何為token?【如果想直接看代碼可以往下翻】
使用基於 Token 的身份驗證方法,在服務端不需要存儲用戶的登錄記錄。大概的流程是這樣的:
1. 客戶端使用用戶名跟密碼請求登錄
2. 服務端收到請求,去驗證用戶名與密碼
3. 驗證成功后,服務端會簽發一個 Token,再把這個 Token 發送給客戶端
4. 客戶端收到 Token 以后可以把它存儲起來,比如放在 Cookie 里
5. 客戶端每次向服務端請求資源的時候需要帶着服務端簽發的 Token
6. 服務端收到請求,然后去驗證客戶端請求里面帶着的 Token,如果驗證成功,就向客戶端返回請求的數據
token優點
支持跨域訪問: Cookie是不允許垮域訪問的,這一點對Token機制是不存在的,前提是傳輸的用戶認證信息通
過HTTP頭傳輸.
無狀態(也稱:服務端可擴展行):Token機制在服務端不需要存儲session信息,因為Token 自身包含了所有登
錄用戶的信息,只需要在客戶端的cookie或本地介質存儲狀態信息.
更適用CDN: 可以通過內容分發網絡請求你服務端的所有資料(如:javascript,HTML,圖片等),而你的服
務端只要提供API即可.
去耦: 不需要綁定到一個特定的身份驗證方案。Token可以在任何地方生成,只要在你的API被調用的時候,你
可以進行Token生成調用即可.
更適用於移動應用: 當你的客戶端是一個原生平台(iOS, Android,Windows 8等)時,Cookie是不被支持的
(你需要通過Cookie容器進行處理),這時采用Token認證機制就會簡單得多。
CSRF:因為不再依賴於Cookie,所以你就不需要考慮對CSRF(跨站請求偽造)的防范。
性能: 一次網絡往返時間(通過數據庫查詢session信息)總比做一次HMACSHA256計算 的Token驗證和解析
要費時得多.
不需要為登錄頁面做特殊處理: 如果你使用Protractor 做功能測試的時候,不再需要為登錄頁面做特殊處理.
基於標准化:你的API可以采用標准化的 JSON Web Token (JWT). 這個標准已經存在多個后端庫(.NET, Ruby,
Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft)
如何創建token【我這里用的是Jwt機制,有些公司用的是自己的生成方法哈】
(1)創建maven工程,引入依賴
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version> </dependency>
(2)使用工具類JwtUtils
1 /** 2 * @author: Mr.Yang 3 * @create: 2020-02-13 21:19 4 **/ 5 @Getter 6 @Setter 7 @ConfigurationProperties("jwt.config") 8 public class JwtUtils { 9 //簽名私鑰 10 private String key; 11 //簽名失效時間 12 private Long failureTime; 13 14 /** 15 * 設置認證token 16 * 17 * @param id 用戶登錄ID 18 * @param subject 用戶登錄名 19 * @param map 其他私有數據 20 * @return 21 */ 22 public String createJwt(String id, String subject, Map<String, Object> map) { 23 24 //1、設置失效時間啊 25 long now = System.currentTimeMillis(); //毫秒 26 long exp = now + failureTime; 27 28 //2、創建JwtBuilder 29 JwtBuilder jwtBuilder = Jwts.builder().setId(id).setSubject(subject) 30 .setIssuedAt(new Date()) 31 //設置簽名防止篡改 32 .signWith(SignatureAlgorithm.HS256, key); 33 34 //3、根據map設置claims 35 for (Map.Entry<String, Object> entry : map.entrySet()) { 36 jwtBuilder.claim(entry.getKey(), entry.getValue()); 37 } 38 jwtBuilder.setExpiration(new Date(exp)); 39 40 //4、創建token 41 String token = jwtBuilder.compact(); 42 return token; 43 } 44 45 /** 46 * 解析token 47 * 48 * @param token 49 * @return 50 */ 51 public Claims parseJwt(String token) { 52 Claims claims = Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody(); 53 return claims; 54 } 55 56 }
注意:
@ConfigurationProperties("jwt.config")需要在配置文件中配置
(3)配置JwtUtils類
1 /** 2 * 配置jwt 3 * 4 * @return 5 */ 6 @Bean 7 public JwtUtils jwtUtils() { 8 return new JwtUtils(); 9 }
(4)編寫登錄方法
1、編寫DAO層
