java token跨域_springmvc跨域+token验证

最新推荐文章于 2024-05-08 21:58:24 发布
最新推荐文章于 2024-05-08 21:58:24 发布
阅读量439 收藏
点赞数
文章标签: java token跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39595487/article/details/114391964
版权
本文详细介绍了如何在 Spring MVC 中处理 App 后台的跨域设置,包括通过 @CrossOrigin 注解和配置类两种方式。同时,文章讲解了如何在拦截器中设置 HTTP 报文头中的 Token 以及 Token 的生成实现。通过示例代码展示了拦截器 HeaderTokenInterceptor 和 JWT 工具类 JwtUtil 的用法,用于验证和更新 Token。
摘要由CSDN通过智能技术生成

1)app后台跨域设置

2)拦截器中设置http报文header中token

3)token的生成实现

====================================================================================================

1,app后台跨域的设置

1.1   springmvc4 有直接在请求映射中对跨域的处理,只需加一个@CrossOrign()

@CrossOrigin(origins = "http://localhost:9000")

@GetMapping("/greeting")

public Greeting greeting(@RequestParam(required=false, defaultValue="World") String name) {

System.out.println("==== in greeting ====");

return newGreeting(counter.incrementAndGet(), String.format(template, name));

}

对全局请求路径的拦截的,则需要在配置类里声明:

@Bean

publicWebMvcConfigurer corsConfigurer() {

return newWebMvcConfigurerAdapter() {

@Override

public voidaddCorsMappings(CorsRegistry registry) {

registry.addMapping("/greeting-javaconfig").allowedOrigins("http://localhost:9000");

}

};

}

“/greeting-javaconfig” 则是你定义的请求路径了,你也可以直接设置为/api/*之类的,allowedOrigins也可以匹配成*

可以参考官方文档:https://spring.io/guides/gs/rest-service-cors/

1.2 通过filter过滤器进行处理

其实,spring的拦截器也是可以处理跨域的问题,但对于post+json的支持不是很好,用拦截器的支持会好一些:

首先,定义拦截器:

public class CrossFilter extendsOncePerRequestFilter {

@Override

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throwsServletException, IOException {

if (request.getHeader("Access-Control-Request-Method") != null && "OPTIONS".equals(request.getMethod())) {

//CORS "pre-flight" request

response.addHeader("Access-Control-Allow-Origin", "*");

response.addHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");

response.addHeader("Access-Control-Allow-Headers", "Content-Type");

response.addHeader("Access-Control-Max-Age", "1800");//30 min

}

filterChain.doFilter(request, response);

}

}

其次,在web.xml设置过滤:

cors

cn.***.filter.CrossFilter

cors

/*

当然spring4  appalication.xml 也可以配置成:

3)我的配置类配置:

importorg.slf4j.Logger;

importorg.slf4j.LoggerFactory;

importorg.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.*;

importorg.springframework.core.env.Environment;

importorg.springframework.web.cors.CorsConfiguration;

importorg.springframework.web.cors.UrlBasedCorsConfigurationSource;

importorg.springframework.web.filter.CorsFilter;

importorg.springframework.web.servlet.HandlerInterceptor;

importorg.springframework.web.servlet.ViewResolver;

import org.springframework.web.servlet.config.annotation.*;

importorg.springframework.web.servlet.mvc.Controller;

importorg.springframework.web.servlet.view.InternalResourceViewResolver;

importjava.util.ArrayList;

importjava.util.List;

/*** Created by ThinkPad on 2017/6/15.

*/@Configuration

@EnableWebMvc

@ComponentScan(basePackages = {"com.ouyang.teson"},useDefaultFilters = true)

@PropertySource({"classpath:teson.properties"})

public class WebConfig extendsWebMvcConfigurerAdapter{

private final static Logger logger = LoggerFactory.getLogger(WebConfig.class);

publicViewResolver viewResolver() {

InternalResourceViewResolver viewResolver = newInternalResourceViewResolver();

viewResolver.setPrefix("/WEB-INF/views/jsp/function/");

viewResolver.setSuffix(".jsp");

returnviewResolver;

