实现结果

本着结果导向的原则，先说一下这个例子最后实现的效果是啥：用户登录成功后后台会返回一个token给调用者，同时我们自定义了@AuthToken注解，被该注解标注的api进行请求的时候都需要进行token效验，效验通过才可以正常访问，实现接口级的鉴权控制。同时token具有生命周期，在用户持续一段时间不进行操作的话，token则会过期，用户一直操作的话，则不会过期。

适合人群

新手学习或者刚开始尝试采用token方式鉴权的老手。

你可能可以学到：

• SpringBoot构建一个RESTful服务
• Swagger 管理API文档
• Redis的简单使用
• token鉴权的一种思路
  ……

需要的一些前置知识

• SpringBoot :参考资料>SpringBoot构建RESTful服务
• redis : 参考资料>redis参考资料
• mybatis plus：参考资料>mybatis plus 文档

运行这个例子

• 安装MySQL，导入resources下的token_demo.sql，创建数据库表结构，在application.properties中配置数据库账号密码。
• 安装redis。redis官方没有提供window版本，好在微软为我们提供了window下的版本：
  window版redis下载
• 运行TokenApplication.java类来启动项目，默认端口为9001,如果有端口冲突或者希望修改端口可以到配置文件application.properties下修改server.port的值即可。
• 成功启动后浏览器打开http://localhost:9001/swagger-ui.html,便可以看到swagger API展示界面，进行API调试。

流程分析

1. 客户端登录，输入用户名和密码，后台进行验证，如果验证失败则返回登录失败的提示。如果验证成功，则生成token然后将username和token双向绑定(可以根据username取出token也可以根据token取出username)存入redis,同时使用token+username作为key把当前时间戳也存入redis。并且给它们都设置过期时间。
2. 每次请求都会走拦截器，如果该接口标注了@AuthToken注解，则要检查http header中的Authorization字段，获取token，然后由于token与username双向绑定，我们可以通过获取的token来尝试从redis中获取username,如果可以获取则说明token正确，反之，说明错误，返回鉴权失败。
3. token可以根据用户使用的情况来动态的调整自己过期时间。我们在生成token的同时也往redis里面存入了创建token时的时间戳，每次请求被拦截器拦截token 验证成功之后，将当前时间与存在redis里面的token生成时刻的时间戳进行比较，当当前时间的距离创建时间快要到达设置的redis过期时间的话，就重新设置token过期时间，将过期时间延长。如果用户在设置的redis过期时间的时间长度内没有进行任何操作（没有发请求），则token会在redis中过期。

源码（talk is cheap）

更加详细的细节尽在代码中……

实现token鉴权的例子