jwt+redis实现登录认证

项目环境:spring boot项目

pom.xml引入jwt和redis

        <!-- jwt --><dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>4.3.0</version></dependency><!-- redis坐标--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId></dependency>

application.yml配置文件中,对redis进行配置

  data:redis:port: 6379host: localhost

JwtUtil工具类

package com.utils;import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;import java.util.Date;
import java.util.Map;public class JwtUtil {/*生成jwt字符串时用到的秘钥*/private static final String KEY = "itheima";//接收业务数据,生成token并返回public static String genToken(Map<String, Object> claims) {return JWT.create().withClaim("claims", claims).withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 24 )) //失效时间 单位毫秒 当前值为1天.sign(Algorithm.HMAC256(KEY));}//接收token,验证token,并返回业务数据public static Map<String, Object> parseToken(String token) {return JWT.require(Algorithm.HMAC256(KEY)).build().verify(token).getClaim("claims").asMap();}}

Md5Util工具类(因为登录时有对密码进行md5加密的逻辑)
package com.utils;import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;public class Md5Util {/*** 默认的密码字符串组合,用来将字节转换成 16 进制表示的字符,apache校验下载的文件的正确性用的就是默认的这个组合*/protected static char hexDigits[] = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'};protected static MessageDigest messagedigest = null;static {try {messagedigest = MessageDigest.getInstance("MD5");} catch (NoSuchAlgorithmException nsaex) {System.err.println(Md5Util.class.getName() + "初始化失败,MessageDigest不支持MD5Util。");nsaex.printStackTrace();}}/*** 生成字符串的md5校验值** @param s* @return*/public static String getMD5String(String s) {return getMD5String(s.getBytes());}/*** 判断字符串的md5校验码是否与一个已知的md5码相匹配** @param password  要校验的字符串* @param md5PwdStr 已知的md5校验码* @return*/public static boolean checkPassword(String password, String md5PwdStr) {String s = getMD5String(password);return s.equals(md5PwdStr);}public static String getMD5String(byte[] bytes) {messagedigest.update(bytes);return bufferToHex(messagedigest.digest());}private static String bufferToHex(byte bytes[]) {return bufferToHex(bytes, 0, bytes.length);}private static String bufferToHex(byte bytes[], int m, int n) {StringBuffer stringbuffer = new StringBuffer(2 * n);int k = m + n;for (int l = m; l < k; l++) {appendHexPair(bytes[l], stringbuffer);}return stringbuffer.toString();}private static void appendHexPair(byte bt, StringBuffer stringbuffer) {char c0 = hexDigits[(bt & 0xf0) >> 4];// 取字节中高 4 位的数字转换, >>>// 为逻辑右移,将符号位一起右移,此处未发现两种符号有何不同char c1 = hexDigits[bt & 0xf];// 取字节中低 4 位的数字转换stringbuffer.append(c0);stringbuffer.append(c1);}}

登录的控制器

package com.controller;import com.pojo.Result;
import com.pojo.User;
import com.service.UserService;
import com.utils.JwtUtil;
import com.utils.Md5Util;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.validation.annotation.Validated;
import org.springframework.web.bind.annotation.*;import java.util.HashMap;
import java.util.Map;
import java.util.concurrent.TimeUnit;@RestController
@RequestMapping("/user")
@Validated
@CrossOrigin
public class UserController1 {@Autowiredprivate UserService userService;@Autowiredprivate StringRedisTemplate stringRedisTemplate;@PostMapping("/login")public Result login(String username, String password) {//查询用户String md5Password = Md5Util.getMD5String(password);User user = userService.login(username, md5Password);if (user == null) {//用户名或密码错误return Result.error("用户名或密码错误");} else {//登录成功Map<String, Object> claims = new HashMap<>();claims.put("id", user.getId());claims.put("username", user.getUsername());String jwtToken = JwtUtil.genToken(claims);//往Redis中存储一个键值对ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();operations.set(jwtToken, jwtToken, 1, TimeUnit.DAYS);return Result.success(jwtToken);}}}

在前端发起登录请求,用户名和密码验证通过后,生成jwt,把jwt字符长的值,存放在redis缓存中,然后把jwt字符串返回到前端。

前端拿到jwt字符串后存在一个变量中,在之后的每次请求中,都在请求头中携带上jwt,后端再根据jwt的内容进行验证,判断是否是已登录的正常请求,如果是已经登录后的请求,就放行,否则就返回401(未认证)。

后端是通过声明一个拦截器,对请求进行判断的,代码如下:

