java基于token验证之登陆验证

最新推荐文章于 2024-03-15 10:45:20 发布
最新推荐文章于 2024-03-15 10:45:20 发布
阅读量6.4k 收藏 35
点赞数 3
分类专栏: Spring相关

转载地址:https://blog.csdn.net/kkkun_joe/article/details/81878231

以上博主讲的更清除些,此博客是为了自己加深记忆。

对于前后端分离的项目来说session来判断是否登陆实现比较困难,token是比较好的方式。

大概流程:

 1.用户登陆,若成功则后台生成一个token,并把此token返回给客户端浏览器

2.客户端接收到token后,每次请求都要把此token放到header中发给后段

3.后段使用拦截器判断token的正确性和实效性。

以下是具体代码:

Token工具类:

package com.sign;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class TokenSign {

    /**
     * 过期时间60分钟
     */
    private static final long EXPIRE_TIME=60 * 60 *1000;

    /**
     * 私钥,使用它生成token,最好进行下加密
     */
    private static final String TOKEN_SECRET="Token";


    /**
     * 产生token
     * @param useName
     * @param userId
     * @return
     */
    public static String sign(String useName,String userId){

        try{

            //设置15分钟失效
            Date date=new Date(System.currentTimeMillis()+EXPIRE_TIME);
            //私钥及加密算法
            Algorithm algorithm=Algorithm.HMAC256(TOKEN_SECRET);
            //设置头部信息
            Map<String,Object> header=new HashMap<>();
            header.put("typ","JWT");
            header.put("alg","HS256");
            //附带username和userid信息,存储到token中,生成签名
            return JWT.create()
                    .withHeader(header)
                    //存储自己想要留存给客户端浏览器的内容
                    .withClaim("userName",useName)
                    .withClaim("userId",userId)
                    .withExpiresAt(date)
                    .sign(algorithm);



        }catch (Exception e){
            e.printStackTrace();
        }

        return null;
    }


    /**
     * token校验是否正确
     * @param token
     * @return
     */

    public static boolean verify(String token){

        try {
            Algorithm algorithm=Algorithm.HMAC256(TOKEN_SECRET);

            JWTVerifier verifier =JWT.require(algorithm).build();
            //此方法若token验证失败会抛错的,所以直接return true没问题
            DecodedJWT decodedJWT =verifier.verify(token);
            return true;
        }catch (Exception e){
            e.printStackTrace();
        }

        return false;
    }


    /**
     * 获取token中信息 userName
     * @param token
     * @return
     */
    public static String getUsername(String token) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("userName").asString();
        } catch (JWTDecodeException e) {
            e.getStackTrace();
        }
        return null;
    }


    /**
     * 获取token中信息 userId
     * @param token
     * @return
     */
    public static String getUserId(String token) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("userId").asString();
        } catch (JWTDecodeException e) {
            e.getStackTrace();

        }
        return null;
    }


}

拦截器:

package com.interceptor;

import com.alibaba.fastjson.JSONObject;
import com.constant.TokenConstant;
import com.sign.TokenSign;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;


@Component
public class LoginInterceptor implements HandlerInterceptor {


    //    在请求处理之前调用,只有返回true才会执行要执行的请求
    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {

        httpServletResponse.setCharacterEncoding("UTF-8");
        String token=httpServletRequest.getHeader("accessToken");
        if (null==token){
            Map<String,Object> map=new HashMap<>();
            map.put("data","token is null");
            map.put("code","401");
            httpServletResponse.getWriter().write(JSONObject.toJSONString(map));
            return false;
        }else {
            boolean result= TokenSign.verify(token);

            if (result){
                //更新存储的token信息
                TokenConstant.updateTokenMap(token);
                return true;
            }

            Map<String,Object> map=new HashMap<>();
            map.put("data","token is null");
            map.put("code","401");
            httpServletResponse.getWriter().write(JSONObject.toJSONString(map));
            return false;

        }


    }

    //    试图渲染之后执行
    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }

    //    在请求处理之后,视图渲染之前执行
    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }


}

package com.constant;

import java.util.HashMap;
import java.util.Map;

public class TokenConstant {

    private static Map<String,String> map=new HashMap();


    public static String getToken(){
            return map.get("token");
    }

    public static void updateTokenMap(String token){
        map.put("token",token);
    }


}

注册拦截器:

package com.adapter;

import com.interceptor.LoginInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;


@Configuration
public class LoginAdapter implements WebMvcConfigurer {


    //解决跨域问题
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedHeaders("Content-Type","X-Requested-With","accept,Origin","Access-Control-Request-Method","Access-Control-Request-Headers","token")
                .allowedMethods("*")
                .allowedOrigins("*")
//是否允许使用cookie
                .allowCredentials(true);
    }




    @Autowired
    private LoginInterceptor loginInterceptor;


    // 这个方法是用来配置静态资源的,比如html,js,css,等等
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
    }



