未经过token验证的用户A使用正常用户登录后的有效token访问A自己的资源

最新推荐文章于 2022-08-27 08:31:14 发布
最新推荐文章于 2022-08-27 08:31:14 发布
阅读量793 收藏 5
点赞数 2
文章标签: java spring boot http token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aeowuguozhi/article/details/123380720
版权

用户ID和token:

已经登陆的用户:
{
    "status": 200,
    "msg": "登录成功!",
    "data": {
        "userId": "83c68099-6522-4d22-a841-7059089c18cd",
        "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6Ijgz
		YzY4MDk5LTY1MjItNGQyMi1hODQxLTcwNTkwODljMThjZCIsInR5cGUiOiLn
		lKjmiLciLCJleHAiOjE2NDY4MjA1MjgsImFjY291bnQiOiJhZW93dWd1b3poaS14eCJ9.QUuwS_24gJz7XxgHVUCDPGkGnp6j3e4p-lOHXpA_UeU"
    }
}

未进行登陆的用户:
userId:b3893569-94f2-420a-a3d3-827b6c8cafe6

在这里插入图片描述

使用未登录的用户ID登陆系统:
在这里插入图片描述
登陆一个正常使用的用户:
在这里插入图片描述

{
    "status": 200,
    "msg": "登录成功!",
    "data": {
        "userId": "83c68099-6522-4d22-a841-7059089c18cd",
        "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6Ijgz
		YzY4MDk5LTY1MjItNGQyMi1hODQxLTcwNTkwODljMThjZCIsInR5cGUiOiLn
        lKjmiLciLCJleHAiOjE2NDY4MjA1MjgsImFjY291bnQiOiJhZW93dWd1b3poaS14eC
        J9.QUuwS_24gJz7XxgHVUCDPGkGnp6j3e4p-lOHXpA_UeU"
    }
}

然后拿这个正常登录的用户的token去给未登录的用户进行token验证;
结果是拿到了未登录用户的个人信息。如下图A所示
图A

思考:为进行登录的用户可以拿着已经登录的用户的token进行访问自己的信息,这样河里吗?不河里!所以怎么办呢?
解决办法:
使用token里面PayLoad里的userId的信息,再次跟请求参数的userId验证一致性。
具体代码如下:
用户登录ServiceImpl:

    /**
     * 登陆用户,返回token。redis存放用户信息
     * @param account
     * @param password
     * @return token
     */
    @Override
    @Transactional(propagation = Propagation.SUPPORTS)
    public Map<String,String> login(String account,String password) {
        try{
            QueryWrapper<User> wrapper = new QueryWrapper();
            wrapper.eq("account",account).eq("password",MD5Utils.md5(password));
            User userDB = userdao.selectOne(wrapper);
//            User userDB = userdao.selectUsersByAccountPassword(account,MD5Utils.md5(password));
            if(userDB != null){
                //添加负载 Payload 不要放用户敏感信息
                Map<String,String> Payload = new HashMap<>();
                Payload.put("id",userDB.getId());
                Payload.put("account",userDB.getAccount());
                Payload.put("type", UserTypeEnum.USER.getName());
                String token = JwtUtil.createJwtToken(Payload, 120);//设置负载,设置token过期时间 120minutes
                redisTemplate.opsForValue().set(User.class.getSimpleName() + "_"+ userDB.getId(), GsonUtil.getGson().toJson(userDB));
                Map<String,String>map = new HashMap<>();
                map.put("token",token);
                map.put("userId",userDB.getId());
                return map;
            }
            throw new MsgException("登陆失败,用户名或密码错误");
        }catch (MsgException e){
            throw e;
        }catch(RedisConnectionFailureException e){
            log.warn(e.getMessage(),e);
            throw new MsgException("Redis缓存连接失败!");
        } catch (Exception e){
            throw e;
        }
    }

LoginInterceptor登录拦截器,做token检查的

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//        boolean token = (boolean)request.getAttribute("token");
        try{
            String token = request.getHeader("token");
            if(token == null || token.equals("")){
                throw new MsgException("未携带token");
            }
            //验证token正确性和是否过期了。
            JwtUtil.verifyToken(token);
            return true;
        }catch (MsgException e){
            throw e;
        }catch (JWTDecodeException e){
            throw new MsgException("token过期,请重新登录");
        }catch (TokenExpiredException e){
            throw new MsgException("token过期,请重新登录");
        }
        catch (Exception e){
            throw e;
        }
    }

