本文介绍了如何在JavaWeb应用中实现基于Token的用户登录机制,以解决跨域问题。通过Spring Boot创建项目,设置Controller和AuthorizationFilter拦截器进行Token验证。登录流程包括用户提交账号密码,服务端校验并生成Token,存储在Session中,然后返回给前端。前端在后续请求中携带Token以维持登录状态。文中提到实际开发中,Token可以存储在数据库或Redis中,并给出了使用UUID作为Token和模拟登录、登出、状态查询的示例。
哦吼,我是卷卷毛,我回来啦。这一次我们来实现一个使用Token方式的用户登录机制。
听说现在使用token方式登录非常流行,可以替代之前使用cookie/session方式实现用户登录。
对博主而言,一个非常便捷的地方在于,使用token进行登录验证,在前后端分离开发时可以避免许多跨域相关的问题。(cookie跨域问题真的是调了好久好久。。。。)
首先,对于演示环境,后台使用的框架是Spring Boot,调试使用的软件是Postman
我们先创建一个基本的spring boot项目,部署在端口80上。如何快速创建spring boot项目,可以查看这篇文章:SpringBoot入门 快速创建并部署web后端
搞一个测试用controller,看看是否能连接上:
启动程序,访问本地,的/test/hello:
接着,我们来进行token登录验证的过程,它的过程不难理解,大致如下:
- 用户发起登录请求,向后台传递账号密码
- 服务端校验账号密码,确认无误后,为用户创建token
- 服务端备份token,并将token返回给用户
- 用户保留token,并在后续的请求中携带token以表明登录状态
- 服务端拦截请求,查验token以确定用户的登录状态。
过程也可以用下面的图示表示:
原理不难理解,但在实现的时候会有很多变化,也会有很多细节问题。例如,token用什么生成啊?生成的token存在哪里啊?等等
还有一个很容易想到的问题就是:前端如何每次请求都携带Token?
一般来说,小伙伴们包括博主第一反应都是:加在参数里面呀
其实不然,加在参数里面可以是可以,但是会很麻烦。通常的做法是:将它放到HTTP报文的请求头中,作为字段Authorization的值
这样来传递token就会方便许多并且后端过滤起来也会非常方便。
(当然这里没有考虑任何安全问题)
说了这么多理论,现在就来实现一下。
为了便于演示,我们就使用UUID作为token,并将生成的token存放在session中。
在实际开发中,我们也可以选择将其存放在数据库或者是redis中等等。
先创建UserController和AuthorizationFilter
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("user")
public class UserController {
}
//目前拦截所有请求,可以根据需求修url匹配样式
@WebFilter(filterName="AuthorizationFilter",urlPatterns= {"*"})
public class AuthorizationFIlter implements Filter{
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
// TODO Auto-generated method stub
}
}
- userController用来处理用户业务,包括登录,登出,登录信息查询等等。
- AuthorizationFilter是一层拦截器,拦截需要查验登录情况的请求,将token取出并进行验证。
使用filter,一定记得在启动类上添加注解@ServletComponentScan!!!!
先来实现拦截器:
在拦截器中,我们将请求头中的Authorization的值拿出来,并与session中的token值进行验证。从而甄别用户的登录状态。
简单来说,登录状态可能有三种:
- 请求头中没有token,标记为
用户未登录 - 请求头中的token与session中的失配,标记为
token错误或超时 - 请求头中的token配对成功,标记为
用户已登录
现在就来实现一下:
//目前拦截所有请求,可以根据需求修url匹配样式
@WebFilter(filterName="AuthorizationFilter",urlPatterns= {"*"})
public class AuthorizationFIlter implements Filter{
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
System.out.println("拦截到用户请求,正在校验用户登录情况。。。。");
//注意下转型request对象。ServletRequest中没有获取头部信息的方法
HttpServletRequest req = (HttpServletRequest) request;
//获取头部信息中的token
String token = req.getHeader("Authorization");
System.out.println("用户token为:" + token);
if(token == null || "".equals(token)) {//用户未登录
System.out.println("用户未登录");
request.setAttribute("verification result","not logged in");
chain.doFilter(request, response);
return;
}
//获取session
HttpSession session = req.getSession();
//从session中获取服务端存储token
String tokenServer = (String) session.getAttribute("token");
if(!token.equals(tokenServer)) {//如果请求头中token与服务端token失配
System.out.println("token错误或超时");
request.setAttribute("verification result", "wrong token");
chain.doFilter(request, response);
return;
}
/*用户token匹配成功*/
request.setAttribute("verification result", "logged in");
chain.doFilter(request, response);
}
}
接着,来实现用户的登录,登出,和登录状态
由于未连接数据库,我们就先使用假的账号密码:
- 账号
123456789 - 密码
123456
@RestController
@RequestMapping("user")
public class UserController {
//用户登录
@RequestMapping("login")
public String login(HttpServletRequest request,HttpServletResponse response,
String username,String password) {
System.out.println("用户发起登录请求。。。。");
//获取登录状态
String result = (String) request.getAttribute("verification result");
if("logged in".equals(result)) {//校验用户是否已经登录
System.out.println("用户已登录");
return "用户已登录,请勿重复登录";
}
if(!"123456789".equals(username)) {//校验用户名称
System.out.println("用户不存在");
return "用户不存在";
}
if(!"123456".equals(password)) {//校验用户密码
System.out.println("账号或密码错误");
return "账号或密码错误";
}
//生成一个token
String token = UUID.randomUUID().toString();
System.out.println("用户登录成功,获得token:" + token);
HttpSession session = request.getSession();
//服务端备份token
session.setAttribute("token", token);
//返回token
return token;
}
//用户登出
@RequestMapping("logout")
public String logout(HttpServletRequest request,HttpServletResponse response) {
System.out.println("用户登出");
//获取登录校验结果
String result = (String) request.getAttribute("verification result");
if(!"logged in".equals(result)) {//如果未通过登录校验
return "用户未登录或token错误,无法登出";
}
/*通过登录校验,登出用户*/
HttpSession session = request.getSession();
//清空token
session.setAttribute("token", null);
System.out.println("登出成功");
return "登出成功";
}
//查看登录状态
@RequestMapping("loginStatus")
public String loginStatus(HttpServletRequest request,HttpServletResponse response) {
System.out.println("获取用户登录状态");
//获取登录校验结果
String token = (String) request.getAttribute("verification result");
if("logged in".equals(token)) {
return "用户已登录";
}
if("wrong token".equals(token)) {
return "口令错误或超时";
}
if("not logged in".equals(token)) {
return "用户未登录";
}
return "未知错误";
}
}
不过使用session存储有一个问题就是不方便设置定时。
如果使用redis或者数据库存储的话在限时登录这方面就会方便许多。
写完了一套流程,我们来验证一下。发送请求的工具是postman
- 输入错误的账户:
- 错误的密码
-
正确的账户密码,登录成功
-
将token写到请求头中,再次发起登录请求:
-
获取当前登录状态(记得添加请求头)
-
输入错误的token,再次获取状态:
-
-
登出用户
扫一扫
3924
到【灌水乐园】发言
