Spring Boot(十一):注解结合JWT实现简单的接口鉴权
一般服务的安全包括认证(Authentication)与授权(Authorization)两部分,认证即证明一个用户是合法的用户,比如通过用户名密码的形式,授权则是控制某个用户可以访问哪些资源。比较成熟的框架有Shiro、Spring Security,如果要实现第三方授权模式,则可采用OAuth2。但如果是一些简单的应用,比如一个只需要鉴别用户是否登录的APP,则可以简单地通过注解+拦截器的方式来实现。本文介绍了具体实现过程,虽基于Spring Boot实现,但稍作修改(主要是拦截器配置)就可以引入其它Spring MVC的项目。
1. 涉及的知识点
- 注解:用来标记某个接口是否需要登录
- 拦截器:拦截所有请求,判断请求的接口是否需要登录验证(基于是否标记了注解),如果需要,验证相应的信息(token),通过则放行,否则返回错误信息
- JWT: Json Web Token,一种流行的认证解决方案,它可以生成携带信息的token,但token一旦生成,其过期时间就不好更新,如果需要实现用户有操作就自动延长过期时间的场景,就相对比较麻烦。我们这里只用来生成token,过期通过redis实现
- RedisTemplate: 将token存在redis中,通过redis的过期机制来控制token的有效期
- ThreadLocal:可以将一次请求中多个环节需要访问的变量通过ThreadLocal来传递,比如userId
2. 依赖配置
在pom.xml中添加JWT与redis依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>${jwt.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
在application.yml配置文件中添加redis相关配置属性
spring:
redis:
host: localhost
port: 6379
database: 0
password: 123654
timeout: 3000
jedis:
pool:
min-idle: 2
max-idle: 8
max-active: 8
max-wait: 1000
3. 定义注解
注解的定义你可以根据项目的具体场景,比如需要登录的接口比较多,就可以定义如 @SkipAuth 的注解来标记不需要登录的接口,反之,则可以定义如 @NeedAuth 的注解来标记需要登录的接口,总之就是让标记接口这个操作尽可能少。但也可以基于另一种考虑,万一需要登录的接口忘了加不就存在安全问题吗,所以用 @SkipAuth 相对要保险点。
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface SkipAuth {
}
4. 定义token管理器
@Component
public class RedisTokenManager {
@Autowired
private StringRedisTemplate redisTemplate;
/**
* 生成TOKEN
*/
public String createToken(String userId) {
//使用uuid作为源token
String token = Jwts.builder().setId(userId).setIssuedAt(new Date())
.signWith(SignatureAlgorithm.HS256, JwtConstant.JWT_SECRET).compact();
//存储到redis并设置过期时间
redisTemplate.boundValueOps(JwtConstant.AUTHORIZATION + ":" + userId)
.set(token, JwtConstant.TOKEN_EXPIRES_HOUR, TimeUnit.HOURS);
return token;
}
public boolean checkToken(TokenModel model) {
if (model == null) {
return false;
}
String token = redisTemplate.boundValueOps(JwtConstant.AUTHORIZATION + ":"
+ model.getUserId()).get();
if (token == null || !token.equals(model.getToken())) {
return false;
}
//如果验证成功,说明此用户进行了一次有效操作,延长token的过期时间
redisTemplate.boundValueOps(model.getUserId())
.expire(JwtConstant.TOKEN_EXPIRES_HOUR, TimeUnit.HOURS);
return true;
}
public void deleteToken(String userId) {
redisTemplate.delete(userId);
}
}
在登录接口通过时,调用 createToken 创建token,并保存到redis中,设置过期时间, 在调用未被 @SkipAuth 注解标记的接口时,调用 checkToken 来验证,并更新token的过期时间, 退出登录时,删除token。
5. 定义拦截器
@Component
@Slf4j
public class AuthInterceptor extends HandlerInterceptorAdapter {
@Autowired
private RedisTokenManager tokenManager;
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
String requestPath = request.getRequestURI().substring(request.getContextPath().length());
// 如果不是映射到方法直接通过
if (!(handler instanceof HandlerMethod)) {
return true;
}
HandlerMethod handlerMethod = (HandlerMethod) handler;
Method method = handlerMethod.getMethod();
// 如果方法注明了 SkipAuth,则不需要登录token验证
if (method.getAnnotation(SkipAuth.class) != null) {
return true;
}
// 从header中得到token
String authorization = request.getHeader(JwtConstant.AUTHORIZATION);
// 验证token
