前后端分离项目通过header参数鉴权

最新推荐文章于 2022-10-09 15:15:34 发布
最新推荐文章于 2022-10-09 15:15:34 发布
阅读量977 收藏
点赞数
分类专栏: 接口鉴权 redis java 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37967380/article/details/121542263
版权
java 同时被 3 个专栏收录
41 篇文章 0 订阅
订阅专栏
redis
5 篇文章 0 订阅
订阅专栏
接口鉴权
4 篇文章 0 订阅
订阅专栏
  • 前端,在请求头加上鉴权参数
const apiKey = '******'
const echo = '随机字符串';
const timestamp = new Date().getTime();
headers: {
   'Content-Type': 'application/json;charset=utf-8',
    'Cache-Control': 'no-cache;max-age=0',
    'Pragma': 'no-cache',
    'x-echo-key': echo,
    'x-timestamp-key': timestamp,
    'x-signature-key': 加密函数(apiKey + timestamp + echo),
    'access-token': '校验登录的token',
    'user-id': '用户ID'
}
  • 后端,拦截器配置类(AuthInterceptorConfig.java)
@Configuration
public class AuthInterceptorConfig implements WebMvcConfigurer {

    @Bean
    public AuthInterceptor initAuthInterceptor(){
        return new AuthInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(initAuthInterceptor())
                .addPathPatterns("/col/**") //需要拦截的URL
                .excludePathPatterns("/login/**"); //不需要拦截的URL
    }
}
  • 后端,拦截器处理类(AuthInterceptor.java)
public class AuthInterceptor implements HandlerInterceptor {
    private final static Logger logger = LoggerFactory.getLogger(AuthInterceptor.class);
    @Value("${app.x-api-key}")
    private String x_api_key;
    @Autowired
    private RedisService redisService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/html;charset=utf-8");

        String servletPath = request.getServletPath();
        String xEchoKey = request.getHeader("x-echo-key");
        String xTimestampKey = request.getHeader("x-timestamp-key");
        String xSignatureKey = request.getHeader("x-signature-key");
        String accessToken = request.getHeader("access-token");
        String userId = request.getHeader("user-id");

        //处理特殊请求URL
        if (servletPath.contains("/**")) {
            String queryString = request.getQueryString();
            Map<String, String> urlParams = StringUtil.queryStrToMap(queryString);
            xEchoKey = urlParams.get("x-echo-key");
            xTimestampKey = urlParams.get("x-timestamp-key");
            xSignatureKey = urlParams.get("x-signature-key");
            accessToken = urlParams.get("access-token");
            userId = urlParams.get("user-id");
        }

        //1.接口参数非空验证
        if (org.apache.commons.lang3.StringUtils.isEmpty(xEchoKey) || org.apache.commons.lang3.StringUtils.isEmpty(xTimestampKey) || org.apache.commons.lang3.StringUtils.isEmpty(xSignatureKey)) {
            response.getWriter().println("非法请求,接口参数验证错误");
            return false;
        }

        //2.签名检查
        String signature = MD5.gtMD5Code(x_api_key + xTimestampKey + xEchoKey);
        if (!xSignatureKey.equals(signature)) {
            response.getWriter().println("非法请求,签名校验失败");
            return false;
        }

        //3.检查时间戳
        long timestampNow = System.currentTimeMillis();
        long timestamp = Long.parseLong(xTimestampKey);
        long minutesDiff = (timestampNow - timestamp) / (1000 * 60);
        //5分钟内有效(自行设置)
        if (Math.abs(minutesDiff) > 5) {
            response.getWriter().println("非法请求,接口时间戳校验失败");
            return false;
        }

		//token已经在login系统时存到redis中
        String authCode = redisService.getStr("token_".concat(userId));
        if (null == authCode) {
            response.getWriter().println("会话已过期,请重新打开应用");
            return false;
        } else  {
			if (!accessToken.equals(authCode)) {
				response.getWriter().println("会话已过期,请重新打开应用");
            	return false;
			}
		}

