登录拦截

最新推荐文章于 2024-05-02 21:16:26 发布
最新推荐文章于 2024-05-02 21:16:26 发布
阅读量672 收藏
点赞数
分类专栏: Java后台

登录拦截

因为项目中涉及到这个,自己也接触了,所以记录一下。
认证过程
登录:
1.第一次认证:第一次登录,用户从浏览器输入用户名/密码,提交到服务器的登录处理的Controller层。

QueryWrapper<Person> queryWrapper = new QueryWrapper();
        queryWrapper.eq("data_status", GlobalConstant.DATA_STATUS_VALID);       queryWrapper.eq("phone",param.get("username")).eq("password",MD5Util.getMD5(param.get("password").toString())).or(i ->i.eq("email",param.get("username")).eq("password",MD5Util.getMD5(param.get("password").toString())).eq("data_status", GlobalConstant.DATA_STATUS_VALID));
        Person one = personService.getOne(queryWrapper);

2.Controller调用认证服务进行用户名密码认证,如果认证通过,Controller层调用用户信息服务获取用户信息;

System.out.println("登录成功!");
    String id = one.getUuid();//id 当前用户ID

3.返回用户信息后,Controller从配置文件中获取Token签名生成的秘钥信息,进行Token的生成;

//issuer 该JWT的签发者,是否使用是可选的
      	String issuer = "";
      	//subject 该JWT所面向的用户,是否使用是可选的
      	String subject = "";
      	//ttlMillis 什么时候过期,这里是一个Unix时间戳,是否使用是可选的
      	long ttlMillis = 1000 * 60 * 30; 
      	//audience 接收该JWT的一方,是否使用是可选的
      	String audience = "";
      	String token = TokenUtil.createJWT(id,issuer,subject,ttlMillis,audience);
		public static String createJWT(String id,String issuer,String subject,long ttlMillis, String audience){
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(APP_KEY);
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
        JwtBuilder jwtBuilder = Jwts.builder()
                .setId(id)
                .setSubject(subject)
                .setIssuedAt(now)
                .setIssuer(issuer)
                .setAudience(audience)
                .signWith(signatureAlgorithm,signingKey);
	//设置Token的过期时间
        if(ttlMillis >0){  
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            jwtBuilder.setExpiration(exp);
        }
        return jwtBuilder.compact();
    }

4.生成Token的过程中可以调用第三方的JWT Lib生成签名后的JWT数据;

String token = TokenUtil.createJWT(id,issuer,subject,ttlMillis,audience);

5.完成JWT数据签名后,将其设置到COOKIE对象中,并重定向到首页,完成登录过程;

HashMap<String,String> result = new HashMap<>();
 	result.put("userId", id);
 	result.put("token", token);	
 	return ResultFactory.success(result);

请求认证:
基于Token的认证机制会在每一次请求中都带上完成签名的Token信息,这个Token信息可能在COOKIE中,也可能在HTTP的Authorization头中;

  • 客户端(APP客户端或浏览器)通过GET或POST请求访问资源(页面或调用API);
  • 认证服务作为一个Middleware HOOK 对请求进行拦截,首先在cookie中查找Token信息,如果没有找到,则在HTTP Authorization Head中查找;
  • 如果找到Token信息,则根据配置文件中的签名加密秘钥,调用JWT Lib对Token信息进行解密和解码;
  • 完成解码并验证签名通过后,对Token中的exp、nbf、aud等信息进行验证;
  • 全部通过后,根据获取的用户的角色权限信息,进行对请求的资源的权限逻辑判断;
  • 如果权限逻辑判断通过则通过Response对象返回;否则则返回HTTP 401;

相关类:
登录Controller类

@RequestMapping("/login")
	public Result login(@RequestBody Map<String, Object> param) {
	QueryWrapper<Person> queryWrapper = new QueryWrapper();
    queryWrapper.eq("data_status", GlobalConstant.DATA_STATUS_VALID);
	queryWrapper.eq("phone",param.get("username")).eq("password",MD5Util.getMD5(param.get("password").toString())).or(i ->i.eq("email",param.get("username")).eq("password",MD5Util.getMD5(param.get("password").toString())).eq("data_status", GlobalConstant.DATA_STATUS_VALID));
        Person one = personService.getOne(queryWrapper);
        if(one !=null) {
        	System.out.println("登录成功!");
        	//id 当前用户ID
        	String id = one.getUuid();
        	//issuer 该JWT的签发者,是否使用是可选的
        	String issuer = "";
        	//subject 该JWT所面向的用户,是否使用是可选的
        	String subject = "";
        	//ttlMillis 什么时候过期,这里是一个Unix时间戳,是否使用是可选的
        	long ttlMillis = 1000 * 60 * 30; 
        	//audience 接收该JWT的一方,是否使用是可选的
        	String audience = "";
        	String token = TokenUtil.createJWT(id,issuer,subject,ttlMillis,audience);
        	HashMap<String,String> result = new HashMap<>();
        	result.put("userId", id);
        	result.put("token", token);  	
        	return ResultFactory.success(result);
        }
        System.out.println("登录失败!");
        return ResultFactory.fail(null);
	}

