java 拦截器-用户无操作超时退出利用Redis

已于 2024-05-25 14:37:12 修改
阅读量298 收藏 1
点赞数 1
文章标签: java redis windows
于 2024-05-22 13:10:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41867674/article/details/139117373
版权

1、授权过滤,只要实现AuthConfigAdapter接口
2、利用Redis token超时时间,用户访问后台续时

效果
在这里插入图片描述

@Component
public class AuthFilter implements Filter {

    private static Logger logger = LoggerFactory.getLogger(AuthFilter.class);

    @Autowired
    private AuthConfigAdapter authConfigAdapter;

    @Autowired(required = false)
    private HttpHandler httpHandler;

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        List<String> excludePathPatterns = authConfigAdapter.excludePathPatterns();

        // 如果匹配不需要授权的路径,就不需要校验是否需要授权
        if (CollectionUtil.isNotEmpty(excludePathPatterns)) {
            for (String excludePathPattern : excludePathPatterns) {
                AntPathMatcher pathMatcher = new AntPathMatcher();
                if (pathMatcher.match(excludePathPattern, req.getRequestURI())) {
                    chain.doFilter(req, resp);
                    return;
                }
            }
        }

        String accessToken = req.getHeader("Authorization");
        String sysType = req.getHeader("SysType");
        if (StrUtil.isBlank(accessToken)) {
            logger.error("{} : {}", ResponseEnum.UNAUTHORIZED, req.getRequestURI());
            httpHandler.printServerResponseToWeb(ServerResponseEntity.fail(ResponseEnum.UNAUTHORIZED));
            return;
        }
        if(StrUtil.isBlank(sysType)){
            logger.error("{} : {}", ResponseEnum.UNAUTHORIZED, req.getRequestURI());
            httpHandler.printServerResponseToWeb(ServerResponseEntity.fail(ResponseEnum.UNAUTHORIZED));
            return;
        }

        // 校验token,并返回用户信息
        ServerResponseEntity<UserInfoInTokenBO> userInfoInTokenVoServerResponseEntity = TokenSecurity.checkToken(accessToken);
        if (!userInfoInTokenVoServerResponseEntity.isSuccess()) {
            logger.error("{} : {}", ServerResponseEntity.transform(userInfoInTokenVoServerResponseEntity), req.getRequestURI());
            httpHandler.printServerResponseToWeb(ServerResponseEntity.transform(userInfoInTokenVoServerResponseEntity));
            return;
        }
        if(userInfoInTokenVoServerResponseEntity.getData().getSysType() != Integer.parseInt(sysType)){
            httpHandler.printServerResponseToWeb(ServerResponseEntity.fail(ResponseEnum.UNAUTHORIZED));
            return;
        }
        AuthUserContext.set(BeanUtil.copyProperties(userInfoInTokenVoServerResponseEntity.getData(), UserInfoInTokenBO.class));

        try {
            chain.doFilter(req, resp);
        } finally {
            AuthUserContext.clean();
        }

    }
}


@Component
@RefreshScope
public class TokenSecurity {

    private static final Logger logger = LoggerFactory.getLogger(TokenSecurity.class);

    private static RedisTemplate<Object, Object> redisTemplate = null;

    private static StringRedisTemplate stringRedisTemplate;

    public TokenSecurity(RedisTemplate<Object, Object> redisTemplate, StringRedisTemplate stringRedisTemplate) {
        TokenSecurity.redisTemplate = redisTemplate;
        TokenSecurity.stringRedisTemplate = stringRedisTemplate;
    }


    public static ServerResponseEntity<UserInfoInTokenBO> checkToken(String accessToken) {
        ServerResponseEntity<UserInfoInTokenBO> userInfoByAccessTokenResponse = getUserInfoByAccessToken(accessToken, true);
        if (!userInfoByAccessTokenResponse.isSuccess()) {
            return ServerResponseEntity.transform(userInfoByAccessTokenResponse);
        }
        return ServerResponseEntity.success(userInfoByAccessTokenResponse.getData());
    }

    public static ServerResponseEntity<UserInfoInTokenBO> getUserInfoByAccessToken(String accessToken, boolean needDecrypt) {
        if (StrUtil.isBlank(accessToken)) {
            return ServerResponseEntity.showFailMsg("accessToken is blank");
        }
        String realAccessToken;
        if (needDecrypt) {
            ServerResponseEntity<String> decryptTokenEntity = decryptToken(accessToken);
            if (!decryptTokenEntity.isSuccess()) {
                return ServerResponseEntity.transform(decryptTokenEntity);
            }
            realAccessToken = decryptTokenEntity.getData();
        }
        else {
            realAccessToken = accessToken;
        }
        UserInfoInTokenBO userInfoInTokenBO = (UserInfoInTokenBO) redisTemplate.opsForValue().get(getAccessKey(realAccessToken));