        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}
云南吴小黑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
html如何给header添加token,将Token添加到请求Header
weixin_35691526的博客
06-17 1万+
概述在使用JSON Web Token作为单点登录的验证媒介时,为保证安全性,建议将JWT的信息存放在HTTP的请求中,并使用https对请求链接进行加密传输,效果如下图所示:问题1.由于项目前后端分离的,不可避免的就产生了跨域问题,导致Authorization始终无法添加到请求中去,出现的请求如下图所示:    原因:理论请看这篇文章:(点这里),简单来说就是,当在进行跨域请求的时候,如...
HTTP 常见鉴权
xym352860763的博客
06-25 494
HTTP常见鉴权
前后端分离-通过header传递JW(Token)实现认证
Thinkingcao的专栏
07-05 4645
前后端分离基于Token鉴权认证设计流程: 1.前端输入用户名、密码后台登录 2.后端根据用户ID生成Token、返回给前端 3.前端ajax请求、通过header部设置 Authorization:token 4.后端通过Filter、拦截所有请求、处理请求是否合法(token失效、token为空、token过期) 前端ajax关键代码 $.ajax({ ...
Post请求鉴权中获取部的方法
hhh594521的博客
09-22 1584
Post请求鉴权中获取部的方法 import com.android.volley.AuthFailureError; import com.android.volley.Response; import com.android.volley.toolbox.StringRequest; import java.util.HashMap; import java.util.Map; /
iOS开发 - 如何使用请求鉴权
CodingFire的博客
06-16 2725
最开始开发的时候并没有听过鉴权,还请求?后台在新的公司碰到这问题,看了下文档才明白具体是要干嘛,就是在http协议层加上一些参数,服务器可以通过参数来进行校验,甚至对于ftp服务器,里面会有登录服务器的账号和密码,当然,对于安全性,其实并不能保障,因为抓包软件是可以抓到请求里的参数的,所以请求里的参数都会进行加密,因为有些参数是动态变化的,所以某种程度上还是起到了一定的安全性。 现在说下怎么
Springboot+vue后台管理系统-前后端分离数据传递
justleavel的博客
02-01 5849
一:前端项目搭建; 1:使用cmd下载vue: 2:npm install -g @vue/cli (如果安装过就不用啦) 3:vue create springboot-vue-demo(自己的名字): 4: 5:将目标移动到第一个选项然后按回车到达下面这个界面,选择一个vue版本,我们这里选择vue3x 6:下一个界面依次按下: y in package.json y 这三个,第三个是是否保存当前配置可以按N 7: 进入: 退出打开idea去开启项目编写 8: ..
前后端分离跨域问题
01-07
跨域问题来源于浏览器的同源策略。客户端和服务端不同IP不同端口都算跨域。 springboot解决跨域有cros,配置就是那几项。 如果把服务端程序部署在nginx上,在nginx 也可以解决,... add_header Access-Control-Allow-M
详解前后端分离之VueJS前端
12-11
2、使用带token的header访问服务器的一个资源 本次实验环境: "dependencies": { "vue": "^2.2.1" }, "devDependencies": { "babel-core": "^6.0.0", "babel-loader": "^6.0.0", "babel-preset-latest": "^...
Python-基于Flask和Vuejs前后端分离的微型博客项目
08-12
支持多用户、Markdown文章(喜欢/收藏文章)、粉丝关注、用户评论(点赞)、动态通知、站内私信、黑名单、邮件支持、管理后台、权限管理、Celery任务队列、Elasticsearch全文搜索、Linux VPS部署、Docker容器部署等
ajax请求添加自定义header参数代码
01-18
我就废话不多说了,大家还是直接看代码吧~ $.ajax({ type: post, ... contentType: application/json;charset=utf-8, data :JSON.stringify({bodyName:sdfsdf,date:2017-11-28 07:34:01,price: 10.5,tbId: 1}), ...
php获取不到自定义header参数原因详解