TokenInterceptor拦截器:

@Component
public class TokenInterceptor implements HandlerInterceptor{
	 @Override
	    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
	            throws Exception {
		 //获取token
	        String tokenEnmu= request.getHeader("authorization");     
	        if(!CommonUtils.isEmpty(tokenEnmu)) {
	        	try {
	        		Claims claims = TokenUtil.getClaims(tokenEnmu);
		        	String personId = claims.getId();
		        	Date dateExpiration = claims.getExpiration();
		        	if(!CommonUtils.isObjEmpty(dateExpiration)) {
		        		Person person = new Person();
		        		person.setUuid(personId);
		        		//threadlocal保存用户id,用来更新操作记录
		        		ThreadLocalUtil.setResources(person);
		        		//更新时间戳,用来生成token
		        		long ttlMillis = 1000 * 60 * 30;
		        		String newtoken = TokenUtil.createJWT(personId,claims.getIssuer(),claims.getSubject(),ttlMillis,claims.getAudience());
		        		//将token设置到浏览器
		        		response.setHeader("authorization", newtoken);
		        	}else {
		        		response.setStatus(401);
		        	}
				} catch (Exception e) {
					response.setStatus(401);
				}	
	        }else {
	        	response.setStatus(401);
	        }
	        //返回 false 则请求中断
	        return true;
	    }
	    @Override
	    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
	            ModelAndView modelAndView) throws Exception {
//	        log.info("postHandle:请求后调用");
//	    	获取塞入的用户id
//	    	Person personInfo =  ThreadLocalUtil.getResources();
//	    	System.out.println("用户id:"+personInfo.getUuid()+"-----------");
	    }
	    @Override
	    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
	            throws Exception {
//	        log.info("afterCompletion:请求调用完成后回调方法,即在视图渲染完成后回调");
	    }    
}

自定义拦截器:

@Configuration
public class TokenConfig extends WebMvcConfigurationSupport{	
	@Autowired
	private TokenInterceptor tokenInterceptor;
	@Override
	protected void addInterceptors(InterceptorRegistry registry) {
	registry.addInterceptor(tokenInterceptor).addPathPatterns("/**").excludePathPattern		s("/api/login", "/api/file/upload","/api/file/ioimage", "/api/kafka/send/*", 			    "/api/basedata", "/api/report/**");
	//	super.addInterceptors(registry);
	}
}

TokenUtil工具类:

