Token机制改造过程中踩坑记录

最新推荐文章于 2023-04-08 08:30:00 发布
最新推荐文章于 2023-04-08 08:30:00 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: JAVA相关笔记 工作总结 MVC框架 文章标签: Token RequestBody
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panyongcsd/article/details/80944675
版权

Token机制改造过程中踩坑记录

上个月为了修改系统的认证方式为Token机制,编码两天,修BUG修了一整周,天天加班到深夜,踩坑无数,终于爬上来了,现记录如下。

问题背景

  1. 系统原有登录认证机制为手机号+验证码登录并保存Cookie,由前端调用CheckLogin接口判断登录信息是否还存在,后端通过Cookie里的userId来关联用户信息;
  2. 此种认证方案在我接手后就提出优化意见,不过由于任务繁多,直到前些日子才抽出时间修改;
  3. 和前端同学一起讨论确定认证方式为Token机制,具体见博文微信公众号用户认证机制升级方案

具体实现

  1. 用户认证登录实现

     /**
  * 用户认证登录接口
  * @param auth
  * @return
  */
 @RequestMapping(method = RequestMethod.POST)
 public BaseResult<UserToken> auth(@RequestBody AuthVO auth, @RequestHeader("timestamp") Long  timestamp) throws Exception {
     //省略前置校验等代码
     //生成UserToken和SecretKey
     String token = MD5.getInstance().getMD5String(UUID.randomUUID().toString());
     while (redisTemplate.opsForValue().get(USER_TOKEN_REDIS_PRE+token) != null){
         token = MD5.getInstance().getMD5String(UUID.randomUUID().toString());
     }
     String secretKey = MD5.getInstance().getMD5String(UUID.randomUUID().toString());
     Long expire = calendar.getTimeInMillis();

     UserToken userToken = new UserToken(token,secretKey,expire);
     //更新用户的SecretKey
     member.setSecretKey(secretKey);
     memberService.updateMemberById(member);

     //将Token & userId存入Redis
     redisTemplate.opsForValue().set(USER_TOKEN_REDIS_PRE+token,  String.valueOf(member.getId()), 30, TimeUnit.DAYS);

     return BaseResultUtils.ok(userToken);
 }

  2. 鉴权注解

    /**
* 鉴权注解,在Controller的方法上添加该注解表明此方法需要进行登录信息鉴权
* 未登录返回 401 错误 - 未授权 (Unauthorized)
* User: za-panyong
* Date: 2018/5/9
* Time: 15:27
*/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Authorization {
     
}

  3. RequestBody过滤器

    public class RequestFilter implements Filter {
     
 //线程缓存,保存RequestBody
 public static ThreadLocal<MyRequestBodyReaderWrapper> REQUEST_WRAPPER = new ThreadLocal<>();

