SpringBoot использует простую аутентификацию с помощью токена

Spring Boot

В этой статье SpringBoot используется в сочетании с Redis для простой проверки подлинности токена.

image

1. Введение

Я просто сменил компанию, поэтому в последнее время был занят, поэтому много не производил.Недавно друг спросил меня о входе в систему, поэтому я сначала напишу статью о простом использовании аутентификации по токену, а позже добавлю некоторые продвинутые. , так что если вы чувствуете, что эта статья проста и может быть обойдена напрямую. Теперь общая система разделила переднюю и заднюю части. Чтобы обеспечить определенную безопасность, очень популярно использовать токены для проверки сеанса. процесс выглядит следующим образом:

  1. Когда пользователь входит в систему, чтобы запросить интерфейс входа, проверить имя пользователя и пароль и т. д. Если проверка прошла успешно, интерфейсному интерфейсу будет возвращен токен.Этот токен является единственным удостоверением для последующей аутентификации.
  2. Серверная часть может хранить токен в Redis или базе данных.
  3. После этого front-end запрос должен нести токен в шапке, а back-end выносит токен в redis или базу данных для проверки.Если проверка проходит, то он освобождается, а если не проходит, то операция отклонена.

Конечно, приведенный выше оператор — это просто простая реализация, и на самом деле есть много мест, которые необходимо оптимизировать.

2. Конкретная реализация

2.1 Инженерное сооружение

Структура проекта данной статьи выглядит следующим образом:

image

в:

  • config: используется для настройки перехватчика
  • контроллер: здесь написаны только LoginController (для входа и выхода) и TestController (для тестирования эффекта отсутствия входа в систему).
  • перехватчик: написать код перехватчика
  • service: записывается только код для работы с Redis и код, связанный с входом в систему.

2.2 Реализация кода

В этой статье для хранения информации о токене используется Redis. Пользователь просто создает фиксированного пользователя и добавляет соответствующие зависимости в pom. Полное содержание выглядит следующим образом:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.2.0.RELEASE</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	<groupId>com.dalaoyang</groupId>
	<artifactId>springboot2_redis_login</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<name>springboot2_redis_login</name>
	<description>springboot2_redis_login</description>

	<properties>
		<java.version>1.8</java.version>
	</properties>

	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-data-redis</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-devtools</artifactId>
			<scope>runtime</scope>
			<optional>true</optional>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
			<exclusions>
				<exclusion>
					<groupId>org.junit.vintage</groupId>
					<artifactId>junit-vintage-engine</artifactId>
				</exclusion>
			</exclusions>
		</dependency>
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>

</project>

Соответствующая информация Redis настраивается в файле конфигурации следующим образом:

server.port=8888
##redis配置
spring.redis.host=localhost
spring.redis.port=6379

Затем напишите операции, связанные с Redis. В примерах в этой статье нужно использовать только операции получения, установки и удаления. Все они просты с использованием RedisTemplate. Содержимое RedisService выглядит следующим образом:

package com.dalaoyang.service;

import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.data.redis.serializer.RedisSerializer;
import org.springframework.data.redis.serializer.StringRedisSerializer;
import org.springframework.stereotype.Service;

import javax.annotation.Resource;

@Service
public class RedisService {
    @Resource
    private RedisTemplate<String,Object> redisTemplate;

    public void set(String key, Object value) {
        //更改在redis里面查看key编码问题
        RedisSerializer redisSerializer =new StringRedisSerializer();
        redisTemplate.setKeySerializer(redisSerializer);
        ValueOperations<String,Object> vo = redisTemplate.opsForValue();
        vo.set(key, value);
    }

    public Object get(String key) {
        ValueOperations<String,Object> vo = redisTemplate.opsForValue();
        return vo.get(key);
    }

    public Boolean delete(String key) {
        return redisTemplate.delete(key);
    }
}

LoginService выполняет только операции входа и выхода, где вход должен сначала определить правильность имени пользователя и пароля.Если это правильно, строка будет сгенерирована как токен (используя uuid в этой статье) и как возвращаемое значение, если пароль неверный, будет выдано сообщение об ошибке. Суть логаута в удалении кеша токенов в redis.Полное содержание выглядит следующим образом:

package com.dalaoyang.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import javax.servlet.http.HttpServletRequest;
import java.util.Objects;
import java.util.UUID;

