如何在项目中用token进行权限验证

最新推荐文章于 2024-05-29 14:58:13 发布
最新推荐文章于 2024-05-29 14:58:13 发布
阅读量3.3k 收藏 5
点赞数 1
文章标签: java 后端 json
原文链接:http://blog.51cto.com/9381188/2354265
版权

如何在项目中用token进行权限验证
原理: 当用户首次登录的时候,后台给用户生成一个token,并缓存到Map中,后续每次登录都会根据userId校验,移动端调用后台的每个服务都需要有token的验证通过才视作合法的。

1.首先自定义一个annotations,注解br/>@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface ApiAuth {
String value() default "";
}

2.自定义一个拦截器
public class ApiAuthInterceptor extends HandlerInterceptorAdapter {

private static final int TOKEN_LONG = 32; //token的长度

@Override
public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)
        throws Exception {
}

@Override
public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, ModelAndView arg3)
        throws Exception {
}

// token验证
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    if (handler instanceof HandlerMethod) {
        ApiAuth authPassport = ((HandlerMethod) handler).getMethodAnnotation(ApiAuth.class);
        if (authPassport != null) {
            String paramToken = request.getParameter("token");
            if (paramToken == null) {
                fillUnauthorizedResponse(response);
                return false;
            }

            if (!isTokenValid(paramToken)) {
                fillTokenUnauthorizedResponse(response);
                return false;
            }

            return true;
        }
    }

    return true;
}

private boolean isTokenValid(String token) {
    // token为空,或者token位数不为32位
    if (StringUtils.isEmpty(token) || token.length() != TOKEN_LONG) {
        return false;
    }

    // 验证token是否存在
    return BaseDataMapCache.checkToken(token);
}

private void fillUnauthorizedResponse(HttpServletResponse response) throws IOException {
    response.setCharacterEncoding("UTF-8");
    response.setContentType("application/json;charset=UTF-8");
    PrintWriter out = response.getWriter();
    out.print(JSON.toJSONString(ResultObject.error("身份验证未通过!")));
    out.flush();
    out.close();
}

private void fillTokenUnauthorizedResponse(HttpServletResponse response) throws IOException {
    response.setCharacterEncoding("UTF-8");
    response.setContentType("application/json;charset=UTF-8");
    PrintWriter out = response.getWriter();
    out.print(JSON.toJSONString(ResultObject.error("token验证失败!")));
    out.flush();
    out.close();
}

}

public class BaseDataMapCache {

private static Map<String, String> dataMap = Maps.newHashMap();

public static void push(String key, String value) {
    dataMap.put(key, value);
}

public static String putToken(String userId) {
    if (!dataMap.containsKey(userId)) {
        String token = UUID.randomUUID().toString().replaceAll("-", "");
        dataMap.put(userId, token);
    }
    return dataMap.get(userId);
}

public static boolean checkToken(String token) {
    return !dataMap.isEmpty() && dataMap.containsValue(token);
}

}

3.配置spring-mvc.xml文件
<!-- APP的token验证 -->
<mvc:interceptors>
<mvc:interceptor>
<mvc:mapping path="/**" />
<bean class="com.flower.mall.commons.interceptors.ApiAuthInterceptor" />
</mvc:interceptor>
</mvc:interceptors>

