springboot项目中如何实现过滤器鉴权
通常来说鉴权都是写在网关当中,对于单体应用也可以在后台服务中通过一个过滤器实现。其实过程与网关当中的没什么不同,只是在gateway当中目前是基于netty响应式的。过程如下:
一、实现Filter接口
定义自己的过滤器,并且实现Filter接口:
public class AuthFilter implements Filter
二、重写doFilter方法
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) {
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
try {
// 此处省略
filterChain.doFilter(request, response);
} catch (Exception e) {
log.info("[AuthFilter.doFilter] exception: {}", e);
}
}
如上代码省略处就是我们需要做业务逻辑处理的地方,我们既然要做鉴权接口,那么通常做法是获取请求头部的内容,如token,然后对token进行验证等等。
三、实现鉴权代码
首先是获取header的关键参数,我此处主要有两个,分别是 token 和 username,分别通过header当中他们的key去获取就可以。
注意我对username进行了解码操作,原因是username有可能是中文,在前端vue的过滤器不允许直接发送UTF-8的中文,所以需要进行编码处理。
如果不能保证username可能为空,需要对其判断后再进行decode,否则会抛出异常。
String token = request.getHeader("AUTHORIZATION");
String username = URLDecoder.decode(request.getHeader("_username"),"UTF-8");
拿到token和username我主要做了下面的判断:
- token不能为空,失败返回未授权错误码。
//token为空
if (StringUtils.isEmpty(token) || "null".equals(token)) {
response.sendError(CommonReturnEnum.UNAUTHORIZED.getCode(), CommonReturnEnum.UNAUTHORIZED.getName());
return ;
}
- jwt解析token,首先是根据用户名从redis当中获取,token不存在存在,就进行JWT解析验证,失败就直接返回未授权错误码。成功则继续。
//验证token
String tokenCache = redisUtil.getString(JwtUtil.REDIS_TOKEN_PREFIX + username);
if (StringUtils.isEmpty(tokenCache)) {
Map<String, String> stringStringMap = JwtUtil.validateToken(token);
if (ObjectUtil.isEmpty(stringStringMap)) {
response.sendError(CommonReturnEnum.UNAUTHORIZED.getCode(), CommonReturnEnum.UNAUTHORIZED.getName());
return;
}
}
- redis存在token,与header的对比,不同就去jwt解析,通过则继续,未通过就返回未授权。
//没过期,对比当前token和缓存的token是否一致
if (!token.equals(tokenCache)) {
boolean tokenAndUser = JwtUtil.validateTokenAndUser(token, username);
if (!tokenAndUser) {
response.sendError(CommonReturnEnum.UNAUTHORIZED.getCode(), CommonReturnEnum.UNAUTHORIZED.getName());
return;
}
}
- token续期。
在前的步骤,即使是redis不存在,或者与header的token不相同,我仍然会通过jwt去解析验证,防止redis数据异常导致问题。
续期的意思就是当用户在token的超时时间内进行了刷新,则我们会重新赋予他一个新的token,这样用户就不需要频繁登录,又不会是账号一直在线。
//token验证通过,token续期
String refreshToken = JwtUtil.refreshToken(token, username);
redisUtil.setObjectExpire(JwtUtil.REDIS_TOKEN_PREFIX + username, refreshToken,
JwtUtil.REDIS_TOKEN_EXPIRE_MINUTE, TimeUnit.MINUTES);
四、实现白名单放行功能
针对某些特定的路径,是没有携带token等信息的,所以需要过滤器放行。
我这里将需要放行的白名单配置在yml文件当中:
# 请求白名单
filter:
white-list: /user/login,/user/register,/websocket/server/,/integral/pageList
在过滤器使用 @value 获取:
@Value("#{'${filter.white-list}'.split(',')}")
private List<String> whiteList;
在doFilter中遍历放行:
//白名单,放行
for (String url : whiteList) {
if (path.contains(url)) {
filterChain.doFilter(request, response);
return;
}
}
以上就是简单的鉴权过滤器的实现。