(1) 相關博文地址:
SpringBoot + Vue + ElementUI 實作后臺管理系統模板 -- 前端篇(一):搭建基本環境:https://www.cnblogs.com/l-y-h/p/12930895.html SpringBoot + Vue + ElementUI 實作后臺管理系統模板 -- 前端篇(二):引入 element-ui 定義基本頁面顯示:https://www.cnblogs.com/l-y-h/p/12935300.html SpringBoot + Vue + ElementUI 實作后臺管理系統模板 -- 前端篇(三):引入 js-cookie、axios、mock 封裝請求處理以及回傳結果:https://www.cnblogs.com/l-y-h/p/12955001.html SpringBoot + Vue + ElementUI 實作后臺管理系統模板 -- 前端篇(四):引入 vuex 進行狀態管理、引入 vue-i18n 進行國際化管理:https://www.cnblogs.com/l-y-h/p/12963576.html SpringBoot + Vue + ElementUI 實作后臺管理系統模板 -- 前端篇(五):引入 vue-router 進行路由管理、模塊化封裝 axios 請求、使用 iframe 標簽嵌套頁面:https://www.cnblogs.com/l-y-h/p/12973364.html SpringBoot + Vue + ElementUI 實作后臺管理系統模板 -- 前端篇(六):使用 vue-router 進行動態加載選單:https://www.cnblogs.com/l-y-h/p/13052196.html SpringBoot + Vue + ElementUI 實作后臺管理系統模板 -- 后端篇(一): 搭建基本環境、整合 Swagger、MyBatisPlus、JSR303 以及國際化操作:https://www.cnblogs.com/l-y-h/p/13083375.html SpringBoot + Vue + ElementUI 實作后臺管理系統模板 -- 后端篇(二): 整合 Redis(常用工具類、快取)、整合郵件發送功能:https://www.cnblogs.com/l-y-h/p/13163653.html SpringBoot + Vue + ElementUI 實作后臺管理系統模板 -- 后端篇(三): 整合阿里云 OSS 服務 -- 上傳、下載檔案、圖片:https://www.cnblogs.com/l-y-h/p/13202746.html
(2)代碼地址:
https://github.com/lyh-man/admin-vue-template.git
一、SpringBoot 整合阿里云服務 -- 短信服務
1、簡介
短信服務(Short Message Service)是指通過呼叫短信發送API,將指定短信內容發送給指定手機用戶,短信的內容多用于企業向用戶傳遞驗證碼、系統通知、會員服務等資訊,
2、開通短信服務
(1)進入阿里云官網,找到 短信服務
【官網地址:】 https://www.aliyun.com/ 【官方檔案:】 https://help.aliyun.com/product/44282.html 【使用流程參考檔案:】 https://help.aliyun.com/document_detail/59210.html
(2)進入 短信服務 控制臺
(3)開通短信服務(發短信要收費的)
(4)添加短信 模板管理
用于定義短信主體內容,
Step1:
選擇國內訊息 --》模板管理 --》添加模板
Step2:
填寫模板相關資訊,并等待審核(審核通過后即可使用),
(5)添加短信 簽名管理
用于定義短信簽名,
Step1:
選擇國內訊息 --》簽名管理 --》添加簽名
Step2:
填寫簽名相關資訊,并等待審核(審核通過后即可使用),
(6)簡單測驗一下:
輸出格式如下圖所示:
【簽名】 + 模板
【后臺管理系統】您的驗證碼758644,該驗證碼5分鐘內有效,請勿泄漏于他人!
