本着结果导向的原则,先说一下这个例子最后实现的效果是啥:用户登录成功后后台会返回一个token给调用者,同时我们自定义了@AuthToken注解,被该注解标注的api进行请求的时候都需要进行token效验,效验通过才可以正常访问,实现接口级的鉴权控制。同时token具有生命周期,在用户持续一段时间不进行操作的话,token则会过期,用户一直操作的话,则不会过期。
适合人群新手学习或者刚开始尝试采用token方式鉴权的老手。
你可能可以学到:
- SpringBoot构建一个RESTful服务
- Swagger 管理API文档
- Redis的简单使用
- token鉴权的一种思路
……
- SpringBoot :参考资料>SpringBoot构建RESTful服务
- redis : 参考资料>redis参考资料
- mybatis plus:参考资料>mybatis plus 文档
- 安装MySQL,导入resources下的token_demo.sql,创建数据库表结构,在application.properties中配置数据库账号密码。
- 安装redis。redis官方没有提供window版本,好在微软为我们提供了window下的版本:
window版redis下载 - 运行TokenApplication.java类来启动项目,默认端口为9001,如果有端口冲突或者希望修改端口可以到配置文件application.properties下修改server.port的值即可。
- 成功启动后浏览器打开http://localhost:9001/swagger-ui.html,便可以看到swagger API展示界面,进行API调试。
- 客户端登录,输入用户名和密码,后台进行验证,如果验证失败则返回登录失败的提示。如果验证成功,则生成token然后将username和token双向绑定(可以根据username取出token也可以根据token取出username)存入redis,同时使用token+username作为key把当前时间戳也存入redis。并且给它们都设置过期时间。
- 每次请求都会走拦截器,如果该接口标注了@AuthToken注解,则要检查http header中的Authorization字段,获取token,然后由于token与username双向绑定,我们可以通过获取的token来尝试从redis中获取username,如果可以获取则说明token正确,反之,说明错误,返回鉴权失败。
- token可以根据用户使用的情况来动态的调整自己过期时间。我们在生成token的同时也往redis里面存入了创建token时的时间戳,每次请求被拦截器拦截token 验证成功之后,将当前时间与存在redis里面的token生成时刻的时间戳进行比较,当当前时间的距离创建时间快要到达设置的redis过期时间的话,就重新设置token过期时间,将过期时间延长。如果用户在设置的redis过期时间的时间长度内没有进行任何操作(没有发请求),则token会在redis中过期。
更加详细的细节尽在代码中……
实现token鉴权的例子