 @Override
 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  throws IOException, ServletException {
     HttpServletRequest servletRequest = (HttpServletRequest) request;
     //如果是GET请求或者请求类型不是application/json,则不需要获取RequestBody
     if (StringUtils.isEmpty(servletRequest.getMethod()) ||  "GET".equalsIgnoreCase(servletRequest.getMethod())
最低0.47元/天 解锁文章
忙里偷闲得几回
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第5章 DDD和微服务(架构升级:从单体到微服务的重构)
dreamship
01-31 145
大家好,前面的课程呢,我们有讲到在微服务架构,我们要解决一些问题,包括服务的注册和发现服务的管理流量的控制熔断降级配置管理等等。这些问题呢我们要通过微服务的框架或者基础设施来解决。这些解决微服务的底层服务治理问题的方案呢,统一称为微服务的底层方案。在这节课呢,我们就来对微服务的主流的底层方案,做一个简单的介绍。总的来说呢,这些方案分为两大类。第一类就是通过接入微服务的SDK或者说框架。
token解决cookie的弊端
weixin_39158966的博客
03-15 114
token:简单说就是服务器给浏览器发了一枚令牌,以后带着令牌过来就能随便访问。JWT:全称 JSON Web Tokens ,是一种规范化的 token
详解一下UUID的弊端以及雪花算法
最新发布
2301_76936922的博客
04-08 1570
既然分布式ID是主键,然后主键是包含索引的,而mysql的索引是通过B+树来实现的,每一次新的UUID数据的插入,为了查询的优化,都会对索引底层的B+树进行修改,因为UUID数据是无序的,所以每一次UUID数据的插入都会对主键的B+树进行很大的修改,这一点很不好,插入完全无序,不但会导致一些间节点产生分裂,也会白白创造出很多不饱和的节点,这样大大降低了数据库插入的性能。因此,一个能够生成全局唯一ID的系统是非常必要的。唯一性检查,分布式ID生成过程,需要进行唯一性检查,以保证生成的ID是唯一的。
@ResponseBody详解
热门推荐
originations的博客
04-24 46万+
@ResponseBody的作用其实是将java对象转为json格式的数据。 @responseBody注解的作用是将controller的方法返回的对象通过适当的转换器转换为指定的格式之后,写入到response对象的body区,通常用来返回JSON数据或者是XML数据。 注意:在使用此注解之后不会再走视图处理器,而是直接将数据写入到输入流,他的效果等同于通过response对象输出指定格式...
Token验证实现思路
qq_34991010的博客
09-01 2295
简介 Token 是一个临时、唯一、保证不重复的令牌 Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 使用Token的目的:
同一个浏览器下相同域名和端口的不同应用,解决token被覆盖问题
weiwei_xue的博客
11-08 3761
今天后端在进行项目测试的时候,提出一个问题。用域名加端口号的方式访问项目,相同域名、端口号的情况下根据后缀的不同区分不同项目,导致俩个项目的token变成一样的了,从而终止会话。 问题产生原因 浏览器是根据应用的域名或者IP地址储存session的,相同的域名或者IP下,session的名称也就是key不能重复。 用户访问系统a时,存储session信息token等于1,访问系统b时,session信息token被赋值为2,那么再去操作系统a时,检测到session与服务生成的不匹配,就会终止会话。
token机制
celi_echo的博客
08-17 229
一、什么是token token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩的一定长度的...
谷粒商城开发及部分知识点大总结
Samuel'C blog
07-26 1462
谷粒商城合集
shiro 同时实现url和按钮的拦截_Shiro是如何拦截未登录请求的(一)
weixin_32183427的博客
12-29 603
问题描述之前在公司搭项目平台的时候权限框架采用的是shiro,由于系统主要面向的是APP端的用户,PC端仅仅是公司内部人员在使用,而且考虑到系统的可用性和扩展性,服务端首先基于shiro做了一些改造以支持多数据源认证和分布式会话(关于分布式session可查看{% post_link SpringBoot集成Shiro实现多数据源认证授权与分布式会话(一)%}).我们知道在web环境下http是一...
自研海外PCDN系统技术架构与演进
LiveVideoStack
02-07 4574
Photo byNick WehrlifromPexels本文来自小溪流科技首席架构师张道远在LiveVideoStackCon 2019深圳站上的演讲,演讲内容主要涉及PCDN海...
LaancTokenHelper
03-01
