前言
前端登录成功之后,token 会保存在浏览器的本地缓存里面,然后每次接口访问我们都会在 header 里面带上这个 token,后台拿到这个 token 会去做用户认证,认证通过才会继续执行并成功返回,不通过提示用户验证失败或者请重新登录。前面我们的登录接口增加了 token 返回,并且保存前端把 token 进行了保存,但在接口请求的时候做 token 验证我们还没有做,接下来这篇文章讲的就是如何做 token 验证。
后端增加 dao 层对 user_login 表根据 token 查询
UserLoginDao.java
package com.syy.testPlatform.dao;
import com.syy.testPlatform.bean.UserLogin;
import org.apache.ibatis.annotations.Mapper;
import org.springframework.stereotype.Service;
import java.sql.Timestamp;
@Mapper
@Service
public interface UserLoginDao {
UserLogin queryByToken(String token, Timestamp now);
}
UserLoginMapper.xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.syy.testPlatform.dao.UserLoginDao">
<resultMap id="userLogin" type="com.syy.testPlatform.bean.UserLogin">
<result column="ID" property="id"/>
<result column="USER_ID" property="userId"/>
<result column="TOKEN" property="token"/>
<result column="EXPIRATION_DATE" property="expirationDate"/>
<result column="CREATE_DATE" property="createDate"/>
<result column="LAST_UPDATE_DATE" property="lastUpdateDate"/>
<result column="IS_VALID" property="isValid"/>
</resultMap>
<select id="queryByToken" resultMap="userLogin">
select *
from user_login
where TOKEN = #{token}
and EXPIRATION_DATE > #{now}
and IS_VALID = 1
</select>
</mapper>
后端增加后端登录拦截器,这样便可以在请求到后台时进行拦截,根据 token 查询登录表是否存在,不存在则提示请登录。
pom.xml 中增加依赖
<!-- https://mvnrepository.com/artifact/com.alibaba/fastjson -->
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.75</version>
</dependency>
LoginInterceptor.java
package com.syy.testPlatform.config;
import com.alibaba.fastjson.JSONObject;
import com.syy.testPlatform.bean.Result;
import com.syy.testPlatform.bean.UserLogin;
import com.syy.testPlatform.common.ResultType;
import com.syy.testPlatform.common.StatusCode;
import com.syy.testPlatform.dao.UserLoginDao;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.sql.Timestamp;
import java.util.Date;
@Component
@Slf4j
public class LoginInterceptor implements HandlerInterceptor {
@Autowired
private UserLoginDao userLoginDao;
/**
* 预处理回调方法,实现处理器的预处理
* 返回值:true表示继续流程;false表示流程中断,不会继续调用其他的拦截器或处理器
*/
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
throws Exception {
String token = request.getHeader("token");
log.info("token:{}",token);
//登录表里查下token是否存在
UserLogin userLogin = userLoginDao.queryByToken(token, new Timestamp(new Date().getTime()));
System.out.println("userLogin:" + userLogin);
System.out.println("userLogin:" + request.getRequestURL());
if (userLogin == null){
//校验失败
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
response.setHeader("Access-Control-Allow-Headers", "token,content-type");
response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
Result result = Result.result(null,true, StatusCode.NEED_LOGIN, ResultType.NEED_LOGIN);
response.getWriter().write(JSONObject.toJSONString(result));
return false;
}
return true;
}
/**
* 后处理回调方法,实现处理器(controller)的后处理,但在渲染视图之前
* 此时我们可以通过modelAndView对模型数据进行处理或对视图进行处理
*/
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
ModelAndView modelAndView) throws Exception {
// TODO Auto-generated method stub
}
/**
* 整个请求处理完毕回调方法,即在视图渲染完毕时回调,
* 如性能监控中我们可以在此记录结束时间并输出消耗时间,
* 还可以进行一些资源清理,类似于try-catch-finally中的finally,
* 但仅调用处理器执行链中
*/
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
throws Exception {
// TODO Auto-generated method stub
}
}
后端配置需要拦截校验 token 的接口地址
WebConfigurer.java
package com.syy.testPlatform.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import java.util.ArrayList;
import java.util.List;
/**
* 和springmvc的webmvc拦截配置一样
*/
@Configuration
public class WebConfigurer implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录
List<String> patternList = new ArrayList<>();
patternList.add("/api/v1/user/login");
registry.addInterceptor(LoginInterceptor()).addPathPatterns("/api/**").excludePathPatterns(patternList);
}
@Bean
public LoginInterceptor LoginInterceptor() {
return new LoginInterceptor();
}
}
前端 main.js 添加请求拦截器,设置 config.headers.common['token'] 的值,便会对请求都默认带上 token
//添加一个请求拦截器
axios.interceptors.request.use(function (config) {
config.headers.common['token'] = window.sessionStorage.getItem('token');
return config;
}, function (error) {
// Do something with request error
console.info("error: ");
console.info(error);
return Promise.reject(error);
});
补充:vue 本地存储的几种方式的简单介绍和区别 (sessionStorage、localStorage 以及 vuex)
- sessionStorage 方法针对一个 session 进行数据存储。当用户关闭浏览器窗口后,数据会被删除。
- localStorage 方法存储的数据没有时间限制。第二天、第二周或下一年之后,数据依然可用。
Vuex 是一个专为 Vue.js 应用程序开发的状态管理模式。它采用集中式存储管理应用的所有组件的状态,并以相应的规则保证状态以一种可预测的方式发生变化。
区别:vuex 存储在内存,localstorage(本地存储)则以文件的方式存储在本地,永久保存;sessionstorage( 会话存储 ) ,临时保存。localStorage 和 sessionStorage 只能存储字符串类型,对于复杂的对象可以使用 ECMAScript 提供的 JSON 对象的 stringify 和 parse 来处理
应用场景:vuex 用于组件之间的传值,localstorage,sessionstorage 则主要用于不同页面之间的传值。
永久性:当刷新页面(这里的刷新页面指的是 --> F5 刷新,属于清除内存了)时 vuex 存储的值会丢失,sessionstorage 页面关闭后就清除掉了,localstorage 不会。
注:很多同学觉得用 localstorage 可以代替 vuex, 对于不变的数据确实可以,但是当两个组件共用一个数据源(对象或数组)时,如果其中一个组件改变了该数据源,希望另一个组件响应该变化时,localstorage,sessionstorage 无法做到,原因就是上面所说的区别。
暂无回复。