基于springside4 的app token登录鉴权

最新推荐文章于 2024-08-28 16:45:17 发布
最新推荐文章于 2024-08-28 16:45:17 发布
阅读量4.5k 收藏 14
点赞数 2
分类专栏: 其他技术 文章标签: 架构 互联网架构 登录鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/phil_code/article/details/56489810
版权

       很多公司app客户端和服务端通讯是基于socket自定义私有协议,但对于创业型公司和需要快速搭建app原型的公司,http通讯是比较好的选择,开发效率高,http协议会比socket协议通信慢,且容易被刷协议和截取数据包。那么基于http协议的通信,登录和鉴权是比较重要的环节。最近在研究springside4,shiro,基于这些框架搭建了一套app http登录和鉴权。

下图先介绍整个逻辑流程:



登录服务端代码:

@Controller

@RequestMapping(value = "/loginuser")

public classUserLogin {

 

   @Autowired

   protected AccountServiceaccountService;

 

   @Autowired

   private CacheManagerehcacheManager;

 

   /**

    * 设定安全的密码,生成随机的salt并经过1024sha-1 hash

    */

   private StringentryptPassword(String salt,String plainPassWord) {

 

      byte[] decodeSalt=Encodes.decodeHex(salt);

      byte[] hashPassword =Digests.sha1(plainPassWord.getBytes(), decodeSalt, Constants.HASH_INTERATIONS);

      return Encodes.encodeHex(hashPassword);

   }

   //@RequestMapping(value = "/loginUser", method= RequestMethod.POST)

   @RequestMapping(value = "/{username}/{password}", method = RequestMethod.GET)

   @ResponseBody

   public String log(@PathVariable("username")String userName,@PathVariable("password") String passWord) {

 

      //根据用户名查找数据库

      Useruser = accountService.findUserByLoginName(userName);

      if (user !=null) {

         if(user.getStatus().equals("disabled")) {

            throw newDisabledAccountException();

         }

         //数据库存的密码为加密后的,需要把客户端传过来的密码明文进行加密

         StringdescPassWord=entryptPassword(user.getSalt(),passWord);

         if(user.getPassword().equals(descPassWord))

         {

            //根据KEY,用户ID,当前时间戳生成token

            StringclientToken=HmacSHA256Utils.digest(Constants.KEY, String.valueOf(user.getId()+System.currentTimeMillis()));

           

            //存放在ehcache,可以改为存放在redis

            Elementelement = newElement(user.getId(), clientToken);

            Cachecache=ehcacheManager.getCache(Constants.LOGIN_TOKEN_CACHE_NAME);

            cache.put(element);

            //返回token给客户端

            return clientToken;

         }

         else

            return null;

      } 

      else

         return null;

    

   }

}

 

 
public class Constants {
    public static final String PARAM_DIGEST = "digest";
    public static final String PARAM_USERNAME = "username";
    public static final String PARAM_ID = "id";

    public static final String LOGIN_TOKEN_CACHE_NAME = "logintoken";

    //摘要,用来加密生成token
    public static String KEY="qwertyasdfoimdfdk";

    public static final String HASH_ALGORITHM = "SHA-1";
    public static final int HASH_INTERATIONS = 1024;
}

 

服务端鉴权使用filter组装数据后委托shiro 的realm处理

 

public classStatelessAuthcFilterextendsAccessControlFilter {

 

      @Autowired

      private CacheManagerehcacheManager;

  

      @Override

       protected boolean isAccessAllowed(ServletRequestrequest, ServletResponse response, Object mappedValue)throws Exception {

           return false;

       }

 

       @Override

       protected boolean onAccessDenied(ServletRequestrequest, ServletResponse response)throws Exception {

           //客户端的url的数字签名

           String clientDigest =request.getParameter(Constants.PARAM_DIGEST);

           //2、客户端传入的用户身份

           String username =request.getParameter(Constants.PARAM_USERNAME);

           String id =request.getParameter(Constants.PARAM_ID);         

          

           HttpServletRequesthttpRequest=(HttpServletRequest) request;        

           //删除掉URL的数字签名

           String digestParm="digest="+clientDigest;

           String url=httpRequest.getRequestURL()+"?"+httpRequest.getQueryString().replace("&"+digestParm,"").replace(digestParm,"");

              

           //4、生成无状态Token

           StatelessToken token = new StatelessToken(Long.parseLong(id),username,url, clientDigest);

 

           try {

               //5、委托给Realm进行登录

               getSubject(request,response).login(token);

           } catch (Exception e) {

               e.printStackTrace();

               onLoginFail(response); //6、登录失败

               return false;

           }

           return true;

       }

 

       //登录失败时默认返回401状态码

       private void onLoginFail(ServletResponse response) throws IOException {

           HttpServletResponse httpResponse =(HttpServletResponse) response;

          httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);

           httpResponse.getWriter().write("login error");

