skbbs-day5

原创 已于 2025-12-26 23:36:46 修改 · 145 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #mybatis #开发语言

于 2025-12-26 23:36:30 首次发布

第一步:引入必要依赖(Maven)

首先在pom.xml中添加 JWT 和 Redis 依赖(若已引入可忽略):

<!-- JWT核心依赖 -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

<!-- Redis依赖(存储验证码) -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

第二步:编写 JWT 工具类(核心)

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.security.Keys;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import javax.crypto.SecretKey;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * JWT工具类:生成、解析、验证token
 */
@Component
public class JwtUtil {
    // JWT密钥(建议配置在application.yml中,至少32位)
    @Value("${jwt.secret:your-secret-key-32bit-1234567890abcdef}")
    private String secret;

    // token过期时间(单位:秒,示例2小时)
    @Value("${jwt.expire:7200}")
    private long expire;

    // 生成加密密钥
    private SecretKey getSecretKey() {
        return Keys.hmacShaKeyFor(secret.getBytes());
    }

    /**
     * 生成JWT令牌
     * @param userDto 用户信息DTO
     * @return JWT token
     */
    public String generateToken(SessionWebUserDto userDto) {
        // 过期时间
        Date expireDate = new Date(System.currentTimeMillis() + expire * 1000);
        
        // 自定义Claims(存储用户核心信息,避免敏感数据)
        Map<String, Object> claims = new HashMap<>();
        claims.put("userId", userDto.getUserId());
        claims.put("email", userDto.getEmail());
        claims.put("username", userDto.getUsername());

        // 生成token
        return Jwts.builder()
                .setClaims(claims)          // 存入用户信息
                .setIssuedAt(new Date())    // 签发时间
                .setExpiration(expireDate)  // 过期时间
                .signWith(getSecretKey())   // 签名加密
                .compact();
    }

    /**
     * 解析token,获取用户信息
     */
    public Claims parseToken(String token) {
        return Jwts.parserBuilder()
                .setSigningKey(getSecretKey())
                .build()
                .parseClaimsJws(token)
                .getBody();
    }

    /**
     * 验证token是否有效(未过期)
     */
    public boolean isValidToken(String token) {
        try {
            Claims claims = parseToken(token);
            return !claims.getExpiration().before(new Date());
        } catch (Exception e) {
            return false;
        }
    }
}

修改登录接口的代码

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import java.util.HashMap;
import java.util.Map;
import java.util.concurrent.TimeUnit;

@RestController
@RequestMapping("/login")
public class LoginController {

    // 注入Redis模板(替代session存储验证码)
    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    // 注入JWT工具类
    @Autowired
    private JwtUtil jwtUtil;

    // 注入用户服务
    @Autowired
    private UserInfoService userInfoService;

    // 验证码Redis存储前缀(可提取为常量类)
    private static final String CHECK_CODE_PREFIX = "login:check_code:";
    // 验证码过期时间(5分钟)
    private static final long CHECK_CODE_EXPIRE_MINUTES = 5;

    @GlobalInterceptor(checkParams = true)
    @PostMapping
    public ResponseVO login(HttpServletRequest request,
                            @VerifyParam(required = true) String email,
                            @VerifyParam(required = true) String password,
                            @VerifyParam(required = true) String checkCode) {
        try {
            // 1. 获取客户端IP(用于Redis存储验证码的key)
            String ip = getIpAddr(request);
            
            // 2. 从Redis获取验证码(替代原session.getAttribute)
            String redisCheckCode = stringRedisTemplate.opsForValue().get(CHECK_CODE_PREFIX + ip);
            if (redisCheckCode == null || !checkCode.equalsIgnoreCase(redisCheckCode)) {
                throw new BusinessException("图片验证码不正确");
            }
            
            // 3. 验证通过后删除验证码(防止重复使用)
            stringRedisTemplate.delete(CHECK_CODE_PREFIX + ip);

            // 4. 调用原有登录逻辑,获取用户信息
            SessionWebUserDto userDto = userInfoService.login(email, password, ip);

            // 5. 生成JWT令牌(核心:替换session.setAttribute)
            String token = jwtUtil.generateToken(userDto);

