系统登陆验证过程(验证token是否合理)

最新推荐文章于 2023-04-01 11:37:50 发布
最新推荐文章于 2023-04-01 11:37:50 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: Java 文章标签: java vscode ssm spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57037182/article/details/123552251
版权

       现在我主要介绍一下,用户后台登陆系统之后,使用token来校验用户是否合法,使用户信息保持正确。相关代码我已放入下面,有需要的朋友即可尝试一下。

1.首先看到web.xml 

 <!--配置,解决请求乱码问题-->
    <filter>
        <filter-name>CharacterEncodingFilter</filter-name>
        <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
        <init-param>
            <param-name>encoding</param-name>
            <param-value>utf-8</param-value>
        </init-param>
        <init-param>
            <param-name>forceEncoding</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CharacterEncodingFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <!--自定义拦截器-->
    <filter>
        <filter-name>myAuthenticationFilter</filter-name>
        <filter-class>com.javaclimb.util.filter.MyWebFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>myAuthenticationFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

2.找到自定义拦截器的MyWebFilter3.

package com.javaclimb.util.filter;

import com.alibaba.druid.support.json.JSONUtils;
import com.javaclimb.util.Consts;
import com.nimbusds.jose.JOSEException;
import com.javaclimb.util.MapWrapperUtils;
import com.javaclimb.util.ReturnData;
import com.javaclimb.util.TextUtils;
import com.javaclimb.util.exception.CustomerException;
import com.javaclimb.util.jwt.JwtUtil;
import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.FilterChain;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
/**
 *拦截
 */
public class MyWebFilter extends GenericFilterBean {
    public static final String FROM_MICRO = "micro";
    public static final String USER_TYPE_NORMAL = "userTypeNormal";

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) {
        HttpServletRequest req = ((HttpServletRequest) request);
        HttpServletResponse resp = ((HttpServletResponse) response);
        System.out.println(req.getRequestURL());

        List<String> urlIgnorelist = new ArrayList<>();
        urlIgnorelist.add("/resources/");
        urlIgnorelist.add("/upload/");
        urlIgnorelist.add("/requestLogin");
        urlIgnorelist.add("/user/getUserByCode");
        urlIgnorelist.add("/advertisement/getList");
        urlIgnorelist.add("/goods/getList");
        urlIgnorelist.add("/goodsType/getList");
        urlIgnorelist.add("/login");
        urlIgnorelist.add("/regist");
        urlIgnorelist.add("/logout");

        boolean isNeedDealwith = true;
        for (String path : urlIgnorelist) {
            if (req.getServletPath().contains(path)) {
                isNeedDealwith = false;
                break;
            }
        }
        try {
            //判断用户的请求来源
            String from = req.getHeader("from");
            if (TextUtils.isEmpty(from)) {
                //web端
                if (isNeedDealwith) {
                    //判断当前用户是否登录
                    HttpSession session = req.getSession();
                    Object o = session.getAttribute(Consts.SYS_USER_INFO);
                    if (o == null) {
                        resp.sendRedirect(req.getContextPath() + "/login");
                    } else {
                        //重新设置,这样就会重新计算失效时间
                        session.setAttribute(Consts.SYS_USER_INFO, o);
                    }
                }
                filterChain.doFilter(req, resp);
            } else if (FROM_MICRO.equals(from)) {

                //移动端登录
                resp.setCharacterEncoding("utf-8");
                resp.setContentType("application/json; charset=utf-8");
                if (!isNeedDealwith) {
                    filterChain.doFilter(req, resp);
                    return;
                }
                String token = req.getHeader("token");
                if (TextUtils.isEmpty(token)) {
                    makeResponse(resp, ReturnData.fail("请携带token"));
                    return;
                }
                ReturnData returnData = JwtUtil.valid(token);
                if (returnData.getCode() != 200) {
                    makeResponse(resp, returnData);
                    return;
                }
                Long id = (Long) returnData.getData();
                if (id == null) {
                    makeResponse(resp, ReturnData.fail("token有误"));
                    return;
                }
                //利用原始的request对象创建自己扩展的request对象并添加自定义参数
                RequestParameterWrapper requestParameterWrapper = new RequestParameterWrapper(req);
                Map<String, Object> param = new HashMap<>();
                param.put(MapWrapperUtils.KEY_USER_ID, id);
                requestParameterWrapper.addParameters(param);
                filterChain.doFilter(requestParameterWrapper, resp);
            } else {
                makeResponse(resp, ReturnData.fail("from参数有误"));
            }
        } catch (JOSEException e) {
            makeResponse(resp, ReturnData.fail("token异常"));
        } catch (Exception e) {
            Throwable throwable = e.getCause();
            System.out.println(throwable.getCause());
            if (throwable instanceof CustomerException) {
                makeResponse(resp, ReturnData.fail(((CustomerException) throwable).getMsgDes()));
            } else {
                makeResponse(resp, ReturnData.fail(throwable.getCause() == null ? e.getMessage() : throwable.getCause().getMessage()));
            }
        }

