3-1. SpringBoot项目集成【用户身份认证】实战 【技术选型篇】基于Session、Token、JWT怎么选?

已于 2023-04-02 11:46:44 修改
阅读量5.1k 收藏 75
点赞数 77
CC 4.0 BY-SA版权
分类专栏: SpringBoot+Vue前后端分离项目实战 文章标签: spring boot java jwt Session Token
于 2023-03-29 16:36:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/scm_2008/article/details/129838950
本文介绍了SpringBoot项目中用户身份认证的三种常见机制:基于Cookie的Session、有状态和无状态的Token,以及JWT。重点阐述了JWT的原理和优势,包括安全、无状态和可自定义字段。文章旨在帮助读者理解为何选择JWT,并提供了实战项目的背景和目标。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

通过第二章2-2. SpringBoot API开发详解 --SpringMVC注解+封装结果+支持跨域+打包,我们实现了基于SpringBoot项目的API接口开发,并实现 API结果统一封装、支持跨域请求等等功能,接下来开始第三章,主要做用户身份认证,主要实现一套统一鉴权的用户身份认证的机制

我已经提前和狗哥一起讨论确定了认证机制,会采用目前流行的基于JWT的Token用户身份认证机制,主流程如下:

  1. 前端请求【用户名+密码登录】接口,后端验证通过后生成Token 返回给前端;
  2. 前端保存Token,以后每次请求API都会携带Token,后端校验Token通过就正常返回数据;
  3. 直到后端校验Token已失效,这时再从第1步重新开始。
    JWT认证流程

为什么这么选型?我们都考虑了哪些点?
OK,那我也很乐意和大家一起探讨:怎么做好用户身份认证!
网上很多文章大多直接整合JWT,并没有讲解 为什么选择JWT?与其它选型对比有什么优缺点? 这些都是我们实战的基础,也会让我们代码写的清清楚楚、明明白白。不管写毕业设计,这是面试谈项目亮点,本文也将是你可以参考的点!
用户身份认证很重要,很多小细节,等你收割!相信本文一定会让你有所收获!OK,Let’s go!

PS,完整的用户身份认证代码早已实现,和狗哥也已联调通过,将分三篇来写,非常详细,料很足,准备好发车喽,Let’s go!
本文对应思维导图:
技术选型Session、Token、JWT?

专栏介绍

因为可能还有很多同学还不清楚上下文,所以简单介绍一下这个专栏要做的事:

天罡老哥和狗哥(博客主页)有意从0到1带大家搭建一个SpringBoot+SpringCloud+Vue的前后端分离项目!
打造一个短小精悍、技术主流、架构规范的前后端分离实战项目!我负责后端,狗哥负责前端!
目的就是让大家通过项目实战,

