RESTful登录设计(基于Spring及Redis的Token鉴权)
什么是 REST
REST (Representational State Transfer) 是一种软件架构风格。它将服务端的信息和功能等所有事物统称为资源,客户端的请求实际就是对资源进行操作,它的主要特点有: - 每一个资源都会对应一个独一无二的 url - 客户端通过 HTTP 的 GET、POST、PUT、DELETE 请求方法对资源进行查询、创建、修改、删除操作 - 客户端与服务端的交互必须是无状态的
关于 RESTful 的详细介绍可以参考 这篇文章,在此就不浪费时间直接进入正题了。
使用 Token 进行身份鉴权
网站应用一般使用 Session 进行登录用户信息的存储及验证,而在移动端使用 Token 则更加普遍。它们之间并没有太大区别,Token 比较像是一个更加精简的自定义的 Session。Session 的主要功能是保持会话信息,而 Token 则只用于登录用户的身份鉴权。所以在移动端使用 Token 会比使用 Session 更加简易并且有更高的安全性,同时也更加符合 RESTful 中无状态的定义。
交互流程
客户端通过登录请求提交用户名和密码,服务端验证通过后生成一个 Token 与该用户进行关联,并将 Token 返回给客户端。
客户端在接下来的请求中都会携带 Token,服务端通过解析 Token 检查登录状态。
当用户退出登录、其他终端登录同一账号(被顶号)、长时间未进行操作时 Token 会失效,这时用户需要重新登录。
程序示例
服务端生成的 Token 一般为随机的非重复字符串,根据应用对安全性的不同要求,会将其添加时间戳(通过时间判断 Token 是否被盗用)或 url 签名(通过请求地址判断 Token 是否被盗用)后加密进行传输。在本文中为了演示方便,仅是将 User Id 与 Token 以”_”进行拼接。
/**
* Token 的 Model 类,可以增加字段提高安全性,例如时间戳、url 签名
* @author ScienJus
* @date 2015/7/31.
*/
public class TokenModel {
// 用户 id
private long userId;
// 随机生成的 uuid
private String token;
public TokenModel (long userId, String token) {
this.userId = userId;
this.token = token;
}
public long getUserId () {
return userId;
}
public void setUserId (long userId) {
this.userId = userId;
}
public String getToken () {
return token;
}
public void setToken (String token) {
this.token = token;
}
}
Redis 是一个 Key-Value 结构的内存数据库,用它维护 User Id 和 Token 的映射表会比传统数据库速度更快,这里使用 Spring-Data-Redis 封装的 TokenManager 对 Token 进行基础操作:
/**
* 获取和删除 token 的请求地址,在 Restful 设计中其实就对应着登录和退出登录的资源映射
* @author ScienJus
* @date 2015/7/30.
*/
@RestController
@RequestMapping ("/tokens")
public class TokenController {
@Autowired
private UserRepository userRepository;
@Autowired
private TokenManager tokenManager;
@RequestMapping (method = RequestMethod.POST)
public ResponseEntity login (@RequestParam String username, @RequestParam String password) {
Assert.notNull (username, "username can not be empty");
Assert.notNull (password, "password can not be empty");
User user = userRepository.findByUsername (username);
if (user == null || // 未注册
!user.getPassword ().equals (password)) { // 密码错误
// 提示用户名或密码错误
return new ResponseEntity (ResultModel.error (ResultStatus.USERNAME_OR_PASSWORD_ERROR), HttpStatus.NOT_FOUND);
}
// 生成一个 token,保存用户登录状态
TokenModel model = tokenManager.createToken (user.getId ());
return new ResponseEntity (ResultModel.ok (model), HttpStatus.OK);
}
@RequestMapping (method = RequestMethod.DELETE)
@Authorization
public ResponseEntity logout (@CurrentUser User user) {
tokenManager.deleteToken (user.getId ());
return new ResponseEntity (ResultModel.ok (), HttpStatus.OK);
}
}
这个 Controller 中有两个自定义的注解分别是@Authorization和@CurrentUser,其中@Authorization用于表示该操作需要登录后才能进行:
/** * 在 Controller 的方法上使用此注解,该方法在映射时会检查用户是否登录,未登录返回 401 错误 * @author ScienJus * @date 2015/7/31. */ @Target (ElementType.METHOD) @Retention (RetentionPolicy.RUNTIME) public @interface Authorization { }/**
* 在 Controller 的方法上使用此注解,该方法在映射时会检查用户是否登录,未登录返回 401 错误
* @author ScienJus
* @date 2015/7/31.