@Service
public class LoginService {

    @Autowired
    private RedisService redisService;

    public String login(String username, String password) {
        if (Objects.equals("dalaoyang", username) &&
                Objects.equals("123", password)) {
            String token = UUID.randomUUID().toString();
            redisService.set(token, username);
            return "用户:" + username + "登录成功,token是:" + token;
        } else {
            return "用户名或密码错误,登录失败!";
        }
    }

    public String logout(HttpServletRequest request) {
        String token = request.getHeader("token");
        Boolean delete = redisService.delete(token);
        if (!delete) {
            return "注销失败,请检查是否登录!";
        }
        return "注销成功!";
    }
}

Содержимое LoginController очень простое, всего лишь простой вызов LoginService, как показано ниже:

package com.dalaoyang.controller;


import com.dalaoyang.service.LoginService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;

@RestController
@RequestMapping("/login")
public class LoginController {

    @Autowired
    private LoginService loginService;

    @GetMapping({"/", ""})
    public String login(String username, String password) {
        return loginService.login(username, password);
    }

    @GetMapping("/logout")
    public String logout(HttpServletRequest request) {
        return loginService.logout(request);
    }
}

TestController только что написал интерфейс, который просто возвращает строку следующим образом:

package com.dalaoyang.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
public class TestController {

    @GetMapping({"/", ""})
    public String dosomething() {
        return "dosomething";
    }
}

Далее идет перехватчик. Перехватчику необходимо вынуть токен в заголовке, а затем перейти к Redis для оценки. Если он существует, операция разрешена, и возвращается информация о подсказке, а содержимое выглядит следующим образом:

package com.dalaoyang.interceptor;

import com.dalaoyang.service.RedisService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Objects;

public class AuthInterceptor implements HandlerInterceptor {

    @Autowired
    private RedisService redisService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/html;charset=utf-8");
        String token = request.getHeader("token");
        if (StringUtils.isEmpty(token)) {
            response.getWriter().print("用户未登录,请登录后操作!");
            return false;
        }
        Object loginStatus = redisService.get(token);
        if( Objects.isNull(loginStatus)){
            response.getWriter().print("token错误,请查看!");
            return false;
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

Наконец, настройте перехватчик.Поскольку в перехватчике используется RedisService, перехватчик необходимо внедрить следующим образом:

package com.dalaoyang.config;

import com.dalaoyang.interceptor.AuthInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class AuthConfig implements WebMvcConfigurer {

    @Bean
    public AuthInterceptor initAuthInterceptor(){
        return new AuthInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(initAuthInterceptor()).addPathPatterns("/test/**").excludePathPatterns("/login/**");
    }

}

Контент здесь полный.

3. Тест

Простой тест можно выполнить, выполнив следующие действия:

  1. Первый визит в браузере:http://localhost:8888/test, вы можете увидеть подсказку

Пользователь не вошел в систему, пожалуйста, войдите, чтобы работать!

  1. При использовании неправильного пароля браузера для доступа:http://localhost:8888/login?username=dalaoyang&password=1, см. подсказку

Неверный логин или пароль, авторизация не удалась!

  1. Используйте имя пользователя и пароль в браузере для доступа:http://localhost:8888/login?username=dalaoyang&password=123, см. подсказку

Пользователь: dalaoyang успешно вошел в систему, токен: 02fdd2bd-1669-48b9-b51b-1e724f97688f

  1. Используйте инструменты http, такие как почтальон и т. д., поместите токен в заголовок и запросите:http://localhost:8888/test, см. подсказку, запрос выполнен успешно.

dosomething

4. Точки расширения

Эта статья представляет собой простой пример использования токена, который не подходит для производственных сред.Есть много мест, которые можно расширить, например:

  1. В этой статье значение redis хранит только имя пользователя, и оно не используется.В реальных ситуациях может храниться информация о пользователе.
  2. Его можно расширить, чтобы использовать jwt для управления токенами.
  3. Несколько фиксированных токенов могут быть освобождены для вызовов внутреннего интерфейса и т. д.
  4. Обратите внимание на правила генерации токенов и не позволяйте другим использовать их регулярно.

5. Исходный код

Адрес источника:git ee.com/Большой парень Ян/Да…