javaWeb之登录校验-令牌技术

最新推荐文章于 2024-07-22 15:19:55 发布
最新推荐文章于 2024-07-22 15:19:55 发布
阅读量598 收藏 17
点赞数 7
文章标签: servlet 前端 json intellij idea java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdg_advance/article/details/139860301
版权

会话技术

会话:用户打开浏览器,访问web服务器,会话建立。直到一方断开连接,会话结束。一次会话可以包含多次请求。

会话跟踪:一种维护浏览器状态的方法。服务器需要识别多次请求是否来自同一浏览器,使同一会话的多次请求可以共享数据

会话跟踪方案:Cookie、Session、令牌技术  

JWT令牌技术

作用

        在通信双发安全的传输json数据格式的信息。

组成

        第一部分:header(头):记录令牌类型、签名算法。

        第二部分:payload(有效荷载),携带自定义信息、默认值等。

        第三部分:Signature(签名),防止Token被篡改。(将header、payload和指定的密钥,通     过指定的签名算法而来)

header和payload都是通过把Base64而来。

Base64:是一种基于64个可打印字符(A-Z  a-z  0-9  +  /)来表示二进制数据的编码方式。

JWT应用场景:登陆认证

        (1)登录成功后,生成令牌

        (2)后续每个请求都要携带JWT令牌,服务器每次收到请求之前,先校验令牌。在controller层生成令牌,响应给前端。

注:如果JWT令牌解析校验报错,则JWT令牌 被篡改或者失效了。

在生成令牌之前,需要先引入依赖:

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
    @PostMapping("/login")
    public Result login(@RequestBody Emp emp) {
        log.info("登陆成功。。");
        Emp e = loginServer.login(emp);
        if (e != null) {
            Map<String,Object> map = new HashMap<>();
            map.put("id",e.getId());
            map.put("name",e.getName());
            map.put("password",e.getPassword());
            String jwt = JwtUtils.generateJwt(map);
            return Result.success(jwt);
        }
        return Result.error("用户名或密码错误");
    }

过滤器Filter

使用步骤

1、定义Filter。定义一个类,实现Filter类,重写其方法

2、配置Filter。Filter类上加上@WebFilter注解,主类(引导类)上加上@ServletComponentScan开启Servlet组件支持。

@ServletComponentScan
@SpringBootApplication
public class TliasApplication {
    public static void main(String[] args) {
        SpringApplication.run(TliasApplication.class, args);
    }
}
Filter拦截路径

如:@WebFilter(urlPatterns = "/*")

过滤器链

一个web应用中,可以配置多个过滤器,形成一个过滤器链。过滤器的优先级是按照过滤器名的自然排序。(字典排序)

登录校验Filter-流程

              

Filter代码实现
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.76</version>
        </dependency>
import anli.utils.JwtUtils;
import com.alibaba.fastjson.JSONObject;
import anli.Pojos.Result;

import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;

import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import java.io.IOException;

@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;

        //1.获取请求url。
        String url = req.getRequestURL().toString();
        log.info("请求的url: {}",url);

        //2.判断请求url中是否包含login,如果包含,说明是登录操作,放行。
        if(url.contains("login")){
            log.info("登录操作, 放行...");
            chain.doFilter(request,response);
            return;
        }

        //3.获取请求头中的令牌(token)。
        String jwt = req.getHeader("token");

        //4.判断令牌是否存在,如果不存在,返回错误结果(未登录)。
        if(!StringUtils.hasLength(jwt)){
            log.info("请求头token为空,返回未登录的信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换 对象--json --------> 阿里巴巴fastJSON
            String notLogin = JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);
            return;
        }

        //5.解析token,如果解析失败,返回错误结果(未登录)。
        try {
            JwtUtils.parseJWT(jwt);
        } catch (Exception e) {//jwt解析失败
            e.printStackTrace();
            log.info("解析令牌失败, 返回未登录错误信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换 对象--json --------> 阿里巴巴fastJSON
            String notLogin = JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);
            return;
        }

        //6.放行。
        log.info("令牌合法, 放行");
        chain.doFilter(request, response);

    }
}

拦截器Interceptor

拦截器使用步骤

1、定义拦截器,实现HandlerInterceptor接口,重写方法。

2、配置拦截器

配置拦截器需要在HandlerInterceptor类加上@Component

定义配置类
import com.itheima.interceptor.LoginCheckInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration //配置类
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private LoginCheckInterceptor loginCheckInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**").excludePathPatterns("/login");
    }
}
实现拦截器

        拦截器也用过滤器实现的,需要包含过滤器的配置。

import com.alibaba.fastjson.JSONObject;
//import Result;
//import JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Slf4j
@Component
public class LoginCheckInterceptor implements HandlerInterceptor {
    @Override //目标资源方法运行前运行, 返回true: 放行, 放回false, 不放行
    public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {
        //1.获取请求url。
        String url = req.getRequestURL().toString();
        log.info("请求的url: {}",url);