if(StringUtils.isBlank(authorization)){
WebUtil.outputJsonString(ApiResponse.failed("未提供有效Token!"), response);
return false;
}
try {
Claims claims = Jwts.parser().setSigningKey(JwtConstant.JWT_SECRET)
.parseClaimsJws(authorization).getBody();
String userId = claims.getId();
TokenModel model = new TokenModel(userId, authorization);
if (tokenManager.checkToken(model)) {
// 通过ThreadLocal设置下游需要访问的值
AuthUtil.setUserId(model.getUserId());
return true;
} else {
log.info("连接" + requestPath + "拒绝");
WebUtil.outputJsonString(ApiResponse.failed("未提供有效Token!"), response);
return false;
}
} catch (Exception e) {
log.error("连接" + requestPath + "发生错误:", e);
WebUtil.outputJsonString(ApiResponse.failed("校验Token发生异常!"), response);
return false;
}
}
@Override
public void afterCompletion(
HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) {
//结束后清除,否则由于线程池复用,导致ThreadLocal的值被其他用户获取
AuthUtil.clear();
}
}
拦截器通过对请求方法是否标记注解 @SkipAuth 来判断是否需要进行token验证,如果验证通过,则从JWT token中解析出userId,通过AuthUtil工具方法保存到ThreadLocal中,供下游访问。在请求处理结束调用 afterCompletion 方法中,要清除掉ThreadLocal中的值,否则由于线程池的复用,导致被其他用户获取。
然后,注册拦截器
@Configuration
public class WebConfiguration implements WebMvcConfigurer {
private AuthInterceptor authInterceptor;
@Autowired
public void setAuthInterceptor(AuthInterceptor authInterceptor){
this.authInterceptor = authInterceptor;
}
/**
* 注册鉴权拦截器
* @param
* @return
*/
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(authInterceptor)
.addPathPatterns("/**")
.excludePathPatterns("/error");
}
}
这里将 /error 这个接口排除了,因为如果接口处理过程中出现异常,则spring boot会自动跳转到 /error 接口,又会进入拦截器校验(因为/error接口没有标注 @SkipAuth 注解)。
6. 验证
通过以上几步,一个简单的接口认证功能就实现了,我们可以通过添加一个登录接口,两个测试接口(一个需要认证,一个不需要认证)来验证下。
登录接口
@SkipAuth
@RequestMapping("/login")
public ApiResponse login(@RequestBody Map<String, Object> params) {
String username = MapUtils.getString(params, "username");
String password = MapUtils.getString(params, "password");
if("ksxy".equals(username) && "jboost".equals(password)){
return ApiResponse.success(tokenManager.createToken(username));
} else {
return ApiResponse.failed("用户名或密码错误");
}
}
登录成功后,通过 createToken 方法创建了JWT token。
测试接口
@SkipAuth
@RequestMapping("/skip-auth")
public ApiResponse skipAuth() {
return ApiResponse.success("不需要认证的接口调用");
}
@RequestMapping("/need-auth")
public ApiResponse needAuth() {
return ApiResponse.success("username: " + AuthUtil.getUserId());
}
7. 总结
本文介绍了一个简单的接口认证方案,适用于不需要基于用户角色进行授权的场景。如果有较复杂的授权需求,则还是基于Shiro, Spring Security, OAuth2等框架来实现。这里也可以不用JWT,但是需要自己去做一些处理,比如将userId以某种形式包含在token中,解析时取出。
本文完整实例代码: https://github.com/ronwxy/springboot-demos/tree/master/springboot-simpleauth
正文到此结束
- 本文标签: 线程 线程池 API springboot parse src git 配置 IO 时间 key 认证 ACE tar 管理 Spring Security 解析 dist ip map constant 需求 XML 测试 Word IDE Spring Boot HTML build servlet 安全 Security 代码 equals json web 删除 js redis id App 总结 pom cat Authorization GitHub token 实例 spring http https UI Master CEO value tab
- 版权声明: 本文为互联网转载文章,出处已在文章中说明(部分除外)。如果侵权,请联系本站长删除,谢谢。
- 本文海报: 生成海报一 生成海报二
热门推荐
相关文章
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
