SpringBoot自定义注解实现Token校验

原创 已于 2022-02-12 23:55:02 修改 · 5k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #自定义注解

于 2020-04-09 21:35:25 首次发布
本文介绍了一种使用自定义注解实现Token校验的方法,包括定义Token和LoginUser注解,创建权限校验拦截器,编写参数解析器,并配置拦截器和解析器,最后通过测试类验证功能。

1.定义Token的注解,需要Token校验的接口,方法上加上此注解

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface Token {
    boolean validate() default true;
}

2.定义LoginUser注解,此注解加在参数上,用在需要从token里获取的用户信息的地方

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginUser {
}

3.权限的校验拦截器

import com.example.demo.annotation.Token;
import com.example.demo.entity.User;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
@Slf4j
public class AuthorizationInterceptor implements HandlerInterceptor {
    public static final String USER_KEY = "USER_ID";
    public static final String USER_INFO = "USER_INFO";
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Token annotation;
        if(handler instanceof HandlerMethod) {
            annotation = ((HandlerMethod) handler).getMethodAnnotation(Token.class);
        }else{
            return true;
        }
        //没有声明需要权限,或者声明不验证权限
        if(annotation == null || annotation.validate() == false){
            return true;
        }
        //从header中获取token
        String token = request.getHeader("token");
        if(token == null){
            log.info("缺少token,拒绝访问");
            return false;
        }

        //查询token信息
        User user = redisUtils.get(USER_INFO+token,User.class);
        if(user == null){
            log.info("token不正确,拒绝访问");
            return false;
        }

        //token校验通过,将用户信息放在request中,供需要用user信息的接口里从token取数据
        request.setAttribute(USER_INFO, user);
        return true;
    }
}

4.写参数的解析器,将登陆用户对象注入到接口里

import com.example.demo.annotation.LoginUser;
import com.example.demo.entity.User;
import com.example.demo.interceptor.AuthorizationInterceptor;
import org.springframework.core.MethodParameter;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.support.WebDataBinderFactory;
import org.springframework.web.context.request.NativeWebRequest;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.method.support.ModelAndViewContainer;
@Component
public class LoginUserHandlerMethodArgumentResolver implements HandlerMethodArgumentResolver
{
    @Override
    public boolean supportsParameter(MethodParameter methodParameter) {
        return methodParameter.getParameterType().isAssignableFrom(User.class)&&methodParameter.hasParameterAnnotation(LoginUser.class);
    }

    @Override
    public Object resolveArgument(MethodParameter methodParameter, ModelAndViewContainer modelAndViewContainer, NativeWebRequest nativeWebRequest, WebDataBinderFactory webDataBinderFactory) throws Exception {
        //获取登陆用户信息
        Object object = nativeWebRequest.getAttribute(AuthorizationInterceptor.USER_INFO, RequestAttributes.SCOPE_REQUEST);
        if(object == null){
            return null;
        }
        return (User)object;
    }
}

5.配置拦截器和参数解析器

import com.example.demo.interceptor.AuthorizationInterceptor;
import com.example.demo.resolver.LoginUserHandlerMethodArgumentResolver;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import java.util.List;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Autowired
    private AuthorizationInterceptor authorizationInterceptor;
    @Autowired
    private LoginUserHandlerMethodArgumentResolver loginUserHandlerMethodArgumentResolver;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authorizationInterceptor).addPathPatterns("/api/**");
    }

    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
        argumentResolvers.add(loginUserHandlerMethodArgumentResolver);
    }
}

7.测试类

import com.example.demo.annotation.LoginUser;
import com.example.demo.annotation.Token;
import com.example.demo.entity.User;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping(value = "/api")
@Slf4j
public class TestController {
    @RequestMapping(value="/test",method = RequestMethod.POST)
    @Token
    public String test(@LoginUser User user){
        System.out.println("需要token才可以访问,呵呵……");
        log.info("user:"+user.toString());
        return "test";
    }
    @RequestMapping(value="/noToken",method = RequestMethod.POST)
    public String noToken(){
        System.out.println("不用token就可以访问……");
        return "test";
    }
}