            // 6. 构造返回结果(返回token+用户信息,供前端存储)
            Map<String, Object> result = new HashMap<>();
            result.put("token", token);
            result.put("userInfo", userDto); // 前端可存储非敏感用户信息

            return getSuccessResponseVO(result);
            
        } catch (BusinessException e) {
            // 业务异常(如验证码错误、账号密码错误)
            return getErrorResponseVO(e.getMessage());
        } catch (Exception e) {
            // 系统异常
            e.printStackTrace();
            return getErrorResponseVO("登录失败,请稍后重试");
        }
    }

    // 保留原有的获取客户端IP方法
    private String getIpAddr(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
        }
        return "0:0:0:0:0:0:0:1".equals(ip) ? "127.0.0.1" : ip;
    }

    // 保留原有响应结果构造方法(根据你的项目实际实现调整)
    private ResponseVO getSuccessResponseVO(Object data) {
        ResponseVO vo = new ResponseVO();
        vo.setCode(200);
        vo.setMsg("登录成功");
        vo.setData(data);
        return vo;
    }

    private ResponseVO getErrorResponseVO(String msg) {
        ResponseVO vo = new ResponseVO();
        vo.setCode(500);
        vo.setMsg(msg);
        return vo;
    }
}

前端登录成功之后

// 登录成功后存储token
localStorage.setItem("token", res.data.token);

// 请求拦截器携带token
axios.interceptors.request.use(config => {
  const token = localStorage.getItem("token");
  if (token) {
    config.headers["Authorization"] = "Bearer " + token;
  }
  return config;
});

最后 

你希望在除登录外的其他业务接口中验证前端传递的 JWT token 是否有效(包括签名正确、未过期),并解析 token 中的用户信息供接口使用。最优雅且高效的方式是通过SpringMVC 拦截器实现全局 token 验证(避免每个接口重复写验证逻辑),以下是完整的实现方案:

核心验证思路

  1. 前端请求时,在 HTTP 请求头中携带 token(格式:Authorization: Bearer {token});
  2. 后端通过拦截器统一拦截请求,提取并验证 token;
  3. 验证通过:解析 token 中的用户信息,存入ThreadLocal(方便接口直接获取),放行请求;
  4. 验证失败:返回 401 未授权错误,拒绝请求。

第一步:封装 ThreadLocal 工具类(存储当前请求的用户信息)

ThreadLocal可以在当前请求线程中共享用户信息,避免通过HttpServletRequest传递,更优雅:

import com.xxx.dto.SessionWebUserDto; // 替换为你的用户DTO类

/**
 * 线程本地存储工具类:存储当前请求的用户信息
 */
public class UserContextHolder {
    // 私有化构造器,禁止实例化
    private UserContextHolder() {}

    // 存储用户信息的ThreadLocal
    private static final ThreadLocal<SessionWebUserDto> USER_THREAD_LOCAL = new ThreadLocal<>();

    /**
     * 设置当前线程的用户信息
     */
    public static void setUser(SessionWebUserDto userDto) {
        USER_THREAD_LOCAL.set(userDto);
    }

    /**
     * 获取当前线程的用户信息
     */
    public static SessionWebUserDto getUser() {
        return USER_THREAD_LOCAL.get();
    }

    /**
     * 移除当前线程的用户信息(防止内存泄漏)
     */
    public static void clear() {
        USER_THREAD_LOCAL.remove();
    }
}

第二步:实现 JWT 拦截器(核心验证逻辑)

拦截所有请求,验证 token 有效性,并解析用户信息存入ThreadLocal

import io.jsonwebtoken.Claims;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;

@Component
public class JwtAuthInterceptor implements HandlerInterceptor {

    @Autowired
    private JwtUtil jwtUtil; // 复用之前的JWT工具类

    /**
     * 请求处理前验证token(核心方法)
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 1. 从请求头获取token(格式:Bearer {token})
        String authHeader = request.getHeader("Authorization");
        if (authHeader == null || !authHeader.startsWith("Bearer ")) {
            // 无token,返回401错误
            return handleUnauthorized(response, "未携带有效token");
        }