點擊發送短信,該手機號即可接收到短信,
3、SpringBoot 整合短信服務
【參考檔案:】 https://help.aliyun.com/document_detail/112148.html
(1)引入依賴
引入 短信服務 所需的 jar 包,
<!-- aliyun sms -->
<dependency>
<groupId>com.aliyun</groupId>
<artifactId>aliyun-java-sdk-core</artifactId>
<version>4.5.1</version>
</dependency>
(2)撰寫配置資訊
# 阿里云配置資訊 aliyun: # common 配置資訊 accessKeyId: LTAI4GEWZbLZocBzXKYEfmmq accessKeySecret: rZLsruKxWex2qGYVA3UsuBgW5B3uJQ # SMS 短信服務 regionId: cn-hangzhou signName: 后臺管理系統 templateCode: SMS_194050461
(3)撰寫一個工具類 SmsUtil.java 用來操作短信發送,
短信發送引數:
需要使用 AccessKey,可參考:https://www.cnblogs.com/l-y-h/p/13202746.html#_label0_1
需要使用 SignName,在網站中申請的簽名模板(比如:后臺管理系統),
需要使用 TemplateCode,在網站中申請的模板 CODE(比如:SMS_194050461),
需要使用 PhoneNumbers,用來接收驗證碼的手機號,
需要使用 TemplateParam,json 形式,用于保存驗證碼,
注:
使用 AccessKey 時需要給其開通 發送短信的權限,
package com.lyh.admin_template.back.common.utils; import com.aliyuncs.CommonRequest; import com.aliyuncs.CommonResponse; import com.aliyuncs.DefaultAcsClient; import com.aliyuncs.IAcsClient; import com.aliyuncs.http.MethodType; import com.aliyuncs.profile.DefaultProfile; import com.lyh.admin_template.back.modules.sms.entity.SmsResponse; import lombok.Data; import org.apache.commons.lang3.StringUtils; import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; /** * sms 短信發送工具類 */ @Data @Component public class SmsUtil { @Value("${aliyun.accessKeyId}") private String accessKeyId; @Value("${aliyun.accessKeySecret}") private String accessKeySecret; @Value("${aliyun.signName}") private String signName; @Value("${aliyun.templateCode}") private String templateCode; @Value("${aliyun.regionId}") private String regionId; private final static String OK = "OK"; /** * 發送短信 */ public boolean sendSms(String phoneNumbers) { if (StringUtils.isEmpty(phoneNumbers)) { return false; } DefaultProfile profile = DefaultProfile.getProfile(regionId, accessKeyId, accessKeySecret); IAcsClient client = new DefaultAcsClient(profile); CommonRequest request = new CommonRequest(); // 固定引數,無需修改 request.setSysMethod(MethodType.POST); request.setSysDomain("dysmsapi.aliyuncs.com"); request.setSysVersion("2017-05-25"); request.setSysAction("SendSms"); request.putQueryParameter("RegionId", regionId); // 設定手機號 request.putQueryParameter("PhoneNumbers", phoneNumbers); // 設定簽名模板 request.putQueryParameter("SignName", signName); // 設定短信模板 request.putQueryParameter("TemplateCode", templateCode); // 設定短信驗證碼 request.putQueryParameter("TemplateParam", "{\"code\":" + getCode() +"}"); try { CommonResponse response = client.getCommonResponse(request); System.out.println(response.getData()); // 