}

//静态文件

@Override

public voidaddResourceHandlers(ResourceHandlerRegistry registry) {

logger.info("addResourceHandlers");

registry.addResourceHandler("/static/**").addResourceLocations("/WEB-INF/static/");

}

//允许跨域的接口

@Override

public voidaddCorsMappings(CorsRegistry registry) {

registry.addMapping("/api/*").allowedOrigins("*")

.allowCredentials(false)

.allowedMethods("GET", "POST", "DELETE", "PUT")

.allowedHeaders("Access-Control-Allow-Origin","Access-Control-Allow-Headers","Access-Control-Allow-Methods","Access-Control-Max-Age")

.exposedHeaders("Access-Control-Allow-Origin")

.maxAge(3600);

}

}

2) 在拦截器中设置token

在拦截器中设置token这个比较简单,我就直接带过了,看配置:

拦截器类:HeaderTokenInterceptor.java

packagecom.ouyang.teson.intercept;

importcom.ouyang.teson.WebConfig;

importcom.ouyang.teson.util.JwtUtil;

importorg.slf4j.Logger;

importorg.slf4j.LoggerFactory;

importorg.springframework.beans.factory.annotation.Autowired;

importorg.springframework.web.servlet.HandlerInterceptor;

importorg.springframework.web.servlet.ModelAndView;

importjavax.servlet.http.HttpServletRequest;

importjavax.servlet.http.HttpServletResponse;

importjava.io.IOException;

importjava.io.PrintWriter;

/*** Created by ThinkPad on 2017/6/20.

*/

public class HeaderTokenInterceptor implementsHandlerInterceptor {

private final static Logger logger = LoggerFactory.getLogger(HeaderTokenInterceptor.class);

@Autowired

JwtUtil jwtUtil;

@Override

public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throwsException {

//String contentPath=httpServletRequest.getContextPath();

//System.out.println("contenxPath:"+contentPath);

String requestURI=httpServletRequest.getRequestURI();

String tokenStr=httpServletRequest.getParameter("token");

String token="";

if(requestURI.contains("/api/")){

token=httpServletRequest.getHeader("token");

if(token==null && tokenStr==null){

System.out.println("real token:======================is null");

String str="{'errorCode':801,'message':'缺少token,无法验证','data':null}";

dealErrorReturn(httpServletRequest,httpServletResponse,str);

return false;

}

if(tokenStr!=null){

token=tokenStr;

}

token=jwtUtil.updateToken(token);

System.out.println("real token:=============================="+token);

System.out.println("real ohter:=============================="+httpServletRequest.getHeader("Cookie"));

}

httpServletResponse.setHeader("token",token);

/*httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");

httpServletResponse.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization");

httpServletResponse.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, PUT");*/

return true;

}

@Override

public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throwsException {

}

@Override

public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throwsException {

}

//检测到没有token,直接返回不验证

public voiddealErrorReturn(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,Object obj){

String json =(String)obj;

PrintWriter writer = null;

httpServletResponse.setCharacterEncoding("UTF-8");

httpServletResponse.setContentType("text/html; charset=utf-8");

try{

writer =httpServletResponse.getWriter();

writer.print(json);

} catch(IOException ex) {

logger.error("response error",ex);

} finally{

if (writer != null)

writer.close();

}

}

}

httpServletResponse.setHeader("token",token)是设置返回response的header的token信息,每一次拦截的时候,会查看是否有token,如果没有就直接报错

26524b1a3a3bec30583b0f1529054d2d.png

在webconfig.java 类中添加以下两个方法:

@Override

public voidaddInterceptors(InterceptorRegistry registry) {

registry.addInterceptor(getTokenHeader())

.addPathPatterns("/api/*")

.excludePathPatterns(

"/robots.txt");

}

//token 在header的拦截器

@Bean

publicHandlerInterceptor getTokenHeader(){

return newHeaderTokenInterceptor();

}

3) token的实现

token的实现使用jwt组件生成token,如果想要自己通过md5,或者rsa加密生成token也比较简便了,只是这个token要缓存起来,每次进行验证,验证完更新token。更新token主要是更新token里包含的时间,防止token过期。如果使用token的话,可以不用存放缓存,对于登陆验证成功后,我们会生成token,这个token还能带有用户的id等基本信息,我们就可以验证他的过期时间,id等信息。

