1. 登录
1.1 接口说明
接口url:/login
请求方式:POST
请求参数:
参数名称 | 参数类型 | 说明 |
---|---|---|
account | string | 账号 |
password | string | 密码 |
返回数据:
{
"success": true,
"code": 200,
"msg": "success",
"data": "token"
}
1.2 JWT
登录使用JWT技术。
jwt 可以生成 一个加密的token,做为用户登录的令牌,当用户登录成功之后,发放给客户端。
请求需要登录的资源或者接口的时候,将token携带,后端验证token是否合法。
jwt 由三部分组成:A.B.C
A:Header,{"type":"JWT","alg":"HS256"} 固定
B:playload,存放信息,比如,用户id,过期时间等等,可以被解密,不能存放敏感信息
C: 签证,A和B加上秘钥 加密而成,只要秘钥不丢失,可以认为是安全的。
jwt 验证,主要就是验证C部分 是否合法。
依赖包:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
工具类:
jwtToken
:这是一个私钥,用于签发和验证 JWT。createToken
方法:用于创建 JWT。它接收一个用户 ID,然后使用 JWT 标准库Jwts
的JwtBuilder
来构建 JWT。在构建 JWT 时,指定了签发算法为 HS256(HMACSHA256),并使用之前定义的私钥进行签名。然后设置 JWT 的声明(claims),包括用户 ID 和签发时间,还设置了 JWT 的过期时间为当前时间加上一天。最后,调用compact()
方法生成 JWT 字符串并返回。checkToken
方法:用于检测 JWT 的合法性。它接收一个 JWT 字符串作为参数,然后使用 JWT 标准库Jwts
的parser()
方法创建一个解析器,并设置解析器的签名秘钥为之前定义的私钥。然后调用parse()
方法解析 JWT 字符串,如果解析成功,则返回 JWT 中的声明(claims),否则返回 null。
package com.cherriesovo.blog.utils;
import io.jsonwebtoken.Jwt;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
public class JWTUtils {
private static final String jwtToken = "123456Cherriesovo!@#$$";
//创建Token
public static String createToken(Long userId){
Map<String,Object> claims = new HashMap<>();
claims.put("userId",userId);
JwtBuilder jwtBuilder = Jwts.builder()
.signWith(SignatureAlgorithm.HS256, jwtToken) // 签发算法,秘钥为jwtToken
.setClaims(claims) // body数据,要唯一,自行设置
.setIssuedAt(new Date()) // 设置签发时间
.setExpiration(new Date(System.currentTimeMillis() + 24 * 60 * 60 * 60 * 1000));// 一天的有效时间
String token = jwtBuilder.compact();
return token;
}
//检测Token是否合法
public static Map<String, Object> checkToken(String token){
try {
Jwt parse = Jwts.parser().setSigningKey(jwtToken).parse(token);
return (Map<String, Object>) parse.getBody();
}catch (Exception e){
e.printStackTrace();
}
return null;
}
}
1.3 Controller
@RequestBody
主要有以下作用:
- 接收请求体内容:在处理 HTTP 请求时,请求体中的数据可以包含各种格式的数据,例如 JSON、XML、文本等。使用
@RequestBody
注解可以告诉 Spring 框架将请求体中的数据绑定到方法参数上,以便在方法内部进行处理。下面是一个简单的示例:
javaCopy Code@PostMapping("/create") public ResponseEntity<String> createUser(@RequestBody User user) { // 在这里处理接收到的 User 对象,例如保存到数据库等 return ResponseEntity.ok("User created successfully"); }
在这个示例中,
@PostMapping
注解用于处理 HTTP POST 请求,路径为 "/create",方法名为createUser
。方法的参数user
使用了@RequestBody
注解,表示该参数将会从请求体中获取数据,并将其转换为User
对象。
package com.cherriesovo.blog.controller;
import com.cherriesovo.blog.service.LoginService;
import com.cherriesovo.blog.vo.Result;
import com.cherriesovo.blog.vo.params.LoginParam;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("login")
public class LoginController {
@Autowired
private LoginService loginService;
// @RequestBody 注解用于指定该方法参数应该绑定到请求的 body 部分。这样,在发送 POST 请求时,可以将登录信息以 JSON 格式放在请求 体中,Spring Boot 将自动将其转换为 LoginParam 对象传递给 login 方法进行处理
@PostMapping
public Result login(@RequestBody LoginParam loginParam){
return loginService.login(loginParam);
}
}
1.4 Service
public interface SysUserService {
SysUser findUser(String account, String pwd);
}
@Service
public class SysUserServiceImpl implements SysUserService {
@Override
public SysUser findUser(String account, String pwd) { //根据给定的账号和密码查询用户信息
LambdaQueryWrapper<SysUser> queryWrapper = new LambdaQueryWrapper<>();
queryWrapper.eq(SysUser::getAccount,account); //要求查询出来的用户账号必须与传入的 account 参数相等
