jwt 如何防止token被拦截_JWT token 拦截器 进行 可拦可不拦处理

最新推荐文章于 2024-06-24 11:08:33 发布
最新推荐文章于 2024-06-24 11:08:33 发布
阅读量884 收藏
点赞数
文章标签: jwt 如何防止token被拦截
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29213525/article/details/111950051
版权
本文讲述了在JWT验证中如何处理可拦截也可不拦截的情况。针对一个需求,即用户登录后显示收藏状态,未登录时不显示,原有的登录验证拦截器无法满足条件。解决方案是新增一个JWT Middle注解,允许登录或未登录的用户都能发起请求,但登录用户会进行token验证。当方法带有这个注解时,如果用户已登录,则进行token验证,否则跳过验证步骤。
摘要由CSDN通过智能技术生成

记得公司之前有过这么一个需求, 搜索全部文件时, 用户登录了文件的收藏状态就显示出来, 用户没登录时就不显示. 不管登没登陆都可以查询搜索, 只是其收藏状态显示不显示.当时token验证拦截器 是忽略带有不用登陆注解的方法, 其余的都需要进行登录token验证. 这时候现有注解就不能满足条件了. 新增一个注解, 让他可登不可登都可以.

token验证拦截器(JwtInterceptor)

// 带JwtMiddle注解的请求,可登不可登都可以, 登录了则进行token验证, 验证成功将lastToken赋值,没登录lastToken 为 null

if (handler instanceof HandlerMethod) {

HandlerMethod handlerMethod = (HandlerMethod) handler;

JwtMiddle jwtMiddle = handlerMethod.getMethodAnnotation(JwtMiddle.class);

if (jwtMiddle != null) {

if (StringUtils.isNotBlank(authHeader) && authHeader.startsWith(JwtTokenUtil.TOKEN_PREFIX)) {

// 获取token

final String token2 = authHeader.substring(7);

String userId = JwtTokenUtil.getUserId(token2, audience.getBase64Secret());

ValueOperations valueOperations = redisTemplate.opsForValue();

Object rToken = valueOperations.get(userId);

if (token2.equals(rToken)) {

lastToken = token2;

}

} else {

lastToken = null;

}

return true;

}

}

JWT验证可拦可不拦注解

/**

* JWT验证可拦可不拦注解

*/

@Target({ElementType.METHOD})

@Retention(RetentionPolicy.RUNTIME)

