IT博文
MySQL 事务隔离级别详解
使用 docker compose 安装 tidb
架构师日记-如何写的一手好代码
生产事故-记一次特殊的OOM排查
Docker安装RabbitMQ——基于docker-compose工具
使用 docker-compose 部署单机 RabbitMQ
只需3步,即刻体验Oracle Database 23c
长达 1.7 万字的 explain 关键字指南!
Redis为什么能抗住10万并发?揭秘性能优越的背后原因
深度剖析Redis九种数据结构实现原理
【绩效季】遇到一个好领导有多重要,从被打差绩效到收获成长
为什么Redis不直接使用C语言的字符串?
Java阻塞队列中的异类,SynchronousQueue底层实现原理剖析
如何调整和优化 Go 程序的内存管理方式?
应用部署引起上游服务抖动问题分析及优化实践方案
Java 并发工具合集 JUC 大爆发!!!
卷起来!!这才是 MySQL 事务 & MVCC 的真相。
JDK8 到 JDK17 有哪些吸引人的新特性?
告别StringUtil:使用Java 11的全新String API优化你的代码
从JDK8飞升到JDK17,再到未来的JDK21
Java JMH Benchmark Tutorial
linux和macOS下top命令区别
Windows10关闭Hyper-V的三种方法
为什么应该选择 POSTGRES?
阿里云对象存储 OSS 限流超过阈值自动关闭【防破产,保平安】
Java高并发革命!JDK19新特性——虚拟线程(Virtual Threads)
“请不要在虚拟机中运行此程序”的解决方案
Spring中的循环依赖及解决
浅谈复杂业务系统的架构设计 | 京东云技术团队
面试题:聊聊TCP的粘包、拆包以及解决方案
操作日志记录实现方式
字节跳动技术团队-慢 SQL 分析与优化
Spring Boot 使用 AOP 防止重复提交
Controller层代码就该这么写,简洁又优雅!
SpringBoot 项目 + JWT 完成用户登录、注册、鉴权
重复提交不再是问题!SpringBoot自定义注解+AOP巧妙解决
SpringBoot 整合 ES 实现 CRUD 操作
SpringBoot 整合 ES 进行各种高级查询搜索
SpringBoot操作ES进行各种高级查询
SpringBoot整合ES查询
如何做架构设计? | 京东云技术团队
最值得推荐的五个VPN软件(便宜+好用+稳定),靠谱的V2ray梯子工具
我说MySQL每张表最好不超过2000万数据,面试官让我回去等通知?
vivo 自研鲁班分布式 ID 服务实践
使用自带zookeeper超简单安装kafka
推荐 6 个很牛的 IDEA 插件
喜马拉雅 Redis 与 Pika 缓存使用军规
「程序员转型技术管理」必修的 10 个能力提升方向
jdk17 下 netty 导致堆内存疯涨原因排查 | 京东云技术团队
如何优雅做好项目管理?
MySQL 到 TiDB:Hive Metastore 横向扩展之路
聊聊即将到来的 MySQL5.7 停服事件
Linux终端环境配置
微软 Edge 浏览器隐藏功能一览:多线程下载、IE 模式、阻止视频自动播放等
Hutool 中那些常用的工具类和实用方法
clash 内核删库?汇总目前常用的内核仓库和客户端
JDK11 升级 JDK17 最全实践干货来了 | 京东云技术团队
我是如何写一篇技术文的?
虚拟线程原理及性能分析
Java线程池实现原理及其在美团业务中的实践
Editplus和EmEditor配置一键编译java运行环境
用Spring Boot 3.2虚拟线程搭建静态文件服务器有多快?
SpringBoot中使用LocalDateTime踩坑记录 - 程序员偏安 - 博客园
程序员必备!10款实用便捷的Git可视化管理工具 - 追逐时光者 - 博客园
基于Netty开发轻量级RPC框架
开发Java应用时如何用好Log
复杂SQL治理实践 | 京东物流技术团队
火山引擎ByteHouse:分析型数据库如何设计并发控制?
多次崩了之后,阿里云终于改了
推荐程序员必知的四大神级学习网站
初探分布式链路追踪
新项目为什么决定用 JDK 17了
Java上进了,JDK21 要来了,并发编程再也不是噩梦了
mapstruct这么用,同事也开始模仿
再见RestTemplate,Spring 6.1新特性:RestClient 了解一下!
