jwt 实现token 拦截器bug +前端路由白名单bug总结

最新推荐文章于 2024-06-16 07:30:00 发布
最新推荐文章于 2024-06-16 07:30:00 发布
阅读量1.4k 收藏
点赞数
文章标签: java javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45351914/article/details/124333849
版权

项目场景:

提示:这里简述项目相关背景:

这两天一直在做token相关的模块 总结一下遇到的几个bug以及解决方案

问题描述

提示:这里描述项目中遇到的问题:

1.使用jwt 实现token的时候关于token码的实现主要操作工具类就行了,但是更多的问题出现在拦截器的方面,下面放一下拦截器的部分拦截代码

这是配置类相关的

 /**
     * 配置拦截器、拦截路径
     * 每次请求到拦截的路径,就回去执行拦截器中的方法
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        List<String> excludePath = new ArrayList<>();

        // 排除拦截,除了注册登录(此时还没TOKEN),其他都拦截
        excludePath.add("/register"); // 登录
        excludePath.add("/login/**"); // 注册
        excludePath.add("/select/**");
        excludePath.add("/static/**"); // 把静态资源的访问也排除
        excludePath.add("/assets/**"); // 把静态资源的访问也排除

        registry.addInterceptor(tokenInterceptor)
             .addPathPatterns("/**") ;// 添加拦截的路径模式 /** 代表全部拦截
               .excludePathPatterns(excludePath); //这是排除拦截的代码

        WebMvcConfigurer.super.addInterceptors(registry);
    }

这是拦截器相关代码

``

package com.example.demo.util;

import lombok.extern.slf4j.Slf4j;
import org.json.JSONObject;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.reflect.Method;

/**
 * @author wcc
 * @date 2021/11/19 11:13
 */
@Component
@Slf4j
public class TokenInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        // 如果不是映射到方法直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }

        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();

        System.out.println(method);
        //跨域请求会首先发送一个options请求,直接返回正常状态并通过拦截器
        if (request.getMethod().equalsIgnoreCase("OPTIONS")) {
            response.setStatus(HttpServletResponse.SC_OK);
            log.info("走过了option请求");
            return true;
        }

        // 检查该方法上是否有 PassToken 的注解
        System.out.println(method.isAnnotationPresent(PassToken.class));
        if (method.isAnnotationPresent(PassToken.class)) {
            PassToken passToken = method.getAnnotation(PassToken.class);
            if (passToken.required()) {
                return true;
            }
        }

        System.out.println(method.isAnnotationPresent(UserLoginToken.class));
        // 检查该方法是否有 UserLoginToken 权限的注解
        if (method.isAnnotationPresent(UserLoginToken.class)) {
            UserLoginToken annotation = method.getAnnotation(UserLoginToken.class);
            if (annotation.required()) {
                response.setCharacterEncoding("UTF-8");

                String token = request.getHeader("token");
                System.out.println(token);
                if (token != null) {
                    //这里,其实少了一些步骤,没有连接数据库的缘故
                    /**
                     * 具体操作是这样实现的,创建 TOKEN 的时候可以根据用户的ID 来去创建
                     * 所以当验证 TOKEN 不为空时获取其中的数据ID 并查找数据库看是否存在
                     * 如果存在再去验证 TOKEN
                     */
                    boolean result = TokenUtils.verfiry(token);
                    if (result) {
                        log.info("TOKEN 验证通过,TokenInterceptor拦截器放行");
                        return true;
                    }
                }
            }
        }

        response.setContentType("application/json;charset=utf8");

        try {
            JSONObject jsonObject = new JSONObject();
            jsonObject.put("message", "您没有权限");
            jsonObject.put("code", HttpServletResponse.SC_INTERNAL_SERVER_ERROR);
            response.getWriter().append(jsonObject.toString());
            log.info("验证失败,未通过TokenInterceptor拦截器");
        } catch (Exception e) {
            log.error(e.getMessage());
            return false;
        }

        //后面还可以进行其他判断 用户是否存在等等,我这里就不使用数据库了 不再进行判断

        return false;
    }
}


2.前端实现token的验证也比较简单 更多的问题是出现在路由白名单的地方
,我主要出现的问题就是路由白名单只能设定一个路由,无法设定多个路由白名单

原因分析:

针对问题1的分析尝试了很多,后来发现不是什么大问题,在后端拦截器中,每当前端有axios请求的时候,如果后端在处理的时候出现异常就会进行拦截,这样拦截对于用户使用是很友好的,可以避免很多非法请求,但是对于开发者来说,这样进行拦截的对bug分析有阻碍左右,无论什么错误请求后端都会发送同样的错误码,而且无法请求到服务器内部,无法分析错误原因