        //2.判断请求url中是否包含login,如果包含,说明是登录操作,放行。
        if(url.contains("login")){
            log.info("登录操作, 放行...");
            return true;
        }

        //3.获取请求头中的令牌(token)。
        String jwt = req.getHeader("token");

        //4.判断令牌是否存在,如果不存在,返回错误结果(未登录)。
        if(!StringUtils.hasLength(jwt)){
            log.info("请求头token为空,返回未登录的信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换 对象--json --------> 阿里巴巴fastJSON
            String notLogin = JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);
            return false;
        }

        //5.解析token,如果解析失败,返回错误结果(未登录)。
        try {
            JwtUtils.parseJWT(jwt);
        } catch (Exception e) {//jwt解析失败
            e.printStackTrace();
            log.info("解析令牌失败, 返回未登录错误信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换 对象--json --------> 阿里巴巴fastJSON
            String notLogin = JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);
            return false;
        }

        //6.放行。
        log.info("令牌合法, 放行");
        return true;
    }

    @Override //目标资源方法运行后运行
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("postHandle ...");
    }

    @Override //视图渲染完毕后运行, 最后运行
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("afterCompletion...");
    }
}

sdg_advance
关注
  • 7
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java实现登录token令牌
我是老伯的博客
03-19 1万+
用户信息登录使用token令牌,使得用户有单独得信息
java令牌验证使用token和redis实现思路
Linlietao0587的博客
01-26 3535
一个标准项目中,会有拦截器!既然有拦截器,就有它放行规则。这里说一下,放行的规则使用到uuid生成token,然后把token,存放在redis中。前端访问时,带上token请求头。响应回来,把token存在本地中,以备下次使用! 1、生成Token令牌 String token=UUID.randomUUID()+""; 使用到UUID,因为他具有唯一性 2、存入Redis中 redisTemplate.opsForValue().set(token,user,Duration.ofMinute.
java实现后端身份验证的Token令牌
云先生呀
01-16 1万+
java实现后端身份验证的Token令牌 写在前面的话: 蒽,Token是一个什么东西?那我们为什么要用它? Token:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端的请求只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 使用Token的目的:Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。 同时在分布式中我们会选用Token来身份验证,而不是
JAVA 用户登录后token验证
fangjun_lj的博客
08-04 1万+
本文章是利用restful接口调用登录接口 一、登录接口实现返回token (1)controller层 //登录接口 @RequestMapping(value = "/selectUserInFo", method = RequestMethod.POST,produces = "application/json;charset=UTF-8") @ApiOpera...
Java应用程序 身份认证与授权机制(二)
xhh198781的专栏
10-09 1万+
认证概述 本章中,我们将集中讨论 JAAS 中的认证元素。我们将从描述简单的登录和认证过程开始,它将为您提供 JAAS 认证体系结构的高级别视图。接着,我们将详细讨论体系结构的每一部分。本章结束时,您将有机会仔细地研究两个登录模块的代码。 如果您还没有下载本教程的源代码,
java中Token验证
热门推荐
huqingpeng321的博客
10-23 3万+
什么是Token:它是一个令牌,随机不可预测的。 为什么需要使用Token: 1,防止表单的重复提交 2:,防止跨站点的请求伪造 Token的使用流程是:首先在服务器端生成一个随机的token值并在服务器端保存起来,然后向客户端请求的过程中把这个Token值传过去。之后页面操作完毕后向服务器提交数据的过程中又把这个Token值传回服务器端,同时比较这个Token值是否已经存在于服务器端,若存
JAVA后端生成Token(令牌),用于校验客户端,防止重复提交
致虚极POLE守静笃
02-27 1万+
JAVA后端生成Token(令牌),用于校验客户端,防止重复提交1.概述:在web项目中,服务端和前端经常需要交互数据,有的时候由于网络相应慢,客户端在提交某些敏感数据(比如按照正常的业务逻辑,此份数据只能保存一份)时,如果前端多次点击提交按钮会导致提交多份数据,这种情况我们是要防止发生的。2.解决方法:①前端处理:在提交之后通过js立即将按钮隐藏或者置为不可用。②后端处理:对于每次提交到后台的数...
