自定义忽略token 权限验证

最新推荐文章于 2024-01-17 08:47:37 发布
最新推荐文章于 2024-01-17 08:47:37 发布
阅读量1.3k 收藏
点赞数 1
文章标签: java servlet spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33807175/article/details/129989887
版权

1.自定义注解

import java.lang.annotation.ElementType;

import java.lang.annotation.Retention;

import java.lang.annotation.RetentionPolicy;

import java.lang.annotation.Target;

@Target({ElementType.METHOD, ElementType.TYPE})

@Retention(RetentionPolicy.RUNTIME)

public @interface Notoken {

boolean required() default true;

}

2.拦截器

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

@Configuration

public class InterceptorConfig extends WebMvcConfigurerAdapter {

@Override

public void addInterceptors(InterceptorRegistry registry) {

registry.addInterceptor(authenticationInterceptor())

.addPathPatterns("/**"); // 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录

}

@Bean

public AuthenticationInterceptor authenticationInterceptor() {

return new AuthenticationInterceptor();

}

}

3.根据token选择是否放行

import cn.hutool.json.JSONObject;

import com.auth0.jwt.exceptions.AlgorithmMismatchException;

import com.auth0.jwt.exceptions.SignatureVerificationException;

import com.auth0.jwt.exceptions.TokenExpiredException;

import com.auth0.jwt.interfaces.DecodedJWT;

import com.fasterxml.jackson.databind.ObjectMapper;

import com.shitou.mybatisplus.utils.JWTUtil;

import com.shitou.mybatisplus.utils.WebContextUtil;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.data.redis.core.RedisTemplate;

import org.springframework.lang.Nullable;

import org.springframework.web.method.HandlerMethod;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.lang.reflect.Method;

import java.util.HashMap;

import java.util.concurrent.TimeUnit;

public class AuthenticationInterceptor implements HandlerInterceptor {

@Autowired

private RedisTemplate<String, Object> redisTemplate;

@Value("${redistoken.time-out}")

private String timeOut;

@Override

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception {

String token = request.getHeader("token");

HashMap<String, String> map = new HashMap<>();

// 如果不是映射到方法直接通过

if(!(object instanceof HandlerMethod)){

return true;

}

HandlerMethod handlerMethod=(HandlerMethod)object;

Method method=handlerMethod.getMethod();

//如果有Notoken注解的方法直接跳过拦截

if (method.isAnnotationPresent(Notoken.class)) {

Notoken passToken = method.getAnnotation(Notoken.class);

if (passToken.required()) {

return true;

}

}

try {

JWTUtil.verify(token);//验证令牌

DecodedJWT tokenInfo = JWTUtil.getTokenInfo(token);

Object obj = redisTemplate.opsForValue().get(tokenInfo.getClaims().get("username").asString());

if(obj==null){

map.put("msg", "token过期!");

}else{ redisTemplate.opsForValue().set(tokenInfo.getClaims().get("username").asString(),obj); redisTemplate.expire(tokenInfo.getClaims().get("username").asString(),Integer.parseInt(timeOut), TimeUnit.SECONDS);

//将token放入本地缓存

JWTUtil.verifyToken(token);

JSONObject json = new JSONObject();

json.put("username",tokenInfo.getClaims().get("username").asString())

.put("role",tokenInfo.getClaims().get("role").asString())

.put("images",tokenInfo.getClaims().get("images").asString())

.put("address",tokenInfo.getClaims().get("address").asString());

WebContextUtil.setUserToken(json.toString());

return true;//放行请求

}

} catch (SignatureVerificationException e) {

e.printStackTrace();

map.put("msg", "无效签名!");

map.put("msg", "无效签名!");

} catch (TokenExpiredException e) {

e.printStackTrace();

map.put("msg", "token过期!");

} catch (AlgorithmMismatchException e) {

e.printStackTrace();

map.put("msg", "token算法不一致!");

} catch (Exception e) {

e.printStackTrace();

map.put("msg", "token无效!!");

}

map.put("code", "403");//设置状态

//将 map 转为json jackson

String json = new ObjectMapper().writeValueAsString(map);

response.setContentType("application/json;charset=UTF-8");

response.getWriter().println(json); //前台返回数据

return false;

}

@Override

public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable ModelAndView modelAndView){

