脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → SpringBoot3 token拦截器链

SpringBoot3中token拦截器链的设计与实现步骤

 更新时间:2024年03月08日 09:40:42   作者:蒾酒  
本文介绍了spring boot后端服务开发中有关如何设计拦截器的思路,文中通过代码示例和图文讲解的非常详细,具有一定的参考价值,需要的朋友可以参考下

流程分析

用户在进行登陆后服务器会发放token等信息一起返回给前端,前端会进行保存,那么token里面是携带一些有关用户的身份等信息的,用户端在请求后端时需要在请求头携带token,请求先被拦截器截获,只有经过多重拦截器校验通过后才可以执行对应功能接口,否则会抛出异常返回对应错误信息。

需要清楚的

  • 每次登录都要刷新token信息,
  • 不能在用户访问的过程中token过期,只要用户访问,token就要刷新有效期。
  • 如果token正确解析token中的用户id,根据用户id查询用户信息。

实现步骤

总的来说大致分为4步:

1定义拦截器--->2创建拦截器链配置类--->3配置拦截器链顺序--->4配置拦截排除项

1.定义拦截器

首先,需要定义第一个拦截器类,该拦截器类需要实现 Spring 框架提供的 HandlerInterceptor 接口。该拦截器只做一件事就是刷新token。

import cn.hutool.json.JSONUtil;
import com.mijiu.commom.util.JwtUtils;
import com.mijiu.commom.util.UserHolder;
import com.mijiu.entity.User;
import io.jsonwebtoken.Claims;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.lang.Nullable;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
 
import java.util.Objects;
import java.util.concurrent.TimeUnit;
 
/**
 * @author mijiupro
 */
@Slf4j
@Component
public class RefreshTokenInterceptor implements HandlerInterceptor {
 
    private final JwtUtils jwtUtils;
    private final StringRedisTemplate stringRedisTemplate;
 
    public RefreshTokenInterceptor(JwtUtils jwtUtils, StringRedisTemplate stringRedisTemplate) {
        this.jwtUtils = jwtUtils;
        this.stringRedisTemplate = stringRedisTemplate;
    }
 
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
 
        // 1、从请求头中获取token
        String authorizationHeader = request.getHeader("authorization");
        if (StringUtils.isBlank(authorizationHeader)) {
            return true;
        }
        // 2.解析token
        Claims claims = jwtUtils.parseToken(authorizationHeader);
        if (Objects.isNull(claims)) {
            return true;
        }
 
        // 3.获取用户信息
        Integer userId = claims.get("userId", Integer.class);
 
        String userInfoJson = stringRedisTemplate.opsForValue().get("login:user:" + userId);
        if (StringUtils.isBlank(userInfoJson)) {
            return true;
        }
 
 
        // 4.刷新token
        String refreshToken = jwtUtils.refreshToken(authorizationHeader);
 
        response.setHeader("Access-Control-Expose-Headers", "Authorization");
        response.addHeader("Authorization", refreshToken);
        stringRedisTemplate.expire("login:user:" + userId, 30, TimeUnit.MINUTES);
 
        // 5.将用户信息存入本地线程方便获取
        User user = JSONUtil.toBean(userInfoJson, User.class);
        UserHolder.setInfoByToken(user);
 
        return true;
    }
 
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable Exception ex) throws Exception {
        // 清理本地线程
        UserHolder.clear();
    }
}

值得注意:因为有些接口是不需要认证的比如你在商城,浏览商品,是不是不登录也可以浏览。不登录就没token,没token就直接放行(认证交给后续的认证拦截器),有token就直接刷新(不可能你登录了浏览了30分钟,突然下单然后告诉你token过期重新登录吧,所以登录后调用的每个接口都要走一遍token刷新)。最后请求处理完一定要清理一下本地线程,不然用户多的时候内存占用会很大。

然后,就要实现一个认证拦截器了,实现用户身份认证。

import com.mijiu.commom.util.UserHolder;
import com.mijiu.entity.User;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import java.util.Objects;
 
 
/**
 * @author mijiupro
 */
 
@Component
public class LoginInterceptor implements HandlerInterceptor {
 
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        User user = UserHolder.getInfoByToken();
 
        if (Objects.isNull(user)) {
            response.setStatus(401);
            return false;
        }
 
        return true;
    }
}

值得注意:在上个拦截器我们是做过解析token了并存在本地线程里面,所以只需要判断本地线程有没有即可。

2.创建拦截器链配置类

创建一个配置类,用于配置拦截器链。在该配置类中,通过实现 WebMvcConfigurer 接口来添加拦截器,具体包括 addInterceptors 方法。

import com.mijiu.commom.interceptor.LoginInterceptor;
import com.mijiu.commom.interceptor.RefreshTokenInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
 