轉換回傳的資料(需引入 Gson 依賴) SmsResponse smsResponse = GsonUtil.fromJson(response.getData(), SmsResponse.class); // 當 message 與 code 均為 ok 時,短信發送成功、否則失敗 if (SmsUtil.OK.equals(smsResponse.getMessage()) && SmsUtil.OK.equals(smsResponse.getCode())) { return true; } return false; } catch (Exception e) { throw new RuntimeException(e); } } /** * 獲取 6 位驗證碼 */ public String getCode() { return String.valueOf((int)((Math.random()*9+1)*100000)); } }
在上面代碼中,為了更好地獲取到回傳資料,使用 Gson 對其資料進行轉換(之前博客中已有介紹,此處直接使用,可參考:https://www.cnblogs.com/l-y-h/p/13163653.html#_label1_1),生成 SmsResponse 實體,再根據 SmsResponse 實體資料進行相關處理,
package com.lyh.admin_template.back.modules.sms.entity; import lombok.Data; /** * 用于接收并轉換 sms 回傳的資料 */ @Data public class SmsResponse { private String Message; private String RequestId; private String Code; private String BizId; }
(4)撰寫一個代碼 TestSMSController.java 測驗一下,
package com.lyh.admin_template.back.modules.sms.controller; import com.lyh.admin_template.back.common.utils.Result; import com.lyh.admin_template.back.common.utils.SmsUtil; import io.swagger.annotations.Api; import io.swagger.annotations.ApiImplicitParam; import io.swagger.annotations.ApiOperation; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RequestParam; import org.springframework.web.bind.annotation.RestController; @RestController @RequestMapping("/sms") @Api(tags = "短信發送") public class TestSMSController { @Autowired private SmsUtil smsUtil; @ApiOperation(value = "測驗短信發送功能") @ApiImplicitParam(name = "phoneNumber", required = true, value = "https://www.cnblogs.com/l-y-h/p/手機號", paramType = "query", dataType = "String") @PostMapping("/testSend") public Result testSend(@RequestParam String phoneNumber) { if (smsUtil.sendSms(phoneNumber)) { return Result.ok().message("短信發送成功"); } return Result.error().message("短信發送失敗"); } }
二、SpringBoot 整合 JWT 單點登錄
1、簡單了解下概念(session、SSO、token)
開發程序中,前后端通過 http 協議進行資料互動,而 http 是一種無狀態的協議,也即客戶端(瀏覽器)每次請求都會被服務器獨立處理,每個請求間沒有任何關系,
這就導致了一個問題:服務器如何知道某個請求是哪個客戶端(用戶)發送的?
(1)解決方法一:
既然 http 無狀態,那自己主動讓服務器與客戶端同時維護某個用戶狀態即可,
最常用的就是 session,
session 使用流程:
Step1:用戶登錄,客戶端向服務器發送用戶名、密碼等用戶資訊,
Step2:服務器驗證資料,并將通過驗證的用戶資訊保存在 session 中,
Step3:服務器回應請求,并將 session_id 回傳給客戶端,
Step4:客戶端接識訓傳資料,并將 session_id 保存在 cookie 中,
Step5:下一次客戶端發送請求時,會從 cookie 中取出 session_id 并發給服務器,
Step6:服務器通過 session_id 找到相應的 session 資料,決議出用戶資訊,從而知道是哪個客戶端(用戶)發送的請求,
session 分析:
由于需要在服務器中進行存盤,若用戶數量過多,會消耗很多存盤空間,且通常一個復雜的業務中一個請求會進行多次轉發操作,每次都需要經過 session_id 查詢 session 資料的操作,無異于增加服務器壓力,
具有局限性,適用于傳統的單一服務器模式,如果服務器是使用集群的方式部署,那么就需要對 session 進行共享處理,
對于多服務器模式,有什么好的登錄方案嗎?