    }

    private void makeResponse(HttpServletResponse resp, ReturnData returnData) {
        try {
            resp.getWriter().print(JSONUtils.toJSONString(returnData));
            resp.getWriter().close();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

3.使用 JwtUtil来判断token是否合法

import com.nimbusds.jose.*;
import com.nimbusds.jose.crypto.MACSigner;
import com.nimbusds.jose.crypto.MACVerifier;
import com.javaclimb.util.MapWrapperUtils;
import com.javaclimb.util.ReturnData;
import com.javaclimb.util.exception.CustomerException;
import net.minidev.json.JSONObject;

import java.text.ParseException;
import java.util.Date;
import java.util.Map;


public class JwtUtil {
    /**
     * 1.创建一个32-byte的密匙
     */

    private static final byte[] secret = "modhfaguafdkslsmxofangsnhpobcewm".getBytes();


    //生成一个token
    public static String creatToken(Map<String, Object> payloadMap) {

        //3.先建立一个头部Header
        /**
         * JWSHeader参数:1.加密算法法则,2.类型,3.。。。。。。。
         * 一般只需要传入加密算法法则就可以。
         * 这里则采用HS256
         *
         * JWSAlgorithm类里面有所有的加密算法法则,直接调用。
         */
        JWSHeader jwsHeader = new JWSHeader(JWSAlgorithm.HS256);

        //建立一个载荷Payload
        Payload payload = new Payload(new JSONObject(payloadMap));

        //将头部和载荷结合在一起
        JWSObject jwsObject = new JWSObject(jwsHeader, payload);
        try {
            //建立一个密匙
            JWSSigner jwsSigner = new MACSigner(secret);

            //签名
            jwsObject.sign(jwsSigner);
        } catch (JOSEException e) {
            throw new CustomerException("toke生成失败");
        }
        //生成token
        return jwsObject.serialize();
    }

    //解析一个token

    public static ReturnData valid(String token) throws ParseException, JOSEException {
        ReturnData returnData = null;
//        解析token

        JWSObject jwsObject = JWSObject.parse(token);

        //获取到载荷
        Payload payload = jwsObject.getPayload();

        //建立一个解锁密匙
        JWSVerifier jwsVerifier = new MACVerifier(secret);

        //判断token
        if (jwsObject.verify(jwsVerifier)) {
            //载荷的数据解析成json对象。
            JSONObject jsonObject = payload.toJSONObject();
            returnData = ReturnData.success(jsonObject.get(MapWrapperUtils.KEY_USER_ID));
            //判断token是否过期
            if (jsonObject.containsKey("exp")) {
                Long expTime = Long.valueOf(jsonObject.get("exp").toString());
                Long nowTime = new Date().getTime();
                //判断是否过期
                if (nowTime > expTime) {
                    //已经过期
                    returnData = ReturnData.fail("登录过期");
                }
            }
        } else {
            returnData = ReturnData.fail("token令牌是个假的");
        }
        return returnData;
    }
}

4.MapWrapperUtils相关代码

package com.javaclimb.util;

import java.util.HashMap;

public class MapWrapperUtils extends HashMap<String, Object> {
    public static String KEY_USER_ID = "userId";

    @Override
    public MapWrapperUtils put(String key, Object value) {
        super.put(key, value);
        return this;
    }

    public static MapWrapperUtils builder(String key, Object value) {
        MapWrapperUtils wrapperUtils = new MapWrapperUtils();
        wrapperUtils.put(key, value);
        return wrapperUtils;
    }
}

