17-身份校验-身份校验过虑器编写

最新推荐文章于 2022-10-28 14:16:36 发布
最新推荐文章于 2022-10-28 14:16:36 发布
阅读量141 收藏
点赞数
分类专栏: day17 用户认证 Zuul
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/minihuabei/article/details/119828787
版权

使得原来的过滤器失效
方法1:
注释@Component
在这里插入图片描述
方法2:shouldFilter改为return false;
在这里插入图片描述

5 身份校验

5.1 需求分析

本小节实现网关连接Redis校验令牌:
1、从cookie查询用户身份令牌是否存在,不存在则拒绝访问
2、从http header查询jwt令牌是否存在,不存在则拒绝访问
3、从Redis查询user_token令牌是否过期,过期则拒绝访问

5.2 编码代码
1、配置application.yml
配置 redis链接参数:

2、使用StringRedisTemplate查询key的有效期
在service包下定义AuthService类:

@Service
public class AuthService {

    @Autowired
    StringRedisTemplate stringRedisTemplate;

    //从头取出jwt令牌
    public String getJwtFromHeader(HttpServletRequest request){
        //取出头信息
        String authorization = request.getHeader("Authorization");
        if(StringUtils.isEmpty(authorization)){
            return null;
        }
        if(!authorization.startsWith("Bearer ")){
            return null;
        }
        //取到jwt令牌
        String jwt = authorization.substring(7);
        return jwt;


    }
    //从cookie取出token
    //查询身份令牌
    public String getTokenFromCookie(HttpServletRequest request){
        Map<String, String> cookieMap = CookieUtil.readCookie(request, "uid");
        String access_token = cookieMap.get("uid");
        if(StringUtils.isEmpty(access_token)){
            return null;
        }
        return access_token;
    }

    //查询令牌的有效期
     public long getExpire(String access_token){
        //key
         String key = "user_token:"+access_token;
         Long expire = stringRedisTemplate.getExpire(key, TimeUnit.SECONDS);
         return expire;
     }
}

在这里插入图片描述

说明:由于令牌存储时采用String序列化策略,所以这里用 StringRedisTemplate来查询,使用RedisTemplate无
法完成查询。
3、定义LoginFilter

@Component
public class LoginFilter extends ZuulFilter {

    @Autowired
    AuthService authService;

    //过虑器的类型
    @Override
    public String filterType() {
        /**
         pre:请求在被路由之前执行

         routing:在路由请求时调用

         post:在routing和errror过滤器之后调用

         error:处理请求时发生错误调用

         */
        return "pre";
    }

    //过虑器序号,越小越被优先执行
    @Override
    public int filterOrder() {
        return 0;
    }

    @Override
    public boolean shouldFilter() {
        //返回true表示要执行此过虑器
        return true;
    }

    //过虑器的内容
    //测试的需求:过虑所有请求,判断头部信息是否有Authorization,如果没有则拒绝访问,否则转发到微服务。
    @Override
    public Object run() throws ZuulException {
        RequestContext requestContext = RequestContext.getCurrentContext();
        //得到request
        HttpServletRequest request = requestContext.getRequest();
        //得到response
        HttpServletResponse response = requestContext.getResponse();
        //取cookie中的身份令牌
        String tokenFromCookie = authService.getTokenFromCookie(request);
        if(StringUtils.isEmpty(tokenFromCookie)){
            //拒绝访问
            access_denied();
            return null;
        }
        //从header中取jwt
        String jwtFromHeader = authService.getJwtFromHeader(request);
        if(StringUtils.isEmpty(jwtFromHeader)){
            //拒绝访问
            access_denied();
            return null;
        }
        //从redis取出jwt的过期时间
        long expire = authService.getExpire(tokenFromCookie);
        if(expire<0){
            //拒绝访问
            access_denied();
            return null;
        }

        return null;
    }


    //拒绝访问
    private void access_denied(){
        RequestContext requestContext = RequestContext.getCurrentContext();
        //得到response
        HttpServletResponse response = requestContext.getResponse();
        //拒绝访问
        requestContext.setSendZuulResponse(false);
        //设置响应代码
        requestContext.setResponseStatusCode(200);
        //构建响应的信息
        ResponseResult responseResult = new ResponseResult(CommonCode.UNAUTHENTICATED);
        //转成json
        String jsonString = JSON.toJSONString(responseResult);
        requestContext.setResponseBody(jsonString);
        //转成json,设置contentType
        response.setContentType("application/json;charset=utf-8");
    }


