dede视频网站,十八未成年禁用免费app,0735郴州新网,seo服务商找行者seo目前市面上有许多鉴权框架#xff0c;鉴权原理大同小异#xff0c;本文简单介绍下利用JWT和Redis实现鉴权功能#xff0c;算是抛砖引玉吧。 主要原理就是“令牌主动失效机制”#xff0c;主要包括以下4个步骤#xff1a; (1)利用拦截器LoginInterceptor实现所有接口登录拦…目前市面上有许多鉴权框架鉴权原理大同小异本文简单介绍下利用JWT和Redis实现鉴权功能算是抛砖引玉吧。 主要原理就是“令牌主动失效机制”主要包括以下4个步骤 (1)利用拦截器LoginInterceptor实现所有接口登录拦截其中登录接口和注册接口不拦截
(2)登录成功后利用JWT生成包含有效期的Token令牌在给浏览器响应令牌的同时将该令牌存储到Redis中。
(3)在LoginInterceptor拦截器中需要验证浏览器携带的Token与Redis中存储的Token对比不一致则报错否则继续。
(4)当用户修改密码成功后删除Redis中存储的旧令牌。
一、代码实战
1、环境准备
application.yaml配置
spring:datasource:driver-class-name: com.mysql.cj.jdbc.Driverurl: jdbc:mysql://localhost:3306/big_eventusername: rootpassword: root1234data:redis:host: localhostport: 6379mybatis:configuration:map-underscore-to-camel-case: true #开启驼峰命名和下划线命名的自动转换这里是全局配置也可以在mapper接口中单独配置log-impl: org.apache.ibatis.logging.stdout.StdOutImpl
server:port: 8080pom.xml核心配置 !--mybatis依赖--dependencygroupIdorg.mybatis.spring.boot/groupIdartifactIdmybatis-spring-boot-starter/artifactIdversion3.0.3/version/dependency!--java-jwt坐标--dependencygroupIdcom.auth0/groupIdartifactIdjava-jwt/artifactIdversion4.4.0/version/dependency!--redis坐标--dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-data-redis/artifactId/dependency2、LoginInterceptor拦截器
Component
public class LoginInterceptor implements HandlerInterceptor {Autowiredprivate StringRedisTemplate stringRedisTemplate;Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//令牌验证String token request.getHeader(Authorization);//验证tokentry {//从redis中获取相同的tokenValueOperationsString, String operations stringRedisTemplate.opsForValue();String redisToken operations.get(token);if (redisToken null) {//token已经失效了throw new RuntimeException();}MapString, Object claims JwtUtil.parseToken(token);//把业务数据存储到ThreadLocal中ThreadLocalUtil.set(claims);//放行return true;} catch (Exception e) {//http响应状态码为401response.setStatus(401);//不放行return false;}}Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {//清空ThreadLocal中的数据ThreadLocalUtil.remove();}
}3、UserController控制器
RestController
RequestMapping(/user)
Validated
public class UserController {Autowiredprivate UserService userService;Autowiredprivate StringRedisTemplate stringRedisTemplate;PostMapping(/register)public Result register(Pattern(regexp ^\\S{5,16}$) String username, Pattern(regexp ^\\S{5,16}$) String password) {//查询用户User u userService.findByUserName(username);if (u null) {//没有占用//注册将用户的密码通过MD5加密存储到表user中userService.register(username, password);return Result.success();} else {//占用return Result.error(用户名已被占用);}}PostMapping(/login)public ResultString login(Pattern(regexp ^\\S{5,16}$) String username, Pattern(regexp ^\\S{5,16}$) String password) {//根据用户名查询用户User loginUser userService.findByUserName(username);//判断该用户是否存在if (loginUser null) {return Result.error(用户名错误);}//判断密码是否正确 loginUser对象中的password是密文if (Md5Util.getMD5String(password).equals(loginUser.getPassword())) {//登录成功MapString, Object claims new HashMap();claims.put(id, loginUser.getId());claims.put(username, loginUser.getUsername());String token JwtUtil.genToken(claims);//把token存储到redis中ValueOperationsString, String operations stringRedisTemplate.opsForValue();operations.set(token, token, 1, TimeUnit.HOURS);return Result.success(token);}return Result.error(密码错误);}GetMapping(/userInfo)public ResultUser userInfo(/*RequestHeader(name Authorization) String token*/) {//根据用户名查询用户/* MapString, Object map JwtUtil.parseToken(token);String username (String) map.get(username);*/MapString, Object map ThreadLocalUtil.get();String username (String) map.get(username);User user userService.findByUserName(username);return Result.success(user);}PutMapping(/update)public Result update(RequestBody Validated User user) {userService.update(user);return Result.success();}PatchMapping(/updatePwd)public Result updatePwd(RequestBody MapString, String params, RequestHeader(Authorization) String token) {//1.