针对问题2的分析就是看一下main.js中的路由拦截器

router.beforeEach((to, from, next) => {
  document.title = `${to.meta.title} | 后台管理系统`
  const whiteRouter = ['Login', 'register']
  const token = getToken()
  // 判断是否存在token 有token则放行
  if (token) {
    next()
  } else if (whiteRouter.indexOf(to.name) !== -1) {
    // indexOf方法,判断数组中是否存在指定的某个对象,如果不存在,则返回-1
    nprogress.start() // 这是一个进度条方法
    next()
  } else {
    next('/login') // 验证不通过重定向到login
  }

解决方案:

问题1

    public void addInterceptors(InterceptorRegistry registry) {
        List<String> excludePath = new ArrayList<>();

        // 排除拦截,除了注册登录(此时还没TOKEN),其他都拦截
        excludePath.add("/register"); // 登录
        excludePath.add("/login/**"); // 注册
        excludePath.add("/select/**");
        excludePath.add("/static/**"); // 把静态资源的访问也排除
        excludePath.add("/assets/**"); // 把静态资源的访问也排除

        registry.addInterceptor(tokenInterceptor)
//                .addPathPatterns("/**") ;// 添加拦截的路径模式 /** 代表全部拦截
               .excludePathPatterns("/**");

        WebMvcConfigurer.super.addInterceptors(registry);
    }

可以放行所有拦截让拦截器暂时实现,等项目完全可以跑通再加入拦截器

问题2
解决方法利用 indexOf方法,判断数组中是否存在指定的某个对象,如果不存在,则返回-1
其中做判断的时候if中的条件最好不要超过两个
超过两个可能会有Maximum call stack size exceeded 错误
也就是:超过最大调用堆栈大小
具体原因可以参照jvm虚拟机
也就是说可能出现栈溢出的情况


```javascript
router.beforeEach((to, from, next) => {
  document.title = `${to.meta.title} | 后台管理系统`
  const whiteRouter = ['Login', 'register']
  const token = getToken()
  // 判断是否存在token 有token则放行
  if (token) {
    next()
  } else if (whiteRouter.indexOf(to.name) !== -1) {
    // indexOf方法,判断数组中是否存在指定的某个对象,如果不存在,则返回-1
    nprogress.start() // 这是一个进度条方法
    next()
  } else {
    next('/login') // 验证不通过重定向到login
  }
weixin_45351914
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt设置token登录拦截器
m0_58467275的博客
03-08 1990
springboot项目,搭配jwt设置判断token放行工具,控制页面登录之后才可以访问的页面
springboot 有关拦截器遇到的问题
05-28 120
最近改造搜索服务,原来是用 ngx + lua 写的,虽然性能很高,带来的问题是可维护性不太方便,不是指lua语言方面,是因为团队就2个开发人员,另外一个开发人员的擅长语言是Java,于是准备将搜索服务移植于Java语言,选型了现在当下的springboot,这样就可以让更多的人更维护这个服务。 我也是刚学springboot,以前也是自己玩过SSM框架,把遇到问题记录下来: 在登录...
JWT令牌、过滤器Filter、拦截器Interceptor
最新发布
m0_46702681的博客
06-16 1180
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}
JJWT的解密bug
L_simian7的博客
03-30 170
我只能尝试这么理解:Base64在加密时,是通过一步一步加密的,相同的东西,在加密时经过的步骤都是相同的,所以最终加密出来也是相同的。但是如果你压根就没有经过我Base64加密,你却要来走我Base64的还原过程,那我在还原的过程中,有的步骤都没法走,直接跳过了,最后把你“还原”。可以看到,setSigningKey方法也将拿到的秘钥用base64解码了,咋一看好像没什么问题,解码就解码呗,反正两边都解了,同一个字符串,解码过肯定是一样的结果,但问题恰巧就出现在这里。三者在解密时,结果都是一样的。
改了两天的bug,一个JWT解决了。。。
09-30 1247
文章目录写在前面如何使用写在后面 写在前面 JWT(JSON Web Token),看到Token,估计都能猜出他是干啥的了,对,就是用来登录验证的,为啥会聊到JWT呢,之前我做登录验证用的是Cookie和Session,感觉没啥问题,现在我要对我的新闻博客项目做一个版本更新,也就是更新为前后端分离的,这样一改,Cookie不行了,查阅了点资料,并问了问老师,才明白,原来是浏览器为了安全起见,不支持第三方的Cookie了,被迫,把登录验证改用了JWT。 如何使用 学以致用,如何在我们的代码中使用JWT呢,很
瑞吉外卖中出现的小bug--拦截器失效
qq_55272229的博客
06-10 354
注意:如果您选择将@EnableWebMvc注解添加到WebMvcConfigurationSupport配置类上,那么默认的Spring Boot MVC自动配置机制将失效,所有特定于Spring Boot的MVC配置都需要您自己手动添加。如果您使用的是Spring Boot 2.0版本及以上,建议使用实现WebMvcConfigurer接口的配置类2来添加拦截器,而不是继承自WebMvcConfigurationSupport的配置类1。
