当前位置: 首页 > article >正文

【Springboot】黑马大事件笔记 day1

目录

注册部分

用户密码加密

@Validation 校验

参数校验失败异常处理

登入部分

实现令牌登入

 JWT 生成令牌

后台获取用户信息 

设置用户信息可见性

注册拦截器

ThreadLocal 优化

注册部分


用户密码加密

        在 SpringBoot 应用中,密码加密是一个重要的安全措施,用于保护用户信息不被未授权访问。在该项目中采用了 Md5Util 工具类来加密用户密码:

Md5Util:

package com.thz.utils;


import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

public class Md5Util {
    /**
     * 默认的密码字符串组合,用来将字节转换成 16 进制表示的字符,apache校验下载的文件的正确性用的就是默认的这个组合
     */
    protected static char hexDigits[] = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'};

    protected static MessageDigest messagedigest = null;

    static {
        try {
            messagedigest = MessageDigest.getInstance("MD5");
        } catch (NoSuchAlgorithmException nsaex) {
            System.err.println(Md5Util.class.getName() + "初始化失败,MessageDigest不支持MD5Util。");
            nsaex.printStackTrace();
        }
    }

    /**
     * 生成字符串的md5校验值
     *
     * @param s
     * @return
     */
    public static String getMD5String(String s) {
        return getMD5String(s.getBytes());
    }

    /**
     * 判断字符串的md5校验码是否与一个已知的md5码相匹配
     *
     * @param password  要校验的字符串
     * @param md5PwdStr 已知的md5校验码
     * @return
     */
    public static boolean checkPassword(String password, String md5PwdStr) {
        String s = getMD5String(password);
        return s.equals(md5PwdStr);
    }


    public static String getMD5String(byte[] bytes) {
        messagedigest.update(bytes);
        return bufferToHex(messagedigest.digest());
    }

    private static String bufferToHex(byte bytes[]) {
        return bufferToHex(bytes, 0, bytes.length);
    }

    private static String bufferToHex(byte bytes[], int m, int n) {
        StringBuffer stringbuffer = new StringBuffer(2 * n);
        int k = m + n;
        for (int l = m; l < k; l++) {
            appendHexPair(bytes[l], stringbuffer);
        }
        return stringbuffer.toString();
    }

    private static void appendHexPair(byte bt, StringBuffer stringbuffer) {
        char c0 = hexDigits[(bt & 0xf0) >> 4];// 取字节中高 4 位的数字转换, >>>
        // 为逻辑右移,将符号位一起右移,此处未发现两种符号有何不同
        char c1 = hexDigits[bt & 0xf];// 取字节中低 4 位的数字转换
        stringbuffer.append(c0);
        stringbuffer.append(c1);
    }

}

        于是在创建用户信息时,我们的 Service 层就可以通过这种方式将用户输入的密码,转化成难破译的校验码 (字符串) 添加到数据库中。

    @Override
    public void register(String username, String password) {
        // 加密
        String md5String = Md5Util.getMD5String(password);
        // 添加
        userMapper.addUser(username,md5String);
    }

         当用户登入时进行密码效验,我们可以把输入密码转化成 “指定” 的校验码与数据库中的校验码进行匹配。如果匹配就进入首页;这样在一定程度上保证了用户账号的安全性。

    public Result<String> login(String username,String password) {
        // 根据用户名查询用户
        User loginUser = userService.findByUserName(username);
        // 判断密码是否正确
        if(Md5Util.getMD5String(password).equals(loginUser.getPassword())) {
        ...
        }
    }


@Validation 校验

        Spring 提供的一个参数校验框架,使用预定义的注解 Validation 即可完成参数校验。

使用步骤:

(1)Validation 起步依赖:

    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-validation</artifactId>
    </dependency>

(2)在Controller类上添加@Validated注解

(3)在参数前面添加@Pattern注解

@Pattern 当输入不能满足条件是,就会抛出异常,而后统一由异常中心处理

@Validated
public class UserController {

    // ...
    public Result register(@Pattern(regexp = "^\\S{5,16}$") String username,
                           @Pattern(regexp = "^\\S{5,16}$") String password) {
        User user = userService.findByUserName(username);
        if(user == null) {
            userService.register(username,password);
            return Result.success();
        }else{
            return Result.error("用户名已被注册");
        }
    }
    //...
}

        以下是一个正则表达式说明:参数的长度必须在 [5,16] 这个区间之间,否则便会抛出异常。

regexp = "^\\S{5,16}$"

        以上如果校验失败了,就会抛出 401 或者 500 的错误;如果把这些错误直接展示给用户看会显得不够优雅;于是我们需要把所有校验的异常同一处理

 

参数校验失败异常处理

        @RestControllerAdvice 是 Spring 为我们提供的一个复合注解,它是 @ControllerAdvice 和 @ResponseBody 的结合体。它会自动应用到所有使用 @RequestMapping 的控制器方法上。这意味着,无论在哪个控制器中发生异常,都会被这个全局处理器捕获并处理。

