用户登录相关逻辑
用户登录
JWT令牌校验与自定义拦截器
1.首先用户登录之后,会进行账号密码的校验,这里的密码会有MD5的加密处理,比对后成功则进行后续处理,生成JWT令牌,代码如下
Map<String, Object> claims = new HashMap<>();
claims.put(JwtClaimsConstant.EMP_ID, employee.getId());
String token = JwtUtil.createJWT(
jwtProperties.getAdminSecretKey(),
jwtProperties.getAdminTtl(),
claims);
createJWT方法如下:
public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {
// 指定签名的时候使用的签名算法,也就是header那部分
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
// 生成JWT的时间
long expMillis = System.currentTimeMillis() + ttlMillis;
Date exp = new Date(expMillis);
// 设置jwt的body
JwtBuilder builder = Jwts.builder()
// 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
.setClaims(claims)
// 设置签名使用的签名算法和签名使用的秘钥
.signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
// 设置过期时间
.setExpiration(exp);
return builder.compact();
}`
在下次用户发送请求时,自定义JWT拦截器(实现HandlerInterceptor,需要在WebMvcConfigurationSupport的子类中进行注册)会自动进行拦截,校验其中的JWT令牌,验证通过则放行。
` public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//判断当前拦截到的是Controller的方法还是其他资源
if (!(handler instanceof HandlerMethod)) {
//当前拦截到的不是动态方法,直接放行
return true;
}
//1、从请求头中获取令牌
String token = request.getHeader(jwtProperties.getAdminTokenName());
//2、校验令牌
try {
log.info("jwt校验:{}", token);
Claims claims = JwtUtil.parseJWT(jwtProperties.getAdminSecretKey(), token);
Long empId = Long.valueOf(claims.get(JwtClaimsConstant.EMP_ID).toString());
log.info("当前员工id:{}", empId);
BaseContext.setCurrentId(empId);
//3、通过,放行
return true;
} catch (Exception ex) {
//4、不通过,响应401状态码
response.setStatus(401);
return false;
}
}`
这里的BaseContext封装了了ThreadLocal的操作,拦截器拦截到了Token中用户id,将其存放至ThreadLocal中,(其实是ThreadLocalMap中),可以通过set与get操作设置和获取用户id(因为controller、service以及拦截器中都是属于同一个线程),在后续的业务操作中,即可直接获取到此次业务的执行者的id。
浙公网安备 33010602011771号