深夜无法入眠的程序猿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用token进行验证登录
m0_53419397的博客
11-01 1476
后台 node 为user设置简单的model: 注册接口 router.post('/register',(req,res)=>{ let Info = req.body User.findOne({username:Info.user}).then((result)=>{ if(result){ return res.status(400).json({msg:'用户已存在'}) }else{
JWT Token生成及验证
07-16
### JWT Token的生成过程 在C#中,我们可以使用`System.IdentityModel.Tokens.Jwt`库来生成JWT。以下是一般的步骤: 1. **设置参数**:创建一个`JwtSecurityToken`对象,包括发行者(Issuer)、接受者(Audience)...
登录系统验证
ALi.S的博客
12-31 640
字符串的判断
登录验证
weixin_45331546的博客
08-18 2224
登录验证理解:指的是进入一个页面或者是系统之前检验用户是否有权限进入 登录验证的步骤: ① 获取页面用户输入的数据,然后通过提交传递到控制器 ② 在控制器中对页面传过来的数据进行验证,检查数据数据是否为空,密码是否输入正 确,验证码输入正确等等 ③ 验证的数据准确可以登录,否则不能登录登录验证中的查询我们用到了C#的Linq查询代码,而Linq查询: LINQ :语言集成查询(英语:Language Integrated Query,缩写:LINQ),发音"link", 是微软的一项技术,新增一种自然查
记录一种ssh旧系统和前后端分离新系统结合的解决方案,以及两系统间通过token进行认证的方式
weixin_42300551的博客
10-17 1157
一、背景介绍 公司现有一个ssh框架的旧系统,想要转型使用前后端分离vue+springboot的新框架。由于一些原因,无法完全转型,所以考虑新增的业务需求,使用在旧系统中嵌套新系统页面的方式,之后新需求就可以完全使用前后端分离的新框架了。 二、解决方案 用户登录系统,展示的菜单是按照新系统开发的前端工程,然后页面上所有操作都与springboot工程接口通信。springboot系统与旧ssh系统操作同一数据库。 三、登录认证 此方案分为ssh系统、v...
【学生管理系统】用户登录三种验证方式—图片验证、短信验证、邮件验证
四季轮换叶,一路招摇胜
11-05 4076
学生管理系统之用户登录三种验证方式—图片验证、短信验证、邮件验证
php token使用与验证示例【测试可用】 原创
12-19
总之,PHP中的Token验证是提高Web应用安全性的重要手段,合理地使用和验证Token可以有效地防止非法数据提交,保护用户数据的安全。在实际项目中,开发者应该根据具体需求灵活运用,并遵循最佳实践,以确保系统的安全...
JWT 生成Token实战验证
10-23
本实战验证将探讨如何在Java环境中使用JWT生成和验证Token。 1. **JWT 结构** JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部和载荷是JSON对象,经过Base64编码,而签名则用于验证...
Springsecurity安全框架案例+多页面登录+redis+token
12-08
在本案例中,我们将深入探讨如何使用Spring Security构建安全框架,实现多页面登录功能,并结合Redis存储Token来提高系统的安全性与性能。 1. **Spring Security 基础** Spring Security 提供了全面的安全管理组件...
Token身份验证
qq2844509367的博客
11-18 1871
Token更加能适应我们的前后端分离项目Token相对与Http与Cookie有很好的优点Token能高效的对用户的管理。
案例点击弹出登录页面并拖拽
qq_43712187的博客
12-21 245
功能: (1)、点击弹出对话框有遮盖曾 (2)、关闭登录页面 (3)、页面可用拖拽 代码 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <style> *{ padding: 0px; margin: 0px; .
基于token的认证
极客神殿
02-28 579
传统的认证系统 用户在登录域输入用户名和密码,然后点击登录 请求发送之后,通过在后端查询数据库验证用户的合法性。如果请求有效,使用在数据库得到的信息创建一个session,然后在响应头信息中返回这个session的信息,目的是把这个session ID存储在浏览器中 在访问应用中受限制的后端服务器提供这个session信息 如果session信息有效,允许用户访问受限制的后端服务器,并且把渲染好的HTML内容返回 缺点 无法在移动端共享服务器创建的session和cookie 在web端渲染好的HT
