系统登陆验证过程(验证token是否合理)

最新推荐文章于 2022-11-18 19:16:35 发布
最新推荐文章于 2022-11-18 19:16:35 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: Java 文章标签: java vscode ssm spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57037182/article/details/123552251
版权

       现在我主要介绍一下,用户后台登陆系统之后,使用token来校验用户是否合法,使用户信息保持正确。相关代码我已放入下面,有需要的朋友即可尝试一下。

1.首先看到web.xml 

 <!--配置,解决请求乱码问题-->
    <filter>
        <filter-name>CharacterEncodingFilter</filter-name>
        <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
        <init-param>
            <param-name>encoding</param-name>
            <param-value>utf-8</param-value>
        </init-param>
        <init-param>
            <param-name>forceEncoding</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CharacterEncodingFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <!--自定义拦截器-->
    <filter>
        <filter-name>myAuthenticationFilter</filter-name>
        <filter-class>com.javaclimb.util.filter.MyWebFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>myAuthenticationFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

2.找到自定义拦截器的MyWebFilter3.

package com.javaclimb.util.filter;

import com.alibaba.druid.support.json.JSONUtils;
import com.javaclimb.util.Consts;
import com.nimbusds.jose.JOSEException;
import com.javaclimb.util.MapWrapperUtils;
import com.javaclimb.util.ReturnData;
import com.javaclimb.util.TextUtils;
import com.javaclimb.util.exception.CustomerException;
import com.javaclimb.util.jwt.JwtUtil;
import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.FilterChain;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
/**
 *拦截
 */
public class MyWebFilter extends GenericFilterBean {
    public static final String FROM_MICRO = "micro";
    public static final String USER_TYPE_NORMAL = "userTypeNormal";

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) {
        HttpServletRequest req = ((HttpServletRequest) request);
        HttpServletResponse resp = ((HttpServletResponse) response);
        System.out.println(req.getRequestURL());

        List<String> urlIgnorelist = new ArrayList<>();
        urlIgnorelist.add("/resources/");
        urlIgnorelist.add("/upload/");
        urlIgnorelist.add("/requestLogin");
        urlIgnorelist.add("/user/getUserByCode");
        urlIgnorelist.add("/advertisement/getList");
        urlIgnorelist.add("/goods/getList");
        urlIgnorelist.add("/goodsType/getList");
        urlIgnorelist.add("/login");
        urlIgnorelist.add("/regist");
        urlIgnorelist.add("/logout");

        boolean isNeedDealwith = true;
        for (String path : urlIgnorelist) {
            if (req.getServletPath().contains(path)) {
                isNeedDealwith = false;
                break;
            }
        }
        try {
            //判断用户的请求来源
            String from = req.getHeader("from");
            if (TextUtils.isEmpty(from)) {
                //web端
                if (isNeedDealwith) {
                    //判断当前用户是否登录
                    HttpSession session = req.getSession();
                    Object o = session.getAttribute(Consts.SYS_USER_INFO);
                    if (o == null) {
                        resp.sendRedirect(req.getContextPath() + "/login");
                    } else {
                        //重新设置,这样就会重新计算失效时间
                        session.setAttribute(Consts.SYS_USER_INFO, o);
                    }
                }
                filterChain.doFilter(req, resp);
            } else if (FROM_MICRO.equals(from)) {

