菜鸟笔记
提升您的技术认知

token验证的方法

统一Token处理

自定义注解的方法及使用

排除token校验注解类

为不需要校验 token 的方法定义注解
@Documented //标记注解
@Target(ElementType.METHOD) //指定作用在方法上 对方法拦截
@Retention(RetentionPolicy.RUNTIME) //作用域 在运行时有效

NoAuthorization.java

import java.lang.annotation.*;

/**
 * 包含该注解的方法 不需要校验token  直接放行
 * @author 陌路
 * @date 2022-03-19
 * @apiNote token统一处理
 */
@Documented//标记注解
@Target(ElementType.METHOD) //指定作用在方法上 对方法拦截
@Retention(RetentionPolicy.RUNTIME) //作用域 在运行时有效
public @interface NoAuthorization {
  

    /** ---------@定义注解---------
     *  元注解
     *    @Target({METHOD,TYPE}) 表示这个注解可以用用在类/接口上,还可以用在方法上
     *    @Retention(RetentionPolicy.RUNTIME) 表示这是一个运行时注解,即运行起来之后,
     *	  才获取注解中的相关信息,而不像基本注解如@Override 那种。
     *    @Inherited 表示这个注解可以被子类继承
     *    @Documented 表示当执行javadoc的时候,本注解会生成相关文档(标记)
     *
     *  自定义注解的使用:
     *  该注解定义好之后,将该注解加在方法上@NoAuthorization即可,
     *  若注解中存在属性需要赋值,则直接可以在注解中赋值即可,
     *	eg:public @interface ZjObj{
     *		String name();
     *		Integer sex();
     *	}
     *  eg: @ZjObj(属性="值") -> @ZjObj(name="张三",sex=1)
     *
     *  也可这样定义注解,效果都是一样的
     *  @Target(value = { ElementType.ANNOTATION_TYPE })
     *  @Retention(RetentionPolicy.RUNTIME)
     *  @Inherited
     *  @Documented
     *
     * ---------@解析注解@使用注解---------
     *  * 若注解中有属性,则可以直接通过反射来获取属性值
     *  * 相关配置信息本来是以属性的方式存放的,现在改为了以注解的方式
     *  *
     *  * @解析注解: 通过反射,获取这个类上的注解对象
     *  * ZjObj zjObj = class.foraName(ZjObj.class);
     *  * 拿到注解对象之后,通过方法,获取各个注解元素的值:
     *  * String name = zjObj.name();
     *  * Integer sex = zjObj.sex ();
     */
}

本地线程缓存类

封装获取当前登录人数据信息类

TokenInterceptor 将获取到的user数据信息添加到 本地线程UserThreadLocal中去
TokenInterceptor类中实现了HandlerInterceptor拦截器,对请求进行了拦截
并对token进行了校验,token有效就会把user数据信息存储到UserThreadLocal当前类中
通过调用该类的get()方法时,即可获取到user的数据信息

UserThreadLocal.java

/**
 * 获取当前登录人信息
 * @author 陌路
 * @date 2022-03-19
 * @apiNote 封装当前登录用户信息
 */
public class UserThreadLocal {
  
    private static final ThreadLocal<User> LOCAL = new ThreadLocal<User>();
    /**
     * `TokenInterceptor`类中实现了`HandlerInterceptor`拦截器,对请求进行了拦截
     * 并对token进行了校验,token有效就会把`user`数据信息存储到当前类中
     * 通过调用该类的`get()`方法时,即可获取到`user`的数据信息
     */

    //构造方法私有化,不运行外部实例化该对象
    private UserThreadLocal() {
  
    }
    public static void set(User user) {
  
        LOCAL.set(user);
    }
    public static User get() {
  
        return LOCAL.get();
    }
}

token校验类

定义方法的请求拦截器,判断用户请求的方法是否需要校验token信息,preHandle 前置拦截

此拦截器是在执行用户请求的方法前拦截到的,该拦截器结束之前,不会执行用户请求的方法

当该拦截器执行完成后,根据拦截器返回结果(true|false)判断是否继续执行用户的请求

preHandle 返回 false 时,用户请求将不再继续执行,为 true 时校验通过才会继续执行

思路:
首先判断用户请求的方法中是否包含了@NoAuthorization注解 若包含了该注解 则放行
如果不包含该注解,说明需要对token进行校验,继续执行下面的校验代码
校验:首先判断请求头中是否包含 "Authorization"请求头数据 不包含则结束校验 不予访问
若包含,则需要解析token数据拿到user对象,不为空就把当前user对象存储到UserThreadLocal线程中去并返回true验证成功

TokenInterceptor.java

import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 请求拦截器 统一token校验
 * @author 陌路
 * @date 2022-03-19
 * @apiNote 统一token校验
 */
@Component
public class TokenInterceptor implements HandlerInterceptor {
  

    @Autowired
    private UserService userService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
        throws Exception {
  
        /** 思路
         * 首先判断请求的方法中是否包含了@NoAuthorization注解 若包含了此注解 则不作处理
         * 包含该@NoAuthorization注解 表示不需要做token的验证 直接return true 放行即可
         * 如果不包含该注解,说明需要对token进行校验,则继续执行下面的代码
         * 校验:首先判断请求头中是否包含 "Authorization" 请求头数据 不包含则结束校验 不予访问
         * 若包含 则需要解析token数据 拿到 user 对象,判断user对象是否为null
         * 为null 说明不存在,直接返回false,不予访问,重新登录
         * 不为空 则需要把当前user对象存储到 UserThreadLocal 线程中去 并返回true 验证成功
         */
        // 如果 handler 是 HandlerMethod 类型,则把 handler(Object类型)转为HandlerMethod类型
        if (handler instanceof HandlerMethod) {
  
