统一认证相关知识

最新推荐文章于 2023-10-31 07:00:00 发布
最新推荐文章于 2023-10-31 07:00:00 发布
阅读量439 收藏
点赞数
分类专栏: WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26769591/article/details/78451164
版权

access token

accesstoken是Windows操作系统安全性的一个概念。一个访问令牌包含了此登陆会话的安全信息。当用户登陆时,系统创建一个访问令牌,然后以该用户身份运行的的所有进程都拥有该令牌的一个拷贝。
该令牌唯一表示该用户、用户的组和用户的特权。系统使用令牌控制用户可以访问哪些安全对象,并控制用户执行相关系统操作的能力。有两种令牌:主令牌和模拟的令牌。主令牌是与进程相关的;模拟的令牌是与模拟令牌的线程相关的。

ServletRequest

ServletRequest由Servlet容器来管理,当客户请求到来时,容器(运行servelet的程序)创建一个ServletRequest对象,封装请求数据,同时创建一个ServletResponse对象,封装响应数据。这两个对象将被容器作为service()方法的参数传递给Servlet,Serlvet利用ServletRequest对象获取客户端发来的请求数据,利用ServletResponse对象发送响应数据。

getRequestDispatcher()与sendRedirect()(request、 传值方式)

(1)request.getRequestDispatcher()是请求转发,前后页面共享一个request ;这个是在服务端运行的,对浏览器来说是透明的。

redirect 方式
response.sendRedirect(“/a.jsp”);
  
页面的路径是相对路径。sendRedirect可以将页面跳转到任何页面,不一定局限于本web应用中,如:
  
response.sendRedirect(“URL”);
  
跳转后浏览器地址栏变化。
  
  
这种方式要传值出去的话,只能在url中带parameter或者放在session中,无法使用request.setAttribute来
传递。所以该方式只适用于无传值跳转

(2)response.sendRedirect()是重新定向,前后页面不是一个request。而这个是在浏览器端运行的。

forward方式    request.getRequestDispatcher(“/路径(可以是jsp路径也可以是servlet)”)
.forward(request, response); 如:
request.getRequestDispatcher(“/2.jsp)”) .forward(request, response);
request.getRequestDispatcher(“/servlet/HomeServlet)”)
.forward(request, response);
Servlet页面跳转的路径是相对路径。forward方式只能跳转到本web应用中的页面上。   跳转后浏览器地址栏不会变化。
使用这种方式跳转,传值可以使用三种方法:url中带parameter,session,request.setAttribute

在url中加入参数的例子如下:

private  void gotoLogin(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException {
        try {
            String state = UUID.randomUUID().toString().replace("-", "");//state参数防止csrf攻击
            HttpSession session = request.getSession();
            session.setAttribute("state", state);
            StringBuffer sbuffer = new StringBuffer();   //缓冲区
            sbuffer.append(loginUrl);
            if(loginUrl.contains("?")){
                sbuffer.append("&");
            }else{
                sbuffer.append("?");
            }
            sbuffer.append("appId=").append(clientId);
            sbuffer.append("&response_type=").append(authcCodeParam);
            sbuffer.append("&redirect_uri=").append(URLEncoder.encode(redirect_uri, "utf-8"));
            sbuffer.append("&scope=").append(scope);
            sbuffer.append("&state=").append(state);
            response.sendRedirect(sbuffer.toString());    ///只能在url中带parameter或者放在session中,
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

JSONObject介绍

JSONObject-lib包是一个beans,collections,maps,java arrays和xml和JSON互相转换的包。

fromBean(Object bean);静态方法,通过一个pojo对象创建一个JSONObject对象
fromJSONObject(JSONObject
object);静态方法,通过另外一个JSONObject对象构造一个JSONObject对象
fromJSONString(JSONString string);静态方法,通过一个JSONString创建一个JSONObject对象
toString();把JSONObject对象转换为json格式的字符串
iterator();返回一个Iterator对象来遍历元素