转载于:https://blog.51cto.com/9381188/2354265

weixin_34130389
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net中用到的JWT身份验证 JWT.dll 下载
08-07
在描述中,提到了一个“token生成验证工具类”,这通常是一个封装了JWT操作的C#类,可能包含了创建JWT令牌、验证令牌等方法。这个工具类的使用教程链接已经给出,开发者可以通过阅读该教程来了解如何在实际项目中...
MyEclipse中用git导出项目说明.doc
12-02
在MyEclipse中使用Git进行项目管理是一种常见的版本控制手段,可以帮助开发者跟踪代码变更、协作开发。以下是对标题和描述中涉及的知识点的详细说明: 1. **Git插件安装**: - 在Eclipse中集成Git功能通常需要安装...
基于Token实现身份验证权限管理
热门推荐
泽辉的技术博客
10-20 1万+
一、什么是token HTTP是一种无状态的协议,也就是HTTP没法保存客户端的信息,没办法区分每次请求的不同。 Token是服务器生成的一串字符,作为客户端请求的令牌。当第一次登陆后,服务器会分发Tonken字符串给客户端。后续的请求,客户端只需带上这个Token,服务器即可知道是该用户的访问。 使用Tonken,可以实现:权限管理、身份验证、防止同一账号异地登录。 二、Token...
实现接口权限验证——验签
王兆镇的博客
03-20 5211
实现接口权限验证 开发用户接口实例之前,还需要设计一套严格的接口验证方法,保证 PI 接口的安全 性。常见的接口验证一般包含以下几种 接口时效性验证。为了防止大 的重复请求, 可以设置每次请求的时效 小到以秒为单位, 大到可以是半个 小时 参数完整性验证。一般接口攻击, 都会截获请求,附带额外参数进行攻击,需要进行过滤验证。此时就需要客户端把所有的请求参 数根据一个特定的算法,生成一个签名字符串,并在请求时一并发送。服务器接收到这个 签名字符串后进行验证。 用户唯一Token 。用户每次登录都会生成唯 T
Token验证流程、代码示例、优缺点和安全策略,一文告诉你。
最新发布
贝格前端工场的博客
05-29 1530
Token是一种用于身份验证和授权的令牌,通常用于在客户端和服务器之间进行安全的通信。在Web开发中,Token通常指的是JSON Web Token(JWT),它是一种开放标准(RFC 7519),定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。JWT通常由三部分组成,通过句点(.)分隔开来:1包含了Token的类型和使用的加密算法等信息。2.包含了要传输的信息,例如用户的身份信息、权限等。
自定义接口并设置权限验证
qq_53480941的博客
10-29 4741
我们可以通过形如@PreAuthorize("@ss.hasPermi('system:xxx:xxx')")的格式授予前端访问的权限;我们可以通过在学生系统里边自定义一个权限验证的按钮;首先打开菜单管理里边的学生信息管理系统里添加一个按钮plain>权限验证debugTestalert("验证成功!");},后端在MystudentsController里边添加");}此时打开学生信息管理系统 里边多了一个权限验证按钮点击权限验证按钮。
若依自定义接口并设置权限验证
dongdongqiaodaim的博客
12-08 621
目录菜单权限作用自定义接口并设置权限验证一、后端定义新接口后端代码:前端代码:二、前端新建和配置菜单权限步骤1:新建菜单步骤2:给角色配置菜单权限步骤3:普通用户登录步骤4:进入学生管理步骤5:前端alert步骤6:开发者工具查看前端:控制组件显示、给角色分配菜单权限后端:控制接口访问在MyStudentController.java中添加如下代码:index.vue(以下三幅图为对应的修改)student.js点击确定之后,就会看到下方的“权限测试”退出admin用户,并登录ry这个普通用户。进入自定义的
struts2用cookie实现自动登录中用过滤器执行读取上下文方法
08-11
实际项目中,这部分逻辑可能会更复杂,包括解密、验证权限检查等步骤。 最后,为了防止安全问题,如跨站脚本攻击(XSS)和跨站请求伪造(CSRF),我们需要对Cookie进行适当的保护。例如,设置Cookie为HttpOnly,...
JS调用百度语音识别接口.zip
03-19
token则是访问权限令牌,用于验证请求的合法性。在注册过程中,你需要按照平台的指引创建应用,并获取到这两个关键参数。 在"JS调用百度语音识别接口.zip"这个压缩包中,包含了一个名为`utils`的文件夹,里面有一个...
11.Oauth2授权之JWT集成
01-01
在本文中,我们将详细介绍Oauth2授权中使用JSON Web Token(JWT)的集成。JWT是一种基于RFC 7519标准定义的可以安全传输的JSON对象,由于使用了数字签名,所以是可信任和安全的。 JWT的组成 ---------------- JWT ...