JudgeUserIdUtil: 从HttpServletRequest里面的Header取出token,在从token的Payload取出userId,对比传入的userId。

public class JudgeUserIdUtil {

    public static Boolean Judge(HttpServletRequest request,String userId){
        String token = request.getHeader("token");
        DecodedJWT decodedJWT = JwtUtil.verifyToken(token);
        String userIdInToken = decodedJWT.getClaim("id").asString();
        if(userId.equals(userIdInToken)){
            return true;
        }
        return false;
    }
}

代码修改完毕后,当未登录的用户使用别人登录后的token进行访问系统,图A再次发送请求,系统会提示非法请求。
在这里插入图片描述
总结:
1,登录的时候将用户ID放进去Payload里
2,然后如果一些request请求有userId参数,那就使用token里Payload里取出userId2,
3,userId参数和userId2进行对比,如果一致那就OK,如果不一致那就不允许访问。

PS:或许我们可以使用sa-token来解决这样的问题?博主未学习sa-token,不敢断言。
以上博文若有言辞不当,望诸君不吝赐教。

心若向阳,必生温暖。
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
postMessage 实现A系统新开B系统页面,B系统获取A系统token,从而通过B系统登录验证
Loria1的博客
06-04 931
业务场景: A系统和B系统相互跨域, A系统开起B系统,B系统需要获取登录验证信息 A,B系统都是通过token验证登录信息
jQury Ajax使用Token验证身份实例代码
08-29
在 Web 开发中,验证身份是非常重要的一步骤,以确保只有授权用户可以访问特定的资源Token 验证身份是一种常用的验证方法,它可以确保用户的身份验证,并防止恶意攻击。 二、jQury Ajax 使用 Token 验证身份实例...
用户系列之三:用户登录访问资源的过程之访问令牌篇
weixin_34019144的博客
12-26 209
各位都知道,工作组下本地用户登录需要到本地的SAM数据库中做身份验证,而域用户如果在域内的客户机上登录,需要到AD数据库中作身份验证。我在这里仅以域用户为例来说明用户的详细的登录过程。 如果是你是域用户,在域内的客户机登录,必须选择登录到域,此时你的这台计算机会到DNS服务器上找到该域的DC是谁,由DC负责对用户的身份进行验证,如果验证通过,那么该用户就能正常登...
基于spring-security-oauth2实现资源服务器和认证服务器对接(持续更新)
weixin_34043301的博客
06-02 1131
为什么80%的码农都做不了架构师?>>> ...
token实现登录拦截
Growing up Or Growing old
10-18 723
简单的利用sessionStorage机制以及路由中的beforeEach来实现的登录拦截,当然有token是最好的。 主界面,同过setItem来存储登录的判断条件。 sessionStorage.setItem('isLogin',1);//登录判断 index.js { path: '/Echarts', name: 'Echarts', component: Echarts, meta: {
vue 前端显示图片加token_Vue 页面权限控制和登陆验证
weixin_39631899的博客
11-21 1590
页面权限控制页面权限控制是什么意思呢?就是一个网站有不同的角色,比如管理员和普通用户,要求不同的角色能访问的页面是不一样的。如果一个页面,有角色越权访问,这时就得做出限制了。Vue 动态添加路由及生成菜单这是我写过的一篇文章,通过动态添加路由和菜单来做控制,不能访问的页面不添加到路由表里,这是其中一种办法。另一种办法就是所有的页面都在路由表里,只是在访问的时候要判断一下角色权限。如果有权限就让访问...
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
- 用户登录成功后,服务器生成一个令牌并返回给客户端。 - 客户端在后续的HTTP请求头中携带此令牌。 - 服务器接收到请求后,验证令牌的有效性,包括检查签名、过期时间等。 - 如果验证通过,服务器处理请求;...
Spring Boot项目之用户登陆-利用用户令牌Token的方式实现
10-18