【MySQL】MySQL表设计的经验(建议收藏)
如何正确地理解应用架构并开发
解读工行专利CN112905176B
工商银行取得「基于 Spring Boot 的 web 系统后端实现方法及装置」专利
IDEA 2024.1:Spring支持增强、GitHub Action支持增强、更新HTTP Client等
TIOBE 2 月:Go 首次进入前十、“上古语言” COBOL 和 Fortran 排名飙升
Java 21 虚拟线程如何限流控制吞吐量
🎉 通用、灵活、高性能分布式 ID 生成器 | CosId 2.6.6 发布
20年编程,AI编程6个月,关于Copliot辅助编码工具,你想知道的都在这里
Java 8 内存管理原理解析及内存故障排查实践
消息队列选型之 Kafka vs RabbitMQ
从 MongoDB 到 PostgreSQL 的大迁移
腾讯云4月8日故障复盘及情况说明
PHP 在 2024 年还值得学习吗?
AMD集显安装显卡驱动之后出现黑屏,建议这样解决
使用 Docker 部署 moments 微信朋友圈 - 谱次· - 博客园
Java 17 是最常用的 Java LTS 版本
盘点Lombok的几个骚操作
Llama 3 + Ollama + Open WebUI打造本机强大GPT
如何优雅地编写缓存代码
Gmeek快速上手
笔记软件思源远程和本地接入大语言模型服务Ollama实现AI辅助写作(Windows篇)
Git Subtree:简单粗暴的多项目管理神器
这款轻量级规则引擎,真香!!
Ollama教程:本地LLM管理、WebUI对话、Python/Java客户端API应用
GLM-4-9B支持 Ollama 部署
智谱AI开源代码生成大模型第四代版本:CodeGeeX4-ALL-9B
美团二面:如何保证Redis与Mysql双写一致性?连续两个面试问到了!
免费开源好用,Obsidian和Omnivore真正实现一键联动剪藏文章,手把手教程!
得物 Redis 设计与实践
架构图怎么画?手把手教您,以生鲜电商为例剖析业务/应用/数据/技术架构图
使用Hutool要注意了!升级到6.0后你调用的所有方法都将报错 - 掘金
别再用雪花算法生成ID了!试试这个吧
无敌的Arthas!
Navicat Premium v16、v17 破解激活
🎉 分布式接口文档聚合,Solon 是怎么做的?
深入体验全新 Cursor AI IDE 后,说杀疯了真不为过!
Nacos 3.0 架构全景解读,AI 时代服务注册中心的演进
本文档使用 MrDoc 发布
-
+
SpringBoot 项目 + JWT 完成用户登录、注册、鉴权
> 用户登录、注册及鉴权是我们基本所有系统必备的,也是很核心重要的一块,这一块的安全性等都比较重要,实现的方案其实也有几种,从以前的cookie+session的方案,到现在常用的jwt的方案,这篇文章就讲讲目前在公司中最常用的jwt方案如何实现。 # 一、用户注册与登录 完成用户注册与登录有个核心点就是密码的加密与验证,我们目前比较常用的方案是密码+盐再采用MD5加密的方案, 盐的方式一般可以在application.yml里面写死,但安全性相对较差,还有就是通过UUID生成存到数据库里,这里我们采用第二种安全性更高的方式。  sql如下: ``` DROP TABLE IF EXISTS `user`; CREATE TABLE `user` ( `id` bigint(20) NOT NULL AUTO_INCREMENT, `username` varchar(255) NOT NULL, `password` varchar(255) NOT NULL, `salt` varchar(255) NOT NULL, `admin` int(1) DEFAULT '0', `age` int(3) NOT NULL, `create_time` datetime DEFAULT NULL, `update_time` datetime DEFAULT NULL, `deleted` int(1) DEFAULT '0', PRIMARY KEY (`id`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4; ``` 对应的User实体类 domian.entity.User: ``` import com.baomidou.mybatisplus.annotation.FieldFill; import com.baomidou.mybatisplus.annotation.TableField; import com.baomidou.mybatisplus.annotation.TableId; import com.baomidou.mybatisplus.annotation.TableName; import lombok.AllArgsConstructor; import lombok.Data; import lombok.NoArgsConstructor; import lombok.experimental.Accessors; import java.util.Date; @Data @AllArgsConstructor @NoArgsConstructor @Accessors(chain = true) @TableName("user") public class User { @TableId private Long id; private String username; private String password; private String salt; private Boolean admin; private Integer age; @TableField(fill = FieldFill.INSERT) private Date createTime; @TableField(fill = FieldFill.INSERT_UPDATE) private Date updateTime; private Integer deleted; } ``` 这里我们使用了Mybatis Plus的逻辑删除及自动填充功能,不太清楚的可以看看我的文章SpringBoot 整合 Mybatis Plus 实现基本CRUD功能 接收用户注册信息的DTO domain.dto.registryUserDto: ``` import com.fasterxml.jackson.annotation.JsonIgnore; import lombok.AllArgsConstructor; import lombok.Data; import lombok.NoArgsConstructor; import java.util.UUID; @Data @AllArgsConstructor @NoArgsConstructor public class registryUserDto { private String username; private String password; @JsonIgnore private String salt = UUID.randomUUID().toString().replaceAll("-", ""); private Boolean admin; private Integer age; } ``` @JsonIgnore为忽略前端的传值,这里使用我们UUID生成的值。 