ssm 使用token校驗登錄的實現
背景
token的意思是“令牌”,是服務端生成的一串字符串,作為客戶端進行請求的一個標識。
當用戶第一次登錄後,服務器生成一個token並將此token返回給客戶端,以後客戶端隻需帶上這個token前來請求數據即可,無需再次帶上用戶名和密碼。
簡單token的組成;uid(用戶唯一的身份標識)、time(當前時間的時間戳)、sign(簽名,token的前幾位以哈希算法壓縮成的一定長度的十六進制字符串。為防止token泄露)
使用場景
- token 還能起到反爬蟲的作用,當然爬蟲也是有突破的方法的,盡管如此還是能減少一部分爬蟲訪問服務器的所帶來的負載。相對的爬蟲技術門檻變高瞭。
- 使用session也能達到用戶驗證的目的 、但是session 是消耗服務器的內存,在對性能要求較高的項目中 ,開發中該技術相較於token已經過時
補充
- token主要使用於在廣大的安卓開發中
- 使用springmvc 中攔截器實現
使用方法
在maven ssm項目中pom.xml 配置 中引用jar包
<!--token生成--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.3.0</version> </dependency>
創建JwtUtil 工具類
package xyz.amewin.util; import com.auth0.jwt.JWT; import com.auth0.jwt.JWTVerifier; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.exceptions.JWTDecodeException; import com.auth0.jwt.interfaces.DecodedJWT; import java.io.UnsupportedEncodingException; import java.util.Date; import java.util.HashMap; import java.util.Map; /** * Java web token 工具類 * * @author qiaokun * @date 2018/08/10 */ public class JwtUtil { /** * 過期時間一天, * TODO 正式運行時修改為15分鐘 */ private static final long EXPIRE_TIME = 24 * 60 * 60 * 1000; /** * token私鑰 */ private static final String TOKEN_SECRET = "f26e587c28064d0e855e72c0a6a0e618"; /** * 校驗token是否正確 * * @param token 密鑰 * @return 是否正確 */ public static boolean verify(String token) { try { Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET); JWTVerifier verifier = JWT.require(algorithm) .build(); DecodedJWT jwt = verifier.verify(token); return true; } catch (Exception exception) { return false; } } /** * 獲得token中的信息無需secret解密也能獲得 * * @return token中包含的用戶名 */ public static String getUsername(String token) { try { DecodedJWT jwt = JWT.decode(token); return jwt.getClaim("loginName").asString(); } catch (JWTDecodeException e) { return null; } } /** * 獲取登陸用戶ID * @param token * @return */ public static String getUserId(String token) { try { DecodedJWT jwt = JWT.decode(token); return jwt.getClaim("userId").asString(); } catch (JWTDecodeException e) { return null; } } /** * 生成簽名,15min後過期 * * @param username 用戶名 * @return 加密的token */ public static String sign(String username,String userId) { try { // 過期時間 Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME); // 私鑰及加密算法 Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET); // 設置頭部信息 Map<String, Object> header = new HashMap<>(2); header.put("typ", "JWT"); header.put("alg", "HS256"); // 附帶username,userId信息,生成簽名 return JWT.create() .withHeader(header) .withClaim("loginName", username) .withClaim("userId",userId) .withExpiresAt(date) .sign(algorithm); } catch (UnsupportedEncodingException e) { return null; } } }
創建TokenInterceptor 攔截器
package xyz.amewin.interceptor; import com.alibaba.fastjson.JSONObject; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import xyz.amewin.util.ApiResponse; import xyz.amewin.util.Contant; import xyz.amewin.util.JwtUtil; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.io.PrintWriter; import java.util.HashMap; import java.util.Map; /** * @author Amewin * @date 2020/4/17 22:42 * 此處攔截器 */ public class TokenInterceptor implements HandlerInterceptor { /** * 攔截器和過濾器的區別 * 1.攔截器針對訪問控制器進行攔截 * 及 @RequestMapping(value = {"/test"}) * 簡而言說就是訪問方法的url * 應用:可以作為權限的判斷, * 2.