拦截器实现AccessToken

最新推荐文章于 2023-11-03 10:32:09 发布
最新推荐文章于 2023-11-03 10:32:09 发布
阅读量571 收藏 3
点赞数
文章标签: AccessToken
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35945923/article/details/100147972
版权

1.互联网开放平台设计:

1.需求:现在A公司与B公司进行合作,B公司需要调用A公司开放的外网接口获取数据,
如何保证外网开放接口的安全性。

2.开放平台提供者:需要提供为每个合作机构提供对应的appId,appSecret (需要appId+appSecret生成对应的accessToken)

3.基于令牌方式实现
appId (第三方合作机构,区分不同的机构) 永远不能改变
appSecret (在传输中实现加密功能,密钥) 可以发生改变
(因为如果被人知道,可以伪造请求,当发现appSecret被人知道后,可以重新生成,此时伪造请求会报错)

2.使用令牌方式搭建搭建API开放平台:

1.原理:为每个合作机构创建对应的appId、appSecret,生成对应的accessToken(有效期2小时),在调用外网开放接口的时候,必须传递有效的accessToken。

2.数据库表设计:
CREATE TABLE m_app (
id int(11) NOT NULL AUTO_INCREMENT,
app_name varchar(255) DEFAULT NULL,
app_id varchar(255) DEFAULT NULL,
app_secret varchar(255) DEFAULT NULL,
is_flag varchar(255) DEFAULT NULL,
access_token varchar(255) DEFAULT NULL,
PRIMARY KEY (id)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

App_Name 表示机构名称
App_ID 应用id
App_Secret 应用密钥 (可更改)
Is_flag 是否可用 (是否对某个机构开放)
access_token 上一次access_token

3.获取AccessToken:

@RequestMapping("/accessToken")
public interface AccessTokenService {

    @RequestMapping("/getAccessToken")
    ResponseBase getAccessToken(String appId,String appSecret);
}

@RestController
public class AccessTokenServiceImpl extends BaseApiService implements AccessTokenService {

    private long timeToken = 60 * 60 * 2;
    @Autowired
    private AccessTokenDao accessTokenDao;
    @Override
    public ResponseBase getAccessToken(String appId, String appSecret) {
        //先查询是否存在该机构的认证信息
        AppEntity appEntity = accessTokenDao.findApp(appId, appSecret);
        if (null == appEntity){
            return setResultError("没有存在该机构的认证信息");
        }
        //判断该机构现在是否有效
        if (1 == appEntity.getIsFlag()){
            return setResultError("您现在没有权限生成对应的AccessToken");
        }
        // ### 获取新的accessToken 之前删除之前老的accessToken
        // 从redis中删除之前的accessToken
        String accessToken = appEntity.getAccessToken();
        if (null != accessToken){
            baseRedisService.delKey(accessToken);
        }
        String newAccessToken = newAccessToken(appId);
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("accessToken", newAccessToken);
        return setResultSuccess(jsonObject);
    }

    private String newAccessToken(String appId) {
        // 使用appid+appsecret 生成对应的AccessToken 保存两个小时
        String accessToken = UUID.randomUUID().toString().replace("-", "");
        // 保证在同一个事物redis 事物中
        // 生成最新的token key为accessToken value 为 appid
        baseRedisService.setString(accessToken, appId, timeToken);
        // 表中保存当前accessToken
        accessTokenDao.updateAccessToken(accessToken, appId);
        return accessToken;
    }
}

4.编写拦截器拦截请求,验证accessToken:

@Component
public class AccessTokenInterceptor extends BaseApiService implements HandlerInterceptor {
    @Autowired
    private RedisService redisService;

    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest,
           HttpServletResponse httpServletResponse, Object o) throws Exception {
        System.out.println("---------------------开始进入请求地址拦截----------------------------");
        String accessToken = httpServletRequest.getParameter("accessToken");
        if (StringUtils.isEmpty(accessToken)){
            resultError("this is parameter accessToken null",httpServletResponse);
            return false;
        }
        String appId = redisService.getString(accessToken);
        if (StringUtils.isEmpty(appId)){
            //accessToken失效
            resultError("this is  accessToken Invalid",httpServletResponse);
            return false;
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest,
           HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest,
           HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }

    public void resultError(String msg,HttpServletResponse httpServletResponse) throws IOException {
        PrintWriter writer = httpServletResponse.getWriter();
        writer.print(new JSONObject().toJSONString(setResultError(msg)));
    }
}


@Configuration
public class WebAppConfig {
	@Autowired
	private AccessTokenInterceptor accessTokenInterceptor;

	@Bean
	public WebMvcConfigurer WebMvcConfigurer() {
		return new WebMvcConfigurer() {
			public void addInterceptors(InterceptorRegistry registry) {
				registry.addInterceptor(accessTokenInterceptor).addPathPatterns("/openApi/*");
			};
		};
	}
}