        // 提取纯token(去掉"Bearer "前缀)
        String token = authHeader.substring(7);

        // 2. 验证token有效性(签名正确 + 未过期)
        if (!jwtUtil.isValidToken(token)) {
            return handleUnauthorized(response, "token无效或已过期");
        }

        // 3. 解析token中的用户信息
        Claims claims = jwtUtil.parseToken(token);
        // 构造用户DTO(根据你的SessionWebUserDto字段调整)
        SessionWebUserDto userDto = new SessionWebUserDto();
        userDto.setUserId((Long) claims.get("userId"));
        userDto.setEmail((String) claims.get("email"));
        userDto.setUsername((String) claims.get("username"));

        // 4. 将用户信息存入ThreadLocal,供后续接口使用
        UserContextHolder.setUser(userDto);

        // 5. 验证通过,放行请求
        return true;
    }

    /**
     * 请求处理完成后,清除ThreadLocal中的用户信息(防止内存泄漏)
     */
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        UserContextHolder.clear();
    }

    /**
     * 处理未授权错误,返回统一JSON响应
     */
    private boolean handleUnauthorized(HttpServletResponse response, String msg) throws Exception {
        response.setContentType("application/json;charset=UTF-8");
        response.setStatus(HttpStatus.UNAUTHORIZED.value()); // 401状态码
        PrintWriter writer = response.getWriter();
        // 构造统一错误响应(匹配你的ResponseVO格式)
        writer.write("{\"code\":401,\"msg\":\"" + msg + "\",\"data\":null}");
        writer.flush();
        writer.close();
        return false; // 拒绝请求
    }
}

第三步:配置拦截器(指定拦截 / 排除路径)

通过配置类注册拦截器,指定需要验证 token 的接口路径,排除登录、验证码等无需验证的接口:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Autowired
    private JwtAuthInterceptor jwtAuthInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtAuthInterceptor)
                .addPathPatterns("/**") // 拦截所有路径
                .excludePathPatterns(   // 排除无需验证的路径
                        "/login",        // 登录接口
                        "/captcha",      // 验证码接口
                        "/error",        // 错误页面
                        "/static/**"     // 静态资源
                );
    }
}

在业务接口中使用保存的信息

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/api/station")
public class StationController {

    /**
     * 示例接口:获取当前登录用户的电站列表(需验证token)
     */
    @GetMapping("/list")
    public ResponseVO getStationList() {
        // 从ThreadLocal获取当前登录用户信息(拦截器已验证并存储)
        SessionWebUserDto currentUser = UserContextHolder.getUser();
        Long userId = currentUser.getUserId();
        String email = currentUser.getEmail();

        // 业务逻辑:根据userId查询电站列表
        // List<StationDto> stationList = stationService.getByUserId(userId);

        return getSuccessResponseVO("当前登录用户:" + email + ",用户ID:" + userId);
    }

    // 复用统一的响应构造方法
    private ResponseVO getSuccessResponseVO(Object data) {
        ResponseVO vo = new ResponseVO();
        vo.setCode(200);
        vo.setMsg("操作成功");
        vo.setData(data);
        return vo;
    }
}