@Documented

public @interface JwtMiddle {

}

李祥JasonLee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt如何防止token被窃取_JWT令牌
weixin_39678163的博客
12-03 2580
6.3.1 JWT介绍通过上边的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能 。解决上边问题:令牌采用JWT格式即可解决上边的问题,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,...
jwt如何防止token被窃取_SpringBoot系列之前后端接口安全技术JWT
weixin_39847437的博客
11-22 6140
作者|smileNicky来源 |cnblogs.com/mzq123/p/13278935.html1.什么是JWT?JWT的全称为Json Web Token (JWT),是目前最流行的跨域认证解决方案,是在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),JWT 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的W...
springboot拦截器的使用以及JWT忽略token
taiguolaotu的博客
09-14 4934
上代码 public class JWTInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { Map<Object, Object> map = new HashMap&lt
JWT,过滤器拦截器,全局异常处理,事务处理,AOP合集
最新发布
lonelyYuan的博客
06-24 772
depts/** /depts的任意级路径 能匹配/depts/1/2,不能匹配/emps/1。/depts/* 可以匹配/depts的下一级路径 能匹配/depts/1,不能匹配/depts/1/2,不能匹配/depts。先执行类名靠前的放行前逻辑,然后放行,再执行靠后的过滤器逻辑再放行,当请求到达web资源之后返回来先执行类名靠后的放行后逻辑,再执行靠前的放行后逻辑。返回值 包名.类名?
jwt如何防止token被窃取_在吗?认识一下JWT(JSON Web Token)?
weixin_39830588的博客
11-21 1219
什么是JSON Web Token ?官网介绍:JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。尽管可以对JWT进行加密以在各方之间提供保密性,但我们将...
springboot生成token,并拦截token(注册时不拦截)
热门推荐
大海无量的博客
09-13 2万+
1.生成token 用户注册时: //把用户信息插入到表中,返回用户信息,有用户的id,根据id,采用addLoginTicket方法生成token  String ticket = addLoginTicket(39); //ticket=e75932bb92904defa98e13a8aad860b2 public String addLoginTicket(int userId){...
asp.net core 集成JWT
dotNET跨平台
06-14 3795
【什么是JWT】  JSON Web TokenJWT)是目前最流行的跨域身份验证解决方案。  JWT的官网地址:https://jwt.io/  通俗地来讲,JWT是...
grpc-demo:java版grpc 示例,使用拦截器实现了token认证
05-16
6. **安全性考虑**:除了拦截器,还应考虑其他的安全性措施,如使用HTTPS加密通信,定期更新密钥,以及对JWT token的有效期进行管理,防止token被恶意使用。 7. **测试与调试**:在开发过程中,可以编写单元测试和...
vue下axios拦截器token刷新机制的实例代码
11-21
在本例中,有两个拦截器,一个用于处理请求(`request.interceptors`),另一个用于处理响应(`response.interceptors`)。 2. **token过期检查**:`isTokenExpired`函数用于判断当前的token是否已过期。它解析存储...
基于springboot+jwt实现刷新token过程解析
08-19
拦截器中,我们使用JwtUtil.verify()方法来验证Token的有效期,如果 Token 已经过期,则重新登录。 优点和缺点 在线刷新Token的方式可以实时刷新Token,提高了系统的安全性。但是,这种方式需要频繁地访问Redis,...
springboot + jwt + websocket + 拦截
09-02
3. **拦截WebSocket连接**:为了增强安全性,可以使用Spring的WebSocket消息拦截器(WebSocketMessageBrokerConfigurer)来拦截WebSocket连接请求,对JWT进行验证,只有当JWT有效时才允许建立WebSocket连接。...
关于使用注解设置token拦截
u012929855的博客
06-07 3428
先说一下这样子做的原理:将某一个注解配置在方法头部,在spring实例化的时候会将注解以切面的形式注入给方法,在拦截的地方判断当前方法有没有注入指定的注解类。1.先声明一个注解类(类中不需要做任何逻辑操作)@Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface Tok...
springboot entity date_SpringBoot+JWT实战(附源码)
weixin_39820136的博客
11-26 114
在阅读本文之前,我们还应该对session、cookie、JWT有一个基本的了解。在本篇文章中小码仔不再对它们做出过多赘述,如果对这三者认识还不够清晰的小可爱可以先移步这里:看完这篇 Session、Cookie、Token,和面试官扯皮就没问题了对其做基本的了解和认识。如果你已对以上三者有了的基本概念和了解,但是对于JWT的使用还充满疑问的话,那么本篇文章就是为你而写。本文我们将使用Spring...
jwt如何防止token被窃取_Token令牌不是后端万能解药!8个漏洞,有1个你就得爬起来加班了...
weixin_39849054的博客
12-03 1万+
“日防夜防,家贼难防。”“打铁还需自身硬!”养成铁的纪律,有助于铸造坚固的城池。本文从八个方面全面排查你的令牌系统。1 - ​注意OAuth凭据的泄漏你把应用程序代码推到GitHub了?OAuth应用程序凭据是否也存储在仓库里,特别是客户端密码?这可是当今头号凭据泄漏来源。如果那些凭证被窃取了,任何人都可以冒充你。如果你察觉凭据可能已被破坏,请立即重新生成。2 - 不要在应用程序中硬编码令牌为了长...
jwt如何防止token被窃取_Refresh Token的使用场景以及如何与JWT交互
weixin_39802020的博客
12-03 1808
介绍现代的认证或者授权的解决方案已经将token引入到了协议当中。token是 一种特殊的数据片段,用来授权用户执行特定的操作,或允许客户获得关于授权过程的额外信息(然后完成)。换句话说,令牌是允许授权过程执行的信息。该信息 是否可由客户端(或授权服务器以外的任何方)读取或解析,由该实现定义。重要的是:客户端获取这些信息,然后用来获取特定的资源。JSON Web Token(JWT)规范定义了一种...
jwt如何防止token被窃取_Spring Cloud中如何保证各个微服务之间调用的安全性(上篇)...
weixin_39821605的博客
11-23 957
首先为自己打个广告,我目前在某互联网公司做架构师,已经有5年经验,每天都会写架构师系列的文章,感兴趣的朋友可以关注我和我一起探讨,关注我,免费分享Java基础教程,以及进阶的高级Java架构师教程,全部免费送一.背景微服务架构下,我们的系统根据业务被拆分成了多个职责单一的微服务。每个服务都有自己的一套API提供给别的服务调用,那么如何保证安全性呢?不是说你想调用就可以调用,一定要有认证机制,是我们...
java不同项目加token访问_SpringBoot:基于JWTtoken校验、单点登录等
weixin_39757739的博客
11-07 424
前言用户鉴权一直是我先前的一个问题,以前我用户接口鉴权是通过传入参数进行鉴权,只要是验证用户的地方就写token验证,虽然后面也把token验证方法提取到基类中,但是整体来说仍然不是太雅观,当时的接口如下所示.@RequestMapping(value = "like",method = RequestMethod.POST) public ResultMap userLikeOrDisL...
JWT,springboot整合JWT完成token的验证,token的使用,token做接口拦截
你走过的路 风都是暖的
11-07 2354
昨天公司新开发的一个项目,后台用的jwt完成token的验证。 首先,介绍一下什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).**定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。**因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名 JWT请求流程 1. 用户使用账号和面发出post请求; 2. 服务器使用私钥...
参数幂等性校验失败_幂等性如何实现,带你了解一波!!!
weixin_39614877的博客
12-22 431
导读文章转载自现在这个时代大家可能最关心的就是钱了,那么有没有想过你银行转账给你没有一次是转多的,要么失败,要么成功,为什么不能失误一下多转一笔呢?醒醒吧年轻人,别做梦了,做银行的能那么傻x吗?今天我们就来谈一谈为什么银行转账不能多给我转一笔?关乎到钱的问题,小伙伴们打起精神!!!要想要理解上述的疑惑,不得不提的一个概念就是幂等性,至于什么是幂等性,如何通过代码实现幂等性,下面将会详细讲述。什么是...
jwttoken拦截器
09-05
JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全方法。在使用JWT时,可以使用...需要注意的是,JWT Token拦截器只是一种验证和解析JWT Token的方式,具体的逻辑和处理方式需要根据实际业务需求进行定制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值