一、DIgestUtil实现md5加密
1.1为什么要对数据进行加密
常用方法:
`DigestUtils`是Apache Commons Codec库提供的一个实用工具类,用于处理摘要算法(如MD5、SHA等)的相关操作。其中包括了一些用于MD5加密的函数。以下是一些`DigestUtils`中有关MD5加密的函数:
使用案例
实战:用户注册时候将注册的密码通过md5加密后上传&&用户登陆时候自动将密码进行md5加密再进行对比
password = DigestUtils.md5DigestAsHex(password.getBytes()); if (!password.equals(employee.getPassword())) { //密码错误 throw new PasswordErrorException(MessageConstant.PASSWORD_ERROR);
} if (employee.getStatus() == StatusConstant.DISABLE) { //账号被锁定 throw new AccountLockedException(MessageConstant.ACCOUNT_LOCKED);
} //3、返回实体对象
return employee;二、介绍并配置使用Swagger
2.1 介绍Swagger
Swagger是一种用于设计、构建、文档化和消费RESTful Web服务的开源工具集。它的主要目标是简化API的开发和维护流程,提高团队协作效率,同时提供一致且易于理解的API文档。
2.2 配置Swagger
在pom.xml中导入依赖
<dependency><groupId>com.github.xiaoymin</groupId><artifactId>knife4j-spring-boot-starter</artifactId><version>3.0.2</version>
</dependency>配置类配置,在config包下WebMvc下进行配置
/*** 通过knife4j生成接口文档* @return*/@Beanpublic Docket docket1() {log.info("开始生成接口文档...");ApiInfo apiInfo = new ApiInfoBuilder().title("苍穹外卖项目接口文档").version("2.0").description("苍穹外卖项目接口文档").build();Docket docket = new Docket(DocumentationType.SWAGGER_2).groupName("用户端").apiInfo(apiInfo).select()//指定要扫描的包.apis(RequestHandlerSelectors.basePackage("com.sky.controller.user")).paths(PathSelectors.any()).build();return docket;}/*** 设置静态资源映射* @param registry*/protected void addResourceHandlers(ResourceHandlerRegistry registry) {log.info("开始设置静态资源映射...");registry.addResourceHandler("/doc.html").addResourceLocations("classpath:/META-INF/resources/");registry.addResourceHandler("/webjars/**").addResourceLocations("classpath:/META-INF/resources/webjars/");}
注:
1.如果缺少registry.addResourceHandler("/doc.html").addResourceLocations("classpath:/META-INF/resources/"); 会报错404
2.如果缺少 //__指定生成接口需要扫描的包 .apis(RequestHandlerSelectors.basePackage("com.sky.controller")) 则无法找到对应类
2.3 使用Swagger
在运行后端后,在端口后面加上doc.html即可跳转到对应的页面
Swagger常用的注解配置
使用案例:
1.@Api
// 添加@Api注解,描述员工管理接口
@Api(tags = "员工管理")
public class EmployeeController {。。。业务。。。
}2.@ApiOperation
@ApiOperation("员工登录")
@PostMapping("/login")
public Result<EmployeeLoginVO> login(@RequestBody EmployeeLoginDTO employeeLoginDTO) { log.info("员工登录:{}", employeeLoginDTO); Employee employee = employeeService.login(employeeLoginDTO); //登录成功后,生成jwt令牌 Map<String, Object> claims = new HashMap<>(); claims.put(JwtClaimsConstant.EMP_ID, employee.getId()); String token = JwtUtil.createJWT( jwtProperties.getAdminSecretKey(), jwtProperties.getAdminTtl(), claims); EmployeeLoginVO employeeLoginVO = EmployeeLoginVO.builder() .id(employee.getId()) .userName(employee.getUsername()) .name(employee.getName()) .token(token) .build(); return Result.success(employeeLoginVO);
}3.@ApiModel与@ApiModelProperty
@Data
@ApiModel(description = "员工登录时传递的数据模型")
public class EmployeeLoginDTO implements Serializable { @ApiModelProperty("用户名") private String username; @ApiModelProperty("密码") private String password; }效果如下:
思考:有swaggar还需要像APIFOx(PostMan)这种工具吗
由于开发阶段前端和后端是并行开发的,后端完成某个功能后,此时前端对应的功能可能还没有开发完成
导致无法进行前后端联调测试。所以在开发阶段,后端测试主要以接口文档测试为主。
三、业务逻辑开发
3.1 新增并测试员工