Filter(Filter链,在web.xml中哪个先配置,哪个就先调用。在filter中也可以配置一些初始化参数。)

http://blog.csdn.net/liuwenbo0920/article/details/7290386

Java中的Filter并不是一个标准的Servlet,它不能处理用户请求,也不能对客户端生成响应。主要用于对HttpServletRequest进行预处理,也可以对HttpServletResponse进行后处理,是个典型的处理链。
Filter有如下几个用处:
l在HttpServletRequest到达Servlet之前,拦截客户的HttpServletRequest。
l根据需要检查HttpServletRequest,也可以修改HttpServletRequest头和数据。
l在HttpServletResponse到达客户端之前,拦截HttpServletResponse。
l根据需要检查HttpServletResponse,可以修改HttpServletResponse头和数据。 Filter有如下几个种类:
l用户授权的Filter: Filter负责检查用户请求,根据请求过滤用户非法请求。 l日志Filter:详细记录某些特殊的用户请求。
l负责解码的Filter:包括对非标准编码的请求解码。 l能改变XML内容的XSLTFilter等。
一个Filter可负责拦截多个请求或响应:一个请求或响应也可被多个请求拦截。 创建一个Filter只需两个步骤:
(1)创建Filter处理类: (2)在web.xml文件中配置Filter。

附上段

package com.siant.filter;

import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.net.URLEncoder;
import java.util.ArrayList;
import java.util.Date;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import java.util.UUID;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletContext;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import net.sf.json.JSONObject;

import org.apache.commons.lang.StringUtils;
import org.dom4j.Document;
import org.dom4j.DocumentException;
import org.dom4j.Element;
import org.dom4j.io.SAXReader;

import com.siant.web.entity.AccessToken;
import com.siant.web.util.HttpRequestClient;
import com.siant.web.util.HttpUtil;

public class OAuthFilter implements Filter {
    private static String filtFlag;
    //oauth2 authc code授权码
    private String authcCodeParam = "code";  
     //应用系统id,身份认证服务系统分配
    private String clientId; 
     //应用系统secret,身份认证服务系统分配  
    private String clientSecrect; 
    private  String scope;//获取资源作用域,多个可用;分隔(userInfo只获取用户资源)
    private  String grant_type = "authorization_code";//填写authorization_code就可以了
    private String redirect_uri;//应用系统 回调地址
    private String loginUrl;//通过重定向到认证服务获取
    private String userInfoUrl;//获取用户信息API接口地址
    private String accessTokenUrl;//获取令牌API接口地址
    private String errorPage;
    private List<String> noauthurl=new ArrayList<String>();
    private String httpProtocol;
    public void destroy() {

    }

    public void doFilter(ServletRequest req, ServletResponse resp,
            FilterChain chain) throws IOException, ServletException {
        try {
            boolean result = false;
            HttpServletRequest request = (HttpServletRequest) req;
            HttpServletResponse response = (HttpServletResponse) resp;
            if(filtFlag!=null && filtFlag.equals("false")){
                chain.doFilter(request, response);
                return;
            }
            HttpSession session = request.getSession();
            String requesturi = request.getRequestURI();
            if(noauthurl != null && noauthurl.size() != 0){
                for(int i=0;i<noauthurl.size();i++) {
                    if (requesturi.contains(noauthurl.get(i))) {
                        chain.doFilter(request, response);
                        return;
                    }
                }
            }
            //从session获取access_token对象
            AccessToken token = (AccessToken) session.getAttribute("accesstoken");
            if(token==null){
                //从url获取code
                String code = request.getParameter(authcCodeParam);
                if(code != null && !"".equals(code)){
                    //从url获取ȡstate,与session中state比较防止csrf
                    String state = request.getParameter("state");
                    String cstate = (String) session.getAttribute("state");
                    if (state==null ||  (cstate != null && !cstate.equals(state))) {
                            //可能是csrf
                        Map map = new HashMap();
                        map.put("errcode", "40011");
                        map.put("msg", "state不一致");
                        request.setAttribute("result", map);
                        request.getRequestDispatcher(errorPage).forward(request, response);
//                  response.sendRedirect("error.jsp");
                        return;
                    }
                    //获取accesstoken(json格式)
//              String accesstoken = HttpRequestClient.sendPost(accessTokenUrl, "appId="+clientId+"&secret="+clientSecrect+"&code="+code+"&grant_type="+grant_type);
                    String accesstoken ="";
                    if("0".equals(httpProtocol)){
                        accesstoken=HttpRequestClient.sendPost(accessTokenUrl, "appId="+clientId+"&secret="+clientSecrect+"&code="+code+"&grant_type="+grant_type);
                    }else{
                        accesstoken = HttpUtil.getMethod(accessTokenUrl, "appId="+clientId+"&secret="+clientSecrect+"&code="+code+"&grant_type="+grant_type);
                        System.out.println("accesstoken:"+accesstoken);
                    }
                    JSONObject tokenjson = JSONObject.fromObject(accesstoken);
                    result = tokenjson.getBoolean("result");
                    if(!result){
                        request.setAttribute("result", tokenjson);
                        request.getRequestDispatcher(errorPage).forward(request, response);
                        return;
                    }
                    token = parseAccesstoken(accesstoken);
                    //将token对象保存到session
                    session.setAttribute("accesstoken", token);
                    afterAccessToken(request, response, token, chain);
//                  chain.doFilter(request, response);
                    return;
                }else{
                    //重定向身份认证系统
                    gotoLogin(request, response);
                    return;
                }
            }else{
                afterAccessToken(request, response, token, chain);
//              chain.doFilter(request, response);
            }
        } catch (Exception e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

