這是一個目錄
- 物體類撰寫
- 利用Token進行用戶鑒權
- 創建Jwt工具類
- 利用攔截器(interceptor)實作用戶訪問的攔截與鑒權
- 撰寫InterceptorConfig
物體類撰寫
在前面的文章中我們已經完成了專案目錄和基本框架的搭建,現在我們開始撰寫物體類,首先我們在model包下創建一個pojo子包,
注意:關于PO、VO、POJO、DTO等概念網路上已經有很多資料了,在本專案中不再闡述其的詳細含義,且為了方便起見只劃分POJO與DTO,為此產生的一些有歧義或錯誤的劃分方法或用法請讀者們見諒,
創建好子包之后我們創建相應的pojo,一張表對應一個類,如果撰寫過Web專案的同學對這步應該是比較熟悉的,創建相應的類的程序筆者不一一講解,具體可以參見筆者的GitHub主頁,后續將會上傳完整的直接匯入的工程代碼,創建完畢后請務必將@Data、@AllArgsConstructor、@NoArgsConstructor三個注解加上,
利用Token進行用戶鑒權
物體類撰寫完之后我們開始進行用戶權限認證功能的撰寫,在本專案中利用了jwt和攔截器(interceptor)進行實作,
首先在本專案僅分為三種角色:
- 實驗室管理員(ADMIN)
- 實驗室成員(VIP)
- 普通用戶(MEMBER)
這種劃分方式是不夠嚴謹和安全的,目前的權限劃分一般是分為用戶角色和用戶權限兩個部分,每個用戶對應某個角色,某個角色擁有某些權限,歡迎讀者自行思考更完善的權限劃分方案,
創建Jwt工具類
首先我們先前往util包中創建一個名為JwtUtil的類,類的內容如下:
JwtUtil
/**
* @Author Alfalfa99
* @Date 2020/9/13 15:54
* @Version 1.0
* JWT生成以及校驗工具類
*/
@ConfigurationProperties("jwt.config")
@Component
public class JwtUtil {
private String key;
private long ttl;
public String getKey() {
return key;
}
public void setKey(String key) {
this.key = key;
}
public long getTtl() {
return ttl;
}
public void setTtl(long ttl) {
this.ttl = ttl;
}
/**
* 生成JWT
*
* @param id
* @return
*/
public String createJWT(String id, String roles) {
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
JwtBuilder builder = Jwts.builder().setId(id) //在這里我們將用戶的id存入Jwt中,方便后續使用
.setIssuedAt(now)
.signWith(SignatureAlgorithm.HS256, key).claim("roles", roles); //在這里我們將用戶的角色存入Jwt中,方便后續鑒權,如果想存別的內容也可以往里寫
if (ttl > 0) {
builder.setExpiration(new Date(nowMillis + ttl));
}
return builder.compact();
}
/**
* 決議JWT
*
* @param jwtStr
* @return
*/
public Claims parseJWT(String jwtStr) {
return Jwts.parser()
.setSigningKey(key)
.parseClaimsJws(jwtStr)
.getBody();
}
}
key是服務端用于加密的一個密文,通常隨機生成,ttl是token的過期時間,token的詳細原理請自行查閱學習,篇幅有限不再贅述,在這里我們利用了@ConfigurationProperties("jwt.config")注解從application.yml組態檔中讀取了如下配置并自動注入欄位
jwt:
config:
key: SecretKey #服務端加密所使用的密文(自擬)
ttl: 21600000 #毫秒
#請將該段復制至application.yml以便于能夠啟動專案
回到token,token是用戶在成功登錄后讀取用戶的角色和id生成得來的,生成的token應該在登陸成功后回傳給前端,前端之后每次訪問介面都應該帶上這個token,
注意:千萬不要使用token存盤用戶的敏感資訊,token只能用于避免被篡改,而不用于加密!token本身攜帶的內容是可以在沒有服務端秘鑰的情況下直接決議出來的!!!
