Token机制改造过程中踩坑记录

最新推荐文章于 2023-06-22 15:41:30 发布
最新推荐文章于 2023-06-22 15:41:30 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: JAVA相关笔记 工作总结 MVC框架 文章标签: Token RequestBody
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panyongcsd/article/details/80944675
版权

Token机制改造过程中踩坑记录

上个月为了修改系统的认证方式为Token机制,编码两天,修BUG修了一整周,天天加班到深夜,踩坑无数,终于爬上来了,现记录如下。

问题背景

  1. 系统原有登录认证机制为手机号+验证码登录并保存Cookie,由前端调用CheckLogin接口判断登录信息是否还存在,后端通过Cookie里的userId来关联用户信息;
  2. 此种认证方案在我接手后就提出优化意见,不过由于任务繁多,直到前些日子才抽出时间修改;
  3. 和前端同学一起讨论确定认证方式为Token机制,具体见博文微信公众号用户认证机制升级方案

具体实现

  1. 用户认证登录实现

     /**
  * 用户认证登录接口
  * @param auth
  * @return
  */
 @RequestMapping(method = RequestMethod.POST)
 public BaseResult<UserToken> auth(@RequestBody AuthVO auth, @RequestHeader("timestamp") Long  timestamp) throws Exception {
     //省略前置校验等代码
     //生成UserToken和SecretKey
     String token = MD5.getInstance().getMD5String(UUID.randomUUID().toString());
     while (redisTemplate.opsForValue().get(USER_TOKEN_REDIS_PRE+token) != null){
         token = MD5.getInstance().getMD5String(UUID.randomUUID().toString());
     }
     String secretKey = MD5.getInstance().getMD5String(UUID.randomUUID().toString());
     Long expire = calendar.getTimeInMillis();

     UserToken userToken = new UserToken(token,secretKey,expire);
     //更新用户的SecretKey
     member.setSecretKey(secretKey);
     memberService.updateMemberById(member);

     //将Token & userId存入Redis
     redisTemplate.opsForValue().set(USER_TOKEN_REDIS_PRE+token,  String.valueOf(member.getId()), 30, TimeUnit.DAYS);

     return BaseResultUtils.ok(userToken);
 }

  2. 鉴权注解

    /**
* 鉴权注解,在Controller的方法上添加该注解表明此方法需要进行登录信息鉴权
* 未登录返回 401 错误 - 未授权 (Unauthorized)
* User: za-panyong
* Date: 2018/5/9
* Time: 15:27
*/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Authorization {
     
}

  3. RequestBody过滤器

    public class RequestFilter implements Filter {
     
 //线程缓存,保存RequestBody
 public static ThreadLocal<MyRequestBodyReaderWrapper> REQUEST_WRAPPER = new ThreadLocal<>();