    // 这个方法用来注册拦截器,我们自己写好的拦截器需要通过这里添加注册才能生效
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        System.out.println("进入拦截器");
        //addPathPatterns是表明拦截哪些请求
        //excludePathPatterns是对哪些请求不做拦截
        registry.addInterceptor(loginInterceptor).addPathPatterns("/**").excludePathPatterns("/user/login");
    }

}

以上是后台的配置,除了登陆所有请求都会进行token验证。

前端代码概要:

前端用的VUE

<template>
  <div class="login">
    <!--打包时用这个-->
    <div class="welcome"><img src="/dist/static/image/welcome.png"></div>
    <!--本地用这个-->
    <!--<div class="welcome"><img src="/static/image/welcome.png"></div>-->
    <div class="login-form">
      <div class="login-inp"><label>账号</label><input type="text"  placeholder="请输入账号" v-model="user.account"></div>
      <div class="login-inp"><label>密码</label><input type="password" placeholder="请输入密码" v-model="user.password"></div>

      <div class="login-inp" v-show="!loadingShow" v-on:click="ok()">
        <input type="button" value="立即登录" />
      </div>
    </div>
<!--加载效果-->
    <wv-loadmore v-show="this.loadingShow"></wv-loadmore>


  </div>
</template>

<script>
import Vue from 'vue';
import Axios from 'axios'
import { Toast } from 'we-vue'
export default {
  name: 'Login',
  data: function () {
    return {
      user: {account: '', password: ''},
      show: false,
      url:this.GLOBAL.loginUrl,
      isDisable:false,
      loadingShow:false
    }
  },
  methods: {
    ok: function () {
      if (!this.user.account || !this.user.password) {
        // Toast.loading('加载中');
        Toast.text('请完善登陆信息');
        console.log('param not allow null')
        return
      };

      this.isDisable=true;
      this.loadingShow=true;




      setTimeout(() => {

        Axios.post(this.url,
          this.user,
          {  //方式2通过transformRequest方法发送数据,本质还是将数据拼接成字符串
            transformRequest:[
              function(data){
                let params='';
                for(let index in data){
                  params+=index+'='+data[index]+'&';
                }
                return params;
              }
            ]
          })
          .then(response => {
            if (response.data) {
              //存储token
              localStorage.setItem('accessToken', response.data);
              this.$router.push({ path: 'home' })
            }else {
              Toast.fail('登陆失败');
              console.log('登陆失败:', response.data.message)
            }
            this.loadingShow=false;
            this.isDisable=false;
          })
          .catch(error => {
            Toast.fail('请求失败');
            console.log('请求失败:', error)
            this.loadingShow=false;
            this.isDisable=false;
          })

      }, 1000)






    },
    cancel: function () {
      this.show = false
      this.$emit('cancel', this.flowParam)
    }

}
}

</script>

登陆界面最主要的是:localStorage.setItem('accessToken', response.data);把token信息存储

每次请求都放到header中:

此处简写:

Axios.post(this.addUrl,param,
          {headers: {'Content-Type':'application/json;charset=UTF-8','accessToken':localStorage.getItem('accessToken')}},
          {method: 'put'}
        ).then(response => {