3.2 对应的DTO
三层架构代码:
1.控制层Controller层:
@PostMapping("/save")
@ApiOperation("员工注册")
public Result save(EmployeeDTO employeeDTO){ log.info("员工注册:{}", employeeDTO); employeeService.save(employeeDTO); return Result.success();
}2.服务层Service层:
void save(EmployeeDTO employeeDTO);Service具体实现
// 保存员工信息
public void save(EmployeeDTO employeeDTO){ Employee employee = new Employee(); //通过BeanUtils.copyProperties()方法将employeeDTO中的属性值复制到employee中 BeanUtils.copyProperties(employeeDTO, employee); //将employee剩下的属性进行赋值 //1.对默认密码进行MD5加密 employee.setPassword(DigestUtils.md5DigestAsHex(PasswordConstant.DEFAULT_PASSWORD.getBytes())); //2.设置员工状态为启用 employee.setStatus(StatusConstant.ENABLE); //3.设置创建时间和更新时间 employee.setCreateTime(LocalDateTime.now()); employee.setUpdateTime(LocalDateTime.now()); //4.设置员工创建人和更新人id //TODO 从session中获取当前登录员工的id employee.setCreateUser(10L); employee.setUpdateUser(10L); //5.调用employeeMapper.save()方法保存员工信息 employeeMapper.save(employee);
};Mapper层
/** * 插入新员工 * @param employee */
@Insert("insert into sky_take_out.employee(name, username, password, phone, sex, id_number, create_time, " + "update_time, create_user, update_user)"+ "values" +"(#{name}, #{username}, #{password},#{phone}, #{sex}, #{idNumber}, #{createTime}, #{updateTime}, #{createUser}, #{updateUser})"
)
void save(Employee employee);application.yml中开启驼峰命名
通过驼峰命名使得id_number对应上idNumber
通过swagger测试
前后端联调测试
四、全局异常处理
测试重复插入同个id的员工
这里就进行了报错,并且并未对报错的内容进行处理。比如重复插入时候应该抛出一个异常告诉前端,请勿重复插入
创建全局异常处理类
核心注解:
@ExceptionHandler
/** * 捕获SqlIntegrityConstraintViolationException异常 * @return */
@ExceptionHandler
public Result exceptionHander(SQLIntegrityConstraintViolationException ex){ //Duplicate entry 'zhangsan' for key 'employee.idx_username'异常信息案例 String message = ex.getMessage(); //判断异常信息中是否包含“Duplicate entry”关键字 if(message.contains("Duplicate entry")) { //动态提取出重复的数据 String[] split = message.split(" "); String username = split[2]; String msg = username+"数据已存在,不能重复添加"; return Result.error(msg); } //未知错误 return Result.error(MessageConstant.UNKNOWN_ERROR); }五、通过ThreadLocal存放用户信息
每次用户登录时候,应该创建一个token。将用户的个人信息和有效期等存储存起来。用户每次操作时候就可以通过访问当前token来得知当前用户和token是否过期。
ThreadLocal常用方法:
`ThreadLocal` 在 Java 中是一个非常有用的类,主要用于维护变量在使用线程中的线程局部性,即每个线程都有一个变量的单独副本。这样可以确保线程之间的数据隔离,避免了多线程环境下的同步问题。以下是 `ThreadLocal` 类中一些常用的方法:
1.void set(T value)
设置当前线程的线程局部变量的值。每个线程调用此方法时,都只会影响到调用线程中存储的副本。
2. T get()
返回当前线程所对应的线程局部变量。如果当前线程之前没有设置过这个变量的值,`ThreadLocal` 可能会初始化这个变量并返回初始值。
3.void remove()
移除当前线程的局部变量,如果之后还需要使用同一个变量,`ThreadLocal` 可能会重新进行初始化。
4.T initialValue()
返回该线程局部变量的初始值。这个方法是一个被 `protected` 修饰的方法,通常用于通过匿名内部类覆盖以提供初始值。默认情况下,`initialValue()` 方法返回 `null`。
使用案例:
public class BaseContext { public static ThreadLocal<Long> threadLocal = new ThreadLocal<>(); public static void setCurrentId(Long id) { threadLocal.set(id); } public static Long getCurrentId() { return threadLocal.get(); } public static void removeCurrentId() { threadLocal.remove(); } }六、配置JWT并使用拦截器
通过JWT工具类快速上手该技术