}

在这里插入图片描述

feng_fly_28
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【redis-rce】Redis 4.x/5.x 未授权访问-远程命令执行漏洞
Delphinidae
12-15 555
漏洞参考: https://vulhub.org/#/environments/redis/4-unacc/ https://github.com/vulhub/redis-rogue-getshell 漏洞原理: Redis未授权访问在4.x/5.0.5以前版本下,我们可以使用master/slave模式加载远程模块,通过动态链接库的方式执行任意命令。 下载exp代码,本地编译后生成exp.so 的库文件,然后通过redis未授权可以配置主从同步功能修改主服务的地址为存放exp.so的地址,利用同步功能
ubuntu redis: unrecognized service
努力!奋斗!
04-21 3217
service 服务识别不了redis 要不没安装 或者安装了名字不是这个 可以用service --status-all 查看一下支持的服务 我这里就是redis-server 然后再sudo service redis-server start 成功
Java的新项目学成在线笔记-day17(十三)
beiqiang1641的博客
08-08 85
5 身份校验 5.1 需求分析 本小节实现网关连接Redis校验令牌:1、从cookie查询用户身份令牌是否存在,不存在则拒绝访问2、从http header查询jwt令牌是否存在,不存在则拒绝访问3、从Redis查询user_token令牌是否过期,过期则拒绝访问5.2 编码代码 1、配置application.yml配置 redis链接参数: [mw_shl_code=applescript,...
验证用户身份Filter过滤
you can you up up up的博客
03-22 1651
通过过滤对一批页面或Servlet统一进行身份验证 运行本例,直接进入loginsuccess.jsp页面,会弹出提示信息 过滤实现类FilterLogin.java public class FilterLogin extends HttpServlet implements Filter { private FilterConfig filterConfig; @Override ...
unauthenticated user连接问题
渔夫数据库笔记
03-17 1417
1.版本 1)操作系统  cat /etc/issue Red Hat Enterprise Linux Server release 5.5 (Tikanga) Kernel \r on an \m  cat /proc/version Linux version 2.6.32-504.el6.x86_64 ([email protected]
PNM-Image-Manipulator:用CC ++编写的PNM文件操纵
04-28
SimpleImageManipulator具有以下过滤: 收缩-将图像像素缩小一半左右连接-拍摄两个图像并将它们从左到右连接顶部底部连接-拍摄两个图像并将它们从上到下连接混合-使图像更透明,并将其放在背景前裁剪-在宽度和...
自己编写的简单网络协议解析,用于抓包并解析数据包
05-26
支持BPF过滤,抓包过程可以暂停和停止;可将数据包存储在pcap文件中,以供wireshark或其它数据包解析工具分析;可以在退出时提示用户进行保存未保存的数据包,进行保存工作;可以在再次开始新的抓包前提示用户保存...
springboot-guide:Not only Spring Boot but also important knowledge of Spring(不只是SpringBoot还有Spring重要知识点)
04-27
拦截和过滤 : 、SpringBoot 实现拦截 MyBatis :整合 SpringBoot+Mybatis 、SpirngBoot2.0+ 的 SpringBoot+Mybatis 多数据源配置 (TODO:早期文章,不建议阅读,待重构~) SpringBoot 2.0+ 集成 Swagger 官方...
JEECG快速开发平台-其他
06-12
自定义表单,表单挂接,业务流转,流程监控,流程跟踪,流程委托等技术点九:自定义表单,支持用户自定义表单布局,支持单表、列表、Select\Radio\Checkbox\PopUP\Date等特殊控件技术点十:查询过滤:查询功能自动...
易语言-让易语言多版本共存的补丁
06-25
一直坚持使用5.11的版本,查看一些网络上的代码是使用新版本编写的,这就导致了有些代码不能完整显示,有些命令会显示???,每次用新版查看之后,想换回来又需要重新勾选支持库,很是麻烦。完全更换新的版本吧,...
【JavaWeb】Servlet身份验证过滤