关于jwt 组件的介绍,可以去看看我的 java组件的jwt的介绍。

直接进入主题了:

maven需要导入

com.auth0

java-jwt

3.2.0

io.jsonwebtoken

jjwt

0.7.0

jjwt 主要是对jwt进一步封装,可以快速开发web的token认证。

jwt工具类:jwtUtil.java

packagecom.ouyang.teson.util;

importio.jsonwebtoken.Claims;

importio.jsonwebtoken.JwtBuilder;

importio.jsonwebtoken.Jwts;

importio.jsonwebtoken.SignatureAlgorithm;

importorg.springframework.beans.factory.annotation.Value;

importorg.springframework.stereotype.Component;

importsun.misc.BASE64Decoder;

importsun.misc.BASE64Encoder;

importjavax.crypto.spec.SecretKeySpec;

importjavax.xml.bind.DatatypeConverter;

importjava.security.Key;

importjava.util.Date;

/*** Created by ThinkPad on 2017/6/17.

*/@Component

public classJwtUtil {

public static String sercetKey="mingtianhenganghao";

public final static long keeptime=1800000;

/*@Value("${token.sercetKey}")

public static String sercetKey;

@Value("${token.keeptime:30000}")

public static long keeptime;*/

public staticString generToken(String id, String issuer, String subject){

long ttlMillis=keeptime;

SignatureAlgorithm signatureAlgorithm =SignatureAlgorithm.HS256;

long nowMillis =System.currentTimeMillis();

Date now = newDate(nowMillis);

byte[] apiKeySecretBytes =DatatypeConverter.parseBase64Binary(sercetKey);

Key signingKey = newSecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

JwtBuilder builder =Jwts.builder().setId(id)

.setIssuedAt(now);

if(subject!=null){

builder.setSubject(subject);

}

if(issuer!=null){

builder.setIssuer(issuer);

}

builder .signWith(signatureAlgorithm, signingKey);

if (ttlMillis >= 0) {

long expMillis = nowMillis +ttlMillis;

Date exp = newDate(expMillis);

builder.setExpiration(exp);

}

returnbuilder.compact();

}

publicString updateToken(String token){

try{

Claims claims=verifyToken(token);

String id=claims.getId();

String subject=claims.getSubject();

String issuer=claims.getIssuer();

Date date =claims.getExpiration();

returngenerToken(id, issuer, subject);

}catch(Exception ex){

ex.printStackTrace();

}

return "0";

}

publicString updateTokenBase64Code(String token) {

BASE64Encoder base64Encoder=newBASE64Encoder();

BASE64Decoder decoder = newBASE64Decoder();

try{

token=new String(decoder.decodeBuffer(token),"utf-8");

Claims claims=verifyToken(token);

String id=claims.getId();

String subject=claims.getSubject();

String issuer=claims.getIssuer();

Date date =claims.getExpiration();

String newToken =generToken(id, issuer, subject);

returnbase64Encoder.encode(newToken.getBytes());

}catch(Exception ex){

ex.printStackTrace();

}

return "0";

}

public staticClaims verifyToken(String token){

Claims claims =Jwts.parser()

.setSigningKey(DatatypeConverter.parseBase64Binary(sercetKey))

.parseClaimsJws(token).getBody();

returnclaims;

}

}

关于拦截器的处理token,及更新token,上面已经给出代码,这里不再列出。来看一下简单的控制类,仅供学习,如果要运用到生产环境还得各种配置和测试。

登陆的控制方法:

@RequestMapping("/login")

publicString login(String name,String password, Model model){

if(name==null || password==null){

return "error";

}

String token = jwtUtil.generToken("xiaoming",null,null);

model.addAttribute("token", token);

return "redirect:/api/liu";