       }

}

 

 

 

public classStatelessRealm extends AuthorizingRealm {

   protected AccountServiceaccountService;

 

   @Autowired

   private CacheManagerehcacheManager;

   @Override

   publicbooleansupports(AuthenticationToken token) {

        //仅支持StatelessToken类型的Token

        return tokeninstanceof StatelessToken;

   }

   @Override

   protectedAuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        //根据用户名查找角色,请根据需求实现

        SimpleAuthorizationInfoauthorizationInfo =  newSimpleAuthorizationInfo();

        authorizationInfo.addRole("admin");

        return authorizationInfo;

   }

   @Override

   protectedAuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)throws AuthenticationException{

        StatelessToken statelessToken =(StatelessToken) token;

        String username =statelessToken.getUsername();//用户名

        long id=statelessToken.getId();//用户ID

        Cache cache=ehcacheManager.getCache(Constants.LOGIN_TOKEN_CACHE_NAME);

        Element tokenElement=cache.get(id);

        String strtoken=(String)tokenElement.getObjectValue();

       

        //在服务器端生成客户端参数消息摘要

        String url=statelessToken.getUrl();

        

        String serverDigest = HmacSHA256Utils.digest(strtoken,url);

        System.out.println("ClientDigest:"+statelessToken.getClientDigest());

        System.out.println("serverDigest"+serverDigest);

        //然后进行客户端消息摘要和服务器端消息摘要的匹配

        return new SimpleAuthenticationInfo(

                username,

                serverDigest,

                getName());

         

   }

}

 

 

 

客户端测试代码如下

 

/**

 * Hello world!

 *

 */

public classApp

{

   static RestTemplaterestTemplate =new RestTemplate();

   publicstaticfinalStringPARAM_DIGEST="digest";

   publicstaticfinalStringPARAM_USERNAME="username";   

   public static String userName="admin";

   public static String passWord="admin";

   public static String userId="1";

   publicstaticvoidmain( String[] args )

   {

     

      //登录获取token

        String token =login(); 

       

        MultiValueMap<String, String>params = newLinkedMultiValueMap<String, String>(); 

        params.add(PARAM_USERNAME,userName);

        params.add("id", userId); 

 

        //构造请求URL

        String url = UriComponentsBuilder 

                .fromHttpUrl("http://localhost:8080/showcase/api/v1/user/1.json"

               .queryParams(params).build().toUriString();

        //URL进行签名

        String digest=HmacSHA256Utils.digest(token,url);

       

        //URL上带上签名

        params.add(PARAM_DIGEST, digest);

        url= UriComponentsBuilder 

                .fromHttpUrl("http://localhost:8080/showcase/api/v1/user/1.json"

               .queryParams(params).build().toUriString(); 

       

        System.out.println("url:"+url);

        ResponseEntity<String>responseEntity = restTemplate.getForEntity(url, String.class);

        System.out.println("responseEntity:"+responseEntity.getBody());

  

   }

   

   /**

     * 登录返回token

     * @return

     */

   publicstaticString login()

   {

 

      String loginUrl="http://localhost:8080/showcase/loginuser/"+userName+"/"+passWord;  

        ResponseEntity<String>responseEntity = restTemplate.getForEntity(loginUrl, String.class);

        return (String)responseEntity.getBody();       