@RequestMapping("/testAccessToken")
public interface TestAccessTokenService {

    @RequestMapping("/test")
    public ResponseBase getTest();
}

@RestController
public class TestAccessTokenServiceImpl extends BaseApiService implements TestAccessTokenService {

    @Override
    public ResponseBase getTest() {
        return setResultSuccess("调取接口成功");
    }
}
jt_q
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【接口加密】拦截器验证tocken信息
遇见未知的自己
04-04 1782
最近项目中需要做web版视频通话项目,所以组长一直考虑接口安全这方面的问题。因为项目就是一个已经成形的项目,我第一步就是看现有的项目中接口安全方面是如何做的。我发现,项目中第一步应用的就是拦截器,接着就好好学习了下。一、拦截器是什么?二、demo例子1.ApiConfigurerpackage com.rcplatform.livechat.config; import org.springfr...
dio拦截器 flutter_Flutter开发 Dio拦截器实现token验证过期的功能
weixin_32157619的博客
12-24 1495
前言:之前分享过在Android中使用Retrofit实现token失效刷新的处理方案,现在Flutter项目也有“token验证过期”的需求,所以接下来我简单总结一下在Flutter项目中如何实现自动刷新token并重发请求的拦截器功能,希望对大家有所帮助。思路:1.Dio实现网络请求2.自定义token拦截器实现token自动刷新并重发请求3.EventBus发送登录失效事件,弹出登录页面实...
拦截器获取access_token
不吃鱼的cat
05-18 1921
public class UserAccessApiInterceptor extends HandlerInterceptorAdapter { public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
请求时,校验accessToken访问令牌
随风why
11-03 568
校验accessToken
关于匿名令牌,刷新令牌的全局截处理方法
大乌鸦
08-05 478
为了让出现401的接口自动重新进行请求,思路:就是拿着报错的接口的url以及内部的参数,进行重新请求。 1、拿到报错的接口链接和参数 2、把它们存到一个数组里面 3、然后按着数组里面的参数进行一一请求报错的接口 import axios from "axios"; import Cookies from "cookies-js"; let isAlreadyFetchingAccess...
内网渗透之AccessToken窃取与利用
qq_45521281的博客
05-05 3811
文章目录令牌(Token)AccessToken的窃取与利用1:程序 incognito.exe2:MSF下的incognito模块3:Invoke-TokenManipulation.ps1脚本MSF实战假冒令牌提权 令牌(Token) 令牌(token)是系统的临时秘钥,相当于账号和密码,用来决定是否允许这次请求和判断这次请求是属于哪一个用户的。它允许你在不提供密码或其他凭证的前提下,访问网络...
vue中前端利用refreshToken结合axios拦截器实现token的无感刷新
最新发布
01-16
1、响应拦截器处理401权限错误。 2、防止重复请求refreshToken接口。 3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程...
springboot拦截器实现拦截器 权限校验,登录demo
11-14
本文将详细介绍如何在Spring Boot中实现拦截器以进行权限校验和登录验证,通过一个简单的Demo来阐述整个过程。 首先,我们需要创建一个自定义的拦截器类。这个类通常会继承`HandlerInterceptorAdapter`,这是一个...
java拦截器handler_通过HandlerInterceptor接口实现拦截器功能
weixin_39609573的博客
02-24 843
实现拦截器的方式有好多种 这里我分享一种实现HandlerInterceptor接口的方式 费话不多说 上代码以登录截为例子1、实现接口LoginInterceptor implements HandlerInterceptor2、重写preHandlerString accessToken = request.getHeader("token");if(accessToken == nu...
java SpringBoot登录验证token拦截器
JavaShark的博客
07-07 562
用户访问接口验证,如果用户没有登录,则不让他访问除登录外的任何接口。1.前端登录,后端创建token(通过JWT这个依赖),返给前端2.前端访问其他接口,传递token,后端判断token存在以或失效3.失效或不存在,则返回失效提示,前端根据接口返回的失效提示,让其跳转到登录界面目录注解的作用说明@Target代表此注解,能@到哪些代码上返回值-全局异常类定义程序员使用:方法不加注解,测试程序员使用:加上,调用通过,注解拓展:从请求中获取token定义2个注解,1个用于 任何接口都能访问 ,另外一个用于 需
Struts拦截器token拦截器防止重复提交例子源码
11-05