}

@Override

public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

}

}

java-刘文
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PHP token验证生成原理实例分析
10-16
主要介绍了PHP token验证生成原理,结合实例形式分析了php的token验证原理与使用技巧,需要的朋友可以参考下
SpringCloud 微服务之间调用免Token操作
telescopewang的博客
06-06 1049
基于Jeecg框架,修改FeignConfig配置。
SpringBoot 整合JWT实现基于自定义注解的-登录请求验证拦截(保姆级教学,附:源码)
林夕
02-14 3202
1:创建数据库结构2: 创建SpringBoot(版本)工程,引入pom依赖pom.xml-- web -->-- MP -->-- jwt -->3: application.properties 文件4:JWTUtil 工具类/*** 生成token* @param map 传入payload* @return 返回token*/// 创建 JWT builder// payload// 设置过期时间// 设置签名加密/*** 验证token
若依框架后端关闭token验证
最新发布
m0_64632717的博客
01-17 1456
在com.ruoyi.framework.config中找到SecurityConfig类。
若依微服务版怎样修改Nacos中配置文件使Url不受权限认证跳过Token验证
BADAO_LIUMANG_QIZHI的博客
11-27 3712
场景 若依微服务版手把手教你本地搭建环境并运行前后端项目: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/109363303 在上面将若依微服务版成功搭建并运行后,如果想在服务中写一个开放的接口,可以跳过权限认证,不用登陆,不用携带Token就能访问。 注: 博客:https://blog.csdn.net/badao_liumang_qizhi 关注公众号 霸道的程序猿 获取编程相关电子书、教程推送与免费下载。 实现 若.
burpsuit神器绕过token验证实战
10-01
本课程介绍burpsuit的高级功能,在登录验证的时候,有的时候会用验证码,有的时候会用tokentoken是后端web服务随机生成的,每次登录的时候客户端需要携带正确的token到后端验证,否则视为无效登录,在bao破的时候遇到token验证大多数人会放弃,最开始token验证是为解决CSRF跨站脚本攻击,给登录bao破也带来困难,因此本教程介绍burpsuit的高级功能,希望对大家有所帮助;声明:所有教学都是为了网络安全服务,做信息安全交流,不能用于任何非法用途。
系统设计面试知识点
bernice_ztt的博客
08-03 202
系统设计面试常见知识点
SpirngBoot设置自定义注解@NoToken去除部分接口的token验证
洛阳泰山的博客
10-30 4182
项目开发中,有部分对外提供的接口需要无token调用,毕竟每次都需要先调用登录接口获取token,再去调用功能接口,还要不停的更新token,防止token过期,别的项目调用实在有点麻烦,于是开发一个notoken 的注解在不需要传token的接口controller里加上@NoToken注解,即可实现,非常方便,下面就附上代码教程,仅供参考。
自定义注解跳过Token验证(二)
zwy12321的博客
08-30 612
在JWT+token+redis实现登录逻辑中通过配置webconfig对登录接口进行放行,现通过给对应接口添加注解的方式使其不用经过token验证PassToken.java 自定义注解AuthenticationInterceptor.java 修改拦截器preHandle方法@Override//判断方法是否有PassToken注解 如果有则放行//获取请求头信息try {// 验证 tokentry {
逻辑越权之验证码|token|接口(36)
san3144393495的博客
06-17 1323
token是类似于会话一串数字代表数据包的唯一性,数据包的编号,防止一些csrf,或者一些存放数据包的攻击;验证码,很多事情都需要验证码,如果可以绕过的话,就可以实现一些功能,比如密码修改绕过,后台登陆爆破账户密吗,经常次数过多会出现验证码。2.回显,类似于讲过的本地回显,token值会在前端进行显示,我们只需要让token值和前端显示的一样,实现绕过数据包唯一性检测。3.固定,虽然有这个token,但可以通过上一次的token操作下一次的数据包,没有检测唯一性,表面上看着有,实际上没有,
Laravel的Auth验证Token验证使用自定义Redis的例子
10-16
今天小编就为大家分享一篇Laravel的Auth验证Token验证使用自定义Redis的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
thinkphp5框架API token身份验证功能示例
10-16
主要介绍了thinkphp5框架API token身份验证功能,结合实例形式分析了thinkPHP5基于token的身份验证操作步骤与实现技巧,需要的朋友可以参考下
基于Token的身份验证的方法
10-18
主要介绍了基于Token的身份验证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Node登录权限验证token验证实现的方法示例
10-15
主要介绍了Node登录权限验证token验证实现的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security permitAll开放页面权限 解除token验证的问题
小汤圆
08-17 2706
使用Spring Security做权限认证,通常有些页面需要开放某些页面不需要权限验证,比喻登录页面,注册页面等,也就是无论你什么权限(包括访客)都能访问到页面,要让某个页面设置所有权限都能访问也很简单 1.Spring Security设置开放某个页面访问权限 @Configuration public class ResourceServerConfigurer extends ResourceServerConfigurerAdapter { @Override public void config
spring cloud 微服务调用微服务未认证解决方案(Feign)
qq_40794266的博客
04-09 3997
响应异常: {"error":"unauthorized","error_description":"Full authentication is required to access thisresource"} 当实现了用户携带身份令牌访问微服务之后, 微服务直接的访问调用就会抛出未授权的异常,,解决方案 服务直接调用时携带令牌 Feign 拦截器 添加依...
服务内部调用api鉴权忽略token(动态放权)
雷哥架构同学会
08-29 1621
微服务服务内部相互调用开放接口配置,可配置接口是否开放是否内部访问或外部访问。便于对接口开发进行动态控制,添加注解即可。
StringBoot设置自定义注解@NoToken去除部分接口的token校验
Owen Guo
03-20 1057
StringBoot设置自定义注解@NoToken去除部分接口的token校验
Spring AOP:实现登录验证token,及忽略验证url
imHanweihu的博客
07-08 4071
import cn.shangze.boot.common.constant.SecurityConstant; import cn.shangze.boot.common.exception.XbootException; import cn.shangze.boot.common.utils.ResultUtil; import cn.shangze.boot.common.vo.Resul...
在header加入自定义参数token怎样避免预检请求
07-17
要避免预检请求,可以采用以下两种方法来在请求的header中添加自定义参数token: 1. 使用自定义请求头:可以将token作为自定义的请求头添加到请求中。例如,在发送请求时,可以在header中添加一个名为"X-Token"的自定义请求头,将token作为该请求头的值传递给服务器。这样做的好处是,自定义请求头不会触发预检请求。 示例代码(使用JavaScript的XMLHttpRequest): ```javascript var xhr = new XMLHttpRequest(); xhr.open('GET', 'https://example.com/api', true); xhr.setRequestHeader('X-Token', 'your_token_value'); xhr.send(); ``` 2. 将token添加到URL的查询参数中:将token作为URL的查询参数附加到请求URL中。这样做的好处是,查询参数不会触发预检请求。 示例代码(使用JavaScript的XMLHttpRequest): ```javascript var xhr = new XMLHttpRequest(); xhr.open('GET', 'https://example.com/api?token=your_token_value', true); xhr.send(); ``` 需要注意的是,这些方法都需要在服务器端进行相应的配置,以接受并验证token参数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值