這時候我們就可以實體化JwtUtil并使用createJWT生成token或者使用parseJWT決議token了
利用攔截器(interceptor)實作用戶訪問的攔截與鑒權
在上文中我們已經能夠決議與生成一個token了,但是如果我們在每一個介面都重新決議token進行權限認證將過于繁瑣且損耗服務器性能,如果之前有過JavaEE專案撰寫經驗的讀者應該學習過過濾器(Filter),攔截器是Spring框架為我們提供的一種類似于Filter的組件但攔截器的功能更多更強勁,話不多說直接懟代碼,首先我們在主啟動類的同級目錄創建一個interceptor包用于存放我們的攔截器,并在這個包下創建一個名為Tokeninterceptor的類,類的內容:
/**
* @Author Alfalfa99
* @Date 2020/9/13 18:18
* @Version 1.0
* 全域校驗Token
*/
@Component
public class TokenInterceptor implements HandlerInterceptor {
private final JwtUtil jwtUtil;
public TokenInterceptor(JwtUtil jwtUtil) {
this.jwtUtil = jwtUtil;
}
/**
* 通過攔截器對請求頭進行校驗
*
* @param request
* @param response
* @param handler
* @return
* @throws Exception
*/
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
String header = request.getHeader("Authorization");
if (header != null && !"".equals(header)) {
if (header.startsWith("Bearer ")) {
//獲得token
String token = header.substring(7);
//驗證token
try {
Claims claims = jwtUtil.parseJWT(token);
String roles = (String) claims.get("roles");
if (roles != null) {
request.setAttribute("uid",claims.getId());
request.setAttribute("roles",roles);
return true;
} else {
throw new BadCredentialsException("令牌已失效");
}
} catch (Exception e) {
throw new BadCredentialsException("令牌已失效");
}
}
}
throw new AuthenticationCredentialsNotFoundException("請先登錄");
}
}
前端每次請求時token應該是放置于請求頭中鍵名為Authorization, 值為Bearer Token(Token為服務端生成的token),
首先我們使用@Component注解將該類注冊為一個Spring容器,然后使用該類實作 HandlerInterceptor介面,preHandle說明我們是在目標方法執行前進行處理,我們先通過構造器的方式將JwtUtil注入便于后續使用,然后從請求頭中讀取token,如果token為空則說明用戶沒有登陸,直接拋出例外即可,如果在決議token出現錯誤直接拋出錯誤即可,這一個部分的主要思路就是如果不能正確的決議出token的內容則回傳給前端錯誤資訊,讓前端跳轉到登錄頁面進行重新登錄,如果能夠正確決議出我們存盤的用戶id和用戶角色這兩個內容則添加到請求request域里面去,后續我們在介面處的直接可以從request中讀到用戶iduid和用戶角色roles,
這樣我們就可以判斷每次訪問時用戶是否已經登陸了,并且我們將用戶id以及用戶角色都存于request中便于我們之后controller的開發,
撰寫InterceptorConfig
在完成TokenInterceptor類的撰寫之后我們關于Token鑒權的內容就基本結束了,當然我們還需要撰寫一個InterceptorConfig類去配置我們的攔截器,那么我們在config包中創建一個名為InterceptorConfig的類,類的內容如下:
/**
* @author 苜蓿
* @date 2020/9/13
* 攔截器配置類
*/
@Configuration
public class InterceptorConfig extends WebMvcConfigurationSupport {
private final TokenInterceptor tokenInterceptor;
public InterceptorConfig(TokenInterceptor tokenInterceptor) {
this.tokenInterceptor = tokenInterceptor;
}
@Override
protected void addInterceptors(InterceptorRegistry registry) {
//攔截所有目錄,除了通向login和register的介面
registry.addInterceptor(tokenInterceptor)
.addPathPatterns("/**")
.excludePathPatterns("/**/login/**", "/**/register/**")
.excludePathPatterns("/**/*.html", "/**/*.js", "/**/*.css");
}
那么我們的TokenInterceptor就已經配置完成了,攔截除了html檔案、css檔案、js檔案以及登錄注冊介面之外的所有訪問請求并進行鑒權,
那么本篇博客的內容也已經完成了,在下一篇博客我們就開始進入controller的撰寫,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/105720.html
標籤:其他