一、理解Struts2拦截器 1. Struts2拦截器是在访问某个Action或Action的某个方法,字段之前或之后实施截,并且Struts2拦截器是可插拔的,拦截器是AOP的一种实现. 2. 拦截器栈(Interceptor Stack)。Struts2拦截器栈就是将拦截器按一定的顺序联结成一条链。在访问被截的方法或字段时,Struts2拦截器链中的拦截器就会按其之前定义的顺序被调用。 二、实现Struts2拦截器原理 Struts2拦截器实现原理相对简单,当请求struts2的action时,Struts 2会查找配置文件,并根据其配置实例化相对的 拦截器对象,然后串成一个列表,最后一个一个地调用列表中的拦截器 三、定义Struts2拦截器。 Struts2规定用户自定义拦截器必须实现com.opensymphony.xwork2.interceptor.Interceptor接口。该接口声明了3个方法, void init(); void destroy(); String intercept(ActionInvocation invocation) throws Exception; 其中,init和destroy方法会在程序开始和结束时各执行一遍,不管使用了该拦截器与否,只要在struts.xml中声明了该Struts2拦截器就会被执行。 intercept方法就是截的主体了,每次拦截器生效时都会执行其中的逻辑。
在请求拦截器里面设置一个token
zhuyuan123456的博客
03-17 1541
我我们平时要访问带令牌的后端接口,都玩在携带一个token的参数。但是因为axios有个特性,就是它发起网络请求的时候,都会经过请求拦截器。所以我们可以在请求拦截器里面给它设置一个token,这样下次发起网络请求的时候就不用再携带token了! ...
API 开放接口设计之 appId,appSecret,accessToken (同微信开发平台接口)
热门推荐
ws - 兮的博客空间
12-03 1万+
一、开放接口设计说明: 为每个合作机构创建对应的appid、app_secret,生成对应的access_token(有效期2小时),在调用外网开放接口的时候,必须传递有效的access_token。 如:微信公众号开发调用微信接口 二、数据库表设计 App_Name 表示机构名称 App_ID 应用id App_Secret 应用密钥 (可...
​​​​​​过滤器和拦截器详解+Token
Java后端技术栈
07-05 4799
周末有个小伙伴加我微信,向我请教了一个问题:老哥,过滤器 () 和 拦截器 () 有啥区别啊? 听到题目我的第一感觉就是:简单!毕竟这两种工具开发中用到的频率都相当高,应用起来也是比较简单的,可当我准备回复他的时候,竟然不知道从哪说起,支支吾吾了半天,场面炒鸡尴尬有木有,工作这么久一个基础问题答成这样,丢了大人了。 平时觉得简单的知识点,但通常都不会太关注细节,一旦被别人问起来,反倒说不出个所以然来。归根结底,还是对这些知识了解的不够,一直停留在会用的阶段,以至于现在一看就会一说就废!这是典型基础不扎实的
拦截器配置,获取请求头中的用户id,放置到ThreadLocal线程空间中
helpluozhao123的博客
04-26 2161
@Component public class AppTokenInterceptor extends HandlerInterceptorAdapter { /** * 前置截 - 获取请求头中的 userId , 放入到当前线程中 * * @param request * @param response * @param handler * @return * @throws Exception */
身份认证4_拦截器方式实现token鉴权
grow_的博客
04-26 1128
引言 我们自定一个拦截器,只有当用户登录后,才可以访问资源接口(会员、商品、供应商、员工),没有登录则要求 登录。 其中判断是否登录,要求客户端请求接口时,在请求头上带上 token ,然后在拦截器截到请求后,校验 token是否有效,有效才让访问,否则无法访问。 请求头信息 Authorization: Bearer jwtToken 创建拦截器 创建一个 HandlerInterceptorAdapter截适配器的子类,并且重写它里面的 preHandle方法,在请求目标接口时进行..
配置拦截器+token请求头验证+解决跨域
weixin_47450795的博客
11-24 2237
前期准备 1.token工具类 2.redis工具类 使用链接里的更新版工具类代码,否则可能或报空指针。 3.springboot项目 添加拦截器 1.创建一个interceptor包,创建LoginInterceptor.java和WebConfig.java WebConfig.java: package com.hospital.total_managed.interceptor; import org.springframework.context.annotation.Configuration
拦截器token验证+权限
小白
06-11 3892
新建类 IntercepterConfig package com.example.hotelmanagement.config; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.
使用拦截器添加在请求中添加token
ChangRongXin的博客
05-20 4194
使用拦截器添加在请求中添加token 一.保存token 将后端返回的token保存到本地 localStorage.setItem("token", result.data.token); 二.使用拦截器添加token 在main.js中配置拦截器后,所有请求回自动在请求头中添加token。 // 添加请求拦截器 axios.interceptors.request.use( function (config) { // 在发送请求之前做些什么 // 判断是否存在token,如果存在
Nnrf_AccessToken 实现原理
06-01
Nnrf_AccessToken实现原理如下: 1. 认证和授权:当用户请求访问网络资源时,系统会先对用户进行身份认证和授权操作,以确保用户有权访问该资源。 2. 生成Token:认证和授权成功后,系统会生成一个Nnrf_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值