   }

}

ChainCode
关注
专栏目录
【华为云会议开发指南】App ID鉴权介绍
HWCloudDeveloper的博客
03-28 3592
为了降低第三方应用集成华为云会议难度,并且提升开放接口的安全性,华为云会议开放能力中支持基于App ID的鉴权方式。App ID是一个应用的标识,同一个App ID可以同时在第三方的桌面终端、移动终端、Web应用上使用。 App ID鉴权原理 图1 第三方客户端App ID鉴权流程 鉴权前提: 开发者在华为云会议控制台上为自己的应用申请AppID,并获取App ID和App Key。 开发者在自己的服务端集成Signature生成算法,请参考“第三方服务集成Signature生成算法”。 SDK初始化时传
springside4
08-15
SpringSide4是一个基于Spring框架的开源项目,旨在为Java开发者提供一个简洁、高效、规范的开发实践。它不仅是一个代码库,更是一份详尽的Spring技术实践手册,涵盖了Spring的多个核心模块和周边技术,帮助开发者...
Token鉴权
maoyudashen的博客
07-29 980
需要注意的是,在实际应用中,为了增强安全性,Token通常会设置过期时间,并采用加密算法对Token进行签名和验证。常见的Token类型有两种:基于Session的Token和基于JSON Web Token (JWT)的Token。5. 服务端接收到请求后,根据携带的Session ID进行验证,如果验证通过,则允许客户端访问相应资源。5. 服务端接收到请求后,对Token进行解析和验证,如果验证通过,则允许客户端访问相应资源。6. 服务端对Token进行验证,验证通过后允许客户端访问相应资源。
无状态token和有状态token
最新发布
m0_65732083的博客
08-28 344
无状态token:不包含用户会话信息,每次请求都需要重新验证。适用于分布式系统和微服务架构。有状态token:包含用户会话信息,可以在多个请求之间保持登录状态。适用于需要维护用户会话的应用,如单页面应用。
token鉴权
m0_47127594的博客
12-17 7821
前言 上一篇博客介绍了什么是cookie、session,以及cookie和session之间的区别,运行机制等。那么这篇博客一起来看看另外一种鉴权方式,也就是token鉴权token就是接口层面的一种校验而已。 一、什么是token? 其实token就是一个令牌,通俗一点可以称为‘暗号’,在一些数据传递之前,要先进行暗号的核对,不同的暗号(令牌)之前被授权不同的数据操作。 二、token的运行机制。 #mermaid-svg-uUOHpzCQGpWVw5Nd .label{font-family:'
Token鉴权
yxrsssssss的博客
10-27 238
关于token的处理
学习笔记(二):Token鉴权实现
qq_49111986的博客
03-31 1641
上次总结了有关Token鉴权的理论知识,本次内容学习了将jwt、shiro、redis整合,实现token的自动刷新和可控性。
基于Java的SpringSide4 JavaEE应用参考示例设计源码
05-26
本项目是基于Java的SpringSide4 JavaEE应用参考示例设计源码,包含241个文件,其中包括199个Java源文件、13个XML文件、7个Properties文件、5个TXT文件、4个Shell脚本文件、4个SQL文件、2个gitignore文件、2个TLD文件...
springside4-4.2.3.GA
06-26
首先,SpringSide 4.2.3.GA基于Spring Framework,这是一个广泛使用的Java应用开发框架,以其强大的依赖注入(DI)和面向切面编程(AOP)能力而闻名。SpringSide旨在简化Spring的使用,通过提供最佳实践、代码样例和...
Springside4 学习整理
07-16
Springside4 是一个基于 JavaEE 平台的开源项目,它围绕 Spring Framework 构建,旨在提供实用的示例和最佳实践。Springside4 不是一个完整的框架,而是一个架构示例,帮助开发者理解和应用一系列主流的 JavaEE 技术...
基于 Token 的身份验证方法
weixin_34367257的博客
09-27 988
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要...
Token鉴权机制
qq_34794066的博客
08-26 373
TOken鉴权机制,,记录一下,转一下收藏好,看以后忘 https://blog.csdn.net/kongtiao5/article/details/82898247
接口测试中的Token鉴权(Postman中Token的获取和引用)
热门推荐
weixin_44901808的博客
08-25 1万+
Token的获取和引用
Token 认证完全指南 (来自前端高级专业编程人员详解)
2301_78359537的博客
12-16 259
通过使用 Token 鉴权,我们可以为 Node.js 应用程序提供高度安全的用户认证机制。然而,在实践中,还需要考虑到安全最佳实践、Token 的管理和存储、以及对于不同用户角色的权限控制等方面。希望本文能够为您提供深入理解 Token 鉴权方案的指导,并在您的 Node.js 应用程序中实现可靠的用户身份验证机制。
我的token鉴权机制hanhan
hanpenghu的博客
10-25 369
   
鉴权方式/登录方式
麦子
10-09 153
一、用法: 1、cookie: const Koa = require('koa'); const Router = require('@koa/router'); const app = new Koa(); const router = new Router(); app.keys = ['jupeng']; // 提供cookie用于签名的密钥 // 默认情况下所有的请求都会发送cookie,默认本次会话结束会清除 // domain 域名:默认不设置值为当前网址的域名 // path 路径
node.js中的Token鉴权机制
mengxiaodi的博客
12-18 311
Token鉴权作为一种常见的身份验证和授权方式,具有简单、灵活、安全等优点。通过本文的介绍,相信大家对Token鉴权有了更深入的了解。在实际项目中,可以根据业务需求和场景选择合适的Token生成和验证方式,实现安全可靠的身份验证和授权功能。
声网 Token 鉴权机制,以及常见的问题
声网的博客
04-28 1719
可以看到,在用户加入频道前,客户端需要先向服务器申请Token,并在 服务器 生成 Token,且 Token 必须与 需要加入频道的用户所对应的 AppID、频道名、用户 ID(UID)信息、用户权限(是否能发流或收流) 一一对应,并且确保生成的 Token 在有效期内。Token 过期时,SDK 会触发 Token 过期回调。一般来说,我们建议在Token 过期前,及时更新 Token,即从服务器获取新的 Token 并调用 renewToken 将新生成的Token 传给 SDK。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值