SpringBoot使用token簡(jiǎn)單鑒權(quán)的具體實(shí)現(xiàn)方法

更新時(shí)間：2019年11月05日 10:04:50 作者：dalaoyang

這篇文章主要介紹了SpringBoot使用token簡(jiǎn)單鑒權(quán)的具體實(shí)現(xiàn)方法，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

本文使用SpringBoot結(jié)合Redis進(jìn)行簡(jiǎn)單的token鑒權(quán)。

1.簡(jiǎn)介

剛剛換了公司，所以最近有些忙碌，所以一直沒(méi)有什么產(chǎn)出，最近朋友問(wèn)我登錄相關(guān)的，所以這里先寫(xiě)一篇簡(jiǎn)單使用token鑒權(quán)的文章，后續(xù)會(huì)補(bǔ)充一些高階的，所以如果感覺(jué)這篇文章簡(jiǎn)單，可以直接繞行，言歸正傳，現(xiàn)在一般系統(tǒng)都進(jìn)行了前后端分離，為了保證一定的安全性，現(xiàn)在很流行使用token來(lái)進(jìn)行會(huì)話的驗(yàn)證，一般流程如下：

用戶登錄請(qǐng)求登錄接口時(shí)，驗(yàn)證用戶名密碼等，驗(yàn)證成功會(huì)返回給前端一個(gè)token，這個(gè)token就是之后鑒權(quán)的唯一憑證。
后臺(tái)可能將token存儲(chǔ)在redis或者數(shù)據(jù)庫(kù)中。
之后前端的請(qǐng)求，需要在header中攜帶token，后端取出token去redis或者數(shù)據(jù)庫(kù)中進(jìn)行驗(yàn)證，如果驗(yàn)證通過(guò)則放行，如果不通過(guò)則拒絕操作。

當(dāng)然，如上的說(shuō)法只是簡(jiǎn)單的實(shí)現(xiàn)，實(shí)質(zhì)上還有很多需要優(yōu)化的地方。

2.具體實(shí)現(xiàn)

2.1 工程結(jié)構(gòu)

本文工程結(jié)構(gòu)如下：

其中：

config：用于配置攔截器
controller：這里只編寫(xiě)了LoginController（用于登錄和注銷(xiāo)）和TestController（用于測(cè)試未登錄效果）
interceptor：編寫(xiě)攔截器代碼
service：只寫(xiě)了操作redis的代碼和登錄相關(guān)的代碼

2.2 代碼實(shí)現(xiàn)

本文使用redis存儲(chǔ)token信息，用戶只是創(chuàng)建了一個(gè)固定的用戶，在pom中加入相關(guān)依賴，完整內(nèi)容如下：

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
 <modelVersion>4.0.0</modelVersion>
 <parent>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-parent</artifactId>
 <version>2.2.0.RELEASE</version>
 <relativePath/> <!-- lookup parent from repository -->
 </parent>
 <groupId>com.dalaoyang</groupId>
 <artifactId>springboot2_redis_login</artifactId>
 <version>0.0.1-SNAPSHOT</version>
 <name>springboot2_redis_login</name>
 <description>springboot2_redis_login</description>

 <properties>
 <java.version>1.8</java.version>
 </properties>

 <dependencies>
 <dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-data-redis</artifactId>
 </dependency>
 <dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-web</artifactId>
 </dependency>
 <dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-devtools</artifactId>
  <scope>runtime</scope>
  <optional>true</optional>
 </dependency>
 <dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-test</artifactId>
  <scope>test</scope>
  <exclusions>
  <exclusion>
   <groupId>org.junit.vintage</groupId>
   <artifactId>junit-vintage-engine</artifactId>
  </exclusion>
  </exclusions>
 </dependency>
 </dependencies>

 <build>
 <plugins>
  <plugin>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-maven-plugin</artifactId>
  </plugin>
 </plugins>
 </build>

</project>

配置文件中配置對(duì)應(yīng)的redis信息，如下：

server.port=8888
##redis配置
spring.redis.host=localhost
spring.redis.port=6379

接下來(lái)編寫(xiě)redis相關(guān)操作，本文示例只需要使用到get，set和delete操作，都是簡(jiǎn)單的使用RedisTemplate，RedisService內(nèi)容如下：

package com.dalaoyang.service;

import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.data.redis.serializer.RedisSerializer;
import org.springframework.data.redis.serializer.StringRedisSerializer;
import org.springframework.stereotype.Service;

import javax.annotation.Resource;