    }

    public void init(FilterConfig filterConfig) throws ServletException {
        filtFlag = filterConfig.getInitParameter("filtFlag");
        InputStream in = null;
        String spConfig = filterConfig.getInitParameter("SPConfig");
        if (spConfig == null) {
            throw new ServletException("Config file path not be set");
        }
        ServletContext ctx = filterConfig.getServletContext();
        in = ctx.getResourceAsStream(spConfig);
        SAXReader reader = new SAXReader();
        Document doc = null;
        try {
            doc = reader.read(in);
            Element root = doc.getRootElement();
            clientId= root.element("AppId").getText();
            clientSecrect= root.element("AppSecret").getText();
            scope= root.element("Scope").getText();
            userInfoUrl= root.element("UserInfoUrl").getText();
            redirect_uri= root.element("RedirectUri").getText();
            loginUrl= root.element("LoginURL").getText();
            accessTokenUrl= root.element("AccessTokenUrl").getText();
            userInfoUrl= root.element("UserInfoUrl").getText();
            errorPage = root.element("ErrorPage").getText();
            httpProtocol = root.element("HttpProtocol").getText();
            Element NotAuthenticate = root.element("NotAuthenticate");
            List<Element> obj = NotAuthenticate.elements("URI");
            if (obj != null && obj.size() != 0 ) {
                for (int i = 0; i < obj.size(); i++) {
                    if (obj.get(i).getText() != null
                            && !"".equals(obj.get(i).getText())) {
                        noauthurl.add(obj.get(i).getText());
                    }
                }
            }
        } catch (DocumentException e) {
            e.printStackTrace();
        }
    }
    private  void gotoLogin(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException {
        try {
            String state = UUID.randomUUID().toString().replace("-", "");//state参数防止csrf攻击
            HttpSession session = request.getSession();
            session.setAttribute("state", state);
            StringBuffer sbuffer = new StringBuffer();
            sbuffer.append(loginUrl);
            if(loginUrl.contains("?")){
                sbuffer.append("&");
            }else{
                sbuffer.append("?");
            }
            sbuffer.append("appId=").append(clientId);
            sbuffer.append("&response_type=").append(authcCodeParam);
            sbuffer.append("&redirect_uri=").append(URLEncoder.encode(redirect_uri, "utf-8"));
            sbuffer.append("&scope=").append(scope);
            sbuffer.append("&state=").append(state);
            response.sendRedirect(sbuffer.toString());
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    public AccessToken parseAccesstoken(String accesstoken){
        JSONObject json = JSONObject.fromObject(accesstoken);
        AccessToken tokenJson = new AccessToken();
        tokenJson.setAccess_token(json.get("access_token").toString());
        tokenJson.setCreatetime(new Date());
        tokenJson.setExpires_in(Long.valueOf(json.getLong("expires_in")));
        tokenJson.setOpenid(json.get("openid").toString());
        tokenJson.setRefresh_token("");
        tokenJson.setScope(json.getString("scope"));
        tokenJson.setAuthmode(json.getString("authmode"));
        return tokenJson;
    }
    public boolean checkAccesstoken(AccessToken accesstoken){
        Date createtime = accesstoken.getCreatetime();
        Date now = new Date();
        Date afterDate = new Date(createtime.getTime() + accesstoken.getExpires_in()*1000);
        if(afterDate.after(now)){
            return true;
        }
        return false;
    }
    public void afterAccessToken(HttpServletRequest request, HttpServletResponse response,AccessToken token,FilterChain chain){
        HttpSession session = request.getSession();
        try {
            //检查token是否在有效期内
            if(checkAccesstoken(token)){
//              JSONObject jsonObject = (JSONObject) session.getAttribute("userinfojson");
//              if(jsonObject != null){
//                  chain.doFilter(request, response);
//                  return;
//              }
//              //获取用户信息
//              String userinfojson =  "";
//              if("0".equals(httpProtocol)){
//                  userinfojson = HttpRequestClient.sendPost(userInfoUrl, "access_token="+token.getAccess_token()+"&scope="+token.getScope());
//              }else{
//                  userinfojson = HttpUtil.getMethod(userInfoUrl, "access_token="+token.getAccess_token()+"&scope="+token.getScope());
//              }
//              System.out.println("userinfojson:"+userinfojson);
//              if(userinfojson != null && !"".equals(userinfojson)){
//                  JSONObject json = JSONObject.fromObject(userinfojson);
//                  //返回结果json类型
//                  boolean result = json.getBoolean("result");
//                  
//                  if(result){
//                      session.setAttribute("userinfojson", json);
                        chain.doFilter(request, response);
//                  }else{
//                      request.setAttribute("result", json);
//                      request.getRequestDispatcher(errorPage).forward(request, response);
                        response.sendRedirect("error.jsp?errorcode="+json.get("errcode"));
//                      return;
//                  }
//              }
            }else{
                //重定向身份认证系统
                gotoLogin(request, response);
            }
        } catch (Exception e) {
            e.printStackTrace();
        } 
    }