Token的生成和验证--Java
qq_30059235的博客
05-17 8890
遇到了token验证的需求,然后下了一个demo,因为我只用到了token的生成和验证,所以根据自己的需求整理了一下,原版demo下载:http://download.csdn.net/detail/qierkang/9792660 1. 加密工具类,XXTEAUtil import org.apache.commons.codec.binary.Base64; public class XXTE
令牌的生成和验证工具类
zxc_helloworld的博客
09-06 897
package cn.sdut.util; import java.util.UUID; import javax.servlet.http.HttpServletRequest; public class TokenUtil { private TokenUtil(){ } // 生成令牌 public static void saveToken(HttpServletReq
java接口令牌_关于java:KeyCloak用户验证和获取令牌
weixin_27734811的博客
02-24 1401
首先,我对Keycloak非常陌生,请问如果我要问的问题可能是错的。我已经安装了Keycloak服务器,并且可以使用以下命令访问Web UI:http:// localhost:8008 / auth我的要求是通过将其传递给k来验证领域用户Keycloak API并从那里获取令牌作为响应,然后将此令牌传递给我的其他Web API调用。但是我找不到关于如何执行此操作的简单指南...更新:从KEYCL...
Java应用程序的令牌认证
最佳 Java 编程
06-03 252
建筑物身份管理,包括身份验证和授权? 尝试Stormpath! 我们的REST API和强大的Java SDK支持可以消除您的安全风险,并且可以在几分钟内实现。 注册 ,再也不会建立auth了! 2016年5月12日更新:构建Java应用程序? JJWT是一个Java库,由我们自己的Les Hazlewood开发,提供端到端JWT的创建和验证。 JJWT永久免费且开源(Apache许可证...
JAVA】基于Token的用户验证
逛街的喵啊
07-23 1万+
背景 传统的用户验证是基于session自身的特性实现,当用户提交登陆请求,后台验证通过后,会在session中留下用户的信息,用于识别当前用户在客户端登陆了。通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。因为认证的记录是保存在内存中,意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。......
java api安全验证_Web API安全和身份验证 - 承载令牌
weixin_42318712的博客
02-16 153
我正在努力学习Web API和API的方法 .这时,我正在调查身份验证 .我知道有几种方法可以进行API身份验证和授权 . 最常见的似乎是不记名令牌 .我也看到了SAML,我也知道x509(从我的WCF时代开始) .我今天想谈谈不记名令牌 . 承载令牌作为标头传递 . Headers 未加密可能没有加密?因此,有人可能会 grab 所述标记并在未经同意的情况下冒充用户 . 这是我对持有人令牌的看...
java 令牌_java – 获取访问令牌需要身份验证(不允许匿名)
weixin_42515376的博客
02-16 996
这篇文章差不多两年了.Authentication auth = SecurityContextHolder.getContext().getAuthentication();if (auth instanceof AnonymousAuthenticationToken) {if (!resource.isClientOnly()) {throw new InsufficientAuthenti...
Java 使用Token令牌防止表单重复提交
cuiyaoqiang的博客
03-23 1万+
Java 使用Token令牌防止表单重复提交的步骤: - 在服务器端生成一个唯一的随机标识号,专业术语称为Token(令牌),同时在当前用户的Session域中保存这个Token。 - 将Token发送到客户端的Form表单中,在Form表单中使用隐藏域来存储这个Token,表单提交的时候连同这个Token一起提交到服务器端。 - 在服务器端判断客户端提交上来的Token与服务器端
前端面试题日常练-day97 【Less】
qq_44640575的博客
07-20 430
border-radius()函数用于在Less中生成圆形边框效果。通过设置border-radius()函数,我们可以为元素的边框添加圆角效果,使边框呈现圆形的外观,从而美化页面元素的边框样式。
python爬虫基础——Webbot库介绍
最新发布
qq_56262770的博客
07-22 606
Webbot是一个专为Python设计的库,用于简化网页自动化任务。它基于Selenium WebDriver,提供了一系列高级接口,使自动化任务更加直观和易于管理。Webbot库的设计理念是将复杂的网页交互抽象为简单的API调用,从而减少开发者在编写自动化脚本时的工作量。Webbot库的核心功能包括自动化表单填写、点击操作、数据抓取等,同时支持处理JavaScript渲染的页面和模拟用户行为。这些功能使得Webbot库成为自动化测试、数据收集和网页监控等领域的理想选择。
LG 选择 Flutter 来增强其智能电视操作系统 webOS
恋猫de小郭的博客
07-17 1788
总的来说,LG 是 Flutter 在 TV 领域的一次新的尝试,并且它是在脱离了 Android 平台的场景下实现的支持,虽然 webOS 并不是什么流行的系统,但是这也体现出了 Flutter 的特点:可以用较低的成本实现较好性能的跨平台。后续,在 LG 的主导下,WebOS 经过进一步修改,转变为智能电视操作系统,于是 WebOS TV 就诞生了,此后 LG 的 TV 基本路线定为 webOS ,在应用层面,WebOS TV 以基于 Web 的技术为基础。然后 LG 为什么选择 webOS?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值