后端——jwt+时间戳+责任链模式实现对外接口 统一返回格式|全局异常处理器|shiro自定义过滤器中抛出的异常进行全局处理

已于 2024-08-28 10:40:28 修改
阅读量324 收藏 3
点赞数 3
文章标签: java 责任链模式 springboot
于 2024-08-18 18:07:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61570366/article/details/141303130
版权

目录

TokenService——jwt工具类

责任链模式

创建责任链的认证接口

实现参数校验逻辑

责任链上下文

JwtAuthorizationFilter

ShiroConfig

GlobalExceptionHandler  全局异常处理器

参考连接

jwt+时间戳+责任链模式实现对外接口

需求:系统需要提供对外接口,客户可以通过接口获取我们系统的数据

方案:使用shiro+jwt,用户通过用户名和密码访问我们的登录接口/login获取token,访问其他api时携带token和timestamp(防止重放攻击)(注:对接口安全性要求高的可以另选其他方案)

TokenService——jwt工具类

@Component
public class TokenService {
    private static final Logger log = LoggerFactory.getLogger(TokenService.class);

    // 令牌自定义标识
    @Value("${token.header}")
    private String header;

    // 令牌秘钥
    @Value("${token.secret}")
    private String secret;

    // 令牌有效期(默认30)
    @Value("${token.expireTime}")
    private int expireTime;

    protected static final long MILLIS_SECOND = 1000;

    protected static final long MILLIS_MINUTE = 60 * MILLIS_SECOND;

    private static final Long MILLIS_MINUTE_TEN = 20 * 60 * 1000L;

    private static final long MILLIS_HOUR = 60 * MILLIS_MINUTE;

    /**
     * 创建token
     *
     * @param claims token的payload
     * @return token
     */
    public String createToken(Map<String, Object> claims) {
//        Map<String, Object> claims = new HashMap<>();
//        claims.put(Constants.TOKEN_CLAIM_USERNAME, userLoginInfo.getUserName());
//        claims.put(Constants.TOKEN_CLAIM_PASSWORD, userLoginInfo.getPassWord());
        return Jwts.builder()
                .setClaims(claims)
                //设置token过期时间,默认为2h
                .setExpiration(new Date(System.currentTimeMillis() + expireTime * MILLIS_HOUR))
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    /**
     * 解析token
     *
     * @param token
     * @return 存储用户账号密码的claim
     */
    public Claims parseToken(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (ExpiredJwtException e) {
            Claims claims = new DefaultClaims().setExpiration(new Date(System.currentTimeMillis()));
            return claims;
        } catch (Exception e) {
            return null;
        }
    }

    /**
     * 校验token
     *
     * @param token
     * @return true 有效, false 无效
     */
    public boolean validateToken(String token) {
        return parseToken(token) != null;
    }

    /**
     * 判断token是否过期
     *
     * @param token
     * @return
     */
    public boolean expired(String token) {
        return parseToken(token).getExpiration().before(new Date());
    }
}

责任链模式

创建责任链的认证接口

接口继承Order,然后责任链的结点实现以下接口后,spring容器注入bean时通过Order对责任链结点进行排序,这样很好的生成了责任链

public interface SecurityVerificationHandler extends Ordered {

    /**
     * 请求校验
     */
    void handler(HttpServletRequest request) throws Exception;
}

实现参数校验逻辑

/**
 * 责任链结点--参数校验
 */
@Component
public class ParamVerificationHandler implements SecurityVerificationHandler {
    @Override
    public void handler(HttpServletRequest request) throws ParamException {

        // 时间戳
//        if(StringUtils.isEmpty((String) request.getHeader(Constants.TIMESTAMP))){
//            throw new ParamException("参数" + Constants.TIMESTAMP + ": " + ErrorConstants.TIMESTAMP_NULL);
//        }

        // token
        if (StringUtils.isEmpty(request.getHeader(Constants.AUTHORIZATION))) {
            throw new ParamException("参数" + Constants.AUTHORIZATION + ": " + ErrorConstants.TOKEN_NULL);
        }
    }



    /**
     * 责任链结点的优先级,间隔尽量大,方便以后扩展
     * @return
     */
    @Override
    public int getOrder() {
        return 10;
    }
}
/**
 * 责任链结点--时间戳校验
 */
//@Component
public class TimestampVerificationHandler implements SecurityVerificationHandler {
    @Override
    public void handler(HttpServletRequest request) throws TimestampException {