*/
@Target (ElementType.METHOD)
@Retention (RetentionPolicy.RUNTIME)
public @interface Authorization {
}
这里使用 Spring 的拦截器完成这个功能,该拦截器会检查每一个请求映射的方法是否有@Authorization注解,并使用 TokenManager 验证 Token,如果验证失败直接返回 401 状态码(未授权)
/**
* 自定义拦截器,判断此次请求是否有权限
* @author ScienJus
* @date 2015/7/30.
*/
@Component
public class AuthorizationInterceptor extends HandlerInterceptorAdapter {
@Autowired
private TokenManager manager;
public boolean preHandle (HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
// 如果不是映射到方法直接通过
if (!(handler instanceof HandlerMethod)) {
return true;
}
HandlerMethod handlerMethod = (HandlerMethod) handler;
Method method = handlerMethod.getMethod ();
// 从 header 中得到 token
String authorization = request.getHeader (Constants.AUTHORIZATION);
// 验证 token
TokenModel model = manager.getToken (authorization);
if (manager.checkToken (model)) {
// 如果 token 验证成功,将 token 对应的用户 id 存在 request 中,便于之后注入
request.setAttribute (Constants.CURRENT_USER_ID, model.getUserId ());
return true;
}
// 如果验证 token 失败,并且方法注明了 Authorization,返回 401 错误
if (method.getAnnotation (Authorization.class) != null) {
response.setStatus (HttpServletResponse.SC_UNAUTHORIZED);
return false;
}
return true;
}
}
@CurrentUser注解定义在方法的参数中,表示该参数是登录用户对象。这里同样使用了 Spring 的解析器完成参数注入:
/**
* 在 Controller 的方法参数中使用此注解,该方法在映射时会注入当前登录的 User 对象
* @author ScienJus
* @date 2015/7/31.
*/
@Target (ElementType.PARAMETER)
@Retention (RetentionPolicy.RUNTIME)
public @interface CurrentUser {
}
/**
* 增加方法注入,将含有 CurrentUser 注解的方法参数注入当前登录用户
* @author ScienJus
* @date 2015/7/31.
*/
@Component
public class CurrentUserMethodArgumentResolver implements HandlerMethodArgumentResolver {
@Autowired
private UserRepository userRepository;
@Override
public boolean supportsParameter (MethodParameter parameter) {
// 如果参数类型是 User 并且有 CurrentUser 注解则支持
if (parameter.getParameterType ().isAssignableFrom (User.class) &&
parameter.hasParameterAnnotation (CurrentUser.class)) {
return true;
}
return false;
}
@Override
public Object resolveArgument (MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
// 取出鉴权时存入的登录用户 Id
Long currentUserId = (Long) webRequest.getAttribute (Constants.CURRENT_USER_ID, RequestAttributes.SCOPE_REQUEST);
if (currentUserId != null) {
// 从数据库中查询并返回
return userRepository.findOne (currentUserId);
}
throw new MissingServletRequestPartException (Constants.CURRENT_USER_ID);
}
}
一些细节
登录请求一定要使用 HTTPS,否则无论 Token 做的安全性多好密码泄露了也是白搭
Token 的生成方式有很多种,例如比较热门的有 JWT(JSON Web Tokens)、OAuth 等。
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 xizhimojie@foxmail.com
文章标题:RESTful登录设计(基于Spring及Redis的Token鉴权)
文章字数:1.5k
本文作者:yongning
发布时间:2016-10-25, 15:13:47
最后更新:2020-12-15, 00:28:36
原始链接:https://getyongning.cn/p/46293.html版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。