public class TokenUtil {
    private static final String APP_KEY = "user_key"; //进行数字签名的私钥
    /**
     * 一个JWT实际上就是一个字符串,它由三部分组成,头部(Header)、载荷(Payload)与签名(Signature)
     * @param id 当前用户ID
     * @param issuer 该JWT的签发者,是否使用是可选的
     * @param subject 该JWT所面向的用户,是否使用是可选的
     * @param ttlMillis 什么时候过期,这里是一个Unix时间戳,是否使用是可选的
     * @param audience 接收该JWT的一方,是否使用是可选的
     * @return
     */
    public static String createJWT(String id,String issuer,String subject,long ttlMillis, String audience){
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(APP_KEY);
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
        JwtBuilder jwtBuilder = Jwts.builder()
                .setId(id)
                .setSubject(subject)
                .setIssuedAt(now)
                .setIssuer(issuer)
                .setAudience(audience)
                .signWith(signatureAlgorithm,signingKey);
	//设置Token的过期时间
        if(ttlMillis >0){  
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            jwtBuilder.setExpiration(exp);
        }
        return jwtBuilder.compact();
    } 
    //私钥解密token信息
    public static Claims getClaims(String jwt) {
        return Jwts.parser()
                .setSigningKey(DatatypeConverter.parseBase64Binary(APP_KEY))
                .parseClaimsJws(jwt).getBody();
    }
qq_41850239
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端实现登录拦截
wandoumm的博客
04-26 1699
登录拦截、登出、token失效的拦截及对应 axios 拦截器的使用。准备你需要先生成自己的 Github Personal Token(生成Token)。Token 生成后 访问 Demo,即可查看你的Repository List。项目结构. ├── README.md ├── dist // 打包构建后的文件夹 │   ├── build.js │   └── build.js.map ...
Filter拦截器-登录
jq的博客
10-31 623
由于页面可以通过路径及文件名直接访问,出于安全考虑,使用Filter拦截器进行拦截,判断是否已经登录,否则跳转到登陆页面通过实现Filter,关键代码如下 private FilterConfig config = null;     @Override     public void doFilter(ServletRequest request, ServletResponse respon...
Spring Boot 如何实现登录拦截器?这才是正确的姿势!
最新发布
2301_82242844的博客
05-02 693
毕竟工作也这么久了 ,除了途虎一轮,也七七八八面试了不少大厂,像阿里、饿了么、美团、滴滴这些面试过程就不一一写在这篇文章上了。我会整理一份详细的面试过程及大家想知道的一些问题细节。
登录认证功能的统一拦截技术(拦截器)
m0_72167535的博客
04-09 1724
实现HandlerInterceptor接口,并重写其所有方法//自定义拦截器@Component//目标资源方法执行前执行。返回true:放行 返回false:不放行@Override//true表示放行//目标资源方法执行后执行@Override//视图渲染完毕后执行,最后执行@Override注意:preHandle方法:目标资源方法执行前执行。返回true:放行 返回false:不放行。postHandle方法:目标资源方法执行后执行。
MyBatisPlus总结
m0_60027772的博客
08-30 9515
需要合适的方案去应对数据规模的增长,以应对逐渐增长的访问压力和数据量业务分库、主从复制、数据库分表数据库分表的两种方式垂直分表水平分表//自定义接口://mybatisplus提供的分页对象,必须为于第一个参数的位置//自定义配置文件sql//测试类//获取当前页数据//获取总记录数//获取总页数//是否有下一页//是否有上一页。...
怎么实现对登录用户访问权限的拦截
qq_49195366的博客
10-26 348
*** 自定义注解}
解决每次登陆都被拦截的问题,因为域名不一致导致的问题
ityw520的博客
04-08 201
1、访问的路径为: http%3A%2F%2Fdev.cnm.com%3A8080 2、拦截平台拦截地址: https:/XXXXXX/login/?app_id=maoyin&c_url=http%3A%2F%2Fdev.cnlm.com%3A8080 3、出现问题的原因: dev.cnm.com和dev.cnlm.com不一致导致的问题 ...
SpringMVC中拦截/和拦截/*的区别
东天里的冬天
01-20 168
一、我们都知道在基于Spring的Application中,需要在web.xml中增加下面类似的配置信息: 此处需要特别强调的是&lt;wbr&gt;&lt;/wbr&gt;/使用的是/,而不是/*,如果使用/*,那么请求时可以通过DispatcherServlet转发到相应的Action或者Controller中的,但是返回的内容,如返回的jsp还会再次被拦截,这样导致404错误,即访问不...
登录拦截器配置
xzh_blog
04-17 740
SpringMVC拦截器的实现一般有两种方式 第一种方式是要定义的Interceptor类要实现了Spring的HandlerInterceptor 接口 第二种方式是继承实现了HandlerInterceptor接口的类,比如Spring已经提供的实现了HandlerInterceptor接口的抽象类HandlerInterceptorAdapter HandlerIn...
React-router(10)登录拦截
qq20004604的博客
03-04 7902
10、登录拦截 DEMO地址 参考 8.needLogin.js 登录拦截说起来比较高大上,其实很简单。 需要组件: 登录功能组件; 受保护组件(需要登录后才能访问); 受保护组件的父组件(可选,如果 1 和 2 不是同一个路径,则需要,否则可以不需要)(用于进入受保护组件之前,检查登录信息,不符合要求则跳转到登录组件); 逻辑:(有父组件,登录和受保护组件不是同一个路径)...
Qt:Qt实现飞秋拦截助手—ARP攻击 完整项目代码
12-07
Qt:Qt实现飞秋拦截助手—ARP攻击 完整项目代码 https://blog.csdn.net/qq_29542611/article/details/84874367
使用shiro实现登录拦截(请求拦截)和用户认证(登录
kitahiragawa的博客
02-04 2823
上一篇已经将shiro和springboot整合起来了,这里就直接开始写功能了 一、登录拦截(请求拦截) 这个功能在shiro配置类里写,拦截哪些页面,什么情况下拦截拦截后要不要跳转,都写在注释里 @Configuration public class ShiroConfig { //ShiroFilterFactoryBean @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("secur
一句话总结,什么是权限控制(即登录控制)、拦截器
Ideality_hunter的专栏
11-29 2320
权限控制(即登录控制),就是判断用户请求的资源(即发起一个http url请求http://127.0.0.1:8080/testProject/authuser/add)是否合法: 如果合法,就,虽然一样会被拦截器拦截,但是不被拦截到其他http url(即让用户去登录登录界面),而是执行用户的原始请求。 如果不合法,就,被拦截器拦截,并其被拦截到其他http url(即让用户去登录登录
java-web实现拦截登录用户
TheB1stPR的博客
07-18 4132
java-web实现拦截登录用户
用户登陆 java后台处理(拦截器处理)
qq_25016071的博客
08-13 7864
用户登陆 java后台处理(拦截器处理) 上一篇用户登录java后台处理(AOP)文章,一开始的普通处理很麻烦,但是其本质也是通过请求得到的session来验证,拦截器处理也是在其本质上进行一系列的优化,也减少了不少了代码量。接下来我就介绍一下拦截器的实现原理,然后再附上我实现的拦截器。 SpringMVC 中的Interceptor 拦截器也是相当重要和相当有用的,它的主要作用是拦截
账号密码拦截器
qq_37321741的博客
06-25 655
vue实现登录拦截
10-15
在Vue.js中实现登录拦截是一项关键的功能,特别是在单页应用(SPA)中,它确保用户只能在验证身份后访问受限内容。本文将详细阐述如何在Vue项目中设计并实现登录拦截,以便保护用户的隐私并提升用户体验。 首先,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值