用户基于token登录,利用token有效性进行接口访问过滤

最新推荐文章于 2024-04-28 06:41:25 发布
最新推荐文章于 2024-04-28 06:41:25 发布
阅读量5.2k 收藏 10
点赞数 2
分类专栏: 一些基本功能的记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27865297/article/details/93206929
版权

  • 目前用户的登录解决方案,就是用户输入账号密码进到接口验证正确后系统生成一串带有时效性的字符串。下次用户在访问一些需要用户登录才能访问的接口时就不用携带用户的账号密码再进行身份验证,只需要验证当前存在cookie或者session里的token还有效吗?如果有效就在请求接口的时候带着这串字符串一起进来访问,我们可以重写登录拦截器进行token匹配。如果通过就继续访问用户要访问的接口,如果不通过可以返回自己自定义的提示语或者直接转到登陆页。

  • 以下下是代码实现,登录接口

    @RestController
public class LoginController {
 @Autowired
 private UserInterface userInterface;
 @Autowired
 private JwtHelper jwtHelper;
 @Autowired
 private UploadInterface uploadInterface;
 @ApiOperation(value = "登录验证接口")
 @RequestMapping(value = "/login", method = RequestMethod.POST)
 public ResParameter CheckLogin(@RequestBody UserEntity user, HttpServletRequest request) {
     ResParameter res = new ResParameter();
     String pass = DigestUtils.md5DigestAsHex(user.getPassword().getBytes());
     UserEntity userEntity = userInterface.GetEntityByPassword(user.getAccount(), pass);
     if (userEntity == null) {
         res.setCode(500);
         res.setInfo("登录失败,请检查用户名或者密码是否正确!");
         return res;
     } else {

         res.setCode(200);
         res.setAccount(userEntity.getAccount());
         res.setName(userEntity.getName());
         res.setInfo("登录成功!");
         res.setToken(jwtHelper.sign(user.getAccount(), userEntity.getId()));
         request.removeAttribute("UserInfo");
         request.getSession().setAttribute("UserInfo", userEntity); 
         
         return res;

     }
 }
}

2.分发token和验证token

 @Service
 public class JwtHelper {
//token过期时间目前暂时是15分钟
private static final long EXPIRE_TIME = 15 * 60 * 1000;
//公共密钥
private static final String TOKEN_SECRET = "wddcdfdfhjtjthjdffsdfsd33hcskdncksndcnsnsvsdcsdc";

//生成token
public static String sign(String username, String userid) {
    String token = null;
    try {
        //过期时间
        Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
        //私钥及加密算法
        Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
        //设置头部信息
        Map<String, Object> header = new HashMap<>(2);
        header.put("typ", "JWT");
        header.put("alg", "HS256");
        //附带username,userid等信息
        token = JWT.create()
                .withHeader(header)
                .withClaim("username", username)
                .withClaim("userid", userid)
                .withExpiresAt(date)
                .sign(algorithm);

    } catch (JWTCreationException ex) {
        ex.printStackTrace();
    } catch (IllegalArgumentException ex) {
        ex.printStackTrace();
    }
    return token;
}

//验证是否登录状态
public static boolean verify(String token) {
    try {
        Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
        JWTVerifier verifier = JWT.require(algorithm).build();
        DecodedJWT jwt = verifier.verify(token);
        return true;
    } catch (Exception ex) {
        return false;
    }

}

}

3.登录拦截器

  @Component
//preHandle方法(预处理)
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    boolean status = false;
    response.setCharacterEncoding("utf-8");
    String token = request.getHeader("accessToken");
    if (null != token) {
        boolean result = jwtHelper.verify(token);//验证token有效
        if (result) {
            status = true;
        }
        String url = request.getRequestURI();
        if (url.equals("/getlogin")) {//如果token无效就直接跳转到登陆页或主页
            response.sendRedirect(request.getContextPath() + "/getindex");
        }

    }
    return status;
}

//postHandle方法(返回处理)
public void postHandle(
        HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {


}

//afterCompletion方法(后处理)
public void afterCompletion(
        HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