                //移动端登录
                resp.setCharacterEncoding("utf-8");
                resp.setContentType("application/json; charset=utf-8");
                if (!isNeedDealwith) {
                    filterChain.doFilter(req, resp);
                    return;
                }
                String token = req.getHeader("token");
                if (TextUtils.isEmpty(token)) {
                    makeResponse(resp, ReturnData.fail("请携带token"));
                    return;
                }
                ReturnData returnData = JwtUtil.valid(token);
                if (returnData.getCode() != 200) {
                    makeResponse(resp, returnData);
                    return;
                }
                Long id = (Long) returnData.getData();
                if (id == null) {
                    makeResponse(resp, ReturnData.fail("token有误"));
                    return;
                }
                //利用原始的request对象创建自己扩展的request对象并添加自定义参数
                RequestParameterWrapper requestParameterWrapper = new RequestParameterWrapper(req);
                Map<String, Object> param = new HashMap<>();
                param.put(MapWrapperUtils.KEY_USER_ID, id);
                requestParameterWrapper.addParameters(param);
                filterChain.doFilter(requestParameterWrapper, resp);
            } else {
                makeResponse(resp, ReturnData.fail("from参数有误"));
            }
        } catch (JOSEException e) {
            makeResponse(resp, ReturnData.fail("token异常"));
        } catch (Exception e) {
            Throwable throwable = e.getCause();
            System.out.println(throwable.getCause());
            if (throwable instanceof CustomerException) {
                makeResponse(resp, ReturnData.fail(((CustomerException) throwable).getMsgDes()));
            } else {
                makeResponse(resp, ReturnData.fail(throwable.getCause() == null ? e.getMessage() : throwable.getCause().getMessage()));
            }
        }

    }

    private void makeResponse(HttpServletResponse resp, ReturnData returnData) {
        try {
            resp.getWriter().print(JSONUtils.toJSONString(returnData));
            resp.getWriter().close();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

3.使用 JwtUtil来判断token是否合法

import com.nimbusds.jose.*;
import com.nimbusds.jose.crypto.MACSigner;
import com.nimbusds.jose.crypto.MACVerifier;
import com.javaclimb.util.MapWrapperUtils;
import com.javaclimb.util.ReturnData;
import com.javaclimb.util.exception.CustomerException;
import net.minidev.json.JSONObject;

import java.text.ParseException;
import java.util.Date;
import java.util.Map;


public class JwtUtil {
    /**
     * 1.创建一个32-byte的密匙
     */

    private static final byte[] secret = "modhfaguafdkslsmxofangsnhpobcewm".getBytes();


    //生成一个token
    public static String creatToken(Map<String, Object> payloadMap) {

        //3.先建立一个头部Header
        /**
         * JWSHeader参数:1.加密算法法则,2.类型,3.。。。。。。。
         * 一般只需要传入加密算法法则就可以。
         * 这里则采用HS256
         *
         * JWSAlgorithm类里面有所有的加密算法法则,直接调用。
         */
        JWSHeader jwsHeader = new JWSHeader(JWSAlgorithm.HS256);

        //建立一个载荷Payload
        Payload payload = new Payload(new JSONObject(payloadMap));

        //将头部和载荷结合在一起
        JWSObject jwsObject = new JWSObject(jwsHeader, payload);
        try {
            //建立一个密匙
            JWSSigner jwsSigner = new MACSigner(secret);

            //签名
            jwsObject.sign(jwsSigner);
        } catch (JOSEException e) {
            throw new CustomerException("toke生成失败");
        }
        //生成token
        return jwsObject.serialize();
    }

    //解析一个token

    public static ReturnData valid(String token) throws ParseException, JOSEException {
        ReturnData returnData = null;
//        解析token

        JWSObject jwsObject = JWSObject.parse(token);

        //获取到载荷
        Payload payload = jwsObject.getPayload();

        //建立一个解锁密匙
        JWSVerifier jwsVerifier = new MACVerifier(secret);

        //判断token
        if (jwsObject.verify(jwsVerifier)) {
            //载荷的数据解析成json对象。
            JSONObject jsonObject = payload.toJSONObject();
            returnData = ReturnData.success(jsonObject.get(MapWrapperUtils.KEY_USER_ID));
            //判断token是否过期
            if (jsonObject.containsKey("exp")) {
                Long expTime = Long.valueOf(jsonObject.get("exp").toString());
                Long nowTime = new Date().getTime();
                //判断是否过期
                if (nowTime > expTime) {
                    //已经过期
                    returnData = ReturnData.fail("登录过期");
                }
            }
        } else {
            returnData = ReturnData.fail("token令牌是个假的");
        }
        return returnData;
    }
}

4.MapWrapperUtils相关代码

package com.javaclimb.util;

import java.util.HashMap;

public class MapWrapperUtils extends HashMap<String, Object> {
    public static String KEY_USER_ID = "userId";