@ControllerAdvice@ResponseBody
该注解标志着一个类可以为所有的 @RequestMapping 处理方法提供通用的异常处理和数据绑定等增强功能。当应用到一个类上时,该类中定义的方法将在所有控制器类的请求处理链中生效。表示方法的返回值将被直接写入 HTTP 响应体中,通常配合 Jackson 或 Gson 等 JSON 库将对象转换为 JSON 格式的响应。
@RestControllerAdvice
public class GlobalExceptionHandler {
    @ExceptionHandler(Exception.class)
    public Result handleException(Exception e){
        e.printStackTrace();
        return Result.error(StringUtils.hasLength(e.getMessage())? e.getMessage() : "操作失败");
    }
}

         这样反应的结果就发生了变化。

登入部分


实现令牌登入

         简单来说,就是在用户登录成功以后,为用户颁发一个token(令牌),用户便可以使用这个 token 令牌访问后台的接口。如果没有这个令牌或者使用非法令牌都不能访问后台接口。

令牌的概念:
令牌就是一段字符串,它的运用主要是以下两个功能

承载业务数据,减少后续请求查询数据库的次数
防篡改,保证信息的合法性和有效性

 

 JWT 生成令牌

全称:JSON Web Token

定义了一种简洁的、自包含的格式,用于通信双方以 json 数据格式安全的传输信息。

组成:

第一部分:Header(头)记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}
第二部分:Payload(有效载荷)携带一些自定义信息、默认信息等。 例如:{"id":"1","username":"Tom"}
第三部分:Signature(签名)防止 Token 被篡改、确保安全性。将 header、payload,并加入指定秘钥,通过指定签名算法计算而来。

 

JWT依赖:

    <dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>${ava-jwt.version}</version>
    </dependency>

 JwtUtil 工具类

package com.thz.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;

import java.util.Date;
import java.util.Map;

public class JwtUtil {

    private static final String KEY = "thz";

	// 接收业务数据,生成token并返回
    public static String genToken(Map<String, Object> claims) {
        return JWT.create()
                .withClaim("claims", claims)
                .withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 ))
                .sign(Algorithm.HMAC256(KEY));
    }

	// 接收token,验证token,并返回业务数据
    public static Map<String, Object> parseToken(String token) {
        return JWT.require(Algorithm.HMAC256(KEY))
                .build()
                .verify(token)
                .getClaim("claims")
                .asMap();
    }

}

 JwtUtil 生成令牌

    // 接收业务数据,生成token并返回
    public static String genToken(Map<String, Object> claims) {
        return JWT.create()
                // 添加载荷
                .withClaim("claims", claims)
                // 添加过期时间
                .withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 ))
                // 指定算法,配置秘钥
                .sign(Algorithm.HMAC256(KEY));
    }

        为了让后台拿到用户的信息,我们可以把用户的 用户名id 作为载荷去生成 token 令牌:

    @PostMapping("/login")
    public Result<String> login(@Pattern(regexp = "^\\S{5,16}$") String username,
                                @Pattern(regexp = "^\\S{5,16}$") String password) {
        // 根据用户名查询用户
        User loginUser = userService.findByUserName(username);
        // 判断用户名是否存在
        if(loginUser == null) {
            return Result.error("用户名不存在");
        }
        // 判断密码是否正确
        if(Md5Util.getMD5String(password).equals(loginUser.getPassword())) {
            // 登入成功
            Map<String,Object> claims = new HashMap<>();
            claims.put("id",loginUser.getId());
            claims.put("username",loginUser.getUsername());
            // 获取token
            String token = JwtUtil.genToken(claims);
            return Result.success(token);
        }
        return Result.error("密码错误");
    }

后台获取用户信息 

         这样我们就可以在后台访问 token 令牌的用户名,查找到用户的详细信息。

    @GetMapping("/userInfo")
    public Result<User> userInfo(@RequestHeader(name = "Authorization") String token) {
        Map<String,Object> claims = JwtUtil.parseToken(token);
        String username = (String) claims.get("username");
        User user = userService.findByUserName(username);
        return Result.success(user);
    }

设置用户信息可见性

        但是为了账号保密性;密码信息需要进行处理,不给予返回。 

        我们可以在 user 实体类中加入 @JsonIgnore 注解;表示将来传递的 json 对象不包含这个属性。

    @JsonIgnore //让springmvc把当前对象转换成json字符串的时候,忽略password,最终的json字符串中就没有password这个属性了
    private String password;//密码

注册拦截器

        令牌的场景一般是用户登入的时候获取令牌,拿着这个令牌就可以访问后台;但是如果没有令牌或者令牌不合法就不能进行访问。所以我们创建一个登录拦截器 LoginInterceptor,用于获取请求的 Token 并进行验证。