可以使用 單點登錄 方式解決,
(2)解決方法二:
單點登錄(Single Sign On),簡稱 SSO,指的是在多個系統中,用戶只需要登錄一次,就可以訪問所有相互信任的系統,也即 對于多個系統不用重復進行登錄操作,
SSO 使用流程:
Step1:用戶第一次訪問系統時,由于還未登錄,會被轉向登錄界面用于用戶登錄,
Step2:用戶資訊發送到認證服務器,并對其進行校驗,通過后回傳一個認證資訊(令牌),
Step3:用戶再次訪問系統時,帶上這個令牌,作為認證依據,
Step4:系統服務器接收請求后,將令牌發給認證服務器進行校驗,若通過校驗則可以訪問系統服務器,
sso 分析:
用戶資訊可以在認證服務器獨立保存,便于分布式部署,也可以自定義安全策略,
但同時增加了認證服務器的壓力,
常見 sso 實作機制即為 token,
(3)解決方法三:
基于 token 實作單點登錄,簡單理解:令牌,是由服務端生成的一串字串,作為客戶端進行請求的一個標識,
token 使用流程:
Step1:用戶登錄,客戶端向服務器發送用戶名、密碼等用戶資訊,
Step2;服務器驗證資料,并將驗證通過的資料生成一個 token(加密字串),
Step3:服務器回應請求,并將 token 回傳給客戶端,
Step4:客戶端接識訓傳資料,將 token 保存在 cookie 或者 localStorage、sessionStorage 中,
Step5:下一次客戶端發送請求時,會帶上這個 token,
Step6:服務器驗證 token,從而獲取用戶資料,
注:
通過 token 與 session 的使用流程比較,實作邏輯看起來是類似的,
但是還是有區別的,使用 token 時不需在服務器存盤用戶資訊,直接從 token 中就可以決議出用戶資訊,session 需要在服務器存盤用戶資訊(多個服務器時需要實作 session 共享,否則多個系統需要進行多次登錄),所以使用 token 便于拓展業務(不需要知道在哪個服務器進行登錄操作),
token 分析:
token 無狀態、且不需要將資訊存盤在 session 中,便于擴展,但是由于 token 存盤在客戶端,服務端無法對其進行銷毀(可以設定過期時間),
采用 token,可以自定義 加密、解密字串的 規則,但是為了標準化,就得引入 JWT,
(4)解決方法四:
使用 JWT 實作 token,
服務器驗證資料通過后,將資料封裝成 json 物件并發送給用戶(token),
客戶端接收 JWT 后將其存盤 cookie 或者 localstorage、sessionstorage 中,
下次請求時,可以將 cookie 作為 HTTP Header 資料發送或者 POST 請求主體資料發送,
2、簡單了解一下 JWT
(1)什么是 JWT?
JWT(JSON Web Token),即使用 Json 資料作為 web 網路層的令牌機制,是 Java 實作 token 的一種具體解決方案,
JWT 可以使用 HMAC 演算法或者是 RSA 的公私秘鑰對進行簽名,防止資料偽造,
(2)透明令牌 與 自包含令牌的區別:
參考(透明)令牌(reference token):指令牌存盤的是資料識別符號,資料內容存盤在其他地方,也即隨機生成一個 字串(uuid 等)作為令牌,不清楚該令牌的具體含義,只有通過 字串 訪問資料內容才能得到具體資訊,可以類比為 session_id 的使用,
自包含令牌(Self-contained token):指令牌存盤的是資料(必要且不隱私的資料),通過決議令牌即可得到相關資料,此處使用的 JWT 即為一種自包含令牌,
(3)JWT 優點:
資料量小、簡潔,可以通過URL、 POST 引數、HTTP Header 發送,傳輸速度快,
自包含了資料,決議字串即可獲取想要的資料,避免與資料庫進行互動,
token 以加密形式保存在客戶端,不需要保存在服務端,易于擴展,
(4)JWT 組成
JWT 是一個很長的字串,由三部分組成,并使用 點(.) 隔開,
Header.Payload.Signature,即 JWT 頭.有效載荷.簽名,
Header:
用于存盤 JWT 元資料,是一個 JSON 物件,
其中 alg 表示加密演算法(HS256、RS256),typ 表示 token 型別,
{ "alg": "HS256", "typ": "JWT" } 【注:】 HS256 指的是 HMAC SHA256(默認),一種對稱演算法,采用同一個密鑰生成、驗證簽名, RS256 指的是 RSA SHA256,一種非對稱演算法,采用私鑰生成簽名,用公鑰驗證簽名,
Payload:
用于存放需要傳遞的資料(用戶資訊),
其包含一些默認欄位,也可以自定義欄位(不建議存盤私密資料,易泄露),
【默認欄位:】
iss:發行人(JWT 生成的一方)
exp:過期時間(要大于 iat)
sub:主題
aud:用戶(接收 JWT 的一方)
nbf:在此時間之前 JWT 不可用
iat:JWT 發布時間
jti:JWT ID用于標識該JWT
Signature:
用于存放簽名資訊,
指定一個 密碼(secret,不能公開給用戶,保存在服務端),按如下公式生成,
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(claims), secret) 【理解:】 對 header、payload 分別進行 Base64URL 加密,使用 點(.)連接, 并根據 header 中指定的 加密演算法,使用 secret 對資料再次加密, 注: 由于 JWT 可以放在 URL 中(比如:/home?token=xxx), 由于 Base64 中 =、+、/ 在 url 中有特殊含義,使用 base64 生成的 token 會出現問題, Base64url 對這些符號進行了轉換,(去掉 =,用 - 替換 +, 用 _ 替換 /).