以RuoYi为例自定义接口并设置权限验证
weixin_64890968的博客
12-07 1740
本博客主要回答了ruoyi 系统里面后端这么多接口,不登录能访问吗?登录了就都能访问吗? 自定义的接口,如何能保证其安全性?
SpringBoot+jwt+shiro实现登录验证接口权限校验
zhang_199911的博客
11-10 7761
刚出炉的SpringBoot+JWT+Token+Shiro实现接口登录验证权限管理(RBAC模型),源码详细,注释清晰~
权限校验—接口检验
一起加油吧~
08-08 3032
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限
最简单的权限验证实现——使用Sa-Token进行权限验证
月月大王的博客
09-27 2274
在请求其他接口的时候将登录接口返回的token放到header中X-Token即可。今天来记录一下最简单的权限校验实现方式——使用Sa-Token进行权限验证。需要一个配置类来设置过滤规则,例如将login接口权限验证去掉。登录接口也是超级简单。
基于ruoyi的自定义接口以及权限验证
weixin_72307907的博客
10-29 1808
接口权限
实现Token身份权限体系(三)
qq_38253703的博客
08-08 360
继续对上节loginFail的结果进行处理,编写一个异常处理方法proccessLoginError和单发令牌grantToken方法(只所以写多一个方法是为了提高扩展性)。这里选择返回客户端,所以要一个自定义异常WeChatException异常。 <?php namespace app\lib\exception; class WechatExcetion extends Bas...
isTokenValid用法 java
watering17inworking的专栏
05-21 1628
this.saveToken(httpServletRequest);      if (this.isTokenValid(httpServletRequest)){      //do something here !       }     this.resetToken(httpServletRequest);>Java 刷新不重复
表单重复提交
小黄鸭的博客
08-24 149
防止表单重复提交的原理 表单应由一个程序产生,程序在产生表单时: - 生成一个随机值,并附在表单的一个隐藏输入项中。 把随机值存储在session域中。 - 表单在提交时,服务器程序客户机带过来的随机值和session域中保存的随机值是否一致,如果一致则允许提交,否则认为是重复提交。 使用struts防止表单重复提交 Struts的标签除了可以生成标签、协助其它html标签完成数据...
java项目token验证
07-27
Java项目中,可以使用Token进行身份验证。引用\[1\]中的TokenService类是一个示例,它使用了auth0.jwt库来生成Token。在该类中,getToken方法接收一个User对象作为参数,并根据用户的id和密码生成Token。生成的Token包含了用户的id以及Token的有效期。可以根据具体需求来设置Token的有效期。 另外,引用\[2\]中的TokenUtil类是一个工具类,用于获取请求中的Token以及解析Token中的用户id。该类中的getTokenUserId方法通过获取请求头中的token,并使用JWT库解析出其中的用户id。 在Java项目进行Token验证时,可以选择在拦截器中实现。引用\[3\]中提到了使用拦截器(HandlerInterceptor)对URL进行拦截,并进行Token验证。在拦截器中,可以判断请求的URL是否需要进行Token验证,然后使用TokenUtil类中的方法获取请求中的Token,并进行验证验证的方式可以包括成功验证、无效验证、超时验证、刷新处理以及主动失效处理,具体的实现可以根据项目的需求来进行。 总结起来,Java项目中的Token验证可以通过生成TokenTokenService类和解析TokenTokenUtil类来实现,同时可以使用拦截器对需要验证的URL进行拦截,并进行Token验证处理。 #### 引用[.reference_title] - *1* *2* [Java实现Token登录验证(基于JWT的token认证实现)](https://blog.csdn.net/shuux666/article/details/123442085)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [【JAVA】基于Token的用户验证](https://blog.csdn.net/swl979623074/article/details/81150184)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值