LoginInterceptor.java
package com.interceptor;
import com.utils.JwtUtil;
import com.utils.ThreadLocalUtil;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;import java.util.List;
import java.util.Map;/*** @projectName: big-event* @package: com.interceptor* @className: LoginInterceptor* @author: liangmeng* @description: 登录拦截器* @date: 2024/1/14 17:20* @version: 1.0*/@Component
public class LoginInterceptor implements HandlerInterceptor {@Autowiredprivate StringRedisTemplate stringRedisTemplate;//Controller方法处理之前执行@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//获取到请求头的jwt字符串String token = request.getHeader("Authorization");//验证tokentry {//获取redis的值ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();String redisToken = operations.get(token);if (redisToken == null) {//token失效 拦截请求throw new RuntimeException();} else {Map<String, Object> claims = JwtUtil.parseToken(token);//把业务数据存储到ThreadLocal中ThreadLocalUtil.set(claims);//放行请求return true;}} catch (Exception e) {//相应码401response.setStatus(401);//拦截请求return false;}}//该方法将在整个请求完成之后执行@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {//清空ThreadLocal中的信息 防止内存泄漏ThreadLocalUtil.remove();}}

上面代码是自定义的登录拦截器,在请求到来后,控制器方法执行前,会进入到拦截器的preHandle方法中,在这个方法里面,或获取到请求头中的Authorization属性值,也就是jwt的值,然后再获取到redis中的值,redis中key和values是相同的,都是jwt字符串的内容,所以这里是用jwt的值作为key去获取value,如果value有值则说明该请求是可以放行的(已经登录过),否则拦截请求,返回响应码401。

afterCompletion方法是在整个请求完成之后执行,示例中是把ThreadLocal的值清空,这里根据需要,如果使用到了ThreadLocal,就把它清空,防止内存泄漏,如果没有使用到,则不需要处理。

拦截器定义好了之后,还需要把自定义的拦截器注册到全局拦截器中,使其生效。

WebConfig.java
package com.config;import com.interceptor.CorsInterceptor;
import com.interceptor.LoginInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class WebConfig implements WebMvcConfigurer {@Autowiredprivate LoginInterceptor loginInterceptor;@Autowiredprivate CorsInterceptor corsInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {//把自定义的拦截器注册到全局拦截器中 排除登录和注册请求registry.addInterceptor(loginInterceptor).excludePathPatterns("/user/login","/user/register");}
}

同步把登录和注册接口的请求放行,不需要拦截。

修改密码的接口处理逻辑,当用户修改密码后,需要主动将jwt做失效操作,下面是控制器的代码:

package com.controller;import com.pojo.Result;
import com.pojo.User;
import com.service.UserService;
import com.utils.Md5Util;
import com.utils.ThreadLocalUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.util.StringUtils;
import org.springframework.validation.annotation.Validated;
import org.springframework.web.bind.annotation.*;import java.util.Map;@RestController
@RequestMapping("/user")
@Validated
@CrossOrigin
public class UserController {@Autowiredprivate UserService userService;@Autowiredprivate StringRedisTemplate stringRedisTemplate;//更新用户密码@PatchMapping("/updatePwd")public Result updatePwd(@RequestBody Map<String, String> params, @RequestHeader("Authorization") String jwtToken) {String oldPwd = params.get("oldPwd");String newPwd = params.get("newPwd");String reNewPwd = params.get("reNewPwd");if (!StringUtils.hasLength(oldPwd) || !StringUtils.hasLength(newPwd) || !StringUtils.hasLength(reNewPwd)) {return Result.error("缺少必要的参数");}//判断原始密码是否正确//获取用户名Map<String, Object> claims = ThreadLocalUtil.get();String username = (String) claims.get("username");//根据用户名查询用户User user = userService.findByUserName(username);String currPwd = user.getPassword();String oldPwdMd5 = Md5Util.getMD5String(oldPwd);if (!oldPwdMd5.equals(currPwd)) {return Result.error("原始密码不正确");}//判断输入的两次密码是否一致if (!newPwd.equals(reNewPwd)) {return Result.error("两次密码不一致");}//更新密码//获取用户名String userId = (String) claims.get("id");String newPwdMd5 = Md5Util.getMD5String(newPwd);userService.updatePwd(userId, newPwdMd5);//密码更新完毕,删除redis中的缓存jwtToken值,让用户重新登陆ValueOperations<String, String> operations = stringRedisTemplate.opsForValue();operations.getOperations().delete(jwtToken);return Result.success();}}

在密码修改完毕后,根据请求头中的Authorization属性值来删除redis中存储的数据。这样原来的jwt就失效了,无法使用原来的jwt进行登录认证。

总结:因为http请求是无状态请求,使用jwt可以解决这一问题,登录成功后,在一段时间内就可以直接向后端发送请求,这样不需要重复进行登录操作。

因为jwt数据在后端没有进行存储,所以会出现一个问题,无法使其失效。这时候就引入了redis缓存,在redis缓存中将jwt的数据存下来,当用户修改密码、或退出登录后,将缓存的数据删除,然后在请求处理时(拦截器中)判断当前jwt是否有效,有效则正常处理请求,否则拦截请求,从而完成请求的权限控制。