了解本专栏 订阅专栏 解锁全文
3-2. SpringBoot项目集成用户身份认证实战实战核心】基于JWT生成和校验Token
天罡gg的专栏
03-31 2920
书接上文技术选型,我们做了【用户身份认证】的技术选型说明,对基于SessionTokenJWT的方案进行了详细的对比分析,详细说明了它们都是什么和各自的优缺点!这些是实战的基础,还没看过的同学,建议先看上文。最终我和狗哥(博客主页) 采用的是目前流行的基于JWTToken用户身份认证机制! 本文是实战核心,重点是把JWT的核心代码实现! 基于上文我们分析的【用户身份认证】的流程(如下图),我们可以确定使用JWT的核心是实现两点:生成Token、校验Token! 接下来我们就来实现它!
基于SpringBoot+SpringCloud+Vue前后端分离项目实战 --
天罡gg的专栏
03-07 2万+
如何高效学习Java? 毕业设计项目应该怎么做?入门实战项目应该怎么做? 做Java开发都应该学习哪些框架技术? 我想来跟你聊聊为什么要学习此专栏?我们经常说,看一个事儿千万不要直接陷入细节里,你应该先鸟瞰其全貌,这样能够帮助你从高维度理解问题。同样,当你迷茫想努力没有方向时,最事半功倍的方法是:找人带你! 因为过来人,更懂得如何学、如何做、如何少走弯路! 那今天就给大家带来一门专栏课程,由 天罡gg 和 经海路大白狗 两位实力大牛合力打造的一款专栏,可以让你从0到1快速拥有企业级规范的项目实战经验!
springboot实现身份认证
gaohechao的博客
02-28 1389
好久没总结项目了,最近一直比较忙都在加班,在整一个定制项目公交行业的,大致内容就是由于这几年受疫情影响好多年没有组织扫墓活动了,想通过定制车辆去扫墓,然后公交行业又有资源,是想做h5嵌入到公交app里面跟app做授权,有用户端和司机端,目前是这样做,然后有自己的一个管理平台做crud,大致有两个项目, 需要一个管理平台,去管理一些基础数据有一些导入导出功能,能实现基础表的crud操作,这里主要用的是人人开源的开源版本,前后台都是用的人人的,还是比较好上手的,后端是springboot 2....
SpringBoot集成JWT--实现token验证(转)
lingjianqwert110的博客
03-10 555
什么是JWTJWT即JSON WEB TOKEN,为了在网络应用环境上进行传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该token被设计者设计成紧凑且安全的,特别适用分布式站点的单点登陆(SSO)。JWT申明一般被用来在身份提供者和服务提供者之间传递被认证的用户信息,以便于从资源服务器上获取资源,也可以增加一些额外的业务逻辑所必需的的声明信息,该token可直接被用于认证了...
基于springboot的手机app端支付宝实名认证
a1430490717的博客
07-17 2604
yml配置文件: alipay: APP_ID: 2021001166634591 APP_PRIVATE_KEY: ALIPAY_PUBLIC_KEY: maven依赖: <!-- https://mvnrepository.com/artifact/com.alibaba/fastjson --> <dependency> <groupId>com.alibaba</groupId>
springboot 集成腾讯云市场身份证实名认证
hyddhy的博客
09-21 1320
该接口文档地址:https://market.cloud.tencent.com/products/6841,公司在使用,目前没发现什么问题 //控制层 @PostMapping("/getAuth") @ApiOperation(value = "实名认证接口", notes = "") public GlobalReponse<Object> getAuth(@RequestBody AuthDTO authDTO) throws NoSuchAlgorithmExcep
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 4872
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-TokenSpring WebFlux集成Sa-Token这两个常用的开发框架。......
2-4. 实战Git常用操作(IDEA界面+命令)
天罡gg的专栏
03-24 1929
对于初用Git的同学来说,必须掌握以下常用的操作: 初始化(init) 忽略文件(.gitignore) 提交(commit) 查看提交记录(log) 创建+切换分支(branch) 实战入门文章,利求图文并茂,绝对详细!因为Git并不分语言,不分工具,所以为了并不只局限于使用IDEA开发Java的同学,我会同时讲解如何使用IDEA操作Git,以及如何使用Git命令操作,所以本文讲的Git也是一个通用的知识,让我们一起愉快的提交一个版本吧,Let’s Go!
SpringBoot实现身份证实名认证(阿里云实现)
zhouhengzhe的博客
01-05 9937
文章目录1、功能展示2、购买API3、 API 文档 1、功能展示 地址:阿里云身份证实名认证 2、购买API 购买成功的结果: AppKey 图上面 AppSecret 图上面 AppCode 图上面 3、 API 文档 地址:api文档
SpringBoot集成身份证认证
xiao-啸
09-27 2724
SpringBoot集成身份证认证 1. 身份认证 此处我们升级为自动的认证过程,无需人工参 1.1 功能展示 我们输入真实姓名和身份证号就能验证,其技术在于阿里云的身份认证接口. https://market.aliyun.com/products/57000002/cmapi022049.html?spm=5176.730005-56956004.productlist.d_cmapi022049.744d123e6WmvqO&innerSource=search#sku=yuncode16
SpringBoot实现基于token的登录验证
qq_36816062的博客
09-17 9836