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            // 获取将要访问的方法名,根据方法名获取方法上的 NoAuthorization 注解,判断该注解是否存在
            NoAuthorization noAuthorization = handlerMethod
                			.getMethod()
                			.getAnnotation(NoAuthorization.class);
            //若方法中存在该 NoAuthorization 注解,则表示无需校验 返回true
            if (noAuthorization != null) {
  
                return true;
            }
        }
        //获取到请求头中的头信息(token)
        String token = request.getHeader("Authorization");
        //判断token是否存在
        if (StringUtils.isNotEmpty(token)) {
  
            //存在则根据token解析user数据
            User user = this.userService.queryUserByToken(token);
            //判断解析的user数据是否为null
            if (null != user) {
  
                //不为空 则将user信息存储到线程中
                UserThreadLocal.set(user);
                return true;
            }
        }
        //若请求头中不存在Authorization 直接返回false 提示状态码401无权限
        response.setStatus(401);
        return false;
    }
}

Service解析token实现类

解析token数据,把token数据解析为user对象

解析完成后重置缓存时长,将缓存时间重新增加到一个小时

/**
  * 解析token,获取user数据信息
  * 对token进行检测,如果token存在,则解析出user数据信息
  * 如果token不存在,则return null
  * 除注册和发送验证码外不需要检测token外,其他功能均需要检测token
  */
@Override
public User queryUserByToken(String token) {
  
    try {
  
        // 生成redisKey获取当前登陆人信息
        String redisTokenKey = "TOKEN_" + token;
        // 获取缓存数据
        String cacheData = this.redisTemplate.opsForValue().get(redisTokenKey);
        if (StringUtils.isNotEmpty(cacheData)) {
  
            // 刷新时间
            this.redisTemplate.expire(redisTokenKey, 1, TimeUnit.HOURS);
            //反序列化,将JSON数据转化为user对象返回
            return MAPPER.readValue(cacheData, User.class);
        }    
    } catch (Exception e) {
  
        e.printStackTrace();
    }
    return null;
}

如果是分布式系统,需要远程调用SSO服务验证token的,可以加上下面的代码

编码格式和超时时间配置类(远程调用支持类)

配置 RestTemplate 模板,设置服务远程调用过程中的编码格式

添加消息数据的字符集格式、连接超时时间和数据获取超时时间

RestTemplateConfig.java

/**
 * RestTemplate模板配置类
 * @author 陌路
 * @date 2022-03-19
 * @apiNote 设置模板的字符集、链接超时时间和获取超时时间
 */
@Configuration
public class RestTemplateConfig {
  

    @Bean
    public RestTemplate restTemplate(ClientHttpRequestFactory factory) {
  
        RestTemplate restTemplate = new RestTemplate(factory);
        // 支持中文编码,getMessageConverters消息转换器,将字符集设置为 UTF-8
        restTemplate.getMessageConverters()
            .set(1, new StringHttpMessageConverter(Charset.forName("UTF-8")));
        return restTemplate;
    }

    @Bean
    public ClientHttpRequestFactory simpleClientHttpRequestFactory() {
  
        SimpleClientHttpRequestFactory factory = new SimpleClientHttpRequestFactory();
        // 设置数据获取的超时时间,单位为ms
        factory.setReadTimeout(5000);
        // 设置连接超时时间,单位为ms
        factory.setConnectTimeout(5000);
        return factory;
    }
}

远程调用Service类

远程服务调用,验证和获取token数据(调用SSO单点登录中接口)

url:url为SSO单点登录服务器的IP地址和端口加协议的全名地址

eg:http://47.101.xxx.xxx:80 本地:eg:http://127.0.0.1:80

该方法涉及了服务的远程调用过程,需要使用 RestTemplate 中的 .getForObject();

把上面的service解析token的方法改为下面这段代码

/**
  * 解析Token
  * 调用SSO接口进行解析token
  * @param token
  * @return
  */
public User queryUserByToken(String token) {
  
    try {
  
        // 返回一串JSON字符串,url为SSO单点登录服务器的ip地址和端口eg:http://127.0.0.1:80
        String url = "http://192.168.10.188:18080";
        String jsonData = this.restTemplate.getForObject(url + "/user/{token}", String.class, token);
        // 如果查询到就返回user对象 查询不到就返回null
        if (StringUtils.isNotEmpty(jsonData)) {
  
            // MAPPER.readValue方法将JSON字符串转化为对象 并返回
            return MAPPER.readValue(jsonData, User.class);
        }
    } catch (Exception e) {
  
        e.printStackTrace();
    }
    return null;
}

controller控制器接口

远程服务调用,被调用的接口(SSO单点登录中的控制器接口)

远程服务调用此接口需要使用全名地址:
协议://ip地址:端口号 http://ip:port (https://ip:port)

下面的controller作为SSO中被远程调用的测试接口(请根据实际接口调用)
/**
  * 验证token
  * @param token
  * @return
  */
@GetMapping("{token}")
public User queryUserByToken(@PathVariable("token") String token) {
  
    //根据token把查询到的结果返回
    return this.userService.queryUserByToken(token);
}