token的实现
放弃以前的seesion,cookie 体系,使用token完成用户认证,实现前后端的用户同步。
- 如何实现前后端只传递 token 而完成 登录用户的认证与同步。
1、登陆时,生成token,并在redis中存储(以token为key,以用户信息为value,并设置key的过期时间)。然后把token信息传递给前端,并在前端保存。
2、每一次前端请求要求把token带回给后端(axios.js等框架可以全局设置请求头参数,即设置一个请求头的值为token)
3、后端设置一个拦截器,拦截所有请求,然后从请求头中获取token,并从redis中获取此redis.get(token)的信息。若在redis中能够获取到信息,说明此token存在并没有过期,即可通过请求;否则,拒绝请求。
- 整合shiro
只需要在realm中AuthenticationInfo 方法中进行token的认证和用户名的认证即可。
redis 代替 shiro框架
shiro本质上就是一个跑在后台的一个集合类,这个集合类里面包含了用户信息,角色信息,权限信息。可以使用redis来代替shiro的功能。
- 实现
1、登陆时,生成token,并在redis中存储;以token为key存储为hash数据结构,并设置key的过期时间,hash里面存储用户信息,角色信息,权限信息;然后把token信息传递给前端,并在前端保存。
2、每一次前端请求要求把token带回给后端(axios.js等框架可以全局设置请求头参数,即设置一个请求头的值为token)
3、后端设置一个拦截器,拦截所有请求,然后从请求头中获取token,并从redis中获取此redis.get(token)的信息。若在redis中能够获取到信息,说明此token存在并没有过期,即可通过请求;否则,拒绝请求。
4、验证权限 :可以自定义一个注解,用于权限的验证;然后再写一个aop切面或者拦截器,用来解析自定义注解;查看注解里的权限字符串是否存在于reids里。
【注意】最好设置一个全局response类,作为请求的返回值
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