}
追风之人YL
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微服务统一认证与授权的 Go 语言实现(下)
aoho求索
03-06 284
上一篇文章介绍了微服务架构中的统一认证与授权相关概念,以及授权服务器实现涉及到的结构体和服务接口。本文主要介绍统一认证与授权服务实现的重点: TokenGrant 令牌生成器、 Toke...
统一认证系统
12-05
完整的一个项目,数据库也有!是天眼教室教学项目,下载后导入IDEA,配置好JDBC等配置!即可启动项目
使用 URLDecoder 和 URLEncoder 对统一认证中的http地址转义字符进行处理
weixin_34228662的博客
08-28 107
import java.io.UnsupportedEncodingException; import java.net.URLDecoder; import java.net.URLEncoder; public class a { public static void main(String[] args) throws UnsupportedEncodingExc...
oauth2统一认证授权
weixin_39271545的博客
06-24 3113
oauth2.0统一认证授权 1.认证与授权 ​ 最近学习整理了下认证授权相关实现,下面是大概的一些理解与学习过程。 ​ 在分布式系统中每个服务都需要认证,授权。如果每个服务都实现一套认证授权的逻辑就会显得冗余,考虑到分布式系统共享性的特点,我们可以独立一个授权服务出来,可以对内部系统或者第三方应用提供认证。 1.1统一认证授权: ​ 提供独立的认证服务,统一处理认证授权。不论是什么用户还是不同种类的客户端,例如小程序,APP,web,都采用一致的认证,权限,会话机制。 ​ 同时保持开放性,可以接入第三方外
【安全】简单解析统一身份认证:介绍、原理和实现方法
橘足轻重的博客
06-28 5851
导语统一身份认证是什么统一身份认证的原理统一身份认证的实现统一身份认证技术可以帮助用户在多个应用和平台上简化登录过程,提高用户体验。本文介绍了统一身份认证的概念、原理和实现方法,希望读者能够更好地理解和应用该技术。随着技术的不断发展,统一身份认证将在互联网应用中发挥越来越重要的作用,为用户提供更便捷和安全的登录体验。
IBM 身份管理统一认证平台方案和产品介绍
06-27
IBM 身份管理统一认证平台方案和产品介绍
统一身份认证多租户版
05-06
1. **统一认证:**用户首次登录时,在统一认证平台完成身份验证,获得认证信息(如Token)。 2. **身份映射:**将平台用户的ID映射到各个业务系统的用户ID,实现跨系统间的单点登录。 3. **数据同步:**通过异步消息...
XXX统一身份认证项目方案
最新发布
03-29
- **系统框架设计**:统一认证管理系统负责管理所有用户的认证过程,支持单点登录等功能。 - **主要功能设计**:包括统一授权、身份认证、单点登录、信息共享、后台管理、数据服务和安全审计等核心功能。 - **统一...
企业门户系统建设项目_统一认证_需求规格说明书.doc
05-28
该说明书旨在为企业门户系统建设项目提供统一认证的需求规格说明,确保项目的实施和发展符合相关标准和规范。 知识点1:项目概述 企业门户系统建设项目旨在为企业提供一个统一的门户系统,实现企业内部信息的共享...
华为UC统一通信HCNA认证IHUCA第十一章eSpace统一.ppt
11-12
HCNA(Huawei Certified Network Associate)认证中的IHUCA(Integrated Huawei UC Associate)模块涵盖了eSpace的相关知识,包括系统维护、管理以及故障处理等方面。 **1. eSpace EMS(Element Management System...
GO微服务实战第二十五节 统一认证与授权如何保障服务安全?
fegus的博客
08-24 594
用于验证当前用户的身份,而意味着用户在认证成功后,会被系统授予访问系统资源的权限。只有具备相应身份和权限的人才能访问系统中的相应资源,比如在购物网站中你只能支付你自己购物车内的商品,这就保护了用户和系统的信息安全。微服务架构不同于单体应用的架构,单体应用的认证和授权非常集中,但是当服务被拆分之后,对各个微服务的认证与授权就会变得非常分散,因此,在微服务架构中,就将集成统一认证与授权的功能作为横切关注点,为应用服务提供信息安全保障。
