百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 编程网 > 正文

Spring Boot 中如何实现通过Cookie来实现用户鉴权?

yuyutoo 2024-12-23 14:29 2 浏览 0 评论

Cookie是存储在用户浏览器中的一小段数据,主要的作用是用来帮助Web服务器和客户端之间的通信。这段数据由服务端生成,然后通过HTTP的头部信息反馈给客户端,然后再后续的操作中客户端会自动将这些Cookie的数据返回到服务端。

Cookie的用途

在实际开发工作中Cookie有着很多的作用如下所示。

会话管理

例如用户登录后的会话跟踪。服务器可以通过Cookie识别用户并保持用户的登录状态。

个性化设置

例如保存用户的偏好设置、主题选择等。

跟踪分析

用于跟踪用户的行为,如访问历史、点击记录等。许多广告和分析工具依赖于Cookie来跟踪用户活动。

下面我们就来看看如何通过Cookie来存储用户信息来实现用户鉴权操作。

用户鉴权操作步骤

当用户登录成功后,可以生成一个唯一的令牌,例如JWT或随机生成的Session ID,然后将这个令牌保存到服务器的会话存储中,并将其作为Cookie发送到客户端。

然后,在后续的每次客户端请求时,Spring Boot会自动将Cookie发送回服务器。而我们需要在服务器端通过拦截器或过滤器获取这个Cookie并验证其有效性。如果Cookie中的令牌有效且未过期,则允许用户继续访问。

通过过滤器或拦截器,验证每个请求的Cookie是否存在且有效。如果无效或不存在,则返回未授权的响应。

具体实现步骤

登录时生成并发送Cookie

在用户登录成功时,生成一个唯一的令牌并将其放入Cookie中,如下所示。

@RestController
public class AuthController {

    @PostMapping("/login")
    public ResponseEntity<?> login(@RequestParam String username, @RequestParam String password, HttpServletResponse response) {
        // 验证用户名和密码
        if (validateUser(username, password)) {
            // 生成一个唯一的令牌 (例如 JWT 或 Session ID)
            String token = generateTokenForUser(username);

            // 将令牌保存到服务器端(如内存、数据库、缓存等)
            saveTokenToStore(username, token);

            // 创建一个Cookie并设置令牌值
            Cookie authCookie = new Cookie("AUTH-TOKEN", token);
            authCookie.setHttpOnly(true); // 防止客户端脚本访问
            authCookie.setSecure(true); // 在生产环境中使用HTTPS
            authCookie.setPath("/"); // 适用于整个应用程序
            authCookie.setMaxAge(24 * 60 * 60); // 设置过期时间为1天

            // 将Cookie添加到响应中
            response.addCookie(authCookie);

            return ResponseEntity.ok("Login successful");
        } else {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("Invalid credentials");
        }
    }

    // 验证用户名和密码的方法
    private boolean validateUser(String username, String password) {
        // 实现用户验证逻辑
        return true;
    }

    // 生成令牌的方法
    private String generateTokenForUser(String username) {
        // 生成并返回令牌
        return UUID.randomUUID().toString();
    }

    // 保存令牌的方法
    private void saveTokenToStore(String username, String token) {
        // 实现将令牌保存到服务器存储
    }
}

创建过滤器或拦截器来验证请求中的Cookie

创建一个过滤器或拦截器来检查每个请求中的AUTH-TOKEN是否有效,如果请求检查有效那么就会放行该请求,如果无效则会被拦截,如下所示。

@Component
public class AuthFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {

        // 获取Cookie
        Cookie[] cookies = request.getCookies();
        if (cookies != null) {
            for (Cookie cookie : cookies) {
                if ("AUTH-TOKEN".equals(cookie.getName())) {
                    String token = cookie.getValue();

                    // 验证令牌是否有效
                    if (validateToken(token)) {
                        // 如果令牌有效,则继续处理请求
                        filterChain.doFilter(request, response);
                        return;
                    }
                }
            }
        }

        // 如果令牌无效或不存在,则返回401未授权
        response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
    }

    // 验证令牌的方法
    private boolean validateToken(String token) {
        // 实现令牌验证逻辑(例如检查令牌是否存在且未过期)
        return true;
    }
}

注册过滤器

将过滤器注册到Spring Boot容器中,可以用来完成用户鉴权操作,如下所示。

@SpringBootApplication
public class MyApplication {

    public static void main(String[] args) {
        SpringApplication.run(MyApplication.class, args);
    }

    @Bean
    public FilterRegistrationBean<AuthFilter> authFilter() {
        FilterRegistrationBean<AuthFilter> registrationBean = new FilterRegistrationBean<>();
        registrationBean.setFilter(new AuthFilter());
        registrationBean.addUrlPatterns("/secure/*"); // 设置需要拦截的路径
        return registrationBean;
    }
}