}

这里没有做验证,只是简单根据账户密码,生成token后,重定向;接下来的任务就交给拦截器了,拦截器会拦截/api/* 下的请求,然后请求参数有token的会验证token,并更新token,并把token放到header里。

f3b6ced5ddee417096a056e2f77eeba0.png

这里可以看到token字符串有两个点,最好把jwt生成的token进行base64位编码,jwtUtil.java里有updateTokenBase64Code(String token)就是处理token进行base64位编码的。

weixin_39595487
关注
基于springmvc 通过注解方式实现token(重复提交)验证
傻根她弟
09-02 529
token验证,记得当年struts/struts2的时候,现在页面设置token,然后在 action进行验证,而在springmvc下,有更简单的方法 具体实现如下: /** * 防止重复提交 * @author 傻根她弟 * */ @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) @Docume...
java给app做token验证_springmvc跨域+token验证(app后台框架搭建二)
weixin_34824634的博客
02-16 428
这是app后台框架搭建的第二课,主要针对app应用是跨域的运用,讲解怎么配置跨域服务;其次讲解怎么进行token验证,通过拦截器设置token验证和把token设置到http报文中。主要有如下:1)app后台跨域设置2)拦截器中设置http报文header中token3)token的生成实现======================================================...
java app token验证_App登陆java后台处理和用户权限验证
weixin_33467546的博客
02-12 852
最近做一个app项目,后台我独自一人开发,开发任务顺序安排上没有把登陆,注册和权限验证这些基本功能放在第一阶段开发,现在是部分业务相关功能已经完成,但是用户入口竟然还没有,只能说明当初需求分析的时候还是太过于着急了,把最基本的用户入口给放到后面了。现在就需要在现有代码的基础上添加用户登录和权限验证功能。关于登录和权限验证方面,参照以前做iOS的开发经验,App端提供用户名和密码换取token,每次...
Spring MVC Interceptor 拦截器 api接口 简单token验证
热门推荐
edward9145的专栏
01-23 1万+
用Spring MVC做api接口,在请求中加入token做简单的验证 服务器: 拼接token之外所有参数,最后拼接token_key,做MD5,与token参数比对 public class APIInterceptor extends HandlerInterceptorAdapter { @Override public boolean preHandle(Ht
七牛 java uptoken_七牛上传获取 uptoken,我是在springMVC的controller中获取token的 一直提示 找不到Auth类...
weixin_27541383的博客
02-22 335
1、七牛上传获取 uptoken,我是在springMVC的controller中获取token的 一直提示 找不到Auth类,但是使用main方法 没问题。2、代码如下:@Controllerpublic class UploadController{private static Log logger=LogFactory.getLog(UploadController.class);publi...
基于springMVC集成了Token,实现SSO,跨域访问的小框架介绍
qq_38072247的博客
03-20 1870
毕竟在这之前,都是看别人的博客,站在巨人的肩膀上,我想这次也许我也应该分享一些自己的东西出来。废话不多说,直接来看怎么使用。首先将lingshi_base.jar的jar包引用到你的web工程中,当然需要提的是在这之前你需要在你的web工程上配置好springMVC,log4j这个我就不多说啦。1.集成Token的使用首先在web.xml中配置Token过滤器    <filter> ...
springmvc下的Token设计
koyi0000的博客
12-04 4255
1.第一次开发前后端分离项目,后台使用java SpringMvc,因为前端使用ajax,存在跨域问题,所以后台使用token的方式设计接口安全,直接上想法和代码。采用自定义的注解进行Token认证。直接上代码。  创建自定义注解 UserAccess, 代码:  /**   *  自定义注解  验证Token   * @author Administrator   *   */
解决带token响应头复杂跨域问题
a3040146312的博客
12-22 1810
@CrossOrigin只能解决普通跨域问题 而token需要保存到响应头里,访问后台 @CrossOrigin这个注解已经解决不了 下面是解决复杂跨域的方案 1.导报 <!--复杂跨域--> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid-spring-boot-starter</artifactId> <v...
手把手教你使用VUE+SpringMvc+Spring+Mybatis+Maven构建属于你自己的电商系统之后台前端框架搭建 ——猿实战01
hzldds2019的博客
08-17 1274
手把手教你使用VUE+SpringMvc+Spring+Mybatis+Maven构建属于你自己的电商系统之后台前端框架搭建 ——猿实战01,VUE+SpringMvc+Spring+Mybatis+Maven,电商系统,商城后台,前端框架