@Service
public class RedisService {
  @Resource
  private RedisTemplate<String,Object> redisTemplate;

  public void set(String key, Object value) {
    //更改在redis里面查看key編碼問(wèn)題
    RedisSerializer redisSerializer =new StringRedisSerializer();
    redisTemplate.setKeySerializer(redisSerializer);
    ValueOperations<String,Object> vo = redisTemplate.opsForValue();
    vo.set(key, value);
  }

  public Object get(String key) {
    ValueOperations<String,Object> vo = redisTemplate.opsForValue();
    return vo.get(key);
  }

  public Boolean delete(String key) {
    return redisTemplate.delete(key);
  }
}

LoginService只是進(jìn)行登錄和注銷(xiāo)操作，其中登錄就是先判斷用戶名密碼是否正確，如果正確，那么會(huì)生成一個(gè)字符串做為token（本文中使用uuid），并且做為返回值，密碼錯(cuò)誤則提示錯(cuò)誤。注銷(xiāo)實(shí)質(zhì)就是刪除redis中token的緩存，完整內(nèi)容如下：

package com.dalaoyang.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import javax.servlet.http.HttpServletRequest;
import java.util.Objects;
import java.util.UUID;

@Service
public class LoginService {

  @Autowired
  private RedisService redisService;

  public String login(String username, String password) {
    if (Objects.equals("dalaoyang", username) &&
        Objects.equals("123", password)) {
      String token = UUID.randomUUID().toString();
      redisService.set(token, username);
      return "用戶：" + username + "登錄成功，token是：" + token;
    } else {
      return "用戶名或密碼錯(cuò)誤，登錄失??！";
    }
  }

  public String logout(HttpServletRequest request) {
    String token = request.getHeader("token");
    Boolean delete = redisService.delete(token);
    if (!delete) {
      return "注銷(xiāo)失敗，請(qǐng)檢查是否登錄！";
    }
    return "注銷(xiāo)成功！";
  }
}

LoginController內(nèi)容很簡(jiǎn)單，只是對(duì)LoginService的簡(jiǎn)單調(diào)用，如下：

package com.dalaoyang.controller;


import com.dalaoyang.service.LoginService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;

@RestController
@RequestMapping("/login")
public class LoginController {

  @Autowired
  private LoginService loginService;

  @GetMapping({"/", ""})
  public String login(String username, String password) {
    return loginService.login(username, password);
  }

  @GetMapping("/logout")
  public String logout(HttpServletRequest request) {
    return loginService.logout(request);
  }
}

TestController中只是寫(xiě)了一個(gè)簡(jiǎn)單返回字符串的接口，如下：

package com.dalaoyang.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
public class TestController {

  @GetMapping({"/", ""})
  public String dosomething() {
    return "dosomething";
  }
}

接下來(lái)是攔截器，攔截器中需要取出header中的token，然后去redis中進(jìn)行判斷，如果存在，則允許操作，則返回提示信息，內(nèi)容如下：

package com.dalaoyang.interceptor;

import com.dalaoyang.service.RedisService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Objects;

public class AuthInterceptor implements HandlerInterceptor {

  @Autowired
  private RedisService redisService;

  @Override
  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    response.setCharacterEncoding("UTF-8");
    response.setContentType("text/html;charset=utf-8");
    String token = request.getHeader("token");
    if (StringUtils.isEmpty(token)) {
      response.getWriter().print("用戶未登錄，請(qǐng)登錄后操作！");
      return false;
    }
    Object loginStatus = redisService.get(token);
    if( Objects.isNull(loginStatus)){
      response.getWriter().print("token錯(cuò)誤，請(qǐng)查看！");
      return false;
    }
    return true;
  }

  @Override
  public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

  }

  @Override
  public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

  }
}

最后配置一下攔截器，由于攔截器中使用了RedisService，所以這里需要使用如下方式注入攔截器，內(nèi)容如下：

package com.dalaoyang.config;

import com.dalaoyang.interceptor.AuthInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class AuthConfig implements WebMvcConfigurer {

  @Bean
  public AuthInterceptor initAuthInterceptor(){
    return new AuthInterceptor();
  }

  @Override
  public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(initAuthInterceptor()).addPathPatterns("/test/**").excludePathPatterns("/login/**");
  }

}

內(nèi)容到這里就已經(jīng)完成了。

3.測(cè)試

可以使用如下步驟進(jìn)行簡(jiǎn)單測(cè)試：

首先在瀏覽器訪問(wèn)：http://localhost:8888/test，可以看到提示
用戶未登錄，請(qǐng)登錄后操作！

在使用錯(cuò)誤密碼瀏覽器訪問(wèn)：http://localhost:8888/login?username=dalaoyang&password=1，看到提示
用戶名或密碼錯(cuò)誤，登錄失?。?/p>

在瀏覽器使用用戶名密碼訪問(wèn)：http://localhost:8888/login?username=dalaoyang&password=123，看到提示
用戶：dalaoyang登錄成功，token是：02fdd2bd-1669-48b9-b51b-1e724f97688f

使用http工具，如postman等，將token放入header中，請(qǐng)求：http://localhost:8888/test，看到提示，請(qǐng)求成功。
dosomething

4.擴(kuò)展點(diǎn)

本文只是簡(jiǎn)單對(duì)token使用做了一個(gè)樣例，并不適用于生產(chǎn)環(huán)境，有很多地方是可以擴(kuò)展的，比如：