02-24
详细分析php获取不到自定义header参数的原因,明确设置自定义header参数注意事项以及php获取自定义参数方法
java鉴权_3种常用鉴权方法原理与实现
weixin_36138462的博客
02-17 5945
学生一枚,作为学习和总结。如果有哪些不对的地方,还请指教cookie诞生HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。为解决这个问题,有了cookie出现cookie介绍Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),(通知浏览器设置一下cookie),浏览器自动会将Cookie以进行保存(以key/value...
springboot前后端分离跨域问题之Request header参数取不到
Mint6的博客
05-17 6023
背景:前后端分离项目,前端vue,后端springboot,本地调试时设置了跨域处理,前端生成的uuid后端从header里面取不到。 解决办法:如下是允许跨域,设置corsConfiguration.addExposedHeader("uuid"); 放行uuid参数,这样后端就可以获取到了。 @Configuration public class CorsConfig { private CorsConfiguration buildConfig() { CorsCon.
前后端分离-通过header传递token实现认证
qq_18549249的博客
08-01 4万+
通过JWT实现认证流程   1.前端输入用户名、密码后台登录   2.后端根据用户ID生成Token、返回给前端   3.前端ajax请求、通过header部设置 Authorization :token   4.后端通过Filter、拦截所有请求、处理请求是否合法(token失效、token为空、token过期)  前端ajax关键代码 $.ajax({ heade...
jmeter HTTP信息管理器-鉴权-Authorization: JWT
人生苦短,何妨一试
09-16 4110
登录获取token 返回的json数据 正则表达式提取 正则表达式:"token":"(.+?)" 模板:$1$ 匹配数字:0 携带token请求 添加HTTP信息管理器,获取上一个接口返回的token 请求获取的token,在这个接口携带发起请求 返回的响应数据 ...
post请求(json数据),提示:鉴权失败,解决:信息Authorization的参数值,添加Bearer
haha_mysun的博客
12-17 1万+
参见,https://www.cnblogs.com/XiongMaoMengNan/p/6785155.html
前后端常见的几种鉴权方式
热门推荐
wang839305939的博客
01-03 11万+
常见的授权四种授权方式HTTP Basic Authentication,session-cookie,token(jwt),OAuth(开放授权)
前端鉴权的10种方式
椰卤工程师的个人博客
10-09 3403
鉴权(Authentication) 在信息安全领域是指对于一个声明者所声明的身份权利,对其所声明的真实性进行鉴别确认的过程。
鉴权的四种方式
Raily_Qi的博客
12-24 5872
前后端常见的几种鉴权方式 HTTP Basic Authentication session-cookie Token OAuth HTTP Basic Authentication session-cookie Token token 是一个令牌,浏览器第一次访问服务端时会签发一张令牌,之后浏览器每次携带这张令牌访问服务端就会认证该令牌是否有效,只要服务端可以解密该令牌,就说明请求是合法的,...
前后端分离springsecurity怎么认证和鉴权
最新发布
10-08
前后端分离的架构中,Spring Security用于认证和鉴权。下面是Spring Security在前后端分离中的认证和鉴权流程: 1. 用户登录时,前端发送登录请求到后端,后端验证用户的用户名和密码是否正确。 2. 后端通过Spring Security的AuthenticationManager对用户进行身份验证。 3. 如果用户名和密码正确,后端会生成一个JWT(JSON Web Token)并返回给前端。 4. 前端收到JWT后,保存在本地存储中,比如Local Storage。 5. 用户在之后的请求中,前端会将JWT放在请求的Header中进行发送。 6. 后端通过Spring Security的JwtAuthenticationFilter拦截请求,解析JWT,并进行用户身份认证。 7. 如果JWT有效且用户已通过认证,后端会进行鉴权,判断用户是否有权限访问请求的资源。 8. 如果鉴权通过,后端返回请求的资源给前端。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值