/**
 * @author mijiupro
 */
@Configuration
public class WebConfig implements WebMvcConfigurer {
    private final RefreshTokenInterceptor refreshTokenInterceptor;
 
    private final LoginInterceptor loginInterceptor;
 
    public WebConfig(RefreshTokenInterceptor refreshTokenInterceptor, LoginInterceptor loginInterceptor) {
        this.refreshTokenInterceptor = refreshTokenInterceptor;
        this.loginInterceptor = loginInterceptor;
    }
 
 
    @Override
    public void addInterceptors( InterceptorRegistry registry) {
        registry.addInterceptor(refreshTokenInterceptor)
                .addPathPatterns("/**").order(0);//设置拦截器对所有路径生效,执行顺序为0
 
        registry.addInterceptor(loginInterceptor)
                .excludePathPatterns("/captcha/graph-captcha")//排除用户登录获取验证码接口
                .excludePathPatterns("/","*/login","*.html","/images/**","/doc.html"
                        ,"/webjars/**","/swagger-resources","/swagger-resources/**","/v3/**")//排除登录获取静态资源、swagger接口文档等。
                .order(1);//设置拦截器对所有路径生效,执行顺序为1
 
 
    }
 
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**") // 对所有路径生效
                .allowedOrigins("*") //允许所有源地址
                .allowedMethods("GET", "POST", "PUT", "DELETE") // 允许的请求方法
                .allowedHeaders("*"); // 允许的请求头
    }
}

3.配置拦截器链顺序

刷新token的拦截器要最先执行,接着才是认证拦截器

4.配置拦截排除项

像用户登录的验证码接口、登录接口以及像一些静态资源、网页、图片等需要进行拦截排除,如果整合了swagger接口文档也是需要排除的。

最后

token拦截器链的设计与实现核心就四步:

1定义拦截器--->2创建拦截器链配置类--->3配置拦截器链顺序--->4配置拦截排除项

到此这篇关于SpringBoot3中token拦截器链的设计与实现步骤的文章就介绍到这了,更多相关SpringBoot3 token拦截器链内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • SpringCloud Webflux过滤器增加header传递方式

    SpringCloud Webflux过滤器增加header传递方式

    这篇文章主要介绍了SpringCloud Webflux过滤器增加header传递方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2023-02-02
  • Java1.7全网最深入HashMap源码解析

    Java1.7全网最深入HashMap源码解析

    HashMap 是一个散列表,它存储的内容是键值对(key-value)映射。HashMap 实现了 Map 接口,根据键的 HashCode 值存储数据,具有很快的访问速度,最多允许一条记录的键为 nul
    2021-11-11
  • Java中关于String的全面解析

    Java中关于String的全面解析

    这篇文章主要介绍了Java中关于String全面解析,下面我们来一起学习一下吧
    2019-05-05
  • Java解析xml文件遇到特殊符号异常的情况(处理方案)

    Java解析xml文件遇到特殊符号异常的情况(处理方案)

    这篇文章主要介绍了Java解析xml文件遇到特殊符号&会出现异常的解决方案,实现思路很简单通过在读取xml文件使用SAX解析前读取reader,具体实现方法及示例代码跟随小编一起看看吧
    2021-05-05
  • Java实现通过时间获取8位验证码

    Java实现通过时间获取8位验证码

    这篇文章主要为大家详细介绍了Java如何通过时间获取8位验证码(每两个小时生成一个),文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下
    2023-11-11
  • java使用泛型实现栈结构示例分享

    java使用泛型实现栈结构示例分享

    泛型是Java SE5.0的重要特性,使用泛型编程可以使代码获得最大的重用。由于在使用泛型时要指明泛型的具体类型,这样就避免了类型转换。本实例将使用泛型来实现一个栈结构,并对其进行测试
    2014-03-03
  • java中continue和break区别详细解析

    java中continue和break区别详细解析

    break和continue都是跳转语句,它们将程序的控制权转移到程序的另一部分,下面这篇文章主要给大家介绍了关于java中continue和break区别的相关资料,需要的朋友可以参考下
    2022-11-11
  • springboot 实现长链接转短链接的示例代码

    springboot 实现长链接转短链接的示例代码

    短链接服务通过将长URL转换成6位短码,并存储长短链接对应关系到数据库中,用户访问短链接时,系统通过查询数据库并重定向到原始URL,实现快速访问,本文就来介绍一下如何使用,感兴趣的可以了解一下
    2024-09-09
  • 基于spring @Cacheable 注解的spel表达式解析执行逻辑

    基于spring @Cacheable 注解的spel表达式解析执行逻辑

    这篇文章主要介绍了spring @Cacheable 注解的spel表达式解析执行逻辑,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2022-01-01
  • Springboot集成ProtoBuf的实例

    Springboot集成ProtoBuf的实例

    这篇文章主要介绍了Springboot集成ProtoBuf的实例,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2022-03-03

最新评论