前言

前端登录成功之后,token 会保存在浏览器的本地缓存里面,然后每次接口访问我们都会在 header 里面带上这个 token,后台拿到这个 token 会去做用户认证,认证通过才会继续执行并成功返回,不通过提示用户验证失败或者请重新登录。前面我们的登录接口增加了 token 返回,并且保存前端把 token 进行了保存,但在接口请求的时候做 token 验证我们还没有做,接下来这篇文章讲的就是如何做 token 验证。

后端增加 dao 层对 user_login 表根据 token 查询

UserLoginDao.java

package com.syy.testPlatform.dao;

import com.syy.testPlatform.bean.UserLogin;
import org.apache.ibatis.annotations.Mapper;
import org.springframework.stereotype.Service;

import java.sql.Timestamp;

@Mapper
@Service
public interface UserLoginDao {
    UserLogin queryByToken(String token, Timestamp now);

}

UserLoginMapper.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.syy.testPlatform.dao.UserLoginDao">
    <resultMap id="userLogin" type="com.syy.testPlatform.bean.UserLogin">
        <result column="ID" property="id"/>
        <result column="USER_ID" property="userId"/>
        <result column="TOKEN" property="token"/>
        <result column="EXPIRATION_DATE" property="expirationDate"/>
        <result column="CREATE_DATE" property="createDate"/>
        <result column="LAST_UPDATE_DATE" property="lastUpdateDate"/>
        <result column="IS_VALID" property="isValid"/>
    </resultMap>
    <select id="queryByToken" resultMap="userLogin">
        select *
        from user_login
        where TOKEN = #{token}
        and EXPIRATION_DATE > #{now}
        and IS_VALID = 1
    </select>
</mapper>

后端增加后端登录拦截器,这样便可以在请求到后台时进行拦截,根据 token 查询登录表是否存在,不存在则提示请登录。

pom.xml 中增加依赖

<!-- https://mvnrepository.com/artifact/com.alibaba/fastjson -->
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.75</version>
</dependency>

LoginInterceptor.java

package com.syy.testPlatform.config;

import com.alibaba.fastjson.JSONObject;
import com.syy.testPlatform.bean.Result;
import com.syy.testPlatform.bean.UserLogin;
import com.syy.testPlatform.common.ResultType;
import com.syy.testPlatform.common.StatusCode;
import com.syy.testPlatform.dao.UserLoginDao;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.sql.Timestamp;
import java.util.Date;

@Component
@Slf4j
public class LoginInterceptor implements HandlerInterceptor {

    @Autowired
    private UserLoginDao userLoginDao;
    /**
     * 预处理回调方法,实现处理器的预处理
     * 返回值:true表示继续流程;false表示流程中断,不会继续调用其他的拦截器或处理器
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        String token = request.getHeader("token");
        log.info("token:{}",token);
        //登录表里查下token是否存在
        UserLogin userLogin = userLoginDao.queryByToken(token, new Timestamp(new Date().getTime()));
        System.out.println("userLogin:" + userLogin);
        System.out.println("userLogin:" + request.getRequestURL());
        if (userLogin == null){
            //校验失败
            response.setCharacterEncoding("UTF-8");
            response.setContentType("application/json; charset=utf-8");
            response.setHeader("Access-Control-Allow-Headers", "token,content-type");
            response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
            Result result = Result.result(null,true, StatusCode.NEED_LOGIN, ResultType.NEED_LOGIN);
            response.getWriter().write(JSONObject.toJSONString(result));
            return false;
        }
        return true;
    }

    /**
     * 后处理回调方法,实现处理器(controller)的后处理,但在渲染视图之前
     * 此时我们可以通过modelAndView对模型数据进行处理或对视图进行处理
     */
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
                           ModelAndView modelAndView) throws Exception {
        // TODO Auto-generated method stub

    }

    /**
     * 整个请求处理完毕回调方法,即在视图渲染完毕时回调,
     * 如性能监控中我们可以在此记录结束时间并输出消耗时间,
     * 还可以进行一些资源清理,类似于try-catch-finally中的finally,
     * 但仅调用处理器执行链中
     */
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
            throws Exception {
        // TODO Auto-generated method stub

    }
}

后端配置需要拦截校验 token 的接口地址

WebConfigurer.java

package com.syy.testPlatform.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import java.util.ArrayList;
import java.util.List;

/**
 * 和springmvc的webmvc拦截配置一样
 */
@Configuration
public class WebConfigurer implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录
        List<String> patternList = new ArrayList<>();
        patternList.add("/api/v1/user/login");
        registry.addInterceptor(LoginInterceptor()).addPathPatterns("/api/**").excludePathPatterns(patternList);
    }

    @Bean
    public LoginInterceptor LoginInterceptor() {
        return new LoginInterceptor();
    }
}

前端 main.js 添加请求拦截器,设置 config.headers.common['token'] 的值,便会对请求都默认带上 token

//添加一个请求拦截器
axios.interceptors.request.use(function (config) {
  config.headers.common['token'] = window.sessionStorage.getItem('token');
  return config;
}, function (error) {
  // Do something with request error
  console.info("error: ");
  console.info(error);
  return Promise.reject(error);
});

补充:vue 本地存储的几种方式的简单介绍和区别 (sessionStorage、localStorage 以及 vuex)


↙↙↙阅读原文可查看相关链接,并与作者交流