一般项目还会使用sessionID作为请求控制的方式,其逻辑如下图所示:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/694209.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

数据结构与算法:队列

数据结构与算法:队列

在上篇文章讲解了栈之后&#xff0c;本篇也对这一章进行收尾&#xff0c;来到队列&#xff01; 队列 队列的介绍队列的存储结构队列顺序存储的不足之处 循环队列的定义队列的链式存储结构链队列的构建链队列的初始化队尾入队队头出队获取队头队尾元素判断队列是否为空获取队列元…
阅读更多...
Spark解决代码变量bug:error: reassingnment to val

Spark解决代码变量bug:error: reassingnment to val

在Scala中&#xff0c;val关键字用于声明一个不可变的变量&#xff0c;一旦赋值后就不能再更改。这就是为什么我尝试重新赋值给modelFilePath时会收到“reassignment to val”的错误。 modelFilePath的声明从val更改为var&#xff0c;因为var允许我们重新赋值 样例代码 val …
阅读更多...
267.【华为OD机试真题】贪心歌手(贪心策略-JavaPythonC++JS实现)

267.【华为OD机试真题】贪心歌手(贪心策略-JavaPythonC++JS实现)

🚀点击这里可直接跳转到本专栏,可查阅顶置最新的华为OD机试宝典~ 本专栏所有题目均包含优质解题思路,高质量解题代码(Java&Python&C++&JS分别实现),详细代码讲解,助你深入学习,深度掌握! 文章目录 一. 题目-贪心歌手二.解题思路三.题解代码Python题解代码…
阅读更多...
SQL常用函数收藏

SQL常用函数收藏

日期时间相关 【date_format】 DATE_FORMAT() 函数用于以不同的格式显示日期/时间数据。 参考地址&#xff1a;https://www.runoob.com/sql/func-date-format.html -- 函数&#xff1a;date_format select DATE_FORMAT(Now(),"%Y-%m-%d %H:%i:%S") as v_current_da…
阅读更多...
【Java前端技术栈】模块化编程

【Java前端技术栈】模块化编程

一、基本介绍 1.基本介绍 1 传统非模块化开发有如下的缺点&#xff1a;(1)命名冲突 (2)文件依赖 2 Javascript 代码越来越庞大&#xff0c;Javascript 引入模块化编程&#xff0c;开发者只需要实现核心的业务逻辑&#xff0c;其他都可以加载别人已经写好的模块 3 Javascrip…
阅读更多...
torch.utils.data

torch.utils.data

整体架构 平时使用 pytorch 加载数据时大概是这样的&#xff1a; import numpy as np from torch.utils.data import Dataset, DataLoaderclass ExampleDataset(Dataset):def __init__(self):self.data [1, 2, 3, 4, 5]def __getitem__(self, idx):return self.data[idx]def…
阅读更多...
第2.2章 StarRocks表设计——排序键和数据模型

第2.2章 StarRocks表设计——排序键和数据模型

该篇文章介绍StarRocks-2.5.4版本的数据模型相关内容&#xff0c;有误请指出~ 目录 一、数据模型概述 1.1 四种模型 1.2 排序键 1.2.1 概述 1.2.2 分类 1.2.3 注意事项 二、明细模型 2.1 概述 2.2 适用场景 2.3 建表语句及说明 三、聚合模型 3.1 概述 3.2 适用场…
阅读更多...
网络入门基础

网络入门基础

本专栏内容为&#xff1a;Linux学习专栏&#xff0c;分为系统和网络两部分。 通过本专栏的深入学习&#xff0c;你可以了解并掌握Linux。 &#x1f493;博主csdn个人主页&#xff1a;小小unicorn ⏩专栏分类&#xff1a;网络 &#x1f69a;代码仓库&#xff1a;小小unicorn的代…
阅读更多...
[AIGC] JVM内存结构中的方法区主要存储哪些信息?

[AIGC] JVM内存结构中的方法区主要存储哪些信息?