queryWrapper.eq(SysUser::getPassword,pwd);
queryWrapper.select(SysUser::getId,SysUser::getAccount,SysUser::getAvatar,SysUser::getNickname);
queryWrapper.last("limit 1"); //保证查询效率
//SELECT id, account, avatar, nickname FROM sys_user WHERE account = ? AND password = ? LIMIT 1;
//selectOne():执行查询并返回单个结果
SysUser sysUser = sysUserMapper.selectOne(queryWrapper);
return sysUser;
}
}
package com.cherriesovo.blog.service;
import com.cherriesovo.blog.vo.Result;
import com.cherriesovo.blog.vo.params.LoginParam;
public interface LoginService {
//登录功能
Result login(LoginParam loginParam);
}
md5加密的依赖包:
<dependency>
<groupId>commons-codec</groupId>
<artifactId>commons-codec</artifactId>
<version>1.15</version>
</dependency>
package com.cherriesovo.blog.service.impl;
import com.alibaba.fastjson.JSON;
import com.cherriesovo.blog.dao.pojo.SysUser;
import com.cherriesovo.blog.service.LoginService;
import com.cherriesovo.blog.service.SysUserService;
import com.cherriesovo.blog.utils.JWTUtils;
import com.cherriesovo.blog.vo.ErrorCode;
import com.cherriesovo.blog.vo.Result;
import com.cherriesovo.blog.vo.params.LoginParam;
import org.apache.commons.codec.digest.DigestUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Service;
import java.util.concurrent.TimeUnit;
@Service
public class LoginServiceImpl implements LoginService {
private static final String slat = "cherriesovo!@#";
@Autowired
private SysUserService sysUserService;
@Autowired
private RedisTemplate<String, String> redisTemplate;
@Override
public Result login(LoginParam loginParam) {
/*
* 1、检查参数是否合法
* 2、根据用户名和密码去user表查询是否存在
* 3、如果不存在,登陆失败
* 4、存在,使用jwt生成token返回给前端
* 5、token放入redis中 token:user信息 设置过期时间(登录认证的时候,先认证token字符串是否合法,去redis认证是否存在)
* */
//1、检查参数是否合法
String account = loginParam.getAccount();
String password = loginParam.getPassword();
if (StringUtils.isBlank(account) || StringUtils.isBlank(password)){
return Result.fail(ErrorCode.PARAMS_ERROR.getCode(),ErrorCode.PARAMS_ERROR.getMsg());
}
//2、根据用户名和密码去user表查询是否存在
String pwd = DigestUtils.md5Hex(password + slat); //加密
SysUser sysUser = sysUserService.findUser(account,pwd);
//3、如果不存在,登陆失败
if (sysUser == null){
return Result.fail(ErrorCode.ACCOUNT_PWD_NOT_EXIST.getCode(),ErrorCode.ACCOUNT_PWD_NOT_EXIST.getMsg());
}
//4、登录成功,使用JWT生成token,返回token和redis中
String token = JWTUtils.createToken(sysUser.getId());
redisTemplate.opsForValue().set("TOKEN_"+token, JSON.toJSONString(sysUser),1, TimeUnit.DAYS);
return Result.success(token);
}
public static void main(String[] args) {
System.out.println(DigestUtils.md5Hex("admin"+slat));
}
}
1.5 登录参数,redis配置,统一错误码
package com.cherriesovo.blog.vo.params;
import lombok.Data;
@Data
public class LoginParam {
private String account;
private String password;
}
spring.redis.host=localhost:指定了 Redis 服务器的主机地址为 localhost,即 Redis 服务器运行在本地。
spring.redis.port=6379:指定了 Redis 服务器的端口号为 6379,这是 Redis 默认的端口号。
#application.properties
spring.redis.host=localhost
spring.redis.port=6379
package com.cherriesovo.blog.vo;
public enum ErrorCode {
PARAMS_ERROR(10001,"参数有误"),
ACCOUNT_PWD_NOT_EXIST(10002,"用户名或密码不存在"),
NO_PERMISSION(70001,"无访问权限"),
SESSION_TIME_OUT(90001,"会话超时"),
NO_LOGIN(90002,"未登录"),;
private int code;
private String msg;
ErrorCode(int code, String msg){
this.code = code;
this.msg = msg;
}
public int getCode() {