}
 }

4.配置接口,有些需要登录验证,有些不需要,如游客可以访问大厅主页。

@Component
//通过@Configuration声明配置类,实现WebMvcConfigurer 接口中的 addInterceptors()添加自定义的拦截器;
@Configuration

public class WebConfigurer implements WebMvcConfigurer
{
@Autowired
private LoginInterceptor loginInterceptor;

@Override
public void addInterceptors(InterceptorRegistry registry)
{
    List<String> exclude=new ArrayList<String>();
    exclude.add("/getlogin");
    exclude.add("/getregister");
    exclude.add("/getindex");
    exclude.add("/login");
    exclude.add("/register");
    exclude.add("/logout");
    exclude.add("/get/**");
    // addPathPatterns("/**") 表示拦截所有的请求,
    // excludePathPatterns("/login", "/register") 表示除了登陆与注册之外,因为登陆注册不需要登陆token也可以访问这些接口,还有带有get的下级的接口都可以不经过登录就访问。
    
    registry.addInterceptor(loginInterceptor).addPathPatterns("/**").excludePathPatterns(exclude);
    //super.addInterceptors(registry);
}
   //配置静态资源(不然页面报404,会被拦截过滤)
    @Override
    public  void  addResourceHandlers(ResourceHandlerRegistry registry){
        registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static");
    }

}

总结:实现这个功能在网上查询了很多经验做法。算了遇到什么解决什么的一个经历。因为框架问题会遇到很多注解的变化,配置的变化。还是要多看看别人是怎么解决的。记录下来,不要忘记。

