信息保存在数据库或session中
token中还可以携带更多的用户信息,包括权限等
页:
[1]