springmvc-权限拦截及登录token
LQ-QianLee的博客
05-23 5410
 在springmvc.xml文件中配置拦截器&lt;!-- 配置拦截器, --&gt; &lt;mvc:interceptors&gt; &lt;mvc:interceptor&gt; &lt;!-- 具体匹配原则可以百度 /**的意思是所有文件夹及里面的子文件夹 /*是所有文件夹,不含子文件夹 ...
APP 登录token
08-15
APP登录时产生token值,存在Redis中,数据库MySQL,maven,Redis需要自己配置非常简单,有注解,特别菜的,就别下载了,你不会用,技术牛逼也绕开,适合初级程序员
java token过滤器_Springboot实现filter拦截token验证跨域
weixin_36018119的博客
02-26 1660
importjavax.servlet.annotation.WebFilter;importorg.slf4j.Logger;importorg.slf4j.LoggerFactory;importorg.springframework.stereotype.Component;importspringfox.documentation.spring.web.json.Json;importco...
java token跨域,java 允许跨域
weixin_39612677的博客
03-13 323
就在刚刚,朋友问我跨域怎么解决,正好前段时间刚做过,那我就来分享一下吧。首先创建Httpfilter类,在 Controller 同级下创建1.pngHttpfilter类代码:package com.Verification.filter;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.Fi...
java token身份认证_java – 基于Spring Security Token的身份验证
weixin_34194499的博客
02-13 330
以下是我能够实现基于令牌的身份验证和基本身份验证的方法SpringSecurityConfig.java@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter{@Overridepublic void configure(final Authentication...
java app token 设计_Java生鲜电商平台-Java后端生成Token架构与设计详解
weixin_39616674的博客
02-16 156
Java生鲜电商平台-Java后端生成Token架构与设计详解目的:Java开源生鲜电商平台-Java后端生成Token目的是为了用于校验客户端,防止重复提交.技术选型:用开源的JWT架构。1.概述:在web项目中,服务端和前端经常需要交互数据,有的时候由于网络相应慢,客户端在提交某些敏感数据(比如按照正常的业务逻辑,此份数据只能保存一份)时,如果前端多次点击提交按钮会导致提交多份数据,这种情况我...
app java token_app令牌的一个token实现
weixin_35411443的博客
02-21 394
1 packagecom.tixa.wedding.util;23 importjava.security.MessageDigest;4 importjava.util.Calendar;5 importjava.util.Date;6 importjava.util.HashMap;7 importjava.util.Map;8 importjava.util.Map.Entry;9 impo...
java后台生成app token凭证(双重token验证
qq_40717036的博客
10-15 1429
现在公司派发一个app由我负责,目前刚开始开发。想换一种token验证的方式 以下上图: 1. 当用户输入账号密码时会生成两个token存在redis中,一个用于app与后台交互的token凭证保存着用户的个人信息。另一个是用户账号生成秘钥用于保存token凭证 2.当其它地方有人使用这个账户登录时可以把当前在线用户挤下线(公司业务逻...
全网超细--Java实现Token登录验证步骤实现
最新发布
欢迎来到快乐懒洋洋的博客
05-08 3135
2、后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串。5、后端检查前端传过来的JWT Token验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等。6、验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果。
Spring自定义参数解析注解——以解析请求头中的token为例
qq_43472612的博客
08-05 789
有的时候会好奇@RequestBody、@RequestParam注解是怎么获取方法的,今天学习之后尝试使用一下。首先需要明确的是在SpringMVC自带了很多参数解析器:上面只是其中一部分。所以显然我们下面要做的就是自定义解析器,并加入到执行器中去。...
def __repr__(self): return "Token" + str(self.token_attribute_list) + " " + str(self.same_token_color_seq_list)
03-11
这是一个关于 Python 代码的问题,我可以回答。这段代码是一个类的方法,它返回一个字符串,包含两个属性的值。其中,self.token_attribute_list 和 self.same_token_color_seq_list 是该类的两个属性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值