注册拦截器:

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Autowired
    private LoginInterceptor loginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 登入接口和注册接口不拦截
        registry.addInterceptor(loginInterceptor).excludePathPatterns("/user/login","/user/register");
    }
}

 后台入口判断是否拦截:

public class LoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 验证令牌
        String token = request.getHeader("Authorization");
        // 解析 token
        try{
            Map<String,Object> claims = JwtUtil.parseToken(token);
            // 放行
            return true;
        }catch (Exception e){
            response.setStatus(401);
            // 不放行
            return false;
        }
    }
}

 

ThreadLocal 优化

        ThreadLocal,也称为线程局部变量,是一种特殊的变量。它的特点是,每个线程都有该变量的一个副本,线程之间互不影响,实现了线程间的数据隔离。

ThreadLocal:提供线程局部安全

  • 用来存取数据:set()/get()
  • 使用ThreadLocal存储的数据,线程安全
  • 用完记得调用remove方法释放

         简单来说就是 ThreadLocal 可以将一个代码块或者对象封装起来给多个线程提供使用,而且这多个线程使用这个 ThreadLocal 都是获取自己的部分,各个线程之间不会相互影响。于是我们可以使用 ThreadLocal 来优化代码:

拦截器部分:

public class LoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 验证令牌
        String token = request.getHeader("Authorization");
        // 解析 token
        try{
            Map<String,Object> claims = JwtUtil.parseToken(token);
            // 放行
            return true;
        }catch (Exception e){
            response.setStatus(401);
            // 不放行
            return false;
        }
    }
}

获取用户信息部分:

    @GetMapping("/userInfo")
    public Result<User> userInfo(@RequestHeader(name = "Authorization") String token) {
        Map<String,Object> claims = JwtUtil.parseToken(token);
        String username = (String) claims.get("username");
        User user = userService.findByUserName(username);
        return Result.success(user);
    }

        不使用 ThreadLocal 之前,获取用户信息需要获取 token 对象;使用 ThreadLocal 后 token 就存在 ThreadLocal 中,就不需要再去等待 token 的传递,可以做到随用随取。

使用 ThreadLocal 后

@Component
public class LoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 令牌验证
        String token = request.getHeader("Authorization");
        // 解析 token
        try{
            Map<String,Object> claims = JwtUtil.parseToken(token);
            //把业务数据存储到ThreadLocal中
            ThreadLocalUtil.set(claims);
            // 放行
            return true;
        }catch (Exception e){
            // http 响应的状态码
            response.setStatus(401);
            // 不放行
            return false;
        }
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        //清空ThreadLocal中的数据,防止内存泄漏
        ThreadLocalUtil.remove();
    }
}
    @GetMapping("/userInfo")
    public Result<User> userInfo() {
        Map<String,Object> map = ThreadLocalUtil.get();
        String username = (String) map.get("username");
        User user = userService.findByUserName(username);
        return Result.success(user);
    }


http://www.kler.cn/a/393450.html

相关文章:

  • 边缘的检测
  • vue请求数据报错,设置支持跨域请求,以及2种请求方法axios或者async与await
  • 使用etl工具kettle的日常踩坑梳理之二、从Hadoop中导出数据
  • sql server 查看io资源使用
  • 蓝桥杯每日真题 - 第7天
  • Springboot 启动端口占用如何解决
  • 【go从零单排】HTTP客户端和服务端
  • 群控系统服务端开发模式-应用开发-前端退出功能
  • 丹摩征文活动|FLUX.1 和 ComfyUI:从部署到上手,轻松驾驭!
  • apk反编译修改教程系列-----apk应用反编译中AndroidManifest.xml详细代码释义解析 包含各种权限 代码含义
  • CyclicBarrier复杂场景示例
  • ThinkServer SR658H V2服务器BMC做raid与装系统
  • TCP 为什么是流协议而不是包协议
  • SpringBoot框架在共享汽车管理中的应用
  • 使用elementUI实现表格行拖拽改变顺序,无需引入外部库
  • 基于SpringBoot智慧社区管理平台
  • 力扣(LeetCode)LCR 179. 查找总价格为目标值的两个商品(Java)
  • Fabric.js中文教程
  • 唐帕科技校园语音报警系统:通过关键词识别,阻止校园霸凌事件
  • 网络基础 - 网段划分篇
  • 嵌入式硬件杂谈(一)-推挽 开漏 高阻态 上拉电阻
  • CHI 协议层 Retry —— CHI(8)
  • 安科瑞工业绝缘监测装置:保障煤矿井下6kV供电系统安全运行的关键应用——安科瑞 丁佳雯
  • Java使用Thumbnails进行图片处理
  • 《C++跨平台编译:打破系统边界,释放代码潜能》
  • pytest执行用例时从conftest.py抛出ModuleNotFoundError:No module named ‘XXX‘异常的解决办法