校验参数String oldPwd params.get(old_pwd);String newPwd params.get(new_pwd);String rePwd params.get(re_pwd);if (!StringUtils.hasLength(oldPwd) || !StringUtils.hasLength(newPwd) || !StringUtils.hasLength(rePwd)) {return Result.error(缺少必要的参数);}//原密码是否正确//调用userService根据用户名拿到原密码,再和old_pwd比对MapString, Object map ThreadLocalUtil.get();String username (String) map.get(username);User loginUser userService.findByUserName(username);if (!loginUser.getPassword().equals(Md5Util.getMD5String(oldPwd))) {return Result.error(原密码填写不正确);}//newPwd和rePwd是否一样if (!rePwd.equals(newPwd)) {return Result.error(两次填写的新密码不一样);}//2.调用service完成密码更新userService.updatePwd(newPwd);//删除redis中对应的tokenValueOperationsString, String operations stringRedisTemplate.opsForValue();operations.getOperations().delete(token);return Result.success();}
}4、JwtUtil和Md5Util工具类
注意这里用Md5进行加密是不安全算法这里仅仅是为了测试需要生产上需要用公司对应自己的安全加密算法工具。
public class JwtUtil {private static final String KEY testJWT;//接收业务数据,生成token并返回public static String genToken(MapString, Object claims) {return JWT.create().withClaim(claims, claims).withExpiresAt(new Date(System.currentTimeMillis() 1000 * 60 * 60 )).sign(Algorithm.HMAC256(KEY));}//接收token,验证token,并返回业务数据public static MapString, Object parseToken(String token) {return JWT.require(Algorithm.HMAC256(KEY)).build().verify(token).getClaim(claims).asMap();}}public class Md5Util {/*** 默认的密码字符串组合用来将字节转换成 16 进制表示的字符,apache校验下载的文件的正确性用的就是默认的这个组合*/protected static char hexDigits[] {0, 1, 2, 3, 4, 5, 6, 7, 8, 9, a, b, c, d, e, f};protected static MessageDigest messagedigest null;static {try {messagedigest MessageDigest.getInstance(MD5);} catch (NoSuchAlgorithmException nsaex) {System.err.println(Md5Util.class.getName() 初始化失败MessageDigest不支持MD5Util。);nsaex.printStackTrace();}}/*** 生成字符串的md5校验值** param s* return*/public static String getMD5String(String s) {return getMD5String(s.getBytes());}/*** 判断字符串的md5校验码是否与一个已知的md5码相匹配** param password 要校验的字符串* param md5PwdStr 已知的md5校验码* return*/public static boolean checkPassword(String password, String md5PwdStr) {String s getMD5String(password);return s.equals(md5PwdStr);}public static String getMD5String(byte[] bytes) {messagedigest.update(bytes);return bufferToHex(messagedigest.digest());}private static String bufferToHex(byte bytes[]) {return bufferToHex(bytes, 0, bytes.length);}private static String bufferToHex(byte bytes[], int m, int n) {StringBuffer stringbuffer new StringBuffer(2 * n);int k m n;for (int l m; l k; l) {appendHexPair(bytes[l], stringbuffer);}return stringbuffer.toString();}private static void appendHexPair(byte bt, StringBuffer stringbuffer) {char c0 hexDigits[(bt 0xf0) 4];// 取字节中高 4 位的数字转换, // 为逻辑右移将符号位一起右移,此处未发现两种符号有何不同char c1 hexDigits[bt 0xf];// 取字节中低 4 位的数字转换stringbuffer.append(c0);stringbuffer.append(c1);}}二、测试验证
1、先注册一个用户zhangsan到user表中 2、登录zhangsan账号获取Token注意跟Redis中存的值进行对比 3、拿着Token去请求用户信息接口如果请求正常则接口正常。 4、更新用户密码重新登录生成新的Token发现能够正常访问用户信息接口但是旧的Token无法正常访问验证方案通过。 发现跟Redis中存的Token一致
三、项目结构及代码
项目结构 源码下载欢迎Star