public class JwtUtil { /** * 生成jwt * 使用Hs256算法, 私匙使用固定秘钥 * * @param secretKey jwt秘钥 * @param ttlMillis jwt过期时间(毫秒) * @param claims 设置的信息 * @return */ public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) { // 指定签名的时候使用的签名算法,也就是header那部分 SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; // 生成JWT的时间 long expMillis = System.currentTimeMillis() + ttlMillis; Date exp = new Date(expMillis); // 设置jwt的body JwtBuilder builder = Jwts.builder() // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的 .setClaims(claims) // 设置签名使用的签名算法和签名使用的秘钥 .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8)) // 设置过期时间 .setExpiration(exp); return builder.compact(); } /** * Token解密 * * @param secretKey jwt秘钥 此秘钥一定要保留好在服务端, 不能暴露出去, 否则sign就可以被伪造, 如果对接多个客户端建议改造成多个 * @param token 加密后的token * @return */ public static Claims parseJWT(String secretKey, String token) { // 得到DefaultJwtParser Claims claims = Jwts.parser() // 设置签名的秘钥 .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8)) // 设置需要解析的jwt .parseClaimsJws(token).getBody(); return claims; } }Jwt配置类:
@Component
@ConfigurationProperties(prefix = "sky.jwt")
@Data
public class JwtProperties { /** * 管理端员工生成jwt令牌相关配置 */ private String adminSecretKey; private long adminTtl; private String adminTokenName; /** * 用户端微信用户生成jwt令牌相关配置 */ private String userSecretKey; private long userTtl; private String userTokenName; }jwt管理员和员工的yml配置
sky: jwt: # 设置jwt签名加密时使用的秘钥 admin-secret-key: itcast # 设置jwt过期时间 admin-ttl: 7200000 # 设置前端传递过来的令牌名称 admin-token-name: token # 设置用户的jwt签名加密时使用的秘钥 user-secret-key: alphaMilk # 设置用户的jwt过期时间 user-ttl: 7200000 # 设置用户的jwt签名加密时使用的秘钥 user-token-name: authentication配置拦截器
/** * jwt令牌校验的拦截器 */
@Component
@Slf4j
public class JwtTokenAdminInterceptor implements HandlerInterceptor { @Autowired private JwtProperties jwtProperties; /** * 校验jwt * * @param request * @param response * @param handler * @return * @throws Exception */ public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { //判断当前拦截到的是Controller的方法还是其他资源 if (!(handler instanceof HandlerMethod)) { //当前拦截到的不是动态方法,直接放行 return true; } //1、从请求头中获取令牌 String token = request.getHeader(jwtProperties.getAdminTokenName()); //2、校验令牌 try { log.info("jwt校验:{}", token); Claims claims = JwtUtil.parseJWT(jwtProperties.getAdminSecretKey(), token); Long empId = Long.valueOf(claims.get(JwtClaimsConstant.EMP_ID).toString()); log.info("当前员工id:", empId); //通过ThreadLocal保存员工id BaseContext.setCurrentId(empId); //3、通过,放行 return true; } catch (Exception ex) { //4、不通过,响应401状态码 response.setStatus(401); return false; } }
}将拦截器应用到配置中,在WebMvcConfig文件增加以下配置:
@Autowired private JwtTokenAdminInterceptor jwtTokenAdminInterceptor; // 注入用户拦截器 @Autowired private JwtTokenUserInterceptor jwtTokenUserInterceptor; /** * 注册自定义拦截器 * * @param registry */ protected void addInterceptors(InterceptorRegistry registry) { log.info("开始注册自定义拦截器...");
// 管理员拦截器 registry.addInterceptor(jwtTokenAdminInterceptor) .addPathPatterns("/admin/**") .excludePathPatterns("/admin/employee/login");
// 用户拦截器 registry.addInterceptor(jwtTokenUserInterceptor) .addPathPatterns("/user/**") .excludePathPatterns("/user/user/login") .excludePathPatterns("/user/shop/status"); }如此就能正常进行拦截并设置拦截范围