在Spring Boot项目中,用户登录通常涉及到身份验证和授权的过程,而令牌(Token)机制是实现这一过程的有效方法。本文将深入探讨如何在Spring Boot应用中利用令牌Token来实现用户登录功能。 首先,理解Token的基本...
若依@v3.8.6前后端分离版:添加新用户表添加新登录接口,用于小程序或者APP获取token,并使用若依的验证方法
最新发布
10-29
通过这种方式,APP或小程序在用户登录后,可以利用这个token与后端服务进行通信,确保只有合法用户访问受保护的资源。 从提供的文件列表来看,我们可以看到一些关键的项目文件,例如`pom.xml`是Maven项目配置文件...
详解vue项目中使用token的身份验证的简单实践
10-17
6. 服务器接收到请求后,验证Token有效性。如果验证通过,允许进行相应操作,并返回数据;否则,返回错误代码,提示用户重新登录。 具体实现步骤如下: 1. 配置路由元信息:在Vue Router的路由配置中,可以添加...
在页面中添加Token防止越权访问
热门推荐
沉下心来,戒骄戒躁
04-08 1万+
源码很简单。 1、首先是在访问JSP的时候生成一个随机数,放入session中。同时会在服务器缓存一份Token。 2、当form到后台后,调用工具类验证Token。会在TokenList中验证是有该Token值,如果有则验证通过,同时删除List中的Token
使用Token进行身份验证
m0_57037182的博客
06-10 1万+
token,简简单单帮你上手实现
Python自动化—实现获取token
weixin_44249185的博客
09-16 1万+
python之获取token 在公共函数模块实现获取token函数,方便测试用例代码实现时直接调用拿到token值。 1、使用的模块 requests:第三方模块,用来发送http请求和获取返回的结果。 2、使用的方法 (1)requests的带参数get请求 requests.get(url=’’,params={’ ‘:’ ‘,’ ‘:’ ‘}) (2)或:字典类型的post请求方法 requ...
Python接口自动化之Token详解及应用
weixin_42485712的博客
04-17 3755
——————·今天距2021年258天·——————这是ITester软件测试小栈第113次推文在上一篇Python接口自动化测试系列文章:Python接口自动化之cookie、sess...
接收Request请求Bearer令牌参数
PHPer技术栈
06-06 4265
接收Request请求Bearer令牌参数
Token的用途
weixin_46243567的博客
08-27 734
Token用户登录成功之后服务端返回的一个身份令牌,在项目中的多个业务中需要使用到:访问需要授权的 API 接口校验页面的访问权限...但是我们只有在第一次用户登录成功之后才能拿到 Token。所以为了能在其它模块中获取到 Token 数据,我们需要把它存储到一个公共的位置,方便随时取用。往哪儿存?本地存储获取麻烦数据不是响应式Vuex 容器(推荐)获取方便响应式的登录成功,将 Token 存储到 Vuex 容器中获取方便响应式为了持久化,还需要把 Token 放到本地存储持久化登录成功之后后端会返回两
如何防止token泄露?
a873051927的博客
04-21 1万+
1、在存储的时候把 token 进行对称加密存储,用时解开。 如果支持仅仅对token进行对称加密得到一个加密的token,这个加密的token泄露以后,我的理解是其他人还是可以使用这个加密的token进行非法请求; 2、将请求 URL、时间戳、token 三者进行合并加盐签名,服务端校验有效性。 所以最好结合1,2两种方式一起使用,将请求 URL、时间戳、token、 三者进行合并加盐签名,因为盐值是保密的,所以其他人只是得到token的话,无法进行正确的签名,后端验证请求的签名值来判断请求是否有效
Token泄露引发的问题
赵广陆
02-23 1万+
1 如何防止token劫持或者说是泄露? token肯定会存在泄露的问题。比如我拿到你的手机,把你的token拷出来,在过期之前就都可以以你的身份在别的地方登录。 解决这个问题的一个简单办法 在存储的时候把token进行对称加密存储,用时解开。 将请求URL、时间戳、token三者进行合并加盐签名或者缓存用户的ip地址也是不错的选择,服务端校验有效性。 这两种办法的出发点都是:窃取你存储的数据较为容易,而反汇编你的程序hack你的加密解密和签名算法是比较难的。然而其实说难也不难,所以终究是防君子不防小人的做
用户登录 token
08-20
用户登录 token 是一种用于身份验证和授权的令牌。当用户成功登录后,服务器会生成一个唯一的 token,并将其返回给客户端。客户端在后续的请求中可以使用token 来证明自己的身份,以获取相应的资源或执行特定的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值