koa+jwt实现token验证与刷新功能
01-01
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 本文只讲Koa2 + jwt的使用,不了解...
基于springboot+jwt实现刷新token过程解析
08-19
基于SpringBoot+JWT实现刷新Token过程解析 标题解析 本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于...
vue+axios 拦截器实现统一token的案例
10-14
本案例将详细讲解如何在Vue项目中利用axios的拦截器实现统一的token管理。 首先,`axios`的拦截器分为两种:`request interceptors`和`response interceptors`。`request interceptors`在请求被发送到服务器之前...
spring boot+jwt实现api的token认证详解
08-26
在本文中,我们将深入探讨如何使用Spring Boot和JWT(JSON Web Token)来实现API的Token认证。JWT是一种轻量级的身份验证和授权机制,它允许应用程序在客户端和服务器之间安全地传输信息,而无需在每次请求时进行...
Interceptor+Token拦截器登录校验 + Exception全局异常处理器
weixin_44894196的博客
01-01 1345
使用拦截器完成用户鉴权,解决重复性的登录验证和token解析;统一处理项目中的异常,减少项目中的try...catch的代码冗余
如何用后端返回的token进行请求拦截
qq_14926871的博客
11-23 3634
其实很简单,只需要在main.js中加入全局请求配置 Axios.defaults.headers.common['Authorization'] = localStorage.getItem('token') //请求头里加入token 然后添加请求拦截器 // 添加请求拦截器 Axios.interceptors.request.use(config =&gt; { // 在发送...
jwttoken白名单过滤。从写中间件。生成token
jiedong_xu的博客
01-23 592
如果需要用户的id可以调用request.id。上面把用户id存到request里面了。从写中间件,在settings文件里面的加上“MIDDLEWARE”中加上封装的。里面的SECRET_KEY需要从配置文件中settings中导过来。封装一个token进行解析判断,校验。
shiro学习——整合jwt时全局异常处理器无法处理JWTFilter中抛出的异常
weixin_43344930的博客
08-09 4659
springboot+shiro+jwt全局异常处理器无法处理JWTFilter中抛出的异常一、shiro中会出现的异常1、 AuthencationException2、 AuthorizationException二、为什么无法被全局异常处理器处理三、解决方案1、把统一返回的信息写入response中2、使用重定向到处理该错误的controller中 一、shiro中会出现的异常 1、 AuthencationException AuthenticationException 异常是Shiro在登录认
JWT,springboot整合JWT完成token的验证,token的使用,token做接口拦截
你走过的路 风都是暖的
11-07 2348
昨天公司新开发的一个项目,后台用的jwt完成token的验证。 首先,介绍一下什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).**定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。**因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名 JWT请求流程 1. 用户使用账号和面发出post请求; 2. 服务器使用私钥...
Redis
fgwynagi的博客
03-18 108
redis
基于token的一个拦截器
weixin_41678132的博客
12-04 2182
public class TokenInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object hander) throws Exception { ...
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 7707
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt拦截器实现token权限验证。
jwt权限验证工具类
m0_48690839的博客
12-09 309
jwt权限验证工具类 导入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.7.0</version> </dependency> <dependency> <groupId>com.auth0</groupId>
jwttoken拦截器
09-05
JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全方法。在使用JWT时,可以使用拦截器来拦截每个请求,验证和解析JWT,并进行相应的处理。 实现JWT Token拦截器的步骤如下: 1. 创建一个拦截器类,例如"JwtTokenInterceptor"。 2. 在拦截器类中实现Interceptor接口,并重写preHandle()方法,在该方法中进行JWT的验证和解析操作。 3. 在preHandle()方法中,通过获取请求头中的Authorization字段,获取到JWT Token。 4. 使用JWT库对Token进行验证和解析,验证Token的签名是否正确,并获取其中的用户信息。 5. 根据验证结果进行相应的处理,例如通过验证则允许请求继续执行,否则返回相关错误信息或进行相应的操作(例如重定向、返回错误码等)。 6. 在Spring Boot中,可以使用注解方式将拦截器类添加到拦截器链中,例如使用@WebFilter注解或在配置类中进行配置。 需要注意的是,JWT Token拦截器只是一种验证和解析JWT Token的方式,具体的逻辑和处理方式需要根据实际业务需求进行定制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值