localStorage.getItem('accessToken');获取存储在localStorage中的token信息

weixin_39102174
关注
  • 3
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Java令牌Token登录与退出的实现
08-19
主要介绍了Java令牌Token登录与退出的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
全网超细--Java实现Token登录验证步骤实现
最新发布
欢迎来到快乐懒洋洋的博客
05-08 1534
2、后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串。5、后端检查前端传过来的JWT Token验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等。6、验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果。
Java 使用HTTP请求直接获取oauth2.0的token,code
2301_76307772的博客
03-15 515
这里需要发送三次http请求,有的应该两次就行,两次的我没写明白,用的时HuTool的工具。hutool的body不用解析,直接就能用。下面时生成token的。
Java Token登录验证 生成解析Token
qq_43606316的博客
06-05 3728
借鉴参考 Java Token登录验证 使用jjwt生成和解析JWT java基于token验证登陆验证 等 什么是Token? 我的理解来说 token就是你访问服务器的口令,只要token合法,正确,你就能获取到后端数据 当用户第一次登陆后,用户名密码验证成功后,服务器会生成一个token,把token返回到客户端,一般token都是储存在浏览器的localStorage 或 cookies中,存在localStorage的token需要通过js,将token添加到http请求头中,下次再访问服务器,
Oauth2获取用户基本信息JAVA
08-07
微信基于Oauth2获取用户基本信息,保证可用。
JAVA中的Token 基于Token的身份验证实例
08-24
JAVA中的Token基于Token的身份验证实例 本文档主要介绍了JAVA中的Token基于Token的身份验证实例,具有很好的参考价值。本文将详细介绍基于Token的身份验证方法,并与传统的身份验证方法进行比较。 一、传统身份...
基于Java验证jwt token代码实例
08-25
基于Java验证jwt token代码实例 基于Java验证jwt token代码实例是指使用Java语言来验证JSON Web Token(JWT)的代码实现。JWT是一种常用的身份验证机制,通过使用密钥对和加密算法来生成和验证token。 在这个代码...
java token验证和注解方式放行
08-28
"java token验证和注解方式放行"的主题涉及了两个关键概念:Token验证和基于注解的权限管理。Token通常用于验证用户身份,防止未授权的访问。下面我们将深入探讨这两个主题。 首先,Token验证是一种常见的身份验证...
JAVA微信公众平台Token验证
12-08
首先要开启开发模式必须要进行Token的一个验证,你给出一个地址,微信发送请求,然后你给出相应,就这么简单。虽然说是简单,但是这是事后才说的,官方只有PHP的DEMO,我用JAVA开发的时候各种蛋疼不会弄,不过好在...
token的使用方法
weixin_43987151的博客
05-06 3377
如何使用token保存用户登录信息 1.登录成功后生产token 登录成功之后,后台生成一个token,将token保存在redis中,key是token,value是用户id,并且把token响应给前端,前端每次请求时都把token传给后台进行鉴权。生成token代码如下: private String logining(String account,Long userId){ String token = Constants.TOKEN + Md5Util.md5(account + Strin
基础的JAVA Token权限认证
weixin_41678132的博客
11-28 1958
public class JwtUtil { private static final long EXPIER_TIME = 15 * 60 * 1000; private static final String TOKEN_SECRET = "123456"; public static String sign(String userName, String user...
获取token的一些方法
qq_35862393的博客
11-05 1万+
1.通过cookie private String getUserCookieToken(HttpServletRequest request) { Cookie[] cookies = request.getCookies(); if (cookies == null || cookies.length == 0) { return ...
Jwt隐藏大坑,通过源码揭晓
Gui.H的博客
05-25 918
前言 JWT是目前最为流行的接口认证方案之一,有关JWT协议的详细内容,请参考:https://jwt.io/introduction 今天分享一下在使用JWT在项目中遇到的一个问题,主要是一个协议的细节,非常容易被忽略,如果不是自己遇到,或者去看源码的实现,我估计至少80%的人都会栽在这里,下面来还原一下这个问题的过程,由于这个问题出现有一定的概率,不是每次都会出现,所以才容易掉坑里。 集成JWT 在Asp.Net Core中集成JWT认证的方式在网络上随便一搜就能找到一堆,主要有两个步骤: 在IOC容
Springboot使用AOP记录用户操作日志
qq_42227281的博客
07-11 1065
Aop类LogAop package com.qishimai.travelplan.controller; import com.qishimai.travelplan.pojo.Sys_log; import com.qishimai.travelplan.pojo.Sys_user; import com.qishimai.travelplan.pojo.common.Constant...
spring-boot + JWT实现TOKEN登录接口验证
weixin_40105866的博客
05-03 583
spring-boot + JWT实现TOKEN登录接口验证
Token解密出错:The string "此处为乱码'' doesn't have a valid JSON format(已解决)
热门推荐
weixin_43830606的博客
02-18 1万+
最近在毕设里面使用token做登录授权,使用postman测试出现了乱码报错: com.auth0.jwt.exceptions.JWTDecodeException: The string ‘�z��’G�#�KaTeX parse error: Expected 'EOF', got '&amp;' at position 6: �uB"�&amp;̲�r#��3S"’’ doesn’...
Springboot集成autho0-jwt框架解析token
IBLiplus的博客
09-21 2375
下面是通过使用框架中整个的jwt插件实现token解析并获取token中的用户名的用户id的代码: 首先是util层: package ai.huarui.mes.plan.util; import com.auth0.jwt.JWT; import com.auth0.jwt.exceptions.JWTDecodeException; import com.auth0.jwt.inte...
com.auth0.jwt.exceptions.TokenExpiredException:The Token has expired on Tue Feb 02 15:39:44 CST 2021
123
02-02 8140
com.auth0.jwt.exceptions.TokenExpiredException: The Token has expired on Tue Feb 02 15:39:44 CST 2021.**异常信息****异常原因** 异常信息 com.auth0.jwt.exceptions.TokenExpiredException: The Token has expired on Tue Feb 02 15:39:44 CST 2021. at com.auth0.jwt.JWTVerifie
Java登陆token详细流程_java基于token验证登陆验证
05-29
Java基于token验证登陆验证流程大致如下: 1. 用户在客户端输入用户名和密码提交登陆请求; 2. 服务器接收到登陆请求后,验证用户名和密码是否正确; 3. 如果用户名和密码验证通过,服务器生成一个token,将token存储到服务器端,并将token返回给客户端; 4. 客户端将token保存到本地,可以使用cookie或localStorage等技术进行保存; 5. 客户端在每次请求需要验证的接口时,将token通过请求头或参数的形式发送给服务器; 6. 服务器接收到请求后,从存储的token验证token是否有效; 7. 如果token验证通过,服务器返回请求所需的数据,否则返回错误信息。 需要注意的是,为了保证token的安全性,服务器需要对token进行加密处理,防止被恶意攻击者窃取或伪造。此外,token还需要设置过期时间,以保证安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值