过滤器,白名单+接口token验证

最新推荐文章于 2024-04-25 09:30:38 发布
最新推荐文章于 2024-04-25 09:30:38 发布
阅读量1.6k 收藏 3
点赞数
文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_14815383/article/details/123271046
版权

1、过滤器实现

package com.zrar.arask.cs.filter;

import com.zrar.arask.cs.util.JWTUtil;
import com.zrar.easyweb.core.util.StringUtil;
import com.zrar.easyweb.jose.jwt.SignedJWT;
import com.zrar.easyweb.util.GsonUtil;
import com.zrar.easyweb.web.core.bean.JsonResult;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.Date;
import java.util.concurrent.atomic.AtomicLong;
import java.util.regex.Matcher;
import java.util.regex.Pattern;


/**
 * 消息服务令牌校验拦截器
 */
public class MessageServiceFilter implements Filter{

	private Logger logger = LoggerFactory.getLogger(MessageServiceFilter.class);
	// 服务Urls
	private String[] serviceUrls = {};
	// 是否启用时间限制
	private boolean enableTimeLimit = false;
	// 时效长(默认15分钟)
	public static final AtomicLong TIME_LIMIT_APP_SERVICE = new AtomicLong(15 * 60 * 1000);

	// 无效密钥
	public static final int CODE_TOKEN_INVALID = 40001;
	// 密钥格式错误
	public static final int CODE_TOKEN_FORMAT_ERROR = 40002;
	// 缺失token信息
	public static final int CODE_TOKEN_MISSING = 41001;
	// token超时
	public static final int CODE_TOKEN_TIMEOUT = 42001;


	@Override
	public void init(FilterConfig config) throws ServletException {
		String urls = StringUtil.null2Str(config.getInitParameter("serviceUrls"));
		// 参数不为空,初始化服务路径信息
		if (urls.length() > 0) {
			serviceUrls = urls.split(",");
		}

		// 是否启用token时限
		String enableTimeLimit = StringUtil.null2Str(config.getInitParameter("enableTimeLimit"));
		this.enableTimeLimit = enableTimeLimit.equals("true") || enableTimeLimit.equals("1");
		if (logger.isInfoEnabled()) {
			logger.info("Service Token 时效控制 {}", this.enableTimeLimit ? "启用" : "未启用");
		}

		// 时效长
		String timeLimit = StringUtil.null2Str(config.getInitParameter("timeLimit"));
		if (StringUtil.isNotNull(timeLimit)) {
			if (StringUtil.isNumeric(timeLimit)) {
				int min = Integer.parseInt(timeLimit);
				TIME_LIMIT_APP_SERVICE.set(min * 60 * 1000);
				if (logger.isInfoEnabled()) {
					logger.info("Service Token 时效长度 {} 分钟", TIME_LIMIT_APP_SERVICE.get() / 60 / 1000);
				}
			} else {
				logger.error("web.xml > MessageServiceFilter [ timeLimit ] 参数必须为数字");
			}
		}
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {

		// 请求地址
		HttpServletRequest req = ((HttpServletRequest) request);
		String contextPath = req.getSession().getServletContext().getContextPath();
		String visitURL = req.getRequestURI();

		// 验证该地址是否需要验证
		boolean flag = this.isValidateUrl(visitURL, contextPath);
		if (flag == true) {
			//白名单
			chain.doFilter(request, response);
			return;
		}

		// 令牌信息
		String stoken = StringUtil.null2Str(request.getParameter("stoken"));
		// 没有令牌信息,拒绝服务
		if (StringUtil.isNull(stoken)) {
			this.forbidden(response, CODE_TOKEN_MISSING, "没有发现令牌");
			return;
		}

		// 默认令牌验证不通过
		boolean result = false;
		SignedJWT jwt = null;
		try {
			// 验证令牌有效性
			jwt = JWTUtil.verifyToken(stoken);
			result = jwt.verify(JWTUtil.getJWTVerifier(JWTUtil.getJWTSecret()));

			// 如果启用了时限,检查时限
			if (result == true && enableTimeLimit == true) {
				Date expirationTime = jwt.getBaseClaimsSet().getExpirationTime();
				Date now = new Date();
				boolean isInTime = now.before(expirationTime);
				// 已经超过时限
				if (isInTime == false) {
					if (logger.isInfoEnabled()) {
						logger.info("Service Token 已失效");
					}
					forbidden(response, CODE_TOKEN_TIMEOUT, "令牌已失效");
					return;
				}
			}
			if (logger.isInfoEnabled()) {
				logger.info("Service Token Check :[{}] > {}", result, stoken);
			}
		} catch (Exception e) {
			if (logger.isInfoEnabled()) {
				logger.info("Service Token Check :[格式不正确] > {}", stoken);
			}
			forbidden(response, CODE_TOKEN_FORMAT_ERROR,"令牌格式不正确");
			return;
		}
		// 验证通过,继续服务
		if (result == true) {
			// 设置服务检查通过变量,便于在session验证时通过该请求
			request.setAttribute("app_service_auth_result", 1);
			chain.doFilter(request, response);
		} else {
			// 验证不通过,拒绝服务
			forbidden(response, CODE_TOKEN_INVALID, "无效令牌");
			return;
		}
	}