Robin的博客
10-28 417
下面来看看如何使用过滤验证用户的简单示例。
filter 过滤的执行步骤分析
健康平安的活着的专栏
11-16 672
1.web.xml:       login.jsp   2.login.jsp页面       //登录   $.post("${pageContext.request.contextPath}/userLogin",    {"userName":uname,"userPassword":upwd,"state":"login"},      function(d
MVC及Web API添加身份验证及错误处理的过滤
softuse的博客
06-14 5086
MVC及Web API添加身份验证及错误处理的过滤 先说身份验证的问题。无论是mvc还是api都有一个安全性的问题,未通过身份验证的人能不能访问的问题。我们新一个空项目时,默认是没有身份验证的,除非你在控制类或者方法上面加上Authorize属性才会需要身份验证。但是我的控制有那么多,我都要给它加上属性,多麻烦,所以我们就想到过滤了。过滤中加上后,控制都不用加就相当于有这个属性了。
Redis 未授权访问缺陷
我心如水
06-19 1万+
昨天接到一个开发朋友的求助说是有一个异常的进程占用了将近百分之800(8核)cpu使用率,于是登录服务查看,确实有一个异常进程,通过ps查到了该进程调用的脚本,继而继续追踪后门定时任务,确实都存在,通过后门定时任务找到了攻击的最终源头,起因便是redis未授权漏洞造成,下面公布一下该攻击脚本: export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/
配置一个管理员身份校验过滤
m0_53277981的博客
03-18 228
这是一个身份校验过滤的例子,我是使用spring boot搭建的,不过原理总是千篇一律的。 当一个项目的后台管理页上,进行内容的增删改查时,难免需要在控制的每个方法上进行管理员身份校验,来进行判断,以便于进行相对应的操作。 步骤大致如下: 1.创建filter.AdminFilter.java,用于截取请求并过滤,创建该类后要实现Filter接口,重新里面的方法,不过对于管理员校验过滤不用写初始化和终止的方法。 /* * 管理员身份校验过滤 * */ public class AdminF
MVC身份验证过滤
-Jie的博客
03-15 393
第一步: 创建isAuthorizeAttribute类 /// &lt;summary&gt; /// 身份验证过滤 /// &lt;/summary&gt; public class isAuthorizeAttribute : AuthorizeAttribute { /// &lt;summary&gt; /// 用来获取上...
如何用Filter实现对注册用户是否登录的过滤
dguthai的专栏
09-01 134
package filter; import java.io.*; import javax.servlet.*;import javax.servlet.http.* ; public class UserFilter implements Filter{  public void init(FilterConfig filterConfig) throws ServletExceptio...
过滤可以实现用户身份验证的功能,如果用户没有登录,则跳转到登陆页面:
热门推荐
tfy1332的专栏
04-03 1万+
过滤可以实现用户身份验证的功能,如果用户没有登录,则跳转到登陆页面: 本例实现:   过滤类:   package com.start.util; import javax.servlet.*;  import javax.servlet.http.HttpServletRequest;  import javax.servlet.http.HttpSe
在WEBAPI项目中使用过滤做统一权限验证
wxl847466025的博客
03-29 2571
  最近在使用WEBAPI项目开发接口,主要是用于跟安卓与IOS开发的同事对接。刚开始开发接口的时候,为了省事就没有做权限验证,想着等逻辑都调通以后再回过头来统一加上去。结果等功能开发结束,发现每个接口里面都加上五到十行的权限验证功能就有点坑了,这么多的重复代码怎么给它再简化一下呢?   在一个技术群里发问之后,有个朋友截了张图,内容是在接口上方声明一个属性,然后在属性里面进行验证。这个是不错的想...
编写一个过滤实现utf-8编码规则
最新发布
03-16
要实现UTF-8编码规则的过滤,需要对输入的字符进行判断和转换。UTF-8编码规则是一种变长编码,根据不同的字符范围使用不同长度的字节表示字符。在过滤中,需要对输入的字符进行判断,根据字符的范围选择合适的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值