LaancTokenHelper 工作完成: 根据KID,针对本地缓存的JWK验证JWT。 从FAA服务器检索JWK并将其保存到本地缓存 使用本机JsonWebKeyset存储缓存的密钥 使用MockAPI.IO完整的API集成和示例响应 经过NUnitTest的全面测试 性能测试:(新的JWK重试取决于服务器响应时间〜100ms,针对缓存的密钥验证JWT是即时的,迭代i = 1000,t <1s) 需要做的工作:-LaancTokenHandler.cs:21-FAAbaseUrl(需要指向FAA URL,当前它指向带有示例响应的嘲笑api.io) LaancTokenHandler.cs:42 -validationParameters(需要自定义验证要求,即到期验证,Aud,Iss) LaancTokenHandler.cs:128-faaLaancJWK(可能需要根据
解决:并发 获取token值被覆盖,防止重复获取token
T
12-12 4670
在调用接口是 接口里是有token的 但是 如果并发 token值被覆盖,就会造成其他接口报错, 其实有很多办法 比如 存放到redis 或者数据库里 但是token有过期时间 token会失效 所以需要更新,这样的其实比较 费事的, 解决: 其实一个定时任务就可以解决 首先写个静态方法 获取 token 加上定时器让他2分钟或者1分钟执行一次 ,这样也不用担心token会失效了,因为我每个2分...
html登录状态验证,Token验证登录状态的简单实现
weixin_31499919的博客
05-30 2703
设计思路用户发出登录请求,带着用户名和密码到服务器经行验证,服务器验证成功就在后台生成一个token返回给客户端客户端将token存储到cookie,服务端将token存储到redis,可以设置存储token的有效期。后续客户端的每次请求资源都必须携带token,这里放在请求头,服务端接收到请求首先校验是否携带token,以及token是否和redis的匹配,若不存在或不匹配直接拦截返回错...
Shiro 登录验证 Argument for byte conversion cannot be null
AdamShyly的博客
06-08 949
今天在做shiro登录验证时出现Argument for byte conversion cannot be null报错,打断点发现 credentials为空,而credentials的初始化是在AuthenticationInfo盐值反解密过程,AuthenticationInfo将原加密密码赋值给credentials,所以最后发现是返回的加密密码有问题,在做mapper数据库表映射的时候粗心大意将password打错。...
接口鉴权auth、oauth、session、cookie、sign
weixin_47049882的博客
03-18 2034
# 大多数互联网公司用token与sign # auth 鉴权 # oauth鉴权涉及很多系统,需要第三方系统授予操作权限,一般第三方比较多,例:支付宝、QQ、微信、微博等等 # cookies描述:cookies是服务器根据每个用户生成的它类似于我们的临时身份证,cookis只是编码身份的一种,还有token和签名 # session参数:很多接口需要一些公共的参数, # 比如cookies, fw值系统(都用公共的参数cookies值)通过登录生成,添加地址,文件上传接口 # 建立三个接口,登录接.
2022谷粒商城学习笔记(十九)认证服务整合短信验证码和OAuth2第三方社交登录
09-06 1189
本系列博客基于B站谷粒商城,只作为本人学习总结使用。这里我会比较注重业务逻辑的编写和相关配置的流程。有问题可以评论或者联系我互相交流。原视频地址谷粒商城雷丰阳版。本人git仓库地址Draknessssw的谷粒商城依赖 服务注册 其他配置 主启动类开启注解 域名映射 Resource目录下存放网页 nginx存放登录和注册需要的静态资源腾讯云短信业务控制台首先是创建短信签名,这个是必须的。建议使用公众号或者小程序来创建 创建模板 根据相关接口文档,这时候可以直接去调试界面进行测试腾讯云发送短信相关文档填写
Hand SecurityTokenHelper的源码
awodwde的博客
12-07 301
加密时使用到的实体,pkValue表示的是主键 生成token的流程:首先是构建成一个 SecurityTokenEntity类,该类必须含有以下四个属性, 然后使用AES加密方式,对SecurityTokenEntity的序列化字符串进行加密 public static <T extends SecurityToken> String generateToken(T obj) { if (noContext()) { logger.de
阿里云API网关(9)常见问题
weixin_33725272的博客
07-21 2万+
网关指南: https://help.aliyun.com/document_detail/29487.html?spm=5176.doc48835.6.550.23Oqbl 网关控制台: https://apigateway.console.aliyun.com/?spm=5176.doc42740.2.2.Q4z5ws#/cn-hangzhou/apis/list 一、如何获取错误信息 所有...
理解基于Token的WEB后台认证机制
"基于Token的WEB后台认证机制是现代Web应用程序常见的安全实践,它相比传统的HTTPBasicAuth、OAuth和CookieAuth提供了更多的优势。本文将深入探讨这些认证机制及其应用场景。 HTTPBasicAuth是最简单的认证方式,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值