        String timestamp = request.getHeader(Constants.TIMESTAMP);

        if(!validateTimestamp(timestamp)){
            throw new TimestampException("参数" + Constants.TIMESTAMP + ": " + ErrorConstants.TIMESTAMP_FORMAT_ERROR);
        }

        long diff = System.currentTimeMillis() - Long.parseLong(timestamp);

        if(diff < 0 || diff > Constants.REPLAY_ATTACK_INTERVAL){
            throw new TimestampException( ErrorConstants.REPLAY_ATTACK);
        }

    }

    /**
     * 判断时间戳格式
     * @param timestamp
     * @return
     */
    public boolean validateTimestamp(String timestamp) {
        long nowTime = System.currentTimeMillis();
        boolean flag = false;
        try {
            long l = Long.parseLong(timestamp);
        } catch (NumberFormatException e) {
            return false;
        }

        if (String.valueOf(nowTime).length() != timestamp.length()) {
            return false;
        }

        return true;
    }

    /**
     * 责任链结点的优先级,间隔尽量大,方便以后扩展
     * @return
     */
    @Override
    public int getOrder() {
        return 20;
    }
}
/**
 * 责任链结点--token校验
 */
@Component
public class TokenVerificationHandler implements SecurityVerificationHandler {

    @Autowired
    private TokenService tokenService;

    @Override
    public void handler(HttpServletRequest request) throws TokenException {

        String token = request.getHeader(Constants.AUTHORIZATION);

        if(!tokenService.validateToken(token)){
            throw new TokenException(ErrorConstants.TOKEN_UNVALIDEATED);
        }

        if(tokenService.expired(token)){
            throw new TokenException(ErrorConstants.TOKEN_EXPIRED);
        }

        Claims claims = tokenService.parseToken(token);
        String username = (String) claims.get(Constants.USERNAME);
        String password = (String) claims.get(Constants.PASSWORD);

        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken userToken = new UsernamePasswordToken(username, password);
        try {
            subject.login(userToken);
        } catch (Exception e) {
            throw new TokenException(ErrorConstants.TOKEN_UNVALIDEATED);
        }

    }

    /**
     * 责任链结点的优先级,间隔尽量大,方便以后扩展
     * @return
     */
    @Override
    public int getOrder() {
        return 30;
    }
}

责任链上下文

/**
 * 责任链上下文
 */
@Component
public class SecurityVerificationChain {

    private final List<SecurityVerificationHandler> securityVerificationHandlers;

    @Autowired
    public SecurityVerificationChain(List<SecurityVerificationHandler> securityVerificationHandlers) {
        this.securityVerificationHandlers = securityVerificationHandlers;
    }

    public void handler(HttpServletRequest request) throws Exception {
        // 责任链结点已按书序排列好,直接遍历,顺序校验
        for (SecurityVerificationHandler handler : securityVerificationHandlers) {
            handler.handler(request);
        }
    }

}

JwtAuthorizationFilter

用于shiro框架的自定义的jwt过滤器,大家可以自定义realm的逻辑,这里不展开了

public class JwtAuthorizationFilter extends AccessControlFilter {

    private SecurityVerificationChain securityVerificationChain = SpringUtils.getBean(SecurityVerificationChain.class);

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {


        // 异常
        Exception ex = null;

        try {
            securityVerificationChain.handler(WebUtils.toHttp(request));
        } catch (Exception e) {
            ex = e;
        }

        // 抛一个异常, 全局异常处理
        if (StringUtils.isNotNull(ex)) {
            HandlerExceptionResolver handlerExceptionResolver = (HandlerExceptionResolver) SpringUtils.getBean("handlerExceptionResolver");
            handlerExceptionResolver.resolveException(
                    WebUtils.toHttp(request),
                    WebUtils.toHttp(response),
                    null,
                    ex
            );
            return false;
        }

        return true;

    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        return false;
    }
}

ShiroConfig

记得将jwt过滤器配置到shiro里面哈

/**
 * Shiro配置类
 */
@Configuration
public class ShiroConfig {
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) {

        ShiroFilterFactoryBean shiroFilterBean = new ShiroFilterFactoryBean();

        shiroFilterBean.setSecurityManager(securityManager);

        // 配置自定义过滤器
        Map<String, Filter> filters = new LinkedHashMap<>();
        filters.put("jwtFilter", new JwtAuthorizationFilter());
        shiroFilterBean.setFilters(filters);

        //配置路径过滤器  anon 无需登陆验证,直接访问; acthc 访问需要进行登录验证z`
        Map<String, String> filterMap = new LinkedHashMap<>();

        // ......

        filterMap.put("/**", "jwtFilter");

        shiroFilterBean.setFilterChainDefinitionMap(filterMap);

        return shiroFilterBean;
    }

}

GlobalExceptionHandler  全局异常处理器

@RestControllerAdvice
public class GlobalExceptionHandler {

    //日志打印类
    private static final Logger LOGGER = LoggerFactory.getLogger(ExceptionCatch.class);

