实现结果
本着结果导向的原则,先说一下这个例子最后实现的效果是啥:用户登录成功后后台会返回一个token给调用者,同时我们自定义了@AuthToken注解,被该注解标注的api进行请求的时候都需要进行token效验,效验通过才可以正常访问,实现接口级的鉴权控制。同时token具有生命周期,在用户持续一段时间不进行操作的话,token则会过期,用户一直操作的话,则不会过期。
适合人群
新手学习或者刚开始尝试采用token方式鉴权的老手。
你可能可以学到:
- SpringBoot构建一个RESTful服务
- Swagger 管理API文档
- Redis的简单使用
- token鉴权的一种思路
……
需要的一些前置知识
- SpringBoot :参考资料>SpringBoot构建RESTful服务
- redis : 参考资料>redis参考资料
- mybatis plus:参考资料>mybatis plus 文档
运行这个例子
- 安装MySQL,导入
resources
下的token_demo.sql
,创建数据库表结构,在application.properties
中配置数据库账号密码。 - 安装redis。redis官方没有提供window版本,好在微软为我们提供了window下的版本:
window版redis下载 - 运行
TokenApplication.java
类来启动项目,默认端口为9001
,如果有端口冲突或者希望修改端口可以到配置文件application.properties
下修改server.port
的值即可。 - 成功启动后浏览器打开
http://localhost:9001/swagger-ui.html
,便可以看到swagger API展示界面,进行API调试。
流程分析
- 客户端登录,输入用户名和密码,后台进行验证,如果验证失败则返回登录失败的提示。如果验证成功,则生成
token
然后将username和token双向绑定(可以根据username取出token也可以根据token取出username)存入redis,同时使用token+username
作为key把当前时间戳也存入redis。并且给它们都设置过期时间。 - 每次请求都会走拦截器,如果该接口标注了@AuthToken注解,则要检查http header中的Authorization字段,获取token,然后由于token与username双向绑定,我们可以通过获取的token来尝试从redis中获取username,如果可以获取则说明token正确,反之,说明错误,返回鉴权失败。
- token可以根据用户使用的情况来动态的调整自己过期时间。我们在生成token的同时也往redis里面存入了创建token时的时间戳,每次请求被拦截器拦截token 验证成功之后,将当前时间与存在redis里面的token生成时刻的时间戳进行比较,当当前时间的距离创建时间快要到达设置的redis过期时间的话,就重新设置token过期时间,将过期时间延长。如果用户在设置的redis过期时间的时间长度内没有进行任何操作(没有发请求),则token会在redis中过期。
源码(talk is cheap)
更加详细的细节尽在代码中……
点击查看更多内容
19人点赞
评论
共同学习,写下你的评论
评论加载中...
作者其他优质文章
正在加载中
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