    @Override
    public MapWrapperUtils put(String key, Object value) {
        super.put(key, value);
        return this;
    }

    public static MapWrapperUtils builder(String key, Object value) {
        MapWrapperUtils wrapperUtils = new MapWrapperUtils();
        wrapperUtils.put(key, value);
        return wrapperUtils;
    }
}

深夜无法入眠的程序猿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用token进行验证登录
m0_53419397的博客
11-01 1471
后台 node 为user设置简单的model: 注册接口 router.post('/register',(req,res)=>{ let Info = req.body User.findOne({username:Info.user}).then((result)=>{ if(result){ return res.status(400).json({msg:'用户已存在'}) }else{
RGCMS睿谷信息管理系统-PHP
06-21
dir函数,优化清理缓存和清理静态首页的过程局部更新了系统语言变量优化后台权限验证方法重构seo标题、关键词及描述规则,取消了Rgseo类重构后台系统配置模块,以便后期二次开发后台强制token验证,有效防范CSRF攻击...
登录系统验证
ALi.S的博客
12-31 632
字符串的判断
登录验证
weixin_45331546的博客
08-18 2205
登录验证理解:指的是进入一个页面或者是系统之前检验用户是否有权限进入 登录验证的步骤: ① 获取页面用户输入的数据,然后通过提交传递到控制器 ② 在控制器中对页面传过来的数据进行验证,检查数据数据是否为空,密码是否输入正 确,验证码输入正确等等 ③ 验证的数据准确可以登录,否则不能登录登录验证中的查询我们用到了C#的Linq查询代码,而Linq查询: LINQ :语言集成查询(英语:Language Integrated Query,缩写:LINQ),发音"link", 是微软的一项技术,新增一种自然查
记录一种ssh旧系统和前后端分离新系统结合的解决方案,以及两系统间通过token进行认证的方式
weixin_42300551的博客
10-17 1136
一、背景介绍 公司现有一个ssh框架的旧系统,想要转型使用前后端分离vue+springboot的新框架。由于一些原因,无法完全转型,所以考虑新增的业务需求,使用在旧系统中嵌套新系统页面的方式,之后新需求就可以完全使用前后端分离的新框架了。 二、解决方案 用户登录系统,展示的菜单是按照新系统开发的前端工程,然后页面上所有操作都与springboot工程接口通信。springboot系统与旧ssh系统操作同一数据库。 三、登录认证 此方案分为ssh系统、v...
【学生管理系统】用户登录三种验证方式—图片验证、短信验证、邮件验证
四季轮换叶,一路招摇胜
11-05 4027
学生管理系统之用户登录三种验证方式—图片验证、短信验证、邮件验证
gimme-token:轻量级访问令牌服务
05-23
给定令牌 一种轻量级的访问令牌服务,在DropWizard之上以Java内置。... 由消费类应用程序决定是否最好以最佳方式处理这种释放内存的方式,具体取决于使用中的预期键的数量,使用方式和内存限制(每个条目的内存占用量
fastapi-mysql-generator:FastAPI + MySQL Web项目生成器 ,个人认为较为合理的项目组织结构;基于casbin的RBAC权限验证;基于apscheduler的定时任务
05-01
很大程度参考了功能JWT token 认证。使用SQLAlchemy models(MySql).Alembic migrations 数据迁移.redis使用演示.文件上传演示.apscheduler 定时任务 (不保证稳定 noqa)基于 casbin 的权限验证 (基于 复刻)TODO由于我...
亦来云最新评级
09-09
项目定位为基于去中心化的智能万维网,目标宏远,市场上不乏同样做互联网底层操作系统的竞争公链,当然更大的竞争对手源自在市场上有极具竞争力、垄断性及中心化的互联网巨头,Elastos发展路途所遇的挑战将越来越大...