用户登录的DTO domain.dto.LoginUserDto: ``` import lombok.AllArgsConstructor; import lombok.Data; import lombok.NoArgsConstructor; @Data @AllArgsConstructor @NoArgsConstructor public class LoginUserDto { private String username; private String password; } ``` 用户注册与登录的controller: controller.UserController: ``` import com.jk.domain.dto.registryUserDto; import com.jk.domain.dto.LoginUserDto; import com.jk.service.UserService; import com.jk.domain.vo.ResponseResult; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.bind.annotation.*; @RestController @RequestMapping("/user") public class UserController { @Autowired private UserService userService; @PostMapping("/registry") public ResponseResult registryUser(@RequestBody registryUserDto registryUserDto) { return userService.registryUser(registryUserDto); } @PostMapping("/login") public ResponseResult login(@RequestBody LoginUserDto loginUserDto) { return userService.login(loginUserDto); } } ``` 用户注册与登录的service: service.UserService: ``` import com.jk.domain.dto.registryUserDto; import com.jk.domain.dto.LoginUserDto; import com.jk.domain.vo.ResponseResult; public interface UserService { ResponseResult registryUser(registryUserDto registryUserDto); ResponseResult login(LoginUserDto loginUserDto); } ``` 用户注册与登录的service实现类: service.impl.UserServiceImpl: ``` import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper; import com.jk.domain.dto.registryUserDto; import com.jk.domain.dto.LoginUserDto; import com.jk.domain.entity.User; import com.jk.enums.AppHttpCodeEnum; import com.jk.mapper.UserMapper; import com.jk.service.UserService; import com.jk.domain.vo.ResponseResult; import com.jk.utils.BeanCopyUtils; import com.jk.utils.JwtUtils; import com.jk.utils.RedisCache; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Service; import org.springframework.util.DigestUtils; import java.util.concurrent.TimeUnit; @Service public class UserServiceImpl implements UserService { @Autowired private UserMapper userMapper; @Autowired private RedisCache redisCache; @Override public ResponseResult registryUser(registryUserDto registryUserDto) { String password = registryUserDto.getPassword(); String salt = registryUserDto.getSalt(); String md5Password = DigestUtils.md5DigestAsHex((password + salt).getBytes()); registryUserDto.setPassword(md5Password); User user = BeanCopyUtils.copyBean(registryUserDto, User.class); userMapper.insert(user); return ResponseResult.okResult(); } @Override public ResponseResult login(LoginUserDto loginUserDto) { String username = loginUserDto.getUsername(); String password = loginUserDto.getPassword(); LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>(); queryWrapper.eq(User::getUsername, username); User user = userMapper.selectOne(queryWrapper); String md5Password = DigestUtils.md5DigestAsHex((password + user.getSalt()).getBytes()); if (!md5Password.equals(user.getPassword())) { return ResponseResult.errorResult(AppHttpCodeEnum.LOGIN_ERROR); } String token = JwtUtils.createToken(user.getId()); redisCache.setCacheObject("TOKEN_" + token, JSON.toJSONString(user), 1, TimeUnit.DAYS); return ResponseResult.okResult(token); } } ``` 用户注册时,我们把密码+salt进行MD5加密,然后入库,用户登录时,根据username查出用户,再把用户传入的密码+salt进行MD5加密与数据库查出的用户进行密码比较判断是否验证通过。这里还有使用到一个JWT工具类,验证通过后使用JWT工具类生成token和用户信息存到redis里面,这里需要引入下fastjson来对用户信息字符串化存,然后返回前端token。 具体JWT使用如下: 1. 