登录使用JWT技术。
jwt 可以生成 一个加密的token,做为用户登录的令牌,当用户登录成功之后,发放给客户端。
请求需要登录的资源或者接口的时候,将token携带,后端验证token是否合法。
jwt 有三部分组成:A.B.C
A:Header,{"type":"JWT","alg":"HS256"} 固定
B:playload,存放信息,比如,用户id,过期时间等等,可以被解密,不能存放敏感信息
C: 签证,A和B加上秘钥 加密而成,只要秘钥不丢失,可以认为是安全的。
jwt 验证,主要就是验证C部分 是否合法。
依赖包:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>导入JWT工具类
package com.zzrg.blog.utils;
import io.jsonwebtoken.Jwt;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
/**
* @author: ZzRG
* @version: 1.0
* Date: 2022/6/23
*/
public class JWTUtils {
private static final String jwtToken = "123456ZzRG!@###$$";
public static String createToken(Long userId){
Map<String,Object> claims = new HashMap<>();
claims.put("userId",userId);
JwtBuilder jwtBuilder = Jwts.builder()
.signWith(SignatureAlgorithm.HS256,jwtToken) // 签发算法,秘钥为jwtToken
.setClaims(claims) // body数据,要唯一,自行设置
.setIssuedAt(new Date()) // 设置签发时间
.setExpiration(new Date(System.currentTimeMillis() + 24 * 60 * 60 * 60 * 1000));// 一天的有效时间
String token = jwtBuilder.compact();
return token;
}
public static Map<String, Object> checkToken(String token){
try {
Jwt parse = Jwts.parser().setSigningKey(jwtToken).parse(token);
return (Map<String, Object>) parse.getBody();
}catch (Exception e){
e.printStackTrace();
}
return null;
}
}登录和注册Service
package com.zzrg.blog.service;
import com.zzrg.blog.dao.pojo.SysUser;
import com.zzrg.blog.vo.Result;
import com.zzrg.blog.vo.params.LoginParam;
/**
* @author: ZzRG
* @version: 1.0
* Date: 2022/6/23
*/
public interface LoginService {
/**
* 登录功能
* @param loginParam
* @return
*/
Result login(LoginParam loginParam);
SysUser checkToken(String token);
/**
* 注册
* @param loginParam
* @return
*/
Result register(LoginParam loginParam);
}需要md5加密的依赖包:
<dependency>
<groupId>commons-codec</groupId>
<artifactId>commons-codec</artifactId>
</dependency>去实现登录和注册Service方法
package com.zzrg.blog.service.impl;
import com.alibaba.fastjson.JSON;
import com.zzrg.blog.dao.pojo.SysUser;
import com.zzrg.blog.service.LoginService;
import com.zzrg.blog.service.SysUserService;
import com.zzrg.blog.utils.JWTUtils;
import com.zzrg.blog.vo.ErrorCode;
import com.zzrg.blog.vo.Result;
import com.zzrg.blog.vo.params.LoginParam;
import org.apache.commons.codec.digest.DigestUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;
import java.util.Map;
import java.util.concurrent.TimeUnit;
/**
* @author: ZzRG
* @version: 1.0
* Date: 2022/6/23
*/
@Service
@Transactional
public class LoginServiceImpl implements LoginService {
//需要查询用户的表
@Autowired
private SysUserService sysUserService;
//redies用的
@Autowired
private RedisTemplate<String,String> redisTemplate;
//加密盐用于加密
private static final String slat="ZzRG!@###";
@Override
public Result login(LoginParam loginParam) {
/**
* 检查参数是否合法
* 根据用户名和密码去User表中查询 是否安全
* 如果不存在 登陆失败
* 如果存在 使用JWT 生成token 返回前端
* 最好 把token放入到redis当中 token中的User信息设置过期时间
* (登陆认证的时候 先认证token字符串是否合理,去redis认证是否存在)
*/
String account = loginParam.getAccount();
String password = loginParam.getPassword();
if (StringUtils.isBlank(account)||StringUtils.isBlank(password)){
return Result.fail(ErrorCode.PARAMS_ERROR.getCode(),ErrorCode.PARAMS_ERROR.getMsg());
}
//处理加密信息
String pwd = DigestUtils.md5Hex(password + slat);
//在User表中查询用户
SysUser sysUser = sysUserService.findUser(account,pwd);
if (sysUser == null){
return Result.fail(ErrorCode.ACCOUNT_PWD_NOT_EXIST.getCode(),ErrorCode.ACCOUNT_PWD_NOT_EXIST.getMsg());
}
//存在
//登录成功,使用JWT生成token,返回token和redis中
String token = JWTUtils.createToken(sysUser.getId());
//放入redis中
//过期时间是一天
redisTemplate.opsForValue().set("TOKEN_"+token,JSON.toJSONString(sysUser),1, TimeUnit.DAYS);
return Result.success(token);
}
@Override
public SysUser checkToken(String token) {
//token为空返回null
if (StringUtils.isBlank(token)){
return null;
}
//解析失败
Map<String, Object> stringObjectMap = JWTUtils.checkToken(token);
if (stringObjectMap ==null){
return null;
}
//如果成功
String userJson = redisTemplate.opsForValue().get("TOKEN_" + token);
if (StringUtils.isBlank(userJson)){
return null;
}
//解析回sysUser对象
SysUser sysUser = JSON.parseObject(userJson, SysUser.class);
return sysUser;
}
/**
* 注册服务逻辑
* @param loginParam
* @return
*/
@Override
public Result register(LoginParam loginParam) {
/**
* 判断参数是否合法
* 判断账户是否存在,存在 返回存在
* 不存在 注册用户
* 生成token
* 存入redis 并返回
* 注意 加上事务 一旦中间的任何过程出现问题 注册用户 需要回滚
*
*/
String account = loginParam.getAccount();
String password = loginParam.getPassword();
String nickname = loginParam.getNickname();
if (StringUtils.isBlank(account)
|| StringUtils.isBlank(password)
|| StringUtils.isBlank(nickname)) {
return Result.fail(ErrorCode.PARAMS_ERROR.getCode(),ErrorCode.PARAMS_ERROR.getMsg());
}
SysUser sysUser = this.sysUserService.findUserByAccount(account);
if (sysUser !=null){
return Result.fail(ErrorCode.ACCOUNT_EXIST.getCode(),"账户已经被注册了");
}
sysUser = new SysUser();
sysUser.setNickname(nickname);
sysUser.setAccount(account);
sysUser.setPassword(DigestUtils.md5Hex(password+slat));
sysUser.setCreateDate(System.currentTimeMillis());
sysUser.setLastLogin(System.currentTimeMillis());
sysUser.setAvatar("/static/img/logo.b3a48c0.png");
sysUser.setAdmin(1); //1 为true
sysUser.setDeleted(0); // 0 为false
sysUser.setSalt("");
sysUser.setStatus("");
sysUser.setEmail("");
this.sysUserService.save(sysUser);
//token
String token = JWTUtils.createToken(sysUser.getId());
redisTemplate.opsForValue().set("TOKEN_" + token, JSON.toJSONString(sysUser),1, TimeUnit.DAYS);
return Result.success(token);
}
//测试生成我们想要的密码,放于数据库用于登陆
public static void main(String[] args) {
System.out.println(DigestUtils.md5Hex("admin"+slat));
}
}写Controller层 调用Service的方法