	@Override
	public void destroy() {
	}

	/**
	 * 拒绝服务
	 *
	 * @param response
	 * @throws IOException
	 */
	private void forbidden(ServletResponse response,int code, String message) throws IOException {
		JsonResult result =new JsonResult();
		result.setMsg(message);
		result.setCode(code);
		response.setCharacterEncoding("UTF-8");
		response.setContentType("application/json");
		PrintWriter out = response.getWriter();
		out.write(GsonUtil.bean2json(result));
		out.flush();
		out.close();
	}

	/**
	 * 是否属于验证的URL地址
	 *
	 * @param currentRequestURL
	 * @param
	 * @param
	 * @return
	 */
	private boolean isValidateUrl(String currentRequestURL,String contextPath) {
		for (String url : this.serviceUrls) {
			Pattern p = Pattern.compile(contextPath + url);
			Matcher matcher = p.matcher(currentRequestURL);
			boolean matches = matcher.matches();
			if (matches) {
				return true;
			}
		}
		return false;
	}
}

2、过滤器配置,xml

 <!-- MESSAGE QUERY -->
    <filter>
        <filter-name>MessageServiceFilter</filter-name>
        <filter-class>com.zrar.arask.cs.filter.MessageServiceFilter</filter-class>
        <init-param>
            <param-name>serviceUrls</param-name>
            <param-value>
                /custom/config,/custom/checkState,/custom/idleGroup,/custom/groupInfos,/message/sendMessage
            </param-value>
        </init-param>
        <init-param>
            <param-name>enableTimeLimit</param-name>
            <param-value>true</param-value>
        </init-param>
        <init-param>
            <param-name>timeLimit</param-name>
            <param-value>1</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>MessageServiceFilter</filter-name>
        <url-pattern>/message/*</url-pattern>
    </filter-mapping>
FashionProgrammer
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java过滤器ip白名单_网关过滤器批量放行properties指定的url--白名单
weixin_39983993的博客
02-28 1285
白名单2.4.1 什么是白名单问题:所有请求都被拦截,与实际需求不符合。(存在部分请求不需要拦截)白名单:用于存放不需要拦截的请求路径2.4.3 实现步骤一:修改网关yml文件,配置不需要拦截的路径(白名单)步骤二:创建配置类,用于存放yml中自定义配置信息步骤三:完善网关过滤器,修改第三方法,在白名单中放行,不在进行拦截。步骤一:修改==网关==yml文件,配置不需要拦截的路径(白名单)可能存在...
微服务鉴权代码实现和网关过滤器验证token
weixin_60668060的博客
11-24 1680
1 思路分析 1.用户进入网关到网关过滤器 判断是否是登录 如果是登录就进入路由 2.登录成功,后台管理微服务签发JWT token信息返回给用户 3.用户再次进入网关开始访问,网关过滤器接受用户携带的token 4.网关过滤解析token,判断是否有权限,有则放行,如果没有返回未认证错误 2 系统微服务签发token 2.1 导入依赖: <dependency> <groupId>io.jsonwebtoken</groupId> <a
SpringBoot接口添加IP白名单限制
最新发布
芋艿V
04-25 205
???? 这是一个或许对你有用的社群???? 一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料:《项目实战(视频)》:从书中学,往事上“练”《互联网高频面试题》:面朝简历学习,春暖花开《架构 x 系统设计》:摧枯拉朽,掌控面试高频场景题《精进 Java 学习指南》:系统学习,互联网主流技术栈《必读 Java 源码专栏》:知其然,知其所以然????这是一个或许...
SpringSecurity过滤器链中FilterSecurityInterceptor
江黎
01-07 725
// 添加JWT filter httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class); @Component public class JwtAuthenticationTokenFilter extends OncePerRequestFilter { @Autowired private TokenS...
java token过滤器_java过滤器全局解析token
weixin_30068877的博客
02-26 1271
java过滤器全局解析token使用过滤器定义一个全局的token解析器在进行后端接口的开发过程中,一般涉及到人员用户,权限或者安全方面的考虑接口都会使用token来传递用户或者一些安全系数高的鉴权参数等。一般接口定义全局AOP解析使用AOP,对需要获取token信息的接口,进行方法增强,在进入controller之前,动态的为接口方法鉴权,或者为接口方法添加一个token相关的参数。根据需求不同...