 @Override
 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  throws IOException, ServletException {
     HttpServletRequest servletRequest = (HttpServletRequest) request;
     //如果是GET请求或者请求类型不是application/json,则不需要获取RequestBody
     if (StringUtils.isEmpty(servletRequest.getMethod()) ||  "GET".equalsIgnoreCase(servletRequest.getMethod())
最低0.47元/天 解锁文章
忙里偷闲得几回
关注
专栏目录
第5章 DDD和微服务(架构升级:从单体到微服务的重构)
dreamship
01-31 154
大家好,前面的课程呢,我们有讲到在微服务架构,我们要解决一些问题,包括服务的注册和发现服务的管理流量的控制熔断降级配置管理等等。这些问题呢我们要通过微服务的框架或者基础设施来解决。这些解决微服务的底层服务治理问题的方案呢,统一称为微服务的底层方案。在这节课呢,我们就来对微服务的主流的底层方案,做一个简单的介绍。总的来说呢,这些方案分为两大类。第一类就是通过接入微服务的SDK或者说框架。
token解决cookie的弊端
weixin_39158966的博客
03-15 116
token:简单说就是服务器给浏览器发了一枚令牌,以后带着令牌过来就能随便访问。JWT:全称 JSON Web Tokens ,是一种规范化的 token
详解一下UUID的弊端以及雪花算法
2301_76936922的博客
04-08 1572
既然分布式ID是主键,然后主键是包含索引的,而mysql的索引是通过B+树来实现的,每一次新的UUID数据的插入,为了查询的优化,都会对索引底层的B+树进行修改,因为UUID数据是无序的,所以每一次UUID数据的插入都会对主键的B+树进行很大的修改,这一点很不好,插入完全无序,不但会导致一些间节点产生分裂,也会白白创造出很多不饱和的节点,这样大大降低了数据库插入的性能。因此,一个能够生成全局唯一ID的系统是非常必要的。唯一性检查,分布式ID生成过程,需要进行唯一性检查,以保证生成的ID是唯一的。
利用GUID/UUID生成token及验证token的正确性
热门推荐
一个真实、有温度的无名小卒
10-18 1万+
UUID/GUID生成token 验证token
Token验证实现思路
qq_34991010的博客
09-01 2299
简介 Token 是一个临时、唯一、保证不重复的令牌 Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 使用Token的目的:
Springboot Security不同请求路径认证不同表用户
sinat_38534054的博客
08-01 1073
security框架多表认证
谷粒商城开发及部分知识点大总结
Samuel'C blog
07-26 1473
谷粒商城合集
shiro 同时实现url和按钮的拦截_Shiro是如何拦截未登录请求的(一)
weixin_32183427的博客
12-29 606
问题描述之前在公司搭项目平台的时候权限框架采用的是shiro,由于系统主要面向的是APP端的用户,PC端仅仅是公司内部人员在使用,而且考虑到系统的可用性和扩展性,服务端首先基于shiro做了一些改造以支持多数据源认证和分布式会话(关于分布式session可查看{% post_link SpringBoot集成Shiro实现多数据源认证授权与分布式会话(一)%}).我们知道在web环境下http是一...
自研海外PCDN系统技术架构与演进
LiveVideoStack
02-07 4594
Photo byNick WehrlifromPexels本文来自小溪流科技首席架构师张道远在LiveVideoStackCon 2019深圳站上的演讲,演讲内容主要涉及PCDN海...
解决:集成沙雕融云IM在Application注册后报token is empty,并崩溃的问题。
04-01
解决:集成沙雕融云IM在Application注册后报token is empty,并崩溃的问题。
解决:并发 获取token值被覆盖,防止重复获取token
T
12-12 4675
在调用接口是 接口里是有token的 但是 如果并发 token值被覆盖,就会造成其他接口报错, 其实有很多办法 比如 存放到redis 或者数据库里 但是token有过期时间 token会失效 所以需要更新,这样的其实比较 费事的, 解决: 其实一个定时任务就可以解决 首先写个静态方法 获取 token 加上定时器让他2分钟或者1分钟执行一次 ,这样也不用担心token会失效了,因为我每个2分...
记录一个前端登录以后,登录当时获取token有值但是之后再次请求时token就获取不到的bug
m0_49194578的博客
09-29 2390
登录时的代码 login({ commit }, userInfo) { const { username, password } = userInfo return new Promise((resolve, reject) => { login({ username: username.trim(), password: password }).then(response => { console.log(response) co
httpClient 教程
Now . Or Never ``
09-04 2606
HttpClient 教程 (一) 前言 超文本传输协议(HTTP)也许是当今互联网上使用的最重要的协议了。Web服务,有网络功能的设备和网络计算的发展,都持续扩展了HTTP协议的角色,超越了用户使用的Web浏览器范畴,同时,也增加了需要HTTP协议支持的应用程序的数量。 尽管java.net包提供了基本通过HTTP访问资源的功能,但它没有提供全面的灵活性和其
Sa-Token:关于Sa-Token跨域问题解决后导致token无效,Cookie丢失的问题
最新发布
weixin_47303191的博客
06-22 6140
这两天用sa-token做业务发现,如果使用前端ajax请求到认证心的话,会导致跨域问题,而跨域问题解决后悔导致认证心的token失效了,我debug了。同理,如果认证心重定向回来,token也可能丢失,所以我们将token放在重定向地址里作为参数,就不会丢失了.如果不懂代码怎么回事,可以去Sa-Token学习学习,也可以去我发的**
java responsebody_SpringBoot ResponseBody返回值处理的实现
weixin_35681725的博客
02-24 848
1. springboot responsebody 返回值null值处理@postmapping(path = "/test", produces = mediatype.application_json_value)public object test() {jsonobject jsonobject = new jsonobject();jsonobject.put("test","tes...
尚医通项目笔记--包括每个接口对应页面的图片
COCoDΣ的博客
03-09 4111
yygh-parent根目录 common公共模块父节点 common-util公共工具类 rabbit-util业务封装RabbitMQ service-util服务工具类 hospital-manage医院接口模拟端(已开发,直接使用) model实体类 service接口服务父节点 service-hosp医院api接口服务 service-cmn公共api接口服务 service-user用户api接口服务 service-order订单api接.
<运行错误/项目遇/配置问题/意外故障等>汇总
lisz的博客
11-16 422
今后遇到的小问题会一直在这篇文章更新,方便回来查找。 1.idea2020.2卡死在导入maven项目 法1:(失败) 移除项目下 .mvn/maven-wrapper.properties 文件,重启IDEA。 法2:(成功) 修改hosts文件,目录在C:\Windows\System32\drivers\etc,把activate那一行注释掉,然后添加127.0.0.1 localhost ...
调用接口获取token时,返回值为{"desc":"CurTime is illegal","code":414}
托妞专栏
07-26 5157
即时通讯,第三方为网易云(接口:) https://api.netease.im/nimserver/user/create.action 调用接口获取token时,返回值为{"desc":"CurTime is illegal","code":414} 查了下API,CurTime :当前UTC时间的时间戳,也把自己服务器的时间开启了与网络时间同步,也开启了NTP服务,也重启了Wind
理解基于Token的WEB后台认证机制
"基于Token的WEB后台认证机制是现代Web应用程序常见的安全实践,它相比传统的HTTPBasicAuth、OAuth和CookieAuth提供了更多的优势。本文将深入探讨这些认证机制及其应用场景。 HTTPBasicAuth是最简单的认证方式,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值