在JVM的内存结构中&#xff0c;方法区&#xff08;Method Area&#xff09;被视为JVM的永久代。它主要负责存储已经被虚拟机加载的类信息、常量、静态变量以及编译器编译后的代码等数据。具体可以分为以下几个部分&#xff1a; 类信息 这部分信息包括类数据&#xff08;如类名…
阅读更多...
32FLASH闪存

32FLASH闪存

目录 一&#xff0e;FLASH简介 二&#xff0e;代码实现 &#xff08;1&#xff09;读写内部FLASH &#xff08;2&#xff09;读取芯片ID 一&#xff0e;FLASH简介 存储器地址要记得累 系统存储器是原厂写入的Bootloader程序&#xff08;用于串口下载&#xff09;&#xff0…
阅读更多...
04.结构体和结构体数组

04.结构体和结构体数组

1.结构体 struct stu{int id;string name;float grade; };2.结构体数组的排序 sort算法如果是非自定义类型可以缺省&#xff0c;默认升序排序&#xff0c;但自定义类型必须自己重写比较规则&#xff0c;因为系统没法知道你怎么比较 sort(首元素地址&#xff0c;尾元素下一位…
阅读更多...
Python 写网络监控

Python 写网络监控

大家好&#xff01;我是爱摸鱼的小鸿&#xff0c;关注我&#xff0c;收看每期的编程干货。 网络监控是保障网络可靠性的一项重要任务。通过实时监控网络性能&#xff0c;我们可以及时发现异常&#xff0c;迅速采取措施&#xff0c;保障网络畅通无阻。本文将以 Python为工具&…
阅读更多...
Debug系列 GroupNorm和BatchNorm出现Nan或inf的情况

Debug系列 GroupNorm和BatchNorm出现Nan或inf的情况

Debug系列 GroupNorm和BatchNorm出现Nan或inf的情况 前言这两个函数做了什么可能出现的问题解决方法train和evalbatchsize或channel设置过小可训练参数的问题数值溢出其它的方法 前言 在复现别人论文的实验结果时&#xff0c;按照README乖乖做完之后&#xff0c;却发现损失函数…
阅读更多...
Windows / Linux dir 命令

Windows / Linux dir 命令

Windows / Linux dir 命令 1. dir2. dir *.* > data.txt3. dir - list directory contentsReferences 1. dir 显示目录的文件和子目录的列表。 Microsoft Windows [版本 10.0.18363.900] (c) 2019 Microsoft Corporation。保留所有权利。C:\Users\cheng>dir驱动器 C 中…
阅读更多...
线性代数:向量组的秩

线性代数:向量组的秩

目录 回顾“秩” 及 向量组线性表示 相关特性 向量组的秩 例1 例2 矩阵的“秩” 及 向量组线性表示 相关特性 向量组的秩 例1 例2
阅读更多...
@Async引发的spring循环依赖的问题,

@Async引发的spring循环依赖的问题,

今天发现一个很有意思的问题&#xff0c;正常解决项目中产生的循环依赖&#xff0c;是找出今天添加的注入代码&#xff0c;然后一个个加lazy试过去&#xff0c;会涉及到类中新增的注入 但是今天修改了某个serviceimpl的方法&#xff0c;加入了Async方法后 就发生循环依赖了 ai…
阅读更多...
【职场经验】关于自动化用例设计的思考

【职场经验】关于自动化用例设计的思考

为什么要设计用例&#xff1f; 作为质量保证(QA)人员&#xff0c;设计测试用例的重要性不亚于开发人员编写技术实现方案。如果实现方案设计不周&#xff0c;编码阶段将可能遇到许多问题&#xff1b;同理&#xff0c;如果我们未能设计测试用例&#xff0c;产品质量就难以得到充…
阅读更多...
如何实现一个K8S DevicePlugin?

如何实现一个K8S DevicePlugin?

什么是device plugin k8s允许限制容器对资源的使用&#xff0c;比如CPU和内存&#xff0c;并以此作为调度的依据。 当其他非官方支持的设备类型需要参与到k8s的工作流程中时&#xff0c;就需要实现一个device plugin。 Kubernetes提供了一个设备插件框架&#xff0c;你可以用…
阅读更多...
机器视觉系统选型-为什么还要选用工业光源控制器

机器视觉系统选型-为什么还要选用工业光源控制器

工业光源控制器最主要的用途是给光源供电&#xff0c;实现光源的正常工作。 1.开关电源启动时&#xff0c;电压是具有波浪的不稳定电压&#xff0c;其瞬间峰值电压超过了LED灯的耐压值&#xff0c;灯珠在多次高压冲击下严重降低了使用寿命&#xff1b; 2.使用专用的光源控制器&…
阅读更多...
【算法学习】搜索算法之深度优先搜索

【算法学习】搜索算法之深度优先搜索

深度优先搜索 DFS 1.算法介绍 深度优先搜索(DFS)算法是一种用于遍历或搜索树或图的算法。它的基本思想是尽可能深地搜索图的分支,直到到达叶节点或无法再深入为止,然后回溯到前一个节点,继续探索其他分支。这种搜索策略可以确保图中的每个节点都被访问到,除非它是一个环。…
阅读更多...
最新文章

Copyright @ 2022~2023