基于token的登录验证实现原理:客户端通过用户名和密码调用登录接口,当验证数据库中存在该用户后,将用户的信息按照token的生成规则,生成一个字符串token,返回给客户端,客户端在调用其他接口的时候,需要在请求头上带上token,来验证登录信息。
(因为除登录接口外,其他接口每次都需要验证token信息,所以将验证token信息的部分放在了过滤器里面)
1.导入JWT(JSON WEB TOKEN)依赖
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version></dependency>
2.Jwt工具类,包括token的生成和验证(加密秘钥先自己随便写了一个)
@Componentpublic class JwtUitls { @Autowired private UserService userService; /** * 过期时间5分钟 */ private static final long EXPIRE_TIME=5*60*1000; /** * 加密密钥 */ private static final String KEY = "liuhongfei"; /** * 生成token * @param id 用户id * @param userName 用户名 * @return */ public String createToken(String id,String userName){ Map<String,Object> header = new HashMap(); header.put("typ","JWT"); header.put("alg","HS256"); //setID:用户ID //setExpiration:token过期时间 当前时间+有效时间 //setSubject:用户名 //setIssuedAt:token创建时间 //signWith:加密方式 JwtBuilder builder = Jwts.builder().setHeader(header) .setId(id) .setExpiration(new Date(System.currentTimeMillis()+EXPIRE_TIME)) .setSubject(userName) .setIssuedAt(new Date()) .signWith(SignatureAlgorithm.HS256,KEY); return builder.compact(); } /** * 验证token是否有效 * @param token 请求头中携带的token * @return token验证结果 2-token过期;1-token认证通过;0-token认证失败 */ public int verify(String token){ Claims claims = null; try { //token过期后,会抛出ExpiredJwtException 异常,通过这个来判定token过期, claims = Jwts.parser().setSigningKey(KEY).parseClaimsJws(token).getBody(); }catch (ExpiredJwtException e){ return 2; } //从token中获取用户id,查询该Id的用户是否存在,存在则token验证通过 String id = claims.getId(); User user = userService.selectUserById(id); if(user != null){ return 1; }else{ return 0; } }}
3.过滤器,实现filter接口
/**
* @description:
* @author: hwx
* @date: 2022/05/23
**/
@Order(1)
//如果我们有多个过滤器,那这个Order就可以指定优先级
@Component
//这里可以使用@Compent,也可以不加这个@Component,而是在@SpringBootApplication入口类上新增注解@ServletComponentScan。@Component也可以替换成@Configration
@WebFilter(urlPatterns = "/*",filterName = "myFilter")
public class MyFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("我是过滤器的初始化方法init");
}
@Override
public void doFilter(ServletRequest var1, ServletResponse var2, FilterChain var3) throws IOException, ServletException {
System.out.println("我是过滤器的真正的执行方法doFilter,serverlet的请求,you are wanted one");
HttpServletResponse httpServletResponse=(HttpServletResponse)var2;
//允许的请求头字段
httpServletResponse.setHeader("Access-Control-Allow-Headers","Origin, X-Requested-With, Content-Type, Accept");
//是否允许后续请求携带认证信息(cookies),该值只能是true,否则不返回
httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
//指定允许其他域名访问
httpServletResponse.setHeader("Access-Control-Allow-Origin", "http://127.0.0.1:8070");
//参数 chain 为代表当前 Filter 链的对象。
var3.doFilter(var1,httpServletResponse);
System.out.println("我是过滤器的真正的执行方法doFilter,serverlet的请求,you are wanted two");
}
@Override
public void destroy() {
System.out.println("不行了,我要被销毁了");
}
}
4.使用postman测试结果如下
(1)调用login接口,返回token
(2)调用查询用户接口,在请求头中加入token
(3)不携带token,调用查询接口
(4)token过期后,调用查询接口
以上就是一个简单的token登录机制token登录机制的好处:不需要将登录信息保存在数据库或session中token中还可以携带更多的用户信息,包括权限等