使用springboot和redis实现redis权限认证
一、引言
登录权限控制是很多系统具备的功能,实现这一功能的方式有很多,其中使用token是现在用的比较多的
好处:可以防止CSRF攻击
二、功能实现:
用户登录成功后,后台生成一个token并存在redis中,同时给此用户的token设置时限,返回一个token给调用者,同时自定义一个@AuthToken注解,被该注解标注的API请求都需要进行token效验,效验通过才可以正常访问,实现接口级的鉴权控制。同时token具有生命周期,在用户持续一段时间不进行操作的话,token则会过期,用户一直操作的话,则不会过期。
具体流程:
1、 用户输入账号密码,发送请求给后台,后台生成一个token,将用户的用户名或者手机号等跟token绑定存入redis中,并且设置过期时间,同时将当前时间戳也存入redis中
@PostMapping(value = "login")
public ResponseTemplate login(String phone, String password) {
User user = userService.getUser(phone,password);
JSONObject result = new JSONObject();
if (user != null) {
Jedis jedis = new Jedis("localhost", 6379);
String token = tokenGenerator.generate(phone, password);
//设置token以及过期时间
jedis.set(token, phone);
//设置key生存时间,当key过期时,它会被自动删除,时间是秒
jedis.expire(token, ConstantKit.TOKEN_EXPIRE_TIME);
//记录设置token的时间,以便于后续调用时分析token是否过期
Long currentTime = System.currentTimeMillis();
jedis.set(token + phone, currentTime.toString());
jedis.expire(token+phone,ConstantKit.TOKEN_EXPIRE_TIME);
//用完关闭
jedis.close();
result.put("token", token);
result.put("status",1);
} else {
result.put("status",0);
}
return ResponseTemplate.builder()
.code(200)
.message("OK")
.data(result)
.build();
2、每次请求接口都会走拦截器,如果该接口标注了@AuthToken注解,则要检查客户端传过来的Authorization字段,获取 token。并且根据token是否存在redis中,如果可以获取则说明 token 正确,反之,说明错误,返回鉴权失败。
3、token可以根据用户使用的情况来动态的调整自己过期时间。在生成 token 的同时也往 redis 里面存入了创建 token 时的时间戳,每次请求被拦截器拦截 token 验证成功之后,将当前时间与存在 redis 里面的 token 生成时刻的时间戳进行比较,当当前时间的距离创建时间快要到达设置的redis过期时间的话,就重新设置token过期时间,将过期时间延长。如果用户在设置的 redis 过期时间的时间长度内没有进行任何操作(没有发请求),则token会在redis中过期。
public class AuthorizationInterceptor implements HandlerInterceptor {
//存放鉴权信息的Header名称,默认是Authorization
private String httpHeaderName = "Authorization";
//鉴权失败后返回的错误信息,默认为401 unauthorized
private String unauthorizedErrorMessage = "401 unauthorized";
//鉴权失败后返回的HTTP错误码,默认为401
private int unauthorizedErrorCode = HttpServletResponse.SC_UNAUTHORIZED;
/**
* 存放登录用户模型Key的Request Key
*/
public static final String REQUEST_CURRENT_KEY = "REQUEST_CURRENT_KEY";
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
if (!(handler instanceof HandlerMethod)) {
return true;
}
HandlerMethod handlerMethod = (HandlerMethod) handler;
Method method = handlerMethod.getMethod();
// 如果打上了AuthToken注解则需要验证token
if (method.getAnnotation(AuthToken.class) != null || handlerMethod.getBeanType().getAnnotation(AuthToken.class) != null) {
//从请求体中取出token
//String token = request.getParameter(httpHeaderName);
//从请求头中取出token
String token = request.getHeader(httpHeaderName);
log.info("Get token from request is {} ", token);
String phone = "";
Jedis jedis = new Jedis("localhost", 6379);
if (token != null && token.length() != 0) {
phone = jedis.get(token);
log.info("Get username from Redis is {}", phone);
}
if (phone != null && !phone.trim().equals("")) {
Long tokeBirthTime = Long.valueOf(jedis.get(token + phone));
log.info("token Birth time is: {}", tokeBirthTime);
Long diff = System.currentTimeMillis() - tokeBirthTime;
log.info("token is exist : {} ms", diff);
//重新设置Redis中的token过期时间
if (diff > ConstantKit.TOKEN_RESET_TIME) {
jedis.expire(token, ConstantKit.TOKEN_EXPIRE_TIME);
log.info("Reset expire time success!");
Long newBirthTime = System.currentTimeMillis();
jedis.set(token + phone, newBirthTime.toString());
jedis.expire(token + phone,ConstantKit.TOKEN_EXPIRE_TIME);
}
//用完关闭
jedis.close();
request.setAttribute(REQUEST_CURRENT_KEY, phone);
return true;
} else {
JSONObject jsonObject = new JSONObject();
PrintWriter out = null;
try {
response.setStatus(unauthorizedErrorCode);
response.setContentType(MediaType.APPLICATION_JSON_VALUE);
jsonObject.put("code", ((HttpServletResponse) response).getStatus());
jsonObject.put("message", HttpStatus.UNAUTHORIZED);
out = response.getWriter();
out.println(jsonObject);
return false;
} catch (Exception e) {
e.printStackTrace();
} finally {
if (null != out) {
out.flush();
out.close();
}
}
}
}
request.setAttribute(REQUEST_CURRENT_KEY, null);
return true;
}
}
登录成功
当没有权限时调用接口
代码demo:
github地址