首先引入fastjson和jwt的依赖包 ``` <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>2.0.26</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. JWT工具类的封装 utils.JwtUtils: ``` import io.jsonwebtoken.Jwt; import io.jsonwebtoken.JwtBuilder; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; import java.util.HashMap; import java.util.Map; public class JwtUtils { private static final String jwtToken = "1234567890p[]l;'"; public static String createToken(Long userId) { Map<String, Object> claims = new HashMap<>(); claims.put("userId", userId); JwtBuilder jwtBuilder = Jwts.builder() // 设置有效载荷 .setClaims(claims) // 设置签发时间 .setIssuedAt(new Date()) // 设置过期时间 .setExpiration(new Date(System.currentTimeMillis() + 24 * 60 * 60 * 60 * 1000)) // 采用HS256方式签名,key就是用来签名的秘钥 .signWith(SignatureAlgorithm.HS256, jwtToken); String token = jwtBuilder.compact(); return token; } public static Map<String, Object> checkToken(String token) { try { Jwt parse = Jwts.parser().setSigningKey(jwtToken).parse(token); return (Map<String, Object>) parse.getBody(); } catch (Exception e) { e.printStackTrace(); return null; } } } ``` 到此我们已经完成了用户的注册和登录功能。但还有一个问题就是用户鉴权,我们在调用其他接口时如何判断用户是否已登录。 # 二、用户鉴权 用户鉴权我们需要用到ThreadLocal来存储用户信息,我们首先创建这个工具类 utils.UserThreadLocal: ``` import com.jk.domain.entity.User; public class UserThreadLocal { private UserThreadLocal() { } private static final ThreadLocal<User> LOCAL = new ThreadLocal<>(); public static void put(User user) { LOCAL.set(user); } public static User get() { return LOCAL.get(); } public static void remove() { LOCAL.remove(); } } ``` 还需要在service中实现验证token的逻辑 service.UserService: ``` User checkToken(String token); ``` service.impl.UserServiceImpl: ``` @Override public User checkToken(String token) { if (StringUtils.isEmpty(token)) { return null; } Map<String, Object> map = JwtUtils.checkToken(token); if (map == null) { return null; } String userJson = redisCache.getCacheObject("TOKEN_" + token); if (StringUtils.isEmpty(userJson)) { return null; } User user = JSON.parseObject(userJson, User.class); return user; } ``` 使用拦截器实现token验证 handler.interceptor.LoginInterceptor: ``` import com.jk.domain.entity.User; import com.jk.enums.AppHttpCodeEnum; import com.jk.exception.SystemException; import com.jk.service.UserService; import com.jk.utils.UserThreadLocal; import lombok.extern.slf4j.Slf4j; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Component; import org.springframework.util.StringUtils; import org.springframework.web.method.HandlerMethod; import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; @Component @Slf4j public class LoginInterceptor implements HandlerInterceptor { @Autowired private UserService userService; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { if (!(handler instanceof HandlerMethod)) { return true; } String token = request.getHeader("token"); log.info("===============request start==============="); log.info("request uri:{}", request.getRequestURI()); log.info("request method:{}", request.getMethod()); log.info("token:{}", token); log.info("===============request end==============="); if (StringUtils.isEmpty(token)) { throw new SystemException(AppHttpCodeEnum.NEED_LOGIN); } User user = userService.checkToken(token); if (user == null) { throw new SystemException(AppHttpCodeEnum.NEED_LOGIN); } UserThreadLocal.put(user); return true; } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { UserThreadLocal.remove(); } } ``` 配置WebMvcConfigurer使用登录拦截器 ``` import com.jk.handler.interceptor.LoginInterceptor; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebMvcConfig implements WebMvcConfigurer { @Autowired private LoginInterceptor loginInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(loginInterceptor) .addPathPatterns("/web/**") .addPathPatterns("/admin/**"); } } ``` 会对/web及/admin的所有接口做登录验证,这个大家根据自己项目需求调整。
admin
2023年5月29日 06:33
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
Markdown文件
PDF文档(打印)
分享
链接
类型
密码
更新密码