至此,自定义注解实现token校验就大功告成了。

api对外开放安全性验证:token,签名,时间戳
qq_37342720的博客
02-19 2240
近日,对调用第三方接口的安全性调用进行了调整,于是对自己调用接口也进行了验证,看到公众号 程序员闪充包的文章,于是自己测试了一下。 流程说一下: 1.首先第一次登陆,服务器会返回token,服务器端对token进行验证; 2.将调用接口的参数及token生成一个签名sign,作为请求头发给服务器,服务器端用同样方法生成sign对传送过来的sign进行验证; 3.但这样会出现被无限制访问,于是再加一个时间戳的校验,sign是参数、token及时间戳生成sign,进行验证; 4.服务端需要对toke.
springboot中使用JWT自定义生成Token信息,接口请求时校验Token(在Shiro基础上)
weixin_45151960的博客
11-07 2049
项目原有使用的是springboot+shiro的环境,后来由于应用要与OA对接单点登录,所以在原有基础上,修改成使用JWT自定义生成token信息和校验token功能。1、创建类/**/*** @Description: 校验token信息* @Returni ++) {//有储存token的cookie token = cookies [ i ] . getValue();break;} //验证token的真实性 try {
基于springmvc 通过注解方式实现token(重复提交)验证
傻根她弟
09-02 595
token验证,记得当年struts/struts2的时候,现在页面设置token,然后在 action进行验证,而在springmvc下,有更简单的方法 具体实现如下: /** * 防止重复提交 * @author 傻根她弟 * */ @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) @Docume...
springboot自定义注解+拦截器,校验token登录
qq_40790936的博客
06-30 826
registry.addInterceptor(authorizationInterceptor).addPathPatterns("/需要拦截controller/**", "/需要拦截controller/**");//token校验通过,将用户信息放在Attribute中,供需要用user信息的接口里从token取数据。@ApiOperation(value = "获取设备", notes = "equipment")//从header中获取token,验证token合法性。//获取登陆用户信息。
spring boot 自定义注解token验证
c_molione的博客
12-24 480
1.创建自定义注解 import java.lang.annotation.*; /** * @ClassName TokenAop * @Description token空验证自定义注解 * @Author make * @Date * @Version 1.0 */ @Inherited @Documented @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface Che
SpringBoot使用自定义注解校验Token及角色权限
小墨鱼的网络博客,不随大流的程序员世界...
09-23 1487
最近学习时,自己项目中用到了Token,涉及到User和Admin两个角色,普通的用户并没有很大的权限,和Admin拥有较大的权限。每次在写代码前都需要重复校验角色,根据角色来决定是否有操作这个接口的权限。 项目没有涉及到RBAC模式,就划分Admin和User,因此思路还是比较好理解的。 1.定义一个Token注解 import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lan
使用注解的形式对token进行验证
check_bug的博客
01-27 1611
使用注解的形式对token进行验证前言设计思路实现方案总结 前言 现在很多系统都是都用上了springbootspringcloud,系统也偏向分布式部署、管理,最早的用户令牌方案:session、cookie已经不能够满足系统的需求,使用一些特殊操作完成令牌的生成及校验会造成更多的服务器开销及客户端开销,为此许多项目都使用上了tokentoken的原理即为将一串加密字符,寄存在请求头中,随着请求头往返与前后端,以校验该访问是否有权限。 如果每一个系统都去写一套token的生成和验证,是一个很繁琐的重
基于springboot自定义token实现登录功能
保护我方程序员
03-25 1513