还是个菜鸡
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java token过滤器_java过滤器全局解析token
weixin_30068877的博客
02-26 1268
java过滤器全局解析token使用过滤器定义一个全局的token解析器在进行后端接口的开发过程中,一般涉及到人员用户,权限或者安全方面的考虑接口都会使用token来传递用户或者一些安全系数高的鉴权参数等。一般接口定义全局AOP解析使用AOP,对需要获取token信息的接口进行方法增强,在进入controller之前,动态的为接口方法鉴权,或者为接口方法添加一个token相关的参数。根据需求不同...
过滤器,白名单+接口token验证
qq_14815383的博客
03-04 1639
1、过滤器实现 package com.zrar.arask.cs.filter; import com.zrar.arask.cs.util.JWTUtil; import com.zrar.easyweb.core.util.StringUtil; import com.zrar.easyweb.jose.jwt.SignedJWT; import com.zrar.easyweb.util.GsonUtil; import com.zrar.easyweb.web.core.bean.JsonRes
token接口设计
最新发布
gongjin28_csdn的博客
04-28 412
一个完善的Token接口体系通常包括身份认证接口Token生成接口(由认证成功自动触发)、Token验证中间件(而非单独接口)以及Token刷新接口(如果有)。在设计具体的接口时,务必遵循安全最佳实践,并依据所采用的认证框架(如OAuth2、JWT)的具体规范来设计。
Filter -跨域及过滤Token
weixin_30315435的博客
09-25 141
Filter -跨域及过滤Token 直接上代码 package com.filter; import java.io.IOException; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.S...
token过滤
02-03 618
package com.chinasofti.controller.imp.security; import java.io.Serializable; import java.util.Date; import java.util.Map; import javax.annotation...
服务端之验证Token过滤器编写
布道师小羊的博客
07-07 522
1、过滤器Filder大致工作流程: package com.taru.YoungMall.filter; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class TokenIsVaildFilter implements Filter {
API接口设计之token、timestamp、sign
06-24
在API接口设计中,安全性和有效性是至关重要的因素。`token`、`timestamp`和`sign`这三者是常见的安全机制,用于确保数据的完整性和防止中间人攻击。下面将详细阐述它们的作用和实现方式。 `Token`,通常指访问令牌...
一个简易的后台登录注册搜索接口的实现
11-01
用户登录成功后会获得一个JWT,之后的每次请求都将该令牌包含在请求头中,服务器验证令牌的有效性,决定是否授权访问。 8. **RESTful原则**:为了使接口易于理解和使用,应遵循REST(Representational State ...
ASP.NET WEB API2+Owin+AngularJS实现Token验证
03-03
客户端在获取到Token后,会在后续的API调用中将Token放入HTTP头部,服务器端则检查Token有效性,决定是否允许访问资源。 为了实现认证服务和资源服务的分离,我们可以将Token验证逻辑(如OAuth服务器)部署在一个...
API接口规范,API接口安全规范
09-15
* 规范 06:使用 token 令牌来做用户身份的校验与权限分级,而不是 Cookie。 * 规范 07:暴露外部请求一定使用 SSL。 * 规范 08:不使用 rest 的 PUT 和 DELETE,因为很多浏览器不支持,很多框架也不支持。 四、...
自动登陆+防止未登录直接访问+权限控制
11-26
常见的操作包括查询用户的角色,根据角色获取可访问的资源列表,以及在用户尝试访问资源时进行权限验证。 在项目中的"RBAC"文件可能包含了实现RBAC的相关代码,如角色实体类、权限实体类、用户与角色的关联表、以及...
基于token用户登录页面简易开发
LiKEleen的博客
09-24 827
本文展示了基于token的简易登录界面开发过程,在开发过程中主要运用了Flask框架、Umi框架、antd组件和axios库。
token实现登录功能(具体实现)
qq_64680177的博客
10-02 2928
具体的验证过程,使用服务端的秘钥和指定的加密算法(如HS256)对Header和Payload进行验证签名,得到一个签名结果。此时看这个签名结果和前端传过来的token中的签名是否一样,如果一样就说明这个token是有效,并不是伪造的,此时要进行判断这个token是否过期,这个行为我们可以再创建token时就将其放入的redis当中,并给它设置过期时间。用户在以后的请求中都要将token放入请求当中,服务端会验证Token有效性,并根据Token中的信息来判断用户是否有权限发起这个请求。
前后端Token验证
繁花落幕的博客
02-03 2806
文章目录实例环境概述前端后端Redis安装使用Token管理代码生成token检测Token移除Token拦截器配置 实例环境 IDE 框架/脚手架 IDEA v2019.1.2 Spring boot 2+ - Vue cli 3+ 概述 前端携带账户信息请求登录 -> 后端生成带有寿命的token -> 前端存储token到cookie/localStor...
java过滤器验证app用户token_在过滤器中验证接口中的Token
weixin_39824801的博客
02-24 452
一、web.xml在web.xml中增加以下代码TokenFilter //过滤器名称com.seven.mp.contentmng.utils.TokenFilter //实现类路径TokenFilter/conference/* //目录前缀二、TokenFilter 实现类1. 过滤器必须实现Filter 接口 , 即TokenFilter implements Fil...
最简单的权限验证实现——使用Sa-Token进行权限验证
月月大王的博客
09-27 2248
在请求其他接口的时候将登录接口返回的token放到header中X-Token即可。今天来记录一下最简单的权限校验实现方式——使用Sa-Token进行权限验证。需要一个配置类来设置过滤规则,例如将login接口的权限验证去掉。登录接口也是超级简单。
第四节、登录接口和获取token
a2010630304的博客
09-12 731
登录接口和获取token
过滤器和拦截器的实际应用——实现token认证
编程技术分享,Java后端、Vue前端
12-06 4594
1.登录的时候后台根据用户ID和用户名生成一个带有时效的token 2.前端获取道token,写入cookies 3.前端请求的时候带上token 4.后端解析tokentoken为空,或者失效视为认证失败! 5.前端统一封装请求,如果是认证失败的,跳回登录页面 涉及工具、方法: (1)过滤器Filter实现拦截 (2)过滤器注册到spring容器 (3)jjwt实现token生成和解析 (4)/login的地址不拦截 RestfulRequestFilter.java 过..
用户密码登录接口Token
AMrss的博客
11-08 1871
用户密码登录接口 集群:多台机子同时部署一个服务 客户端负载均衡:Ribbon 1.物料: (1)"用户登录页面.md"接口文档 (2)用户微服务工程(dm-user-provider,dm-user-consumer) (2)生成token机制原理 (3)缓存用户信息和token信息 (4)修改数据库脚本: SELECT * FROM dm_user WHERE phone= 'cj88sd...
基于 Speing Security 如何实现自定义 token 登录
09-05
5. 在接口请求中,在请求头中携带 token,Spring Security 会自动校验 token有效性。 ### 回答2: 基于 Spring Security 实现自定义 token 登录的方法如下: 1. 创建自定义的 Token 类:可以通过实现 `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值