1 /** 2 * @author: Mr.Yang 3 * @create: 2020-02-13 21:55 4 **/ 5 @Repository 6 public interface UserDAO { 7 8 public User selectByMobileUser(String mobile); 9 10 public User selectByIdUser(String id); 11 }
2、編寫xml寫Sql
<select id="selectByMobileUser" parameterType="string" resultMap="userMap"> select * from bs_user where mobile = #{mobile} </select>
3、編寫service層
/** * 根據mobile查詢用戶 * * @param mobile * @return */ public User selectByMobile(String mobile) { return userDAO.selectByMobileUser(mobile); }
4、編寫controller層
1 /** 2 * 用戶登錄 3 * 1.通過service根據mobile查詢用戶 4 * 2.比較password 5 * 3.生成jwt信息 6 * 7 * @param loginMap 8 * @return 9 * @requestBody把請求數據封裝(前端以json方式傳) 10 */ 11 @RequestMapping(value = "/login", method = RequestMethod.POST) 12 public Result login(@RequestBody Map<String, String> loginMap) { 13 String mobile = loginMap.get("mobile"); 14 String password = loginMap.get("password"); 15 User user = userService.selectByMobile(mobile); 16 //登錄失敗 17 if (user == null || !user.getPassword().equals(password)) { 18 //既可以使用拋異常,也可使用直接返回錯誤碼(推薦) 19 return new Result(ResultCode.MOBILEORPASSWORDERROR); 20 } else { 21 //其他數據以map集合存放在token中 22 Map<String, Object> dataMap = new HashMap<>(); 23 dataMap.put("companyId", user.getCompanyId()); 24 dataMap.put("companyName", user.getCompanyName()); 25 //生成token並存入數據返回 26 String token = jwtUtils.createJwt(user.getId(), user.getUsername(), dataMap); 27 return new Result(Result.SUCCESS(), token); 28 } 29 }
5、測試
data就是返回的token,里面存有用戶ID,用戶姓名及以map形式存入的數據(這里主要看前端需要什么就存什么)
(6)用戶登錄成功之后,獲取用戶信息
1 /** 2 * 用戶登錄成功之后,獲取用戶信息 3 * 1.獲取用戶id 4 * 2.根據用戶id查詢用戶 5 * 3.構建返回值對象 6 * 4.響應 7 * 8 * @param request 9 * @return 10 * @throws Exception 11 */ 12 @RequestMapping(value = "/profile", method = RequestMethod.POST) 13 public Result profile(HttpServletRequest request) throws PendingException, Exception { 14 15 /** 16 * 從請求頭信息中獲取token數據 17 * 1.獲取請求頭信息:名稱=Authorization(前后端約定) 18 * 2.替換Bearer+空格 19 * 3.解析token 20 * 4.獲取clamis 21 */ 22 23 24 //1.獲取請求頭信息:名稱=Authorization(前后端約定) 25 String authorization = request.getHeader("Authorization"); 26 if (StringUtils.isEmpty(authorization)) { 27 // throw new PendingException(ResCode.UNAUTHENTICATED); 28 //系統未捕捉到請求頭信息 29 throw new CommonException(ResultCode.UNAUTHENTICATED); 30 } 31 //2.替換Bearer+空格 32 String token = authorization.replace("Bearer ", ""); 33 34 //3.解析token 35 Claims claims = jwtUtils.parseJwt(token); 36 //4.獲取clamis 37 String userId = claims.getId(); 38 39 // String userId = "U01"; 40 User user = userService.selectByIdUser(userId); 41 42 /**此處只是為了獲取token中的用戶數據,所有只簡單返回用戶對象, 43 * 工作則按實際要求多表查詢需要數據(根據用戶ID查詢權限) 44 */ 45 46 return new Result(ResultCode.SUCCESS, user); 47 }
(7)測試