SpringBoot实现基于token的登录验证        基于token的登录验证实现原理:客户端通过用户名和密码调用登录接口,当验证数据库中存在该用户后,将用户的信息按照token的生成规则,生成一个字符串token,返回给客户端,客户端在调用其他接口的时候,需要在请求头上带上token,来验证登录信息        Demo实现代码如下: (因为除登录接口外,
springboot项目集成JWT实现身份认证(权鉴)
dhklsl的专栏
04-11 2020
springboot集成JWT实现身份认证
第二十七天 SpringBootWeb(三)登录认证(JWT令牌,过滤器拦截器)
HuanLe.的博客
04-02 1451
完善前一天 登录校验(过滤器Filter 拦截器Interceptor) 全局异常处理
SpringBoot集成JWT实现Token登录验证
热门推荐
Young_深情不及里子的博客
11-25 2万+
JSON Web令牌(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑而独立的方式在各方之间安全地传输信息为JSON对象。学习总结一下SpringBoot整合JWT的登录token验证,简单易理解哦~
springboot整合springsecurity单点登录:认证、校验思路
qq_53596115的博客
03-19 606
springsecurity单点登录,认证及校验代码实现,逻辑。
springboot2.0企业中台实战之权限统一管理应用统一授权 (dubbo分布式系统实战)
12-07
本课程是一门具有很强实践性质的“项目实战”课程,即“企业中台系统实战”,其中主要包含三大块核心内容,如下图所示(右键可以在新标签页中打开图片放大查看): 即主要包含以下三大块内容: ① 企业内部应用系统菜单资源和操作权限的统一管理; ② 分布式应用系统通信时的统一授权,即基于AccessToken的授权认证; ③ 分布式服务/系统通信时的两大方式(基于dubbo rpc协议和基于http协议的restful api实战)。   值得一提的是,这套中台系统由于讲解了如何统一管理企业内部各大应用系统的“菜单资源列表”、“操作权限”,故而本门课程的“代码实战”是建立在之前debug录制的“企业权限管理平台”这套课程的基础之上的,故而在这里debug建议没有项目开发基础的小伙伴可以先去学习我的那套“企业权限管理平台”的实战课程,之后再来学习我的这套中台系统的实战才不会很吃力(课程链接:)   本课程的课程大纲如下图所示(右键可以在新标签页中打开图片放大查看):   除此之外,这套“中台系统”由于统一管理了企业内部各大应用系统的“菜单资源和操作权限”以及“应用系统之间通信时的统一授权”,故而难免需要涉及到“中台系统”“中台子系统”、“中台子系统”“中台子系统”之间的通信(即分布式服务之间的通信),在这里我们是采用“dubbo + zookeeper”的方式加以落地实现的,详情如下图所示(右键可以在新标签页中打开图片放大查看):   而众所周知,作为一款知名以及相当流行的分布式服务调度中间件,dubbo现如今已经晋升为Apache顶级的开源项目,未来也仍将成为“分布式系统”开发实战的一大利器,如下图所示为dubbo底层核心系统架构图(右键可以在新标签页中打开图片放大查看): 而在这门“中台系统实战”的课程中,我们也将始终贯彻、落地dubbo的这一核心系统架构图,即如何将中台系统开发的服务注册/发布到注册中心zookeeper,中台子系统如何订阅/消费/调度中台系统发布在zookeeper的接口服务,中台子系统在走http协议调度通信时dubbo如何进行拦截、基于token认证接口的调用者等等,这些内容我们在课程中将一一得到代码层面的实战落地!   下图为本课程中涉及到的分布式系统/服务之间 采用“http协议restfulapi”方式通信时的Token授权、认证的流程图(右键可以在新标签页中打开图片放大查看): 而不夸张地说,基于AccessToken的授权、认证方式在现如今微服务、分布式时代系统系统在通信期间最为常用的“授权方式”了,可想而知,掌握其中的流程思想是多么的重要!   以下为本门课程的部分截图(右键可以在新标签页中打开图片放大查看):     核心技术列表: 值得一提的是,由于本门课程是一门真正介绍“中台思想”以及将“中台思想”和“分布式系统开发实战”相结合落地的课程,故而在学完本门课程之后,可以掌握到的核心技术自然是相当多的。主要由SpringBoot2.0、SpringMVC、Mybatis、Dubbo、ZooKeeper、Redis、OkHttp3、Guava-Retrying重试机制、JWT(Json Web Token)、Shiro、分布式集群session共享、Lombok、StreamAPI、Dubbo-Filter以及ServiceBean等等。如下图所示(右键可以在新标签页中打开图片放大查看):
java--Springboot 拦截器、异常类处理和定时器相关基础
weixin_45686583的博客
03-30 664
Springboot 拦截器、异常类和定时器相关基础 拦截器用于拦截controller中被访问的路径,false表示拦截 true代表放行。 拦截器的配置: package cn.zbw.interceptor; import org.springframework.lang.Nullable; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterce
springboot后台开发记录————token的使用
qq_44112824的博客
09-30 2185
springboot后台开发记录————token的使用 一、token的作用 sessiontoken都是用来保持会话,功能相同; 而在前后端分离的项目中,使用token能够降低服务器压力,登录成功后,服务端会在响应主体中将{token:‘字符串’}返回给客户端。客户端通过cookie、sessionStorage、localStorage都可以进行存储。再次请求时不会默认携带,需要在请求拦截器位置给请求头中添加认证字段Authorization携带token信息,服务器端就可以通过token信息查找用
springboot 加入token安全认证 手把手教程
qq_42017966的博客
08-26 4704