    // ParamException异常类
    @ExceptionHandler(ParamException.class)
    public ResponseResult customException(ParamException e){

        //打印日志
        LOGGER.error("catch exception : {}\r\nexception: ",e.getMessage(), e);

        return ResponseResult.error(e.getMessage());
    }

    // ParamException异常类
    @ExceptionHandler(TimestampException.class)
    public ResponseResult customException(TimestampException e){

        //打印日志
        LOGGER.error("catch exception : {}\r\nexception: ",e.getMessage(), e);

        return ResponseResult.error(e.getMessage());
    }



    // token异常类
    @ExceptionHandler(TokenException.class)
    public ResponseResult customException(TokenException e){

        //打印日志
        LOGGER.error("catch exception : {}\r\nexception: ",e.getMessage(), e);

        return ResponseResult.error(401, e.getMessage());
    }

    // 其他异常
    @ExceptionHandler(Exception.class)
    public HttpResult customException(Exception e){

        //打印日志
        LOGGER.error("catch exception : {}\r\nexception: ",e.getMessage(), e);

        //创建响应类,也就是最终传给页面的数据
        HttpResult response = HttpResult.error(e.getMessage().toString());

        return response;
    }

}

参考连接

结语:这个方案实现了简单的token+timestamp+责任链设计的对外接口设计,比较简陋,大家可以尝试更好的解决方案

罗帅·迪克劳纳
关注
参数传递机制之JWT
三角室专栏
07-02 1089
1. 什么是 JWT JWT 其全称为:JSON Web Token,简单地说就是 JSON 在 Web 上的一种带签名的标记形式。官方的定义如下: JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties. 即:J...
Java系列技术之安全框架Shiro
12-31
在SSM基础下整合使用安全框架Shiro,本课将设计导Spring和Shrio整合起来应用的核心知识点都讲到了,学习本课后能够在项目将Shro用起来。
JWT登录验证,创建Token,设置Token过期时间
lzm19930310的博客
11-11 1万+
JWT登录验证Token,创建Token,设置登录过期时间创建Token工具类创建自定义注解配置拦截编写自定义拦截 创建Token工具类 public class TokenUtil { /** * 解析Token 解析Token 传换成Clasims类 * @param token * @return */ public static Claims parseToken(String token){ try { Claims claims = Jwts.parser()
JWT生成token总结
唐震宇的博客
04-30 2866
学而时习之,不亦说乎。Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 JWT的请求流程如下: 1. 用户使用账号和面发出pos...
关于 JWT的token自动刷新和JWT的可控性的问题
qq_41609488的博客
07-26 1026
问题:如果用户一直在操作,那么就不能让token自动过期了,而应该自动刷新 还有如果用户在另一个地方重新登录,那么前一个登录的token应该失效而不能继续使用 这里原本用JWT就是想使用无状态登录,可是如果完全无状态登录,首先间字段如果要保存用户ID等信息就暴露了部分信息,其次完全无状态服务端就对其不可控,而且也不能自动刷新,到时间就过期了,所以考虑后还是需要解决这些问题 解决办法: 关于Redis保存RefreshToken信息(做到JWT的可控性) 登录认证通过后返回AccessToken信息(在
Shiro(四) Shiro+JWT实现后端分离的权限管理
Hello World!
11-05 1080
Shiro(四) Shiro+JWT实现后端分离的权限管理:两种实现方案...
springboot+shiro+jwt+redis+cache实现无状态token登录(完美好文章!!)
HD243608836的博客
04-19 2117
转载自:https://blog.csdn.net/stilll123456/article/details/88370355 原文原博主已重新整理到如下个人博客: SpringBoot整合shiro+jwt+redis - 无状态token登录(一)总览篇SpringBoot整合shiro+jwt+redis - 无状态token登录(二)授权篇SpringBoot整合shiro+jwt+redis - 无状态token登录(三)鉴权篇 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权