用户基于token登录,利用token有效性进行接口访问过滤
qq_27865297的博客
06-21 5303
目前用户的登录解决方案,就是用户输入账号密码进到接口验证正确后系统生成一串带有时效性的字符串。下次用户在访问一些需要用户登录才能访问的接口时就不用携带用户的账号密码再进行身份验证,只需要验证当前存在cookie或者session里的token还有效吗?如果有效就在请求接口的时候带着这串字符串一起进来访问,我们可以重写登录拦截器进行token匹配。如果通过就继续访问用户要访问的接口,如果不通过可...
api接口数据-验证-整理
qq_34886696的博客
04-07 529
在Thinkphp官网发布 发布日期: 2019/10/18 但是不知道为什么,有时候,我好不容易写了一篇文章要发布,发送成功了, 但是在文章中心就是看不到,所以决定将部分文章转移至csdn 主要是为了方便自己查看 整理一下,前端向接口请求数据时的验证:比如我写了一个文章列表数据接口,那么我需要验证哪些规则,由此,我想了一下,除开签名验证,大概就只有ssl协议,白名单[ip,域名,url],黑名单...
koa+jwt实现token验证与刷新功能
10-16
在本文中,我们将深入探讨如何使用Koa2框架和JSON Web Tokens (JWT) 实现用户身份验证与令牌刷新功能。首先,JWT是一种广泛使用的身份验证机制,它允许数据在多个系统间安全传递,同时确保信息的完整性和真实性。 #...
nginx+lua+redis实现token验证
09-29
`token`验证是一种身份验证机制,它允许客户端通过提供一个令牌来证明其身份。这个令牌通常由服务器在用户成功登录后生成,包含用户的相关信息,如用户ID,过期时间等,并且是加密的。服务器会检查请求中的`token`,...
Redis+接口+token+Sign+时间戳 Demo
03-24
总结起来,"Redis+接口+token+Sign+时间戳 Demo"展示了如何利用Redis来提升接口安全性和性能,通过token验证用户,Sign保证数据完整,时间戳防止重放攻击,并且可能包含了一个用于生成和验证验证码的服务。...
Splunk HEC token 白名单设置-indexes
shenghuiping2001的专栏
09-07 361
Splunk HEC token 白名单设置 - indexes 的设置,还是有时有用的。
node + express + mysql 实现登陆/token认证/拦截/白名单
qq_29170455的博客
09-25 483
node + express + mysql 实现登陆/token认证/拦截/白名单
生成token以及白名单过滤
2302_77595648的博客
01-19 556
/ 尝试从localStorage中获取名为"expireTime"的数据项 const storedExpireTime = localStorage.getItem('expireTime');// 检查当前时间是否已经超过存储的过期时间戳 if (currentTime > storedExpireTime) { // 如果超过了,清除localStorage中的token, user_id和expireTime localStorage.removeItem('token');
五十二、SpringBoot配置Filter以及注解配置CAS客户端过滤器
I want to know a little more.
12-29 6009
spring boot 配置Filter过滤器 参考: CAS单点登录详解  CAS单点登录疑问解答  Filter过滤器,Interceptor拦截器,ControllerAdvice,Aspect切片 1、通过 @WebFilter 注解来配置 写法一: @Component @WebFilter(urlPatterns = "/webapi/*", filterName = "...
Java 富文本XSS攻击防御,基于Jsoup的白名单过滤
withwindluo的博客
12-10 3502
1. jsoup依赖 <!-- https://mvnrepository.com/artifact/org.jsoup/jsoup --> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.12.1</version> </dependenc
自定义注解+拦截器完成接口IP白名单功能
laizhenghua的博客
05-14 2406
从JDK5.0开始Java就增加了对元数据(MateData)的访问支持也就是注解Annotation。就目前而言注解是一种趋势,一定程度上可以说:框架 = 注解 + 反射 + 设计模式。注解其实就是给代码做特殊标记,这些标记信息可以在编译、类加载、运行时被读取到并执行相应的处理。言外之意注解允许开发者在不改变原有的逻辑、代码的情况下,在源文件中嵌入一些补充信息,增强程序的功能。例如配置应用程序的切面信息!处理接口方法的日志、安全、缓存、事务等一系列前置逻辑。...
网站白名单过滤Java代码
悟澈的专栏
10-01 7841
package test;   import java.util.ArrayList; import java.util.HashMap; import java.util.List; import java.util.Map; import java.util.concurrent.ConcurrentHashMap; import java.util.concurrent.Con
vue token过期后的处理和网关白名单
qq_42434039的博客
10-28 394
如果返回401,token过期,就消除token。然后刷新就会跳转登录。判断是否登录,已经登陆则获取getinfo。设置让他自己跳到登录,不用刷新。
springboot过滤器验证token
03-16
Spring Boot过滤器可以用来验证token。在过滤器中,我们可以获取请求头中的token,然后对其进行验证。如果验证通过,则可以让请求继续执行,否则可以返回错误信息。 具体实现步骤如下: 1. 创建一个过滤器类,实现javax.servlet.Filter接口。 2. 在过滤器类中重写doFilter方法,在该方法中获取请求头中的token,并进行验证。 3. 如果验证通过,则让请求继续执行,否则返回错误信息。 4. 在Spring Boot应用程序中注册过滤器。 5. 在需要验证token接口上添加@JwtToken注解,该注解可以用来标识需要验证token接口。 6. 在接口实现类中添加@JwtToken注解的方法中,获取token并进行验证。 7. 如果验证通过,则执行接口方法,否则返回错误信息。 以上就是使用Spring Boot过滤器验证token的基本步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值