自己按自己的理解做个一个Token认证
首先有个Token对象,具有以下属性
private long id;
private long exp; //有效时间
private long createtime;
private String power; //权限
1.登陆
当用户登陆时生成一个Token对象,把属性转换成字符串
String temp = tokenBean.getId()+";"+tokenBean.getCreatetime()+";"+tokenBean.getExp()+";"+tokenBean.getPower();
进行aes加密
/**
* AES加密字符串
*
* @param content
* 需要被加密的字符串
* @param password
* 加密需要的密码
* @return 密文
*/
public static byte[] encrypt(String content, String password) {
try {
KeyGenerator kgen = KeyGenerator.getInstance("AES");// 创建AES的Key生产者
kgen.init(128, new SecureRandom(password.getBytes()));// 利用用户密码作为随机数初始化出
// 128位的key生产者
//加密没关系,SecureRandom是生成安全随机数序列,password.getBytes()是种子,只要种子相同,序列就一样,所以解密只要有password就行
SecretKey secretKey = kgen.generateKey();// 根据用户密码,生成一个密钥
byte[] enCodeFormat = secretKey.getEncoded();// 返回基本编码格式的密钥,如果此密钥不支持编码,则返回 null。
SecretKeySpec key = new SecretKeySpec(enCodeFormat, "AES");// 转换为AES专用密钥
Cipher cipher = Cipher.getInstance("AES");// 创建密码器
byte[] byteContent = content.getBytes("utf-8");
cipher.init(Cipher.ENCRYPT_MODE, key);// 初始化为加密模式的密码器
byte[] result = cipher.doFinal(byteContent);// 加密
return result;
} catch (NoSuchPaddingException e) {
logger.debug("{}",e);
} catch (NoSuchAlgorithmException e) {
logger.debug("{}",e);
} catch (UnsupportedEncodingException e) {
logger.debug("{}",e);
} catch (InvalidKeyException e) {
logger.debug("{}",e);
} catch (IllegalBlockSizeException e) {
logger.debug("{}",e);
} catch (BadPaddingException e) {
logger.debug("{}",e);
}
return null;
}
再用base64加密,保存到数据库
BASE64Encoder encoder = new BASE64Encoder();
String token = encoder.encodeBuffer(tokenbytes);
同时请求头添加属性 Authorization,返回登陆成功。
response.addHeader("Authorization",token);
2.拦截
对于请求先进行base64解码
byte[] tokenbytes = decoder.decodeBuffer(Authorization);
在aes解码
/**
* 解密AES加密过的字符串
*
* @param content
* AES加密过过的内容
* @param password
* 加密时的密码
* @return 明文
*/
public static byte[] decrypt(byte[] content, String password) {
try {
KeyGenerator kgen = KeyGenerator.getInstance("AES");// 创建AES的Key生产者
kgen.init(128, new SecureRandom(password.getBytes()));
SecretKey secretKey = kgen.generateKey();// 根据用户密码,生成一个密钥
byte[] enCodeFormat = secretKey.getEncoded();// 返回基本编码格式的密钥
SecretKeySpec key = new SecretKeySpec(enCodeFormat, "AES");// 转换为AES专用密钥
Cipher cipher = Cipher.getInstance("AES");// 创建密码器
cipher.init(Cipher.DECRYPT_MODE, key);// 初始化为解密模式的密码器
byte[] result = cipher.doFinal(content);
return result; // 明文
} catch (NoSuchAlgorithmException e) {
logger.debug("{}",e);
} catch (NoSuchPaddingException e) {
logger.debug("{}",e);
} catch (InvalidKeyException e) {
logger.debug("{}",e);
} catch (IllegalBlockSizeException e) {
logger.debug("{}",e);
} catch (BadPaddingException e) {
logger.debug("{}",e);
}
return null;
}
然后根据解码后的id在数据库进行查询
同时Token的有效期要在当前时间内
如果已经失效,但是和数据库保存的token一致,重新刷新Token,不进行拦截
不一致则进行拦截
另外
放上一个MD5加密的方法
import org.springframework.util.DigestUtils;
public static String getMD5(String str){
String slat="haha";
String base=str+"/"+slat;
String md5=DigestUtils.md5DigestAsHex(base.getBytes());
return md5;
}