return code;
}
public void setCode(int code) {
this.code = code;
}
public String getMsg() {
return msg;
}
public void setMsg(String msg) {
this.msg = msg;
}
}
1.6 测试
使用postman测试,因为登录后,需要跳转页面,进行token认证,有接口未写,前端会出现问题。
2. 获取用户信息
2.1 接口说明
接口url:/users/currentUser
请求方式:GET
请求参数:
参数名称 | 参数类型 | 说明 |
---|---|---|
Authorization | string | 头部信息(TOKEN) |
返回数据:
{
"success": true,
"code": 200,
"msg": "success",
"data": {
"id":1,
"account":"1",
"nickaname":"1",
"avatar":"ss"
}
}
2.2 Controller
@RequestHeader("Authorization")
是 Spring MVC 中的一个注解,用于从 HTTP 请求头中获取指定名称的值,通常用于获取用户认证信息。在 RESTful API 开发中,常常会使用 JWT(JSON Web Token)或其他类似的认证方式来验证用户身份。这些认证信息通常会包含在请求的 Authorization 头中,以确保请求的安全性。
currentUser(@RequestHeader("Authorization") String token):
获取 HTTP 请求头中名为 "Authorization" 的值,并将其赋给方法参数
token
package com.cherriesovo.blog.controller;
import com.cherriesovo.blog.service.SysUserService;
import com.cherriesovo.blog.vo.Result;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;
@RestController
@RequestMapping("users")
public class UserController {
@Autowired
private SysUserService sysUserService;
@GetMapping("currentUser")
public Result currentUser(@RequestHeader("Authorization") String token){
return sysUserService.findUserByToken(token);
}
}
2.3 Service
public interface SysUserService {
//根据token查询用户信息
Result findUserByToken(String token);
}
@Service
public class SysUserServiceImpl implements SysUserService {
@Override
public Result findUserByToken(String token) {
/*
* 1、token合法性校验——是否为空,解析是否成功,redis是否存在
* 2、如果校验失败,返回错误
* 3、如果成功,返回对应结果 LoginUserVo
* */
SysUser sysUser = loginService.checkToken(token);
if(sysUser==null){
return Result.fail(ErrorCode.TOKEN_ERROR.getCode(),ErrorCode.TOKEN_ERROR.getMsg());
}
LoginUserVo loginUserVo = new LoginUserVo();
loginUserVo.setId(sysUser.getId());
loginUserVo.setNickname(sysUser.getNickname());
loginUserVo.setAvatar(sysUser.getAvatar());
loginUserVo.setAccount(sysUser.getAccount());
return Result.success(loginUserVo);
}
}
2.4 LoginUserVo
package com.cherriesovo.blog.vo;
import lombok.Data;
@Data
public class LoginUserVo {
private Long id;
private String account;
private String nickname;
private String avatar;
}
2.5 测试
3. 退出登录
3.1 接口说明
接口url:/logout
请求方式:GET
请求参数:
参数名称 | 参数类型 | 说明 |
---|---|---|
Authorization | string | 头部信息(TOKEN) |
返回数据:
{
"success": true,
"code": 200,
"msg": "success",
"data": null
}
3.2 Controller
package com.cherriesovo.blog.controller;
import com.cherriesovo.blog.service.LoginService;
import com.cherriesovo.blog.vo.Result;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;
@RestController
@RequestMapping("logout")
public class LogoutController {
@Autowired
private LoginService loginService;
@GetMapping
public Result logout(@RequestHeader("Authorization") String token){
return loginService.logout(token);
}
}
3.3 Service
RedisTemplate
是 Spring Data Redis 提供的一个用于操作 Redis 的模板类,它简化了与 Redis 的交互操作。通过RedisTemplate
,开发人员可以方便地进行 Redis 数据的读取、写入、更新和删除等操作,而无需处理 Redis 的连接管理、序列化等底层细节。redisTemplate.delete("TOKEN_"+token)
:这行代码使用了 RedisTemplate 对象调用了 delete 方法,删除了 Redis 中以 "TOKEN_" 开头的键名为 token 的信息。通常来说,这个 token 是用于识别用户身份的,通过删除这个 token 相关的信息,实现了用户的注销操作。
//退出登录
Result logout(String token);
@Override
public Result logout(String token) {
redisTemplate.delete("TOKEN_"+token);
return Result.success(null);
}