聊聊统一认证中的四种安全认证协议(干货分享)
陈哈哈的菜园子
10-31 4541
面试必备,从统一认证中的认证&授权、SSO单点登录、四种安全认证协议、四种认证协议比较几个方面展开聊聊,希望对你有所收货。
统一身份认证】详细讲解
Huang_Ds的博客
06-30 6394
一、什么是统一身份认证?二、统一身份认证的构成?1.角色模型: 用户-〉角色-〉权限2.实现 身份认证是一款软件(系统),主要作用是用于甄别用户身份,认证成功之后会把身份信息(姓名,年龄...)返回,一般与单点登录集成使用 ps:单点登录如果没有集成身份认证,则可以实现单点登录,但不会有用户信息(姓名,年龄...) 所谓的身份认证,就是判断一个用户是否为合法用户的处理过程,比较常用的认证方式是系统判断用户的账号,密码是否与系统中存储的一致,来判断用户的身份是否
搭建微服务下统一认证授权服务,鉴权客户端大致流程(基于无状态)
BurukeYou
02-11 6570
1.简介 基于无状态令牌(jwt)的认证方案,服务端无需保存用户登陆状态 基于spring security框架 + oauth2协议 搭建 基于spring cloud nacos,服务调用使用RestTemplate 前置知识: jwt (也就是这里用到的token) 就是一大串加密的字符串,用户的登陆状态都保存在里面,但这种字符串里面的数据不能被修改,一但修改校验一定会出错....
统一认证,单点登录
qq_42451178的博客
10-18 4340
1、单点登录的三种实现方式 1.1 以cookie作为凭证 缺点: cookie不安全 由于cookie只针对单个域,所以无法跨域访问 1.2 jsonp方式 此种方式可解决第一种方法中无法跨域免登的问题。 什么是jsonp: web页面可以加载放在任意站点的js、css、图片等资源,不会受到"跨域"的影响。既然可以调用第三方站点的js,那么如果我们将数据放到第三方站点的js中不就可以将数据带到客户端了吗? JSONP(JSON with Padding(填充))是JSON的一种“使用模式”,可用于
统一身份认证】——概念扫盲
幸运的梦之星
02-10 7807
文章目录一、为什么要有统一身份认证二、什么是统一身份认证三、统一身份认证的实现方案 一、为什么要有统一身份认证 随着企业业务系统的增多,每个系统都有一个用户名和密码,那么员工需要记住所有系统的用户名和密码,员工输错密码的可能性就会大大增加。如果员工信息发生变化,那么每个系统都要随着改变,对于员工以及员工管理人员来说是及其不方便的。在这个时候,我们就需要使用一套统一的员工信息,包括用户名和密码,对员工来进行统一管理,从而提高效率。 所以统一身份认证有如下好处: ○ 统一身份数据源,将复杂的用户名和密码统一化,
java/jsp: 登录系统
weixin_34227447的博客
01-04 413
db类   1 package db; 2 import java.sql.*; 3 4 import javax.naming.InitialContext; 5 import javax.sql.DataSource; 6 7 8 9 public class DBConnect { 10 11 private Connection...
【集合】统一身份认证(CAS)和OAuth2的工作流程
热门推荐
tpriwwq的专栏
07-12 2万+
单点登录SSO(Single Sign ON),指在多个应用系统中,只需登录一次,即可在多个应用系统之间共享登录。统一身份认证CAS(Central Authentication Service)是SSO的开源实现,利用CAS实现SSO可以很大程度的降低开发和维护的成本。...
基于PKI/CA的统一身份认证服务平台设计
在这个统一身份认证平台的设计中,关键知识点包括: 1. **PKI/CA技术**:PKI(Public Key Infrastructure)公共密钥基础设施和CA(Certificate Authority)证书权威机构是构建安全网络环境的基础,用于身份验证和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值