身份认证的实现——token
peanut的博客
07-28 480
文章目录一、token的由来二、什么是token 一、token的由来 使用session实现身份认证的缺陷: 1、服务器开销大:每个人只需要保存自己的session id,而服务器要保存所有人的session id,随着用户访问数量的增加session id也会不停的增加。 2、严重的限制了服务器扩展能力: 比如说我用两个机器组成了一个集群, 小F通过机器A登录系统, 那session id会保存在机器A上, 假设小F的下一次请求被转发到机器B怎么办?机器B可没有小F的 session id啊。 没事,
TokenToken验证流程
热门推荐
qq_38796823的博客
03-05 1万+
什么是Token?为什么要使用它? Token实际就是在计算机身份验证中的令牌(临时)的意思。 当前端向后端发起数据请求的时候,后端需要对前端进行身份验证,但是我们又不想每次都输入用户名和密码,这是就需要一个标识来证明自己的身份,这个标识就是token。 基于Token的身份验证流程 客户端使用用户名和密码请求登录 服务端收到请求,验证登录是否成功 验证成功后,服务端会返回一个Token给客户...
MVC WebApi 实现Token验证
rxbtalent的博客
08-12 982
MVC WebApi 实现Token验证 基于令牌的认证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。 WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等。 Ste...
SprintBoot 实现基于Token登录验证功能
CYW2019_HUST的博客
02-27 1008
SpringBoot 实现基于Token登录验证功能 一、知识储备 1、基于服务器的验证 我们都知道HTTP协议是无状态的,这种无状态意味着程序需要验证每一次请求,从而辨别客户端的身份。在这之前,程序都是通过在服务端存储的登录信息来辨别请求的。这种方式一般都是通过存储Session来完成。 基于服务器验证方式所暴露的一些问题: Session:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。 可扩展性:在服务端的内存中使用Session存储登
token验证机制及实现.md
郑泽洲的博客
08-16 1529
在中心服务器模式下的客户端认证 又发现了一项之前在工行工作期间缺失的技术,到了互联网企业工作后,技术栈大大不同。http协议是无状态的,但是网站登录要求前后几次请求能被标志为同一个人发起,工行是在服务器端管理,负担重;互联网企业是在客户端自行管理,体现了一定的p2p思想 认证类型 每次请求都带上用户名和密码 优点:实现简单 缺点:频繁传输容易有安全风险;不能给第三方 缺点:问题是密码怎么存?如果每次都要输入用户名密码,用户体验也不好;如果存下来,有安全隐患 服务器集中维护sessio
jwt token长度_听说你的JWT库用起来特别扭,推荐这款贼好用的
weixin_40008870的博客
11-26 394
以前一直使用的是jjwt这个JWT库,虽然小巧够用, 但对JWT的一些细节封装的不是很好。最近发现了一个更好用的JWT库nimbus-jose-jwt,简单易用,API非常易于理解,对称加密和非对称加密算法都支持,推荐给大家!简介nimbus-jose-jwt是最受欢迎的JWT开源库,基于Apache 2.0开源协议,支持所有标准的签名(JWS)和加密(JWE)算法。JWT概念关系这里我们需要了解...
Web应用程序的身份验证:Session认证、Token认证
Waylon_Ma的博客
04-01 3854
当用户进行登录操作时,服务器会创建一个Session,并给这个Session分配一个唯一的标识符(Session ID),然后将这个Session ID发送给客户端保存。例如,在电子商务网站中,用户需要登录才能访问个人购物车和订单等敏感信息,此时可以使用 session 来验证用户身份,并在服务器端存储相关的用户信息和状态。Token是无状态的,不需要在服务器端保存用户的登录信息,因此具有良好的可扩展性,并且可以很方便地实现分布式系统中的认证和授权。① session数据持久化,写入数据库或别的持久层。
reids 验证token
最新发布
09-01
在实际应用中,验证Token过程主要包括以下几个步骤: 1. 客户端向服务器发送请求,携带Token作为身份凭证。 2. 服务器接收到请求后,首先需要从Redis中查询对应Token的相关信息。 3. 服务器通过Redis提供的功能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值