m0_67391401的博客
04-26 838
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 文章目录 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 一、引言 二、相关说明 三、项目准备配置 四、实现颁发token 4.1. 配置Redis:RedisConfig 4.2. 编写工具类 4.3. 编写登录接口:LoginController 五、实现Shiro授权 5.1. 重写过滤器JWTFilter 5.2. Shiro配置:MyShiroConfig
SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (一) 简介与配置
bai_ye_的博客
07-03 3108
项目Github地址:https://github.com/baiye21/ShiroDemo 一,大体功能 1.登录成功返回access_token 用户通过用户密码进行login,验证成功后生成一个access_token返回给前端,之后的请求都需要将access_token放在Request Header部Authorization字段,才能正常访问。 2.后续请求需携带access_token 将自定义JwtFilter拦截加入到了Shiro过滤器,没有在过滤...
SpringBoot集成shiro+redis+jwt实现无状态授权验证
热门推荐
liangshitian的博客
01-03 3万+
前言 1.放弃Cookie,Session,使用JWT进行鉴权,完全实现无状态鉴权。 2.JWT密钥支持过期时间;jwt作为创建验证token工具,并选择一种验证方式与算法。 3.使用redis做缓存处理,缓存token等等登录信息,以实现单点登录与超时登录功能。 4.密码加密(采用AES-128 + Base64的方式)。 5.根据RefreshToken自动刷新AccessToken...
jwt+shiro+redis实现token的自动刷新和token的可控性
zhuzi的博客
08-17 6605
文章目录一、为何要使用jwt+shiro+redis二、AccessToken和RefreshToken2-1. Shiro + JWT实现无状态鉴权机制2-2. 关于AccessToken及RefreshToken概念说明2-3. 关于Redis保存RefreshToken信息(做到JWT的可控性)2-4. 关于根据RefreshToken自动刷新AccessToken三、导入依赖并配置四、配置redis和实现redisUtil1.配置redis2、RedisUtil五、封装token六、编写JwtUt
SpringBoot集成shiro+redis+jwt多realm实现登录(支持密码、免密校验、多用户表校验)
liangshitian的博客
09-11 3886
本篇文章主要介绍 Shiro多realm,根据不同的登录类型指定不同的 realm。由于项目上需要支持原有的sys_user系统用户做登录验证,又要加上现在需要做微信端sys_wx_user的用户验证。实现的思路就是需要前端在请求头里加一个loginType字段来区分当前登录使用那个realm去做认证。而且这个多realm还可以做密码和免密校验。 1、目前需要两个Realm,第一个是默认的系统认证(DefaultUserRealm.java) 这里和正常的shiro认证逻辑一致,主要是验证sys_us.
项目总结-05-技术 -2.实战整理SpringBoot+Shiro+jWT(token)实现用户管理登录认证和鉴权
qq_38348952的博客
10-22 2033
***#一、实战整理SpringBoot使用ShiroJWT做认证和鉴权整体大纲简介: *#1.需求 1.1需求:1)实现用户通过用户名和密码正常登录以及异常检测;2)登录后通过http header返回token;3)每次请求其他接口时,客户端需通过header将token带回,用于登录身份校验;4)服务端负责token的定期刷新,刷新后新的token仍然放到header返给客户端;5)通过用户-角色-权限配置当前用户的权限,实现菜单权限和接口权限的校验;6)实现账户管理和角色管理的增删改查以及关联
jwttoken 解析和时间戳的转换
yz18931904的博客
03-23 942
1、开发工具箱 - JWT 在线解密 (box3.cn) 2、在线时间戳转换工具 (beijing-time.org)
工厂模式的介绍及实现
最新发布
户伟伟的博客
09-25 102
工厂模式(Factory Pattern)是一种创建型设计模式,提供了一种创建对象的接口,而无需显式指定对象的具体类。在这种模式,我们通过定义一个工厂类,专门负责生产各种类型的对象,这样我们可以避免直接在代码实例化具体类,使代码更具扩展性、灵活性和维护性。解耦:客户端代码与具体的类解耦,避免了对象创建逻辑的重复。简化对象创建:通过工厂统一管理对象的创建逻辑,使代码更清晰易懂。扩展性强:新增类时,只需在工厂增加创建逻辑,而不必修改现有的业务代码。
Spring Boot 学习和使用
cesske的博客
09-24 1027
Spring Boot是一款开源的Java Web应用框架,旨在简化Spring应用的初始搭建以及开发过程。Spring Boot通过整合Spring技术栈的诸多关键组件,为开发者提供了一种快速、简便的Spring应用开发方式。它遵循“约定优于配置”的原则,通过自动配置、起步依赖和内置的Servlet容,极大地简化了传统Spring应用的配置和部署过程。Spring Boot通过其自动化配置、起步依赖、内嵌服务等特性,极大地简化了Spring应用的开发和部署过程。
SpringBoot+JWT+Shiro+MybatisPlus:构建高效Restful后端快速开发框架
Shiro在本项目用于实现细粒度的权限控制,通过自定义注解如@Pass和@CurrentUser,实现按需认证和获取当前登录用户,同时在Controller层集处理异常,增强了系统的安全性。 JWT被用来确保API的安全性,它的JSON...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值