基于SpringBoot+vue的影院订票系统的设计与实现_0303174040(源码+部署说明+演示视频+源码介绍).zip
最新发布
03-10
在安全性方面,系统采用了JWT(Json Web Token)进行用户身份验证和授权,保证了用户数据的安全。在性能方面,系统进行了合理的数据库设计和查询优化,提高了系统的响应速度和处理能力。 总的来说,这是一个功能...
Token身份验证
qq2844509367的博客
11-18 1863
Token更加能适应我们的前后端分离项目Token相对与Http与Cookie有很好的优点Token能高效的对用户的管理。
案例点击弹出登录页面并拖拽
qq_43712187的博客
12-21 243
功能: (1)、点击弹出对话框有遮盖曾 (2)、关闭登录页面 (3)、页面可用拖拽 代码 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <style> *{ padding: 0px; margin: 0px; .
基于token的认证
极客神殿
02-28 573
传统的认证系统 用户在登录域输入用户名和密码,然后点击登录 请求发送之后,通过在后端查询数据库验证用户的合法性。如果请求有效,使用在数据库得到的信息创建一个session,然后在响应头信息中返回这个session的信息,目的是把这个session ID存储在浏览器中 在访问应用中受限制的后端服务器提供这个session信息 如果session信息有效,允许用户访问受限制的后端服务器,并且把渲染好的HTML内容返回 缺点 无法在移动端共享服务器创建的session和cookie 在web端渲染好的HT
身份认证的实现——token
peanut的博客
07-28 473
文章目录一、token的由来二、什么是token 一、token的由来 使用session实现身份认证的缺陷: 1、服务器开销大:每个人只需要保存自己的session id,而服务器要保存所有人的session id,随着用户访问数量的增加session id也会不停的增加。 2、严重的限制了服务器扩展能力: 比如说我用两个机器组成了一个集群, 小F通过机器A登录系统, 那session id会保存在机器A上, 假设小F的下一次请求被转发到机器B怎么办?机器B可没有小F的 session id啊。 没事,
TokenToken验证流程
热门推荐
qq_38796823的博客
03-05 1万+
什么是Token?为什么要使用它? Token实际就是在计算机身份验证中的令牌(临时)的意思。 当前端向后端发起数据请求的时候,后端需要对前端进行身份验证,但是我们又不想每次都输入用户名和密码,这是就需要一个标识来证明自己的身份,这个标识就是token。 基于Token的身份验证流程 客户端使用用户名和密码请求登录 服务端收到请求,验证登录是否成功 验证成功后,服务端会返回一个Token给客户...
MVC WebApi 实现Token验证
rxbtalent的博客
08-12 970
MVC WebApi 实现Token验证 基于令牌的认证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。 WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等。 Ste...
SprintBoot 实现基于Token登录验证功能
CYW2019_HUST的博客
02-27 993
SpringBoot 实现基于Token登录验证功能 一、知识储备 1、基于服务器的验证 我们都知道HTTP协议是无状态的,这种无状态意味着程序需要验证每一次请求,从而辨别客户端的身份。在这之前,程序都是通过在服务端存储的登录信息来辨别请求的。这种方式一般都是通过存储Session来完成。 基于服务器验证方式所暴露的一些问题: Session:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。 可扩展性:在服务端的内存中使用Session存储登
token验证机制及实现.md
郑泽洲的博客
08-16 1518
在中心服务器模式下的客户端认证 又发现了一项之前在工行工作期间缺失的技术,到了互联网企业工作后,技术栈大大不同。http协议是无状态的,但是网站登录要求前后几次请求能被标志为同一个人发起,工行是在服务器端管理,负担重;互联网企业是在客户端自行管理,体现了一定的p2p思想 认证类型 每次请求都带上用户名和密码 优点:实现简单 缺点:频繁传输容易有安全风险;不能给第三方 缺点:问题是密码怎么存?如果每次都要输入用户名密码,用户体验也不好;如果存下来,有安全隐患 服务器集中维护sessio
jwt token长度_听说你的JWT库用起来特别扭,推荐这款贼好用的