Django学习笔记3 Django模型
baidu_35401736的博客
11-15 501
Django 模型定义及使用blog示例 Django的数据库模型 Django Field类型 Django 主键和唯一性
c++之基础A(二维数组)第四课
2302_76761070的博客
12-21 391
本文介绍了二维数组在C++游戏开发中的基本应用,特别是迷宫类游戏的实现。通过示例代码演示了二维数组的输入输出操作,以及如何计算每行和每列的和。输入输出采用双重循环结构,行列求和则分别通过固定行或列索引来实现。这些基础操作为游戏开发中处理地图数据等场景提供了实用方法,适合编程新手学习二维数组的基本使用技巧。
Java ArrayList和线性表
Harrybili的博客
12-22 797
在集合框架中,ArrayList是一个普通的类,实现了List接口,具体框架图如下说明是以泛型方式实现的,使用时必须要先实例化实现了接口,表明ArrayList支持随机访问实现了Cloneable接口,表明ArrayList是可以clone的实现了接口,表明ArrayList是支持序列化的5.和Vector不同,ArrayList不是线程安全的,在单线程下可以使用,在多线程中可以选择Vector或者CopyOnWriteArrayList。
电子书《Java编程思想(第4版)》
吴名氏的博客
12-23 3820
电子书《Java编程思想(第4版)》
计算机毕业设计|基于springboot + vue健康茶饮销售管理系统(源码+数据库+文档)
12-24 782
本文介绍了基于SpringBoot+Vue的健康茶饮销售管理系统开发。系统采用前后端分离架构,后端使用SpringBoot框架简化配置,前端采用Vue实现组件化开发,数据库选用MySQL。文章详细说明了系统设计原则、技术选型理由,并提供了代码示例和测试案例。系统功能完整,包含商品管理、用户认证等模块,通过严格测试确保安全性。文末附有源码获取方式和最新毕设选题推荐,适合作为计算机专业学生的项目参考。
通过adb命令获取某个window或View/子View的绘制内容并输出为png图片的方法
Railshiqian的博客
12-23 930
本文介绍了通过adb工具获取Android系统Window和View结构的方法。首先需要建立adb与ViewServer的连接(端口4939),然后通过"LIST"命令获取可dump的窗口列表,再使用"DUMP [窗口ID]"命令查看指定窗口的View树结构。该方法可帮助开发者分析应用界面问题,替代已废弃的Hierarchy View工具。示例展示了如何获取系统导航栏TopCarSystemBar的View层级信息,包括ViewGroup的各种属性和状态。
计算一个字符串在另一个字符串中出现次数
沉下心,苦磨炼
12-21 189
【代码】计算一个字符串在另一个字符串中出现次数。
mybatis-plus插件解决sql报错:this is incompatible with sql_mode=only_full_group_by ”
吉他程序员的博客
12-23 229
解决的办法可以改sql,也可以改sql服务的conf配置, 但是如果你项目用的是mybatis-plus插件 , 就可以用我介绍的很简单的方法。是 MySQL 的严格模式要求,确保 GROUP BY 查询的语义明确。这个错误是 MySQL 5.7+ 版本中最常见的兼容性问题之一。SELECT 列表中的列不在 GROUP BY 子句中。MySQL 无法确定从分组中的哪行返回这些列的值。且这些列也不是聚合函数的参数。然后重启项目就可以了。
Java中的序列化和反序列化是什么?
qq_44678890的博客
12-24 260
比如,如果在没有定义一个serialVersionUID的前提下,接着序列化一个对象,在反序列化之前,在对象中增加了一个成员变量使得对象的类结构发生了改变,这个时候进行反序列化就会失败。至于怎么防,如果有些像密码这种的字段,它不想被保存下来,我们可以通过加上一个transient关键字,这样的话,序列化的时候就会自动跳过这些字段。,由于硬盘和网络都只认识二进制的0和1,不认识Java对象,所以必须进行转换,把二进制的数据变回内存中的对象。这3个问题面试官比较喜欢问。在具体的实现细节上,有。
基于Java TCP 聊天室
suny8的专栏
12-22 984
这是一个基于TCP协议的Java多人聊天室系统,支持多个客户端实时聊天、查看在线用户等功能。系统采用C/S架构,使用Java Socket编程实现。这个Java TCP聊天室项目是一个完整的网络应用程序,涵盖了从底层网络通信到上层用户界面的全栈开发。它不仅实现了基本的聊天功能,还扩展了用户服务管理,具有良好的可扩展性和实用性。通过这个项目,开发者可以:深入理解网络编程原理掌握Java并发编程技巧学习GUI设计和事件处理实践软件工程的设计思想培养解决实际问题的能力。