springboot 加入token安全认证 手把手教程
基于Springboot+微信小程序的图书馆座系统
最新发布
03-10
<think>好的,用户需要构建一个基于Spring Boot和微信小程序的图书馆座系统。首先,我得理清楚整个系统的架构和各个模块的功能。根据用户提供的引用,特别是引用[1]和[3],里面有提到Vue和微信小程序的应用案例,这可能对前端设计有帮助。但用户主要关注的是Spring Boot后端和微信小程序的整合,所以需要重点考虑这两部分。 首先,系统需要用户认证和权限管理。引用[4]提到了用户注册、登录以及管理员管理用户的功能,这可以作为用户模块的基础。可能需要使用Spring Security或者JWT来实现安全的认证机制。同时,微信小程序端需要调用微信的登录接口获取用户信息,后端进行交互。 接下来是座位的管理。座位信息包括区域、编号、状态等,需要设计数据库表结构。考虑到实时性,座位状态的更新可能需要使用WebSocket来保持前后端的同步,避免用户座时出现冲突。引用[2]中的Spring Boot和MyBatis组合可以用于数据持久层,处理座位信息的增删改查。 座逻辑是关键部分。用户择座位时,后端需要处理并发请求,确保同一座位不会被多人同时中。这里可能需要使用数据库的乐观锁或者分布式锁,比如Redis的锁机制。此外,座成功后需要生成预约记录,并设置有效时间,超时未签到则自动释放座位。 签到功能可能需要结合微信小程序的位置服务,用户到达图书馆后,通过GPS或扫码进行签到。后端需要验证用户的位置信息是否在允许范围内,并更新座位状态为已使用。 数据统计模块可以参考引用[2]中的管理系统,使用ECharts等图表库展示使用情况,帮助管理员优化资源分配。 技术选型方面,Spring Boot作为后端框架,MyBatis-Plus简化数据库操作,Redis处理缓存和分布式锁,WebSocket实现实时通信。微信小程序端使用原生框架,调用后端RESTful API。引用[1]中的Vue可能不适用,但小程序的前端结构类似,需要页面、逻辑、样式和配置文件的合理组织。 示例代码部分,需要提供后端的控制器、服务层和实体类,以及小程序的页面逻辑。例如,座位查询接口返回可用座位列表,座接口处理并发请求,使用Redis锁确保原子性。同时,定时任务处理超时预约,释放座位。 可能遇到的问题包括高并发下的座位竞争、微信登录的集成、实时状态同步等。需要确保后端接口的幂等性,避免重复座。测试时可以使用JMeter模拟多用户座,验证系统的稳定性。 最后,根据引用[3]中的示例,类似的小程序系统(如书城、跳蚤市场)可以参考其用户交互设计和后端接口实现。结合这些资料,用户可以逐步搭建起图书馆座系统,先从核心功能开始,再逐步完善扩展。</think>### 基于Spring Boot和微信小程序的图书馆座系统实现方案 #### 一、系统架构设计 1. **技术栈** - 后端:Spring Boot + MyBatis-Plus + Redis(分布式锁) + WebSocket(实时推送) - 数据库:MySQL - 前端:微信小程序原生框架 + Vant Weapp组件库 - 部署:Nginx反向代理 + Docker容器化 2. **核心功能模块** - 用户认证:微信授权登录 + JWT令牌验证[^4] - 座位管理:区域划分、座位状态(空闲/占用/维护) - 预约座:实时座位地图、冲突检测、超时释放 - 签到管理:GPS定位验证 + 扫码签到 - 数据统计:使用率分析、热力图展示(集成ECharts)[^2] #### 二、数据库设计(关键表) ```sql -- 用户表 CREATE TABLE `user` ( `user_id` varchar(32) PRIMARY KEY COMMENT &#39;微信openid&#39;, `nickname` varchar(50) COMMENT &#39;微信昵称&#39;, `avatar_url` varchar(255) COMMENT &#39;头像&#39;, `role` int DEFAULT 0 COMMENT &#39;0-普通用户 1-管理员&#39; ); -- 座位表 CREATE TABLE `seat` ( `seat_id` int AUTO_INCREMENT PRIMARY KEY, `zone` varchar(20) COMMENT &#39;A区/B区&#39;, `number` varchar(10) COMMENT &#39;座位编号&#39;, `status` int DEFAULT 0 COMMENT &#39;0-空闲 1-已预约 2-占用 3-维护&#39; ); -- 预约记录表 CREATE TABLE `reservation` ( `id` int AUTO_INCREMENT PRIMARY KEY, `user_id` varchar(32), `seat_id` int, `start_time` datetime, `end_time` datetime, `checkin_status` int DEFAULT 0 COMMENT &#39;0-未签到 1-已签到&#39;, FOREIGN KEY (user_id) REFERENCES user(user_id), FOREIGN KEY (seat_id) REFERENCES seat(seat_id) ); ``` #### 三、核心功能实现 1. **微信登录集成** ```java // Spring Boot控制器 @RestController @RequestMapping("/auth") public class AuthController { @GetMapping("/wechatLogin") public ResponseEntity<?