如何在SpringBoot中使用token实现鉴权

这篇文章将为大家详细讲解有关如何在SpringBoot中使用token实现鉴权，文章内容质量较高，因此小编分享给大家做个参考，希望大家阅读完这篇文章后对相关知识有一定的了解。

创新互联专注为客户提供全方位的互联网综合服务，包含不限于网站制作、成都做网站、洛龙网络推广、微信小程序定制开发、洛龙网络营销、洛龙企业策划、洛龙品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等，从售前售中售后，我们都将竭诚为您服务，您的肯定，是我们最大的嘉奖；创新互联为所有大学生创业者提供洛龙建站搭建服务，24小时服务热线：028-86922220，官方网址：www.cdcxhl.com

工程结构如下：

其中：

• config：用于配置拦截器

• controller：这里只编写了LoginController（用于登录和注销）和TestController（用于测试未登录效果）

• interceptor：编写拦截器代码

• service：只写了操作redis的代码和登录相关的代码

代码实现

本文使用redis存储token信息，用户只是创建了一个固定的用户，在pom中加入相关依赖，完整内容如下：

 4.0.0
 
 org.springframework.boot
 spring-boot-starter-parent
 2.2.0.RELEASE
  
 
 com.dalaoyang
 springboot2_redis_login
 0.0.1-SNAPSHOT
 springboot2_redis_login
 springboot2_redis_login

 
 1.8
 

 
 
  org.springframework.boot
  spring-boot-starter-data-redis
 
 
  org.springframework.boot
  spring-boot-starter-web
 
 
  org.springframework.boot
  spring-boot-devtools
  runtime
  true
 
 
  org.springframework.boot
  spring-boot-starter-test
  test
  
  
   org.junit.vintage
   junit-vintage-engine
  
  
 
 

 
 
  
  org.springframework.boot
  spring-boot-maven-plugin
  
 
 

配置文件中配置对应的redis信息，如下：

server.port=8888
##redis配置
spring.redis.host=localhost
spring.redis.port=6379

接下来编写redis相关操作，本文示例只需要使用到get，set和delete操作，都是简单的使用RedisTemplate，RedisService内容如下：

package com.dalaoyang.service;

import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.data.redis.serializer.RedisSerializer;
import org.springframework.data.redis.serializer.StringRedisSerializer;
import org.springframework.stereotype.Service;

import javax.annotation.Resource;

@Service
public class RedisService {
  @Resource
  private RedisTemplate redisTemplate;

  public void set(String key, Object value) {
    //更改在redis里面查看key编码问题
    RedisSerializer redisSerializer =new StringRedisSerializer();
    redisTemplate.setKeySerializer(redisSerializer);
    ValueOperations vo = redisTemplate.opsForValue();
    vo.set(key, value);
  }

  public Object get(String key) {
    ValueOperations vo = redisTemplate.opsForValue();
    return vo.get(key);
  }

  public Boolean delete(String key) {
    return redisTemplate.delete(key);
  }
}

LoginService只是进行登录和注销操作，其中登录就是先判断用户名密码是否正确，如果正确，那么会生成一个字符串做为token（本文中使用uuid），并且做为返回值，密码错误则提示错误。注销实质就是删除redis中token的缓存，完整内容如下：

package com.dalaoyang.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import javax.servlet.http.HttpServletRequest;
import java.util.Objects;
import java.util.UUID;

@Service
public class LoginService {

  @Autowired
  private RedisService redisService;

  public String login(String username, String password) {
    if (Objects.equals("dalaoyang", username) &&
        Objects.equals("123", password)) {
      String token = UUID.randomUUID().toString();
      redisService.set(token, username);
      return "用户：" + username + "登录成功，token是：" + token;
    } else {
      return "用户名或密码错误，登录失败！";
    }
  }

  public String logout(HttpServletRequest request) {
    String token = request.getHeader("token");
    Boolean delete = redisService.delete(token);
    if (!delete) {
      return "注销失败，请检查是否登录！";
    }
    return "注销成功！";
  }
}

LoginController内容很简单，只是对LoginService的简单调用，如下：

package com.dalaoyang.controller;


import com.dalaoyang.service.LoginService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;

@RestController
@RequestMapping("/login")
public class LoginController {

  @Autowired
  private LoginService loginService;

  @GetMapping({"/", ""})
  public String login(String username, String password) {
    return loginService.login(username, password);
  }

  @GetMapping("/logout")
  public String logout(HttpServletRequest request) {
    return loginService.logout(request);
  }
}

TestController中只是写了一个简单返回字符串的接口，如下：

package com.dalaoyang.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
public class TestController {

  @GetMapping({"/", ""})
  public String dosomething() {
    return "dosomething";
  }
}

接下来是拦截器，拦截器中需要取出header中的token，然后去redis中进行判断，如果存在，则允许操作，则返回提示信息，内容如下：

package com.dalaoyang.interceptor;

import com.dalaoyang.service.RedisService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Objects;

public class AuthInterceptor implements HandlerInterceptor {

  @Autowired
  private RedisService redisService;

  @Override
  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    response.setCharacterEncoding("UTF-8");
    response.setContentType("text/html;charset=utf-8");
    String token = request.getHeader("token");
    if (StringUtils.isEmpty(token)) {
      response.getWriter().print("用户未登录，请登录后操作！");
      return false;
    }
    Object loginStatus = redisService.get(token);
    if( Objects.isNull(loginStatus)){
      response.getWriter().print("token错误，请查看！");
      return false;
    }
    return true;
  }

  @Override
  public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

  }

  @Override
  public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

  }
}

最后配置一下拦截器，由于拦截器中使用了RedisService，所以这里需要使用如下方式注入拦截器，内容如下：

package com.dalaoyang.config;

import com.dalaoyang.interceptor.AuthInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class AuthConfig implements WebMvcConfigurer {

  @Bean
  public AuthInterceptor initAuthInterceptor(){
    return new AuthInterceptor();
  }

  @Override
  public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(initAuthInterceptor()).addPathPatterns("/test/**").excludePathPatterns("/login/**");
  }

}

内容到这里就已经完成了。

3.测试

可以使用如下步骤进行简单测试：

首先在浏览器访问：http://localhost:8888/test，可以看到提示
用户未登录，请登录后操作！

在使用错误密码浏览器访问：http://localhost:8888/login?username=dalaoyang&password=1，看到提示
用户名或密码错误，登录失败！

在浏览器使用用户名密码访问：http://localhost:8888/login?username=dalaoyang&password=123，看到提示
用户：dalaoyang登录成功，token是：02fdd2bd-1669-48b9-b51b-1e724f97688f

使用http工具，如postman等，将token放入header中，请求：http://localhost:8888/test，看到提示，请求成功。
dosomething

4.扩展点

本文只是简单对token使用做了一个样例，并不适用于生产环境，有很多地方是可以扩展的，比如：

1. 本文redis值存储的只是username，而且并没有利用，实际情况可以存储用户信息等。

2. 可以扩展使用jwt进行token管理。

3. 可以放行几个固定的token用作内部接口调用等。

4. 注意token的生成规则，不要有规律让别人利用。

关于如何在SpringBoot中使用token实现鉴权就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。