运维工程师技能之JVM
qq_65380630的博客
12-25 524
本文围绕JVM运维核心需求,重点分析了堆、元空间和虚拟机栈三大关键区域的运行机制与常见问题。堆内存作为对象存储主区域,面临OOM、GC效率等高频问题;元空间因动态类加载易出现内存耗尽;虚拟机栈则受方法调用深度影响易触发StackOverflow。文章还详解了GC分代模型,对比了Minor GC与Full GC的特性差异,并提供了实验代码帮助理解GC触发机制。运维人员需重点关注这些区域的配置优化与异常监控,以保障Java应用稳定运行。
SpringCloud-Sleuth链路追踪实战
2301_79989083的博客
12-22 334
简单说:给每个请求分配一个唯一ID(TraceId),这个ID会贯穿整个调用链,方便排查问题。场景:用户反馈"注册失败",你怎么查?没有链路追踪:一个个服务翻日志,累死有链路追踪:拿到 TraceId,一搜全出来。
Spring Boot 应用程序中的进程与线程管理:从JAR启动到请求响应的完整分析
犹如草芥,又灿若星河
12-24 516
Spring Boot应用启动后创建单一JVM进程,包含8-15个系统线程(如GC、main线程等)。处理HTTP请求时,每个请求分配独立线程,20个并发请求会创建20个线程。线程共享字节码但隔离栈数据,堆内存共享。锁机制选择需区分场景:单体应用使用synchronized/ReentrantLock进行本地同步,分布式系统需采用Redis分布式锁确保跨实例一致性。理解这些机制有助于优化高并发应用的性能和资源管理。
Springboot旧衣物捐赠平台yd4lg1nb(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。
最新发布
2509_93103891的博客
12-25 674
智能化匹配与推荐:利用数据分析和挖掘技术,实现对捐赠物品和需求的智能化匹配与推荐,提高捐赠效率和资源利用率。 透明化流程追踪:通过物流对接和状态更新功能,实现捐赠物品从捐赠到接收的全流程追踪和透明化管理,增强用户信任感和参与度。 个性化用户体验:注重用户体验设计,提供符合用户习惯的界面和交互方式,优化用户的操作流程,提供便捷、高效、个性化的捐赠服务。
Java单元测试、集成测试,区别
m0_69632475的博客
12-23 349
测试。
金蝶容器上传文件失败处理
NaXieNianYiShiGuJi的专栏
12-23 103
xxx/aas/domains/mydomain/config/domain.xml中添加。domains/mydomain/config/web.xml中添加。ai和百度给的都是V9之前的版本如何处理,顺便写一下做个记录。如果是V10以上版本则做如下配置。V10版本上传文件报异常。
异常为什么要捕捉?------Java异常处理机制
alanesnape的博客
12-20 162
本文探讨了Java异常处理机制,通过实例分析了未处理异常导致程序崩溃的问题。文章展示了try-catch结构如何捕获FileNotFoundException等特定异常,并详细解释了异常对象的使用方法。针对多种异常情况,提出了多catch块的处理方案,并介绍了try-catch-finally和throws声明两种异常处理方式。文中强调合理处理异常对保证程序完整执行的重要性,为开发者提供了实用的异常处理实践指导。
用python批量解压缩rar或者zip文件
qq_251836457的博客
12-22 217
摘要:本文介绍了一个使用Python批量解压RAR压缩包并提取Word/PPT文档的自动化方案。博主翰文编程分享了基于PyCharm的开发过程,包括unrar解压工具安装、项目依赖环境配置(EasyProcess、patool等),以及核心脚本unzipAll.py的实现。该方案解决了人工逐个解压效率低下的问题,支持从多个压缩包中批量提取文档文件。完整代码已开源至Gitee平台,适用于课程设计、毕业选题等场景,可帮助开发者高效处理批量文档提取需求。
解决报错:HTTP Status 404 - /pdfjs15/web/viewer.html
qq_53325717的博客
12-24 190
报错
Redis学习笔记
2301_81834780的博客
12-23 636
NoSQL非关系型数据库特性:非结构化,无关联,非SQL,BASE,无事务存储方式:内存扩展性:水平使用场景:数据结构不固定 对一致性,安全性要求不高,对性能要求特征:键值型 value支持多种不同数据结构,功能丰富单线程,每个命令具备原子性,安全的,不会出现命令执行到一半其他命令插进来的情况。低延迟,速度快(为什么,他是基于内存存储速度快,与电脑性能有关系,使用io多路复用,良好的编码基于c语言编写)MYSQL是磁盘存储,内存速度比磁盘快很多。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值