3、SpringBoot 整合 JWT
(1)添加依賴
<!-- JWT -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
(2)創建一個工具類(JwtUtil.java)用于操作 JWT,
package com.lyh.admin_template.back.common.utils; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jws; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.apache.commons.lang3.StringUtils; import javax.servlet.http.HttpServletRequest; import java.util.Date; /** * JWT 操作工具類 */ public class JwtUtil { // 設定過期時間(15 分鐘) public static final long EXPIRE = 1000 * 60 * 15; // 設定 jwt 生成 secret(隨意指定) public static final String APP_SECRET = "ukc8BDbRigUDaY6pZFfWus2jZWLPHO"; /** * 生成 jwt token */ public static String getJwtToken(String userId, String userName) { String JwtToken = Jwts.builder() // 設定 jwt 型別 .setHeaderParam("typ", "JWT") // 設定 jwt 加密方法 .setHeaderParam("alg", "HS256") // 設定 jwt 主題 .setSubject("admin-user") // 設定 jwt 發布時間 .setIssuedAt(new Date()) // 設定 jwt 過期時間 .setExpiration(new Date(System.currentTimeMillis() + EXPIRE)) // 設定自定義資料 .claim("userId", userId) .claim("userName", userName) // 設定密鑰與演算法 .signWith(SignatureAlgorithm.HS256, APP_SECRET) // 生成 token .compact(); return JwtToken; } /** * 判斷token是否存在與有效,true 表示未過期,false 表示過期或不存在 */ public static boolean checkToken(String jwtToken) { if (StringUtils.isEmpty(jwtToken)) { return false; } try { // 獲取 token 資料 Jws<Claims> claimsJws = Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken); // 判斷是否過期 return claimsJws.getBody().getExpiration().after(new Date()); } catch (Exception e) { throw new RuntimeException(e); } } /** * 判斷token是否存在與有效 */ public static boolean checkToken(HttpServletRequest request) { return checkToken(request.getHeader("token")); } /** * 根據 token 獲取資料 */ public static Claims getTokenBody(HttpServletRequest request) { return getTokenBody(request.getHeader("token")); } /** * 根據 token 獲取資料 */ public static Claims getTokenBody(String jwtToken) { if (StringUtils.isEmpty(jwtToken)) { return null; } Jws<Claims> claimsJws = Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken); return claimsJws.getBody(); } }
(3)撰寫一個測驗類(TestJWTController.java) ,用于測驗
package com.lyh.admin_template.back.controller.test; import com.lyh.admin_template.back.common.utils.JwtUtil; import com.lyh.admin_template.back.common.utils.Result; import io.jsonwebtoken.Claims; import io.swagger.annotations.Api; import io.swagger.annotations.ApiOperation; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; @RequestMapping("/test/jwt") @RestController @Api(tags = "測驗 JWT") public class TestJWTController { @ApiOperation(value = "獲取 token") @PostMapping("/getToken") public Result testJwt() { return Result.ok().data("token", JwtUtil.getJwtToken("1", "tom")); } @ApiOperation(value = "測驗是否過期") @PostMapping("/testExpire") public Result testJwtExpire(String jwtToken) { if (JwtUtil.checkToken(jwtToken)) { Claims claims = JwtUtil.getTokenBody(jwtToken); return Result.ok().message("token 未過期").data("claims", claims); } return Result.ok().message("token 已過期"); } }
測驗結果如下:
定義過期時間為 30s,未過期時,回傳 json 資料,
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/154291.html
標籤:Java
上一篇:charushu
下一篇:java new一個物件的程序