一般的登录权限框架有spring security和shiro两种,但是如果只是单单实现一个登录功能,没有更多的权限交互,引入沉重的框架来处理反而会出现很多问题或者加重程序的处理效率,所以,用自定义token实现登录功能在一些小开发中也可以使用到. 首先推荐大家一款非常实用的工具包—hutool,这个工具包整合了很多细节方法,平时开发中利用这个包可以实现很多之前觉得非常复杂的业务,在本案例中,我也采用了hutool中的一些方法,着实舒服!! 先介绍一下我用到的hutool中的方法吧!! 对于登录功能,
springboot自定义注解实现token认证功能
quequnlong的博客
05-10 451
springboot 使用自定义注解实现token登录认证功能
SpringBoot使用token简单鉴权的具体实现方法
08-25
主要介绍了SpringBoot使用token简单鉴权的具体实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot + JWT实现Token验证
qq_31352839的博客
04-22 348
需求 SpringBoot项目集成JWT,实现Token验证,保存用户登录状态。 项目已上传到github,欢迎参考~ https://github.com/ABCVBNM/jwt_demo.git 实现 1. 添加依赖 这里选择的是jwtk/jjwt(因为看github上的Java_JWT项目,该项目维护最及时,星星最多) <dependency> <groupId>io.jsonwebtoken</groupId> &.
自定义注解校验Token
qq_35314762的博客
08-24 2199
小伙伴在系统开发过程中,会遇到部分接口需要授权才能请求的问题,通常的做法是服务端在客户端登录成功后 ,按一定规则生成token,返回给客户端。然后客户端在请求需要授权的接口时,带上此token。那么问题来了,服务端如何对token做统一的校验? 方法一:过滤器或者拦截器 利用过滤器实现,放掉不需要校验接口,然后校验剩余接口token. 此方法配置略显复杂,静态资源什么的也需要配置,比较麻...
SpringBoot实现基于token的登录验证
weixin_42408447的博客
06-11 1万+
一.SpringBoot实现基于token的登录验证 基于token的登录验证实现原理:客户端通过用户名和密码调用登录接口,当验证数据库中存在该用户后,将用户的信息按照token的生成规则,生成一个字符串token,返回给客户端,客户端在调用其他接口的时候,需要在请求头上带上token,来验证登录信息。 二.Demo实现代码如下: (因为除登录接口外,其他接口每次都需要验证token信息,所以将验证token信息的部分放在了过滤器里面) 1.导入JWT(JSON WEB TOKEN)依赖 <depen
SpringBoot实现自定义Token注解(仅限于添加@RequestBody 方法使用)
不想成为架构师的程序员不是一个好研发!
09-02 1195
SpringBoot实现自定义Token注解 文章目录SpringBoot实现自定义Token注解前言一、自定义注解是什么?二、上代码1.添加自定义注解2.实现RequestBodyAdvice接口3.注解用法,测试示例没有加Token的失败返回:添加Token的正确返回:总结 前言 提示:自定义注解可以使用在业务系统进行对接开发,获取封装公共的API接口等等 提示:以下是本篇文章正文内容,下面案例可供参考 一、自定义注解是什么? 首先看看官方对注解的描述: An annotation is a for
Spring boot+VUE实现token验证
qq_51664685的博客
05-04 4740
阐述了spring boot+vue前后端分离项目中如何使用token进行验证
深入了解Token认证的来龙去脉
zyh568879280的博客
02-15 574
转载至:https://blog.csdn.net/niugang0920/article/details/80615137 Token 是在服务端产生的,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。     不久前,我在前后端分离实践中提到了基于 Token 的认证,现在我...
【三】springboot整合token
热门推荐
weixin_56995925的博客
09-03 1万+
springboot整合token
SpringBoot自定义注解实现权限认证详解
本文所描述的“springboot通过自定义注解完成简单的权限认证”项目,正是围绕这一核心需求展开的实践案例,其标题明确指出了技术栈和目标:使用Spring Boot结合自定义注解实现方法级别的权限认证功能。该案例不仅...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李秀才

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值