過濾器則是針對全局的請求 * 包括:css/js/html/jpg/png/git/... * 及靜態文件 * 20200417 23:13 */ @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { System.out.println("執行方法之前執行這步操作!"); response.setCharacterEncoding("utf-8"); Cookie cookie=getCookieByName(request,"_COOKIE_NAME"); //如果已經登錄,不攔截 if (null != cookie) { //驗證token是否正確 boolean result = JwtUtil.verify(cookie.getValue()); if (!result) { return false; } return true; } //如果沒有登錄,則跳轉到登錄界面 else { //重定向 第一種 調用控制器 方法 response.sendRedirect(request.getContextPath() + "/login"); //重定向 第二種 重定向方法 // request.getRequestDispatcher("WEB-INF/jsp/login.jsp").forward(request, response); // System.out.println(request.getContextPath()); return false; /** * 以下是為瞭登錄成功後返回到剛剛的操作,不跳到主界面 * 實現:通過將請求URL保存到session的beforePath中,然後在登錄時判斷beforePath是否為空 */ } } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { } /** * 根據名字獲取cookie * * @param request * @param name cookie名字 * @return */ public static Cookie getCookieByName(HttpServletRequest request, String name) { Map<String, Cookie> cookieMap = ReadCookieMap(request); if (cookieMap.containsKey(name)) { Cookie cookie = cookieMap.get(name); return cookie; } else { return null; } } /** * 將cookie封裝到Map裡面 * * @param request * @return */ private static Map<String, Cookie> ReadCookieMap(HttpServletRequest request) { Map<String, Cookie> cookieMap = new HashMap<String, Cookie>(); Cookie[] cookies = request.getCookies(); if (null != cookies) { for (Cookie cookie : cookies) { cookieMap.put(cookie.getName(), cookie); } } return cookieMap; } /** * 返回信息給客戶端 * * @param response * @param out * @param apiResponse */ private void responseMessage(HttpServletRequest request, HttpServletResponse response, PrintWriter out, ApiResponse apiResponse) throws IOException { response.setContentType("application/json; charset=utf-8"); out.print(JSONObject.toJSONString(apiResponse)); out.flush(); out.close(); } }
spring-mvc.xml配置攔截器:
<!--自定義攔截器--> <mvc:interceptors> <!-- 驗證是否登錄 通過cookie --> <mvc:interceptor> <!-- 攔截所有mvc控制器 --> <mvc:mapping path="/**"/> <mvc:exclude-mapping path="/checkLogin"/> <bean class="xyz.amewin.interceptor.TokenInterceptor"></bean> </mvc:interceptor> </mvc:interceptors>
在控制器中使用
//查詢數據庫,登錄 PwUser pwUser = loginService.jsonLogin(username, password); if (pwUser != null) { json.setSuccess(true); json.setMsg("登錄成功!"); String token = JwtUtil.sign(pwUser.getUsernuber(), pwUser.getUserid().toString()); if (token != null) { Cookie cookie = new Cookie("_COOKIE_NAME", token); cookie.setMaxAge(3600);//設置token有效時間 cookie.setPath("/"); response.addCookie(cookie); }else{ json.setMsg("密碼或賬號錯誤!"); } } else { json.setMsg("密碼或賬號錯誤!"); }
最後一點要web.xml 中配置加載spring-mvc攔截器
<!-- 3.Servlet 前端控制器 --> <servlet> <servlet-name>dispatcherServlet</servlet-name> <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class> <init-param> <param-name>contextConfigLocation</param-name> <!-- 路徑--> <param-value>classpath:spring-mvc.xml</param-value> </init-param> <!-- 自動加載--> <load-on-startup>1</load-on-startup> <!-- <async-supported>true</async-supported> --> </servlet>
到此這篇關於ssm 使用token校驗登錄的實現的文章就介紹到這瞭,更多相關ssm token校驗登錄內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!
推薦閱讀:
- None Found