总结

通过上述的步骤,我们就可以通过Spring Boot来实现基于Cookie的用户身份验证。但是在实际使用场景中需要注意Cookie的使用限制,每个Cookie的大小通常限制为4KB左右,并且每个域名可以设置的Cookie数量有限,通常在20-50个之间。由于Cookie可以用于跟踪用户行为,可能会引发隐私问题。因此,许多浏览器提供了管理和清除Cookie的功能来让用户自己觉得Cookie的操作方式。

相关推荐

一篇文章认识JavaScript中的Web API

在了解webapi之前先要明白在我们声明变量三个关键字(var、let、const),我们到底该用哪一个?首先排除var,它是老牌的写法,会有很多问题,可以淘汰掉...我们在开发中建议const...

html5大神结合js带你研究古老读心术,你的心思早被猜透

javascript/HTML5课题:javascript开发读心术游戏PS:大爆料!javascript解密读心术游戏背后故事知识点:读心术原理算法独家揭秘,HTML5最新选择器,...

纯CSS实现3个圆圈横向排列不断闪烁的Loading特效

这个纯CSS实现的Loading特效是一个非常简单而实用的选择,它由三个圆圈横向排列,并不断闪烁。这种动画效果很适合用于页面加载过程中,为用户提供一个愉悦的等待体验。在这个特效的设计中,使用了CSS的...

网站建设知识分享系列文章三:符合用户体验的网页设计应如何做?

上篇文章向各位讲述了网站建设知识分享系列文章二:如何选择建站公司,今天我们来讲述下建站公司选定后,网站制作流程是怎样的,有哪些需要注意的细节性问题。选定建站公司,签订正规劳务合同后,最先开始的是设计环...

「更新」微信小程序 Lottie 动画组件 lottiejs-miniapp V1.1.0 发布

lottiejs-miniapp当前版本号:1.1.0npm地址:...

Web开发基础之jQuery javascript web开发

jQuery是一个JavaScript库。jQuery极大地简化了JavaScript编程。jQuery的语法设计可以使开发更加便捷,例如操作文档对象、选择DOM元素、制作动画效果、事件处理、使用Aj...

Web前端:JavaScript最强总结,最全面的零基础入门教程

JavaScript是网景(Netscape)公司开发的一种基于客户端浏览器、面向(基于)对象、事件驱动式的网页脚本语言。JavaScript语言的前身叫作Livescript。JavaScript...

jQuery 动画制作与特效 jquery的动画函数

使用show()和hide()方法在普通的javascript编程中,要实现元素的显示、隐藏通常是利用其CSS的display属性或者visibility属性。在jQuery中提供了show()和hi...

JavaScript+css实现的登录注册页面web前端html源码

大家好,今天给大家介绍一款,JavaScript+css实现的登录注册页面web前端html源码(图1),布局合理。送给大家哦,获取方式在本文末尾。文本框获取焦点动画特效(图2)源码完整,需要的朋友可...

CSS 3.0+HTML5.0制作各种网页特效

?1、C33实现点击图片渐渐放大特效??2、CSS3实现图片全屏背景特效?3、CSS3实现的鼠标移动到图片上不规则放大??3、jQuery+CSS3模拟苹果桌面系统??4、CSS3+jQuery照片...

js+css实现的按钮悬停动画特效html前端源码,随机元素弹出效果

大家好,今天给大家介绍一款,js+css实现的按钮悬停动画特效html页面前端源码,随机元素弹出(图1)。送给大家哦,获取方式在本文末尾。鼠标经过按钮区域的时候,会随机从不同位置上弹出很多小元素,效果...

Swiper - 免费开源、功能强大的触摸滑动js特效插件

简单配置就能实现手机、PC网页中滑动、焦点轮播图、tab切换和触摸导航等大部分功能。js滑动特效插件Swiper是一款纯javascript打造的滑动特效插件,主要用对移动端web开发...

html5精选特效代码分享(收藏) html酷炫特效

在网页设计过程中,我们会经常用到一些HTML5特效代码,下面就是为大家整理分享的一些好看炫酷且实用的HTML5特效代码,可以放心在您的应用程序中使用。一、Canvas跟随鼠标光标动画特效演示、下载地址...

玩转Markdown(2)——抽象语法树的提取与操纵

上一篇玩转Markdown——数据的分离存储与组件的原生渲染发布,转眼已经鸽了大半年了。最近在操纵mdast生成md文件的时候,心血来潮,把玩转Markdown(2)给补上了。...

任由文字肆意流淌,更自由的开源 Markdown 编辑器

对于创作平台来说内容编辑器是十分重要的功能,强大的编辑器可以让创作者专注于创作“笔”下生花。而最好取悦程序员创作者的方法之一就是支持Markdown写作,因为大多数程序员都是用Markdown...

取消回复欢迎 发表评论: