个人技术博客(alpha)

最新推荐文章于 2024-08-13 18:29:56 发布
最新推荐文章于 2024-08-13 18:29:56 发布
阅读量91 收藏
点赞数
文章标签: json 测试 java
原文链接:http://www.cnblogs.com/zhengshiqiang47/p/7884334.html
版权
APP的权限校验不同于web网页端,web一般使用session记录用户的状态信息,而app则使用token令牌来记录用户信息。有这样一个场景,系统的数据量达到千万级,需要几台服务器部署,当一个用户在其中一台服务器登录后,用session保存其登录信息,其他服务器怎么知道该用户登录了?(单点登录),当然解决办法有,可以用spring-session。如果该系统同时为移动端服务呢?移动端通过url向后台要数据,如果用session,通过sessionId识别用户,万一sessionId被截获了,别人可以利用sessionId向后台要数据,就有安全隐患了。所以有必要跟session说拜拜了。服务端不需要存储任何用户的信息,用户的验证应该放在客户端,jwt就是这种方式!

什么是jwt?

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准( (RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
 

最详细的是官网:https://jwt.io/

这里写图片描述

这里以java的ssm框架为例,集成jwt。

1.pom.xml 导入jwt的包

 
  
 <!-- jwt -->
   <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt -->
   <dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>2.2.0</version>
   </dependency>

 

 

2.编写jwt的工具类,有加密解密功能就好

 
  
import com.auth0.jwt.JWTSigner;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.internal.com.fasterxml.jackson.databind.ObjectMapper;
​
import java.util.HashMap;
import java.util.Map;
​
public class JWT { private static final String SECRET = "XX#$%()(#*!()!KL<><MQLMNQNQJQK sdfkjsdrow32234545fdf>?N<:{LWPW"; ​ private static final String EXP = "exp"; ​ private static final String PAYLOAD = "payload"; ​ //加密,传入一个对象和有效期 public static <T> String sign(T object, long maxAge) { try { final JWTSigner signer = new JWTSigner(SECRET); final Map<String, Object> claims = new HashMap<String, Object>(); ObjectMapper mapper = new ObjectMapper(); String jsonString = mapper.writeValueAsString(object); claims.put(PAYLOAD, jsonString); claims.put(EXP, System.currentTimeMillis() + maxAge); return signer.sign(claims); } catch(Exception e) { return null; } } ​ //解密,传入一个加密后的token字符串和解密后的类型 public static<T> T unsign(String jwt, Class<T> classT) { final JWTVerifier verifier = new JWTVerifier(SECRET); try { final Map<String,Object> claims= verifier.verify(jwt); if (claims.containsKey(EXP) && claims.containsKey(PAYLOAD)) { long exp = (Long)claims.get(EXP); long currentTimeMillis = System.currentTimeMillis(); if (exp > currentTimeMillis) { String json = (String)claims.get(PAYLOAD); ObjectMapper objectMapper = new ObjectMapper(); return objectMapper.readValue(json, classT); } } return null; } catch (Exception e) { return null; } } ​ } 3.jwt有了,ssm要如何去利用,用户验证的第一步是登录,登录时根据用户传来的username和password到数据库验证身份,如果合法,便给该用户jwt加密生成token //处理登录 @RequestMapping(value="login", produces = "application/json; charset=utf-8") public @ResponseBody ResponseData login(HttpServletRequest request, @RequestParam( "email") String email, @RequestParam("password") String password) { Login login = new Login(); login.setEmail(email); login.setPassword(password); ResponseData responseData = ResponseData.ok(); //先到数据库验证 Integer loginId = userService.checkLogin(login); if(null != loginId) { User user = userService.getUserByLoginId(loginId); login.setId(loginId); //给用户jwt加密生成token String token = JWT.sign(login, 60L* 1000L* 30L); //封装成对象返回给客户端 responseData.putDataValue("loginId", login.getId()); responseData.putDataValue("token", token); responseData.putDataValue("user", user); } else{ responseData = ResponseData.customerError(); } return responseData; }

 

 

4.在用户登录时,把loginId和token返回给前台,以后用户每次请求时,都得带上这两个参数,后台拿到token后解密出loginId,与用户传递过来的loginId比较,如果相同,则说明用户身份合法。因为是每个登录过后的每个请求,这里用springmvc的拦截器做

  
<mvc:interceptors>    
    <mvc:interceptor>    
        <!-- 匹配的是url路径, 如果不配置或/**,将拦截所有的Controller -->  
        <mvc:mapping path="/**" />  
        <!-- /register 和 /login 不需要拦截-->  
        <mvc:exclude-mapping path="/register" />
        <mvc:exclude-mapping path="/login" />
 
        <bean class="com.xforce.charles.interceptor.TokenInterceptor"></bean>    
    </mvc:interceptor>  
    <!-- 当设置多个拦截器时,先按顺序调用preHandle方法,然后逆序调用每个拦截器的postHandle和afterCompletion方法 -->  
    </mvc:interceptors>

  

 

5.拦截器代码

 
  
import java.io.PrintWriter;
​
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
​
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
​
import com.alibaba.fastjson.JSONObject; import com.xforce.charles.model.Admin; import com.xforce.charles.model.Login; import com.xforce.charles.util.JWT; import com.xforce.charles.util.ResponseData; ​ public class TokenInterceptor implements HandlerInterceptor{ ​ public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception arg3) throws Exception { } ​ public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView model) throws Exception { } ​ //拦截每个请求 public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { response.setCharacterEncoding("utf-8"); String token = request.getParameter("token"); ResponseData responseData = ResponseData.ok(); //token不存在 if(null != token) { Login login = JWT.unsign(token, Login.class); String loginId = request.getParameter("loginId"); //解密token后的loginId与用户传来的loginId不一致,一般都是token过期 if(null != loginId && null != login) { if(Integer.parseInt(loginId) == login.getId()) { return true; } else{ responseData = ResponseData.forbidden(); responseMessage(response, response.getWriter(), responseData); return false; } } else { responseData = ResponseData.forbidden(); responseMessage(response, response.getWriter(), responseData); return false; } } else { responseData = ResponseData.forbidden(); responseMessage(response, response.getWriter(), responseData); return false; } } ​ //请求不通过,返回错误信息给客户端 private void responseMessage(HttpServletResponse response, PrintWriter out, ResponseData responseData) { responseData = ResponseData.forbidden(); response.setContentType("application/json; charset=utf-8"); String json = JSONObject.toJSONString(responseData); out.print(json); out.flush(); out.close(); } ​ } 6.注意点:用@ResponseBody返回json数据时,有时会有乱码,需要在springmvc的配置文件里面加以下配置(spring4以上) <mvc:annotation-driven> <mvc:message-converters register-defaults="true"> <bean class="org.springframework.http.converter.StringHttpMessageConverter"> <property name="supportedMediaTypes" value = "text/plain;charset=UTF-8" /> </bean> </mvc:message-converters> </mvc:annotation-driven> 7.最后分享一个类,用于返回给客户端的万能类,我觉得它可以满足一般的接口 import java.util.HashMap; import java.util.Map; ​ public class ResponseData { ​ private final String message; private final int code; private final Map<String, Object> data = new HashMap<String, Object>(); ​ public String getMessage() { return message; } ​ public int getCode() { return code; } ​ public Map<String, Object> getData() { return data; } ​ public ResponseData putDataValue(String key, Object value) { data.put(key, value); return this; } ​ private ResponseData(int code, String message) { this.code = code; this.message = message; } ​ public static ResponseData ok() { return new ResponseData(200, "Ok"); } ​ public static ResponseData notFound() { return new ResponseData(404, "Not Found"); } ​ public static ResponseData badRequest() { return new ResponseData(400, "Bad Request"); } ​ public static ResponseData forbidden() { return new ResponseData(403, "Forbidden"); } ​ public static ResponseData unauthorized() { return new ResponseData(401, "unauthorized"); } ​ public static ResponseData serverInternalError() { return new ResponseData(500, "Server Internal Error"); } ​ public static ResponseData customerError() { return new ResponseData(1001, "customer Error"); } }

 

转载于:https://www.cnblogs.com/zhengshiqiang47/p/7884334.html

weixin_30794851
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Gelato CMS v1.0 ALPHA.zip
07-07
Gelato CMS v1.0 ALPHA 是一款开源的多用户轻博客内容管理系统,旨在提供一个灵活且自定义性强的平台,让个人和团队可以轻松创建和管理自己的博客空间。这款CMS的核心特性在于其支持多种文章格式,包括普通文本、...
alpha-blog
03-09
"Alpha博客"是一个基于Ruby技术构建的个人或企业博客系统。Ruby是一种面向对象的、动态类型的编程语言,以其简洁明了的语法和强大的元编程能力而受到开发者的喜爱。在"Alpha-blog"项目中,我们可以预见到它可能利用...
alpha冲刺阶段博客集合
weixin_30498807的博客
04-27 113
作业格式 课程名称:软件工程1916|W(福州大学) 作业要求:项目Alpha冲刺(团队) 团队名称: 那周余嘉熊掌将得队 作业目标:作业集合 团队信息: 队员学号 队员姓名 博客地址 备注 221600131 Jamin https://www.cnblogs.com/JaminWu/ 队长 221600308 我超可爱的 http://www.cnblogs.com/XN...
jwt验证登录信息
weixin_30535043的博客
08-27 136
为什么要告别session?有这样一个场景,系统的数据量达到千万级,需要几台服务器部署,当一个用户在其中一台服务器登录后,用session保存其登录信息,其他服务器怎么知道该用户登录了?(单点登录),当然解决办法有,可以用spring-session。如果该系统同时为移动端服务呢?移动端通过url向后台要数据,如果用session,通过sessionId识别用户,万一sessionId被截获了,别...
博客目录与概览
热门推荐
冯·诺依曼
08-31 42万+
从即日起,我将开始开始着手写作《深入理解机器学习》分类下的文章。《深入理解机器学习》不仅仅把目光局限机器学习算法的推导与实现,更多的会将目光聚焦于从数学、统计学以及统计学习的角度来深入理解机器学习算法,除此之外,我还会讨论各个机器学习算法局限与瓶颈,纵横向比较各种机器学习算法的优劣等。在详细介绍机器学习算法的同时,我还会通过Python和Scala给出相关项目的实战代码。所以,想深入学习机器学习的..............................
Hexo 搭建个人博客(九)NexT 主题进阶配置
wylu
11-27 2747
目标 本文将介绍一些针对 NexT 主题的个性化配置。 环境及版本声明 本文基于以下环境及版本: hexo: 3.8.0 hexo-cli: 1.1.0 NexT: 7.1.0 OS: Ubuntu 18.04 LTS x86_64 若主题版本不一致,下面的配置方法可能不适用。 设置 RSS NexT 中 RSS 有三个设置选项,满足特定的使用场景: # false:禁用 RSS,不在页面上显示...
个人总结(Alpha阶段)
weixin_30901729的博客
05-15 355
个人总结(Alpha阶段) 写在前面的话: Alpha 阶段终于结束啦~我们组做的项目是在线自由组卷评分系统,而我负责的部分是需求分析和原型设计,对于第一次干这事儿的我来说无疑是煎熬的,因为一开始完全无从下手啊有没有?而且任务**数量大!难度大!时间短!范围广!**说实话要不是有人压着,打死我都不愿做。但没办法,是你的就是你的,没人会帮你做,因为他们也要做。*/幸灾乐祸* 即使遇到一万个...
个人博客网站的美化
weixin_44861399的博客
03-17 1682
网站基本设置 打开F: \ blog \ _config.yml,找到 Site 标签 # Site title: 代澳旗's Blog subtitle: Welcome to my World!!! description: 这是我在学习过程中用hexo搭建的一个基于github的个人博客网站,用来存储学习笔记! keywords: '' author: 代澳旗 #avatar: 网站头像...
android alpha 图片,Android Alpha 更改图片透明度
weixin_42502040的博客
05-30 341
文章目录1、功能描述2、代码架构3、activity_main.xml 文件4、alpha_out.xml 透明度属性文件5、MainActivity.java 逻辑功能文件1、功能描述实现图片透明度的改变 点击之后 两个图片透明度的改变实现方式不一样1)一个是加载anmi xml 文件 里定义好的 透明度改变动画2)一个是再代码里 实例化 animationSet 和 alphaAnimati...
Github Pages + Hexo搭建个人博客
Java技术江湖
04-20 1161
Github Pages +Hexo搭建个人博客 之前在简书上写东西,觉得自己还是太浮躁。本来打算用Flask自己写一个,以为是微框架就比较简单,naive。HTML、CSS、JS等都要学啊,我几乎没有这方面的基础,写到Web表单那儿果断弃了,转向简单的Hexo + Github Pages。不过要想搭建博客的同时巩固Python,Flask确实是一个不错的选择。 获取...
个人博客平台选择 Typecho 还是 WordPress ?
草根博客站长明月登楼的CSDN博客
07-26 1137
至于说是选择 Typecho 还是 WordPress ,这个真的不是别人能给你明确答复的问题,还得自己根据自己对博客网站的规划和定位来做出取舍的。就明月的观点来看,技术基础比较差的建议考虑 Typecho ,因为其不需要你过多的折腾,只需要专注于写作输出内容就可以了。就算是未来 Typecho 无法满足你的需求了,其数据也可以很容易的转换的到 WordPress 或者其他博客平台来。
Gitee + Hexo 搭建个人博客
LYJ20010728的博客
08-12 969
Gitee + Hexo 搭建个人博客环境安装本地搭建初始化 Hexo生成静态页面启动本地服务更改主题安装Next配置Next测试Next发布文章选择next主题样式更改站点属性菜单栏显示更多菜单图标及内容量显示一般设置可跳转日志、分类、标签页的链接社交信息设置博客头像设置网站图标设置建立标签云及效果展示文章添加阴影、透明效果及代码块样式其他可参考设置页面美化设置鼠标左键点击红心普通小红心爆炸红心特效背景设置动态背景设置背景图片设置背景动画显示busuanzi博客访客/访问次数统计Github标识主题样式调
ASP.NET源码——[博客空间]IronRuby博客中文版 Alpha.zip
10-09
【压缩包子文件的文件名称列表】:[博客空间]IronRuby博客中文版 Alpha_ironruby-pre-alpha1,表明这个压缩包里的主要内容是IronRuby的预阿尔法版本,可能是某个个人或者团队对IronRuby的本地化工作,或者是针对中文...
[博客空间]IronRuby博客中文版 Alpha_ironruby-pre-alpha1.zip源码ASP.NET网站源码打包
05-18
[博客空间]IronRuby博客中文版 Alpha_ironruby-pre-alpha1.zip源码ASP.NET网站源码打包[博客空间]IronRuby博客中文版 Alpha_ironruby-pre-alpha1.zip源码ASP.NET网站源码打包[博客空间]IronRuby博客中文版 Alpha_...
易语言百度博客访问流量
07-19
因此,通过技术手段提高博客的访问量,对于博客作者来说具有一定的吸引力。 源码中的“开始刷”功能可能涉及到模拟用户访问的行为。这种技术通常包括使用自动化脚本或程序模拟真实的用户点击、浏览等行为,以增加...
PDF转markdown工具:magic-pdf
AI知识搬运工
08-13 239
将magic-pdf.template.json文件修改为magic-pdf.json放在系统目录,不同的系统默认目录不同,测试使用cpu执行,内存16g,3页pdf解析大概2分钟, 页数过多会崩掉。有些公式好像解析的不太对,整体可用。可以是单个 PDF 文件,也可以是包含多个 PDF 的目录。结果将保存在目录中。magic-pdf.template.json 中models-dir修改为模型的下载路径。
【python学习】深入解析 `jq` 库:JSON 处理的利器
最新发布
m0_54007171的博客
08-13 234
jq库是 Python 对流行的命令行工具jq的封装。它允许你直接在 Python 中使用jq的查询语言来处理 JSON 数据。借助jq,你可以轻松地对 JSON 数据进行过滤、选择、转换、聚合等操作,极大地简化了代码复杂度。
评论如何批量获取,如何获得回复评论,大家相互交流
lfsysc的博客
08-13 416
print(f'\t{count}{recom_addr}【{recom_user}】回复说:"re{recom_text}"')print(f'{com_addr}【{com_user}】说:"{com_text}"有{com_repl}回复:')
vue3使用pnpm运行项目但是运行不起来
一个努力不被优化的程序员
08-12 144
重新创建项目,将老项目的package.json,vite.config.ts,src等文件拖拽替换。删除node_modules重新下:文字编译乱码,utf-8可能解析处理问题。(如果哪位知道为什么会这样或者怎么解决麻烦留言下)运行项目的时候发现根本运行不起来了。删除node_modules重新下。尝试过创建.npmr文件。创建.npmr:不管用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值