weixin_40008870的博客
11-26 388
以前一直使用的是jjwt这个JWT库,虽然小巧够用, 但对JWT的一些细节封装的不是很好。最近发现了一个更好用的JWT库nimbus-jose-jwt,简单易用,API非常易于理解,对称加密和非对称加密算法都支持,推荐给大家!简介nimbus-jose-jwt是最受欢迎的JWT开源库,基于Apache 2.0开源协议,支持所有标准的签名(JWS)和加密(JWE)算法。JWT概念关系这里我们需要了解...
reids 验证token
09-01
### 回答1: Redis 是一种开源的内存数据存储系统,可用作数据库、缓存和消息中间件。在某些应用场景中,你可能需要使用 Redis 来验证 token,例如在身份认证和授权流程中。 具体来说,你可以将 token 作为 Redis 键存储在 Redis 中,并将相关的用户信息或其他相关数据作为值存储。当你需要验证 token 时,可以使用 Redis 的 `GET` 命令来获取该 token 对应的值。如果返回的值不为空,则说明该 token 是有效的;如果返回的值为空,则说明该 token 无效或已过期。 例如,假设你已将以下数据存储在 Redis 中: ``` Key Value "token:abcdefg" {"userId": 123, "expiresAt": 1623478213} ``` 你可以使用以下命令来验证 token: ``` GET "token:abcdefg" ``` 如果返回的值为 `{"userId": 123, "expiresAt": 1623478213}`,则说明该 token 有效。否则,该 token 无效。 需要注意的是,在使用 Redis 来存储 token 时,你还需要自己实现 token 的过期时间的检查。在上面的例子中,你可以使用 "expiresAt" 字段来检查 token 是否已过期。 ### 回答2: Reids是一个在使用Redis数据库时常用的功能。验证Token是一种常见的身份验证方法,用于确认用户身份和授权访问权限。 在实际应用中,验证Token过程主要包括以下几个步骤: 1. 客户端向服务器发送请求,携带Token作为身份凭证。 2. 服务器接收到请求后,首先需要从Redis中查询对应Token的相关信息。 3. 服务器通过Redis提供的功能进行Token的解析和验证,包括验证Token的有效性、过期时间等属性。 - 如果Token无效或已过期,服务器将拒绝该请求,并返回相应的错误信息。 - 如果Token有效且未过期,服务器可以进一步处理请求。 4. 在验证通过后,服务器可以根据Token中的信息(如用户ID、角色等)来决定用户是否有权执行该请求所需的操作。 5. 如果服务器需要更新、撤销Token等操作,也可以通过Redis实现。 Reids验证Token的优势在于其快速高效的性能,Redis具有内存数据库的特性,数据存取速度远高于传统磁盘存储的数据库系统。此外,Redis还提供了丰富的数据结构和功能,使得Token的处理和存储更加灵活和便捷。 总之,Reids验证Token是通过Redis数据库快速有效地对Token进行解析和验证,确保用户的身份和权限的一种方法。它能够提供安全可靠的身份验证机制,用于保护应用程序和用户的数据安全。 ### 回答3: Redis是一种内存数据库,可以用于存储和管理数据。在使用Redis验证token时,可以使用Redis的一些特定命令和功能来实现。 首先,可以使用Redis的SET命令将token作为键值对存储在Redis中。例如,可以将token作为键,用户ID或其他相关信息作为值存储起来。 然后,可以使用Redis的GET命令来获取特定token对应的值。通过将token作为键,就可以从Redis中获取对应的用户ID或其他相关信息。 此外,还可以使用Redis的EXPIRE命令来设置token的过期时间。可以根据实际需求设置合适的过期时间,使得token在一定时间后自动失效。 在验证token时,可以使用Redis的EXISTS命令来检查token是否存在。如果token存在于Redis中,则表示token有效;如果不存在,则表示token无效或已过期。 当然,在使用Redis进行token验证时,还可以结合其他验证机制,如JWT(JSON Web Token)等来增加安全性。可以在生成和验证token时,使用一些加密算法或签名方法来确保token的真实性和完整性。 总之,Redis可以作为一种快速、可靠的存储方式,用于验证token。通过合理地存储、获取、过期设置和检查token,可以有效地实现对用户身份的验证和控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值