        if (userInfoInTokenBO == null) {
            return ServerResponseEntity.fail(ResponseEnum.CLEAN_TOKEN);
        }
        String refreshToken = stringRedisTemplate.opsForValue().get(CacheNames.REFRESH_TO_ACCESS + userInfoInTokenBO.getMobile());
        if (StrUtil.isBlank(refreshToken)) {
            return ServerResponseEntity.fail(ResponseEnum.CLEAN_TOKEN);
        }
        // 存在则token续时7200秒
        redisTemplate.opsForValue().getAndExpire(getAccessKey(realAccessToken), 7200L, TimeUnit.SECONDS);
        return ServerResponseEntity.success(userInfoInTokenBO);
    }

    public static String getAccessKey(String accessToken) {
        return CacheNames.ACCESS + accessToken;
    }

    private static ServerResponseEntity<String> decryptToken(String data) {
        String decryptStr;
        String decryptToken;
        try {
            decryptStr = Base64.decodeStr(data);
            decryptToken = decryptStr.substring(0,32);
            // 创建token的时间,token使用时效性,防止攻击者通过一堆的尝试找到aes的密码,虽然aes是目前几乎最好的加密算法
            long createTokenTime = Long.parseLong(decryptStr.substring(32,45));
            // token的过期时间
            int expiresIn = getExpiresIn();
            long second = 1000L;
            if (System.currentTimeMillis() - createTokenTime > expiresIn * second) {
                return ServerResponseEntity.fail(ResponseEnum.TOKEN_ERROR);
            }
        }
        catch (Exception e) {
            logger.error(e.getMessage());
            return ServerResponseEntity.fail(ResponseEnum.TOKEN_ERROR);
        }

        // 防止解密后的token是脚本,从而对redis进行攻击,uuid只能是数字和小写字母
        if (!PrincipalUtil.isSimpleChar(decryptToken)) {
            return ServerResponseEntity.fail(ResponseEnum.TOKEN_ERROR);
        }
        return ServerResponseEntity.success(decryptToken);
    }

    private static int getExpiresIn() {
        // 3600秒
        int expiresIn = 3600;

        expiresIn = expiresIn * 24;