> wechatLogin(@RequestParam String code) { // 调用微信API获取openid String url = "https://api.weixin.qq.com/sns/jscode2session?appid={appid}&secret={secret}&js_code="+code+"&grant_type=authorization_code"; WechatResponse response = restTemplate.getForObject(url, WechatResponse.class); // 生成JWT令牌 String token = Jwts.builder() .setSubject(response.getOpenid()) .signWith(SignatureAlgorithm.HS512, secretKey) .compact(); return ResponseEntity.ok(new LoginResponse(token)); } } ``` 2. **座并发控制(Redis分布式锁)** ```java public class SeatService { @Autowired private RedisTemplate<String, String> redisTemplate; public boolean reserveSeat(String userId, Integer seatId) { String lockKey = "seat_lock:" + seatId; String lockValue = UUID.randomUUID().toString(); try { // 获取分布式锁 Boolean locked = redisTemplate.opsForValue() .setIfAbsent(lockKey, lockValue, 30, TimeUnit.SECONDS); if (Boolean.TRUE.equals(locked)) { Seat seat = seatMapper.selectById(seatId); if (seat.getStatus() == 0) { // 更新座位状态 seat.setStatus(1); seatMapper.updateById(seat); // 创建预约记录 Reservation reservation = new Reservation(userId, seatId); reservationMapper.insert(reservation); return true; } } return false; } finally { // 释放锁 if (lockValue.equals(redisTemplate.opsForValue().get(lockKey))) { redisTemplate.delete(lockKey); } } } } ``` 3. **微信小程序端核心页面(WXML)** ```html <!-- 座位地图页 --> <view class="container"> <map id="seatMap" latitude="{{latitude}}" longitude="{{longitude}}"> <block wx:for="{{seats}}" wx:key="seat_id"> <cover-image class="seat-icon {{item.status === 0 ? &#39;available&#39; : &#39;occupied&#39;}}" src="/images/seat.png" data-seat-id="{{item.seat_id}}" bindtap="onSelectSeat" style="left: {{item.x}}rpx; top: {{item.y}}rpx;" ></cover-image> </block> </map> <van-dialog id="reserve-dialog" title="预约确认" show-confirm-button bind:confirm="confirmReservation"> <view>座位:{{selectedSeat.zone}}-{{selectedSeat.number}}</view> <view>时段:{{timePicker.start}} - {{timePicker.end}}</view> </van-dialog> </view> ``` #### 四、部署优化建议 1. **性能优化方案** - 使用Redis缓存热点数据(如座位状态) - 采用分段加载策略,按区域加载座位数据 - 使用WebSocket实现座位状态实时推送: ```java @ServerEndpoint("/ws/seatStatus") public class SeatWebSocket { @OnOpen public void onOpen(Session session) { // 将新连接加入订阅列表 } public static void broadcastSeatUpdate(Seat seat) { // 向所有客户端推送更新 clients.forEach(client -> { client.sendText(JSON.toJSONString(seat)); }); } } ``` 2. **安全防护措施** - 接口限流(使用Guava RateLimiter) - XSS过滤(集成Jsoup) - SQL注入防护(MyBatis参数化查询) #### 五、扩展功能建议 1. **智能推荐算法** $$ \text{推荐分数} = \alpha \cdot \text{历史偏好} + \beta \cdot \text{实时热度} + \gamma \cdot \text{设施距离} $$ 其中$\alpha, \beta, \gamma$为权重系数 2. **移动端管理后台** - 使用uni-app开发跨平台管理端 - 集成可视化数据看板 #### 六、学习资源推荐 1. **Spring Boot基础** - 官方文档:https://spring.io/projects/spring-boot - 推荐书籍:《Spring Boot实战》 2. **微信小程序开发** - 官方文档:https://developers.weixin.qq.com/miniprogram/dev/framework/ - 示例项目:图书馆管理系统[^3]
评论 130
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天罡gg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值