        return expiresIn;
    }
}
01传说
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
tomcat-cluster-redis-session-manager:Tomcat集群Redis会话管理器Java客户端
05-11
Tomcat集群Redis会话管理器 Redis会话管理器是可插入的。 它将会话存储到Redis中,以便在Tomcat服务器群集之间轻松分配HTTP请求。 在这里,会话被实现为非粘性的(意味着,每个请求都可以转到集群中的任何服务器,...
redis-streams-101-javaRedis Streams和Java入门
02-04
> cd redis-streams-101-java > mvn clean verify 跑 运行生产者 > cd redis-streams-101-java > mvn exec:java -Dexec.mainClass="com.kanibl.redis.streams.simple.RedisStreams101Producer" -Dexec.args="5" 运行...
Java后端长时间无操作自动退出实现方案
shy_1762538422的博客
12-26 3772
使用session(最优):设置session的过期时间,长时间(例如30分钟)无请求就会自动清除,达到长时间无操作自动退出的目的 server: port: 9201 session: timeout: 1800 使用拦截器: 实现思路:每次请求后台时,在拦截器中刷新session,设置session时间为30分钟,这样请求每次进来都会重新设置session的过期时间 ...
java web页面长时间未操作,自动退出到登录页面
xm的博客
03-09 4298
// 长时间未操作退出系统 start var lastTime = new Date().getTime(); var currentTime = new Date().getTime(); var timeOut = 30 * 60 * 1000; //设置超时时间: 30分钟,该数据建议在后台返回 $(function(){ /* 鼠标移动事件 */ $(document).mouseover(function(){ lastT
Spring Security OAuth2配置WebSecurityConfigurerAdapter及与ResourceServerConfigurerAdapter区别(三)
FAIRYTAIL的博客
08-26 5721
上一篇提到通常WebSecurityConfigurerAdapter (spring security的配置)和ResourceServerConfigurerAdapter会配合来对url进行访问控制,本篇通过示例细化一下它们两者的使用。
oauth2-实现单点登录(二)数据持久化
g_soledad的博客
10-27 705
接入mysql数据库 1. 创建数据库 创数据库oauth2,字符集utf8mb4, 执行数据库脚本:mysql脚本 2.引入依赖 加入mysql、mybatis、lombok(需要idea加入插件,不然会显示错误,不影响编译;如不需要,可以不引入再手动去实体类下 创建get/set) <dependency> <groupId>mysql</groupId> <artifactId>mysq
java封装response_java webserver-封装响应协议
weixin_35861265的博客
03-02 277
Response:public class Response {private BufferedWriter bw;private Socket client;private StringBuilder headInfo; //协议头包括状态行和请求头和回车private StringBuilder content;private int len=0; //正文的字节数private final ...
SpringSecurity Oauth2 - 07 整合Redis延长页面自动退出登录时间
你今天真好看呀
11-07 1061
获取全局的过期时长(该key永不过期,存储了延长页面自动退出登录的过期时长),用于延长页面退出登录的过期时间;延长控制页面退出登录的key的过期时间:当前时间+全局的过期时长;延长用户token页面过期时间:当前时间+全局的过期时长;刷新页面的登录状态;返回accessToken;如果key已经过期,则直接返回accessToken=null;/*** 从请求中提取 token。
狂神说Java-Redis笔记
qq_45344691的博客
03-28 1259
文章目录一、Nosql概述为什么使用Nosql?什么是NosqlNosql特点阿里巴巴演进分析Nosql的四大分类二、Redis入门概述环境搭建Windows安装Linux安装测试性能基础知识三、五大数据类型Redis-keyString(字符串)List(列表)Set(集合)Hash(哈希)Zset(有序集合)四、三种特殊数据类型Geospatial(地理位置)Hyperloglog(基数统计)BitMaps(位图)五、事务事务操作过程事务错误监控六、Jedis七、SpringBoot整合八、自定义Red
java面试题 -redis 2024最新版(四)
qq_15363475的博客
06-17 715
Redis是单线程的主要原因在于其高效的设计和对性能的极致追求。内存操作的高效性:Redis的所有数据都存储在内存中,这使得数据的读写速度非常快。由于内存操作的效率远高于磁盘操作,因此单线程足以处理大量的读写请求,而不会成为性能瓶颈。简化设计和实现:单线程模型简化了Redis的设计和实现。它避免了多线程编程中的竞态条件、锁的管理和上下文切换等复杂问题,降低了开发和维护的难度。避免上下文切换开销:在多线程模型中,线程之间的上下文切换会引入额外的开销。
Java填坑工程--Redis详解
宋先森的博客
08-19 392
Redis Sentinel、Redis Cluster、主从复制、redis命令
node-redis-connection-pool:Redis的node.js连接管理器
05-11
关于node-redis-connection-pool是高级Redis管理对象。 它管理池中的多个连接,根据需要使用它们,并将释放活动连接的所有方面保持在对象内部,因此用户无需担心忘记的连接会浪费资源。安装npm install redis - ...
magic-batch:演示项目-Java 8-Spring Boot-Redis
05-03
使用Java 8+构建,Spring Boot(2.0.3)Redis(3.0.4) 经过JUnit(4.12)和JMeter的测试 通过带有三个Spring配置文件(dev,qa,dk)的Spring Boot执行-假定mvn clean install dev Profile异步处理批处理并注销...
redis-mock-java:JavaRedis的内存中实现
05-07
地位安装专家< dependency> < groupId>org.rarefiedredis.redis</ groupId> < artifactId>redis-java</ artifactId> < version>0.0.5</ version></ dependency>用法去做线程安全RedisMock对象本身是完全线程安全的。...
配置Java开发环境
最新发布
Broken_x的博客
07-10 669
Java开发环境配置
关于static定义初始化块和静态变量以及初始化块的执行顺序问题
你我约定有三的博客
07-08 254
第二步:在类加载的时候,按照从上到下执行static修饰的代码,此时执行static Test2 test1 = new Test2(),也就是创建出一个名为test1的对象。第六步:此时除了main方法,所有由static修饰的代码全部执行完毕(static修饰的代码只执行一次),类初始化完成,开始执行main方法,main方法中只有一条语句(中的代码,此时输出aa以及a的值(由于第一步没赋初值,并且给了默认值为0 所以输出0)//首先输出a的值为10 然后输出bb,最后将a的值定义为11。
java Object 转 Integer
servepeople的博客
07-09 1151
Java 中,可以通过多种方法将一个Object转换为Integer。
springboot 整合spring-boot-starter-data-redis 操作redis6 geo
05-11
在Spring Boot中使用Spring Data Redis进行Redis Geo操作,需要在pom.xml文件中添加以下依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-starter-data-redis <groupId>redis....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

01传说

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值