后端关于 Token 的验证

最新推荐文章于 2024-06-22 08:29:43 发布
最新推荐文章于 2024-06-22 08:29:43 发布
阅读量2.6k 收藏 5
点赞数 1
分类专栏: Token 的验证 文章标签:  Token 的验证

Token的含义就不说了: 其他网站有说明哦

上代码: 以下 分三部份

第一部分: JWTToken的 加密/解密

import java.security.Key;
import java.util.Map;

import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

public class JavaWebToken {

    private static Logger log = LoggerFactory.getLogger(JavaWebToken.class);

    //该方法使用HS256算法和Secret:bankgl生成signKey
    private static Key getKeyInstance() {
        //We will sign our JavaWebToken with our ApiKey secret
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary("bankgl");
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
        return signingKey;
    }

    //使用HS256签名算法和生成的signingKey最终的Token,claims中是有效载荷
    public static String createJavaWebToken(Map<String, Object> claims) {
        return Jwts.builder().setClaims(claims).signWith(SignatureAlgorithm.HS256, getKeyInstance()).compact();
    }

    //解析Token,同时也能验证Token,当验证失败返回null
    public static Map<String, Object> parserJavaWebToken(String jwt) {
        try {
            Map<String, Object> jwtClaims =
                    Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(jwt).getBody();
            return jwtClaims;
        } catch (Exception e) {
            log.error("json web token verify failed");
            return null;
        }
    }

}

 

第二部分: 拦截器的设置 

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import lombok.extern.slf4j.Slf4j;


@Slf4j
public class AuthenticationInterceptor implements HandlerInterceptor {
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        String url = request.getRequestURI();
        log.info("---登录拦截器地址:-------"+url+"---------------------拦截器地址------");
        // 如果不是登录操作 判断 session
        if (!url.endsWith("api/getAdmin")) {
            // 执行认证
            String token = request.getHeader("token"); // 从 http 请求头中取出 token
            log.info("---登录拦截器开始:-------"+token+"---------------------拦截器------");
            log.info("---登录拦截器解码:-------"+JavaWebToken.parserJavaWebToken(token)+"---------------------拦截器------");
            if (JavaWebToken.parserJavaWebToken(token) != null) {
                // 表示token合法
                // response.getWriter().write("{code:200,msg:'success'}");
                return true;
            } else {
                // token不合法或者过期
                // response.getWriter().write("{code:400,msg:'token不合法或者过期'}");
                return false;
            }
        }
              return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o,
            ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
            Object o, Exception e) throws Exception {

    }

}
 

第三部分: 在控制器Handler中 注册拦截器 -- 所有访问设置拦截

import org.springframework.context.annotation.Bean;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

@SuppressWarnings("deprecation")
//@Configuration
public class WebMvcConfigurer extends WebMvcConfigurerAdapter {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**");                    // 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录
        super.addInterceptors(registry);
    }

    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }
}

 

第四: Controller 控制器:

 @CrossOrigin
    @RequestMapping(value="api/getAdmin", method = RequestMethod.POST)
    public JSONObject getAdmin(@Param("email") String email,@Param("passWord") String passWord,HttpServletRequest request,
            HttpServletResponse response ){
            JSONObject jsonObject = new JSONObject();
            String errcode = "{\"errcode\":\"400\"}";      // 登陆标识
            String token = null;
            Admin admin=adminRepository.findByEmail(email);
            if (admin!=null){
                if (passWord.equals(admin.getPassWord())){
                    Map<String,Object> m = new HashMap<String,Object>();
                    m.put("email", admin.getEmail());
                    token = JavaWebToken.createJavaWebToken(m);
                    token = "{\"token\":\""+token+"\"}";
            //        errcode = "{\"errcode\":\"200\",\"token\":\""+token+"\"}";
    //    _logger.info("---用户登录成功:-------返回的errcode是:"+errcode+"------------------------------");
        _logger.info("---用户登录成功:-------携带的Token是:"+token+"------------------------------");
        _logger.info("---用户登录成功:-------Token解码为:"+JSONObject.fromObject(token).toString()+"---------------------拦截器------");
    //                return JSONObject.fromObject(errcode);
                    return JSONObject.fromObject(token);
                }
                _logger.info("---用户登录失败:-------携带的Token是:"+token+"------------------------------");
            }
        return JSONObject.fromObject(token);
    }

 

 

word_joke
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java token验证和注解方式放行
08-28
"java token验证和注解方式放行"的主题涉及了两个关键概念:Token验证和基于注解的权限管理。Token通常用于验证用户身份,防止未授权的访问。下面我们将深入探讨这两个主题。 首先,Token验证是一种常见的身份验证...
服务端校验jwt与前端请求头保存token
a2010630304的博客
09-12 833
后端登录校验token
教你前后端分离使用 Token 登录
weixin_49256908的博客
09-28 3999
这篇文章写一下前后端分离下的登录解决方案,目前大多数都采用请求携带 Token 的形式。 开写之前先捋一下整理思路: 首次登录时,后端服务器判断用户账号密码正确之后,根据用户id、用户名、定义好的秘钥、过期时间生成 token ,返回给前端前端拿到后端返回的 token ,存储在 localStroage 和 Vuex 里; 前端每次路由跳转,判断 localStroage 有无 token ,没有则跳转到登录页,有则请求获取用户信息,改变登录状态; 每次请求接口,在 Axios 请求头里携带 to
基于Token的WEB后台认证机制
最新发布
ruky36的专栏
06-22 659
基于Token的认证机制通过在客户端和服务器之间传递Token,实现了无状态的用户认证和授权。通过合理的Token管理和验证机制,可以确保Web应用的安全性和扩展性。在现代的Web应用中,基于Token的认证机制广泛应用于前后端分离的架构中。1. JWT (JSON Web Token): 一种常见的Token格式,包含Header、Payload和Signature三部分,具有自包含和易于传输的特点。6. 服务器验证Token:服务器验证Token的有效性,并根据验证结果返回相应的资源或错误信息。
简单前后端分离的token验证流程
weixin_51751186的博客
04-15 1万+
文章目录前言一、后端流程0 实体类user和DTO类UserDTO1 引入jwt依赖2 编写jwt工具类3 前后端token验证流程1 后端登陆接口和数据处理,返给前端token1controlle层2 service层次(这里的getone函数是mybatis-plus service层函数,因为结合使用了mybatis-plus所以dao层函数不用定义了)2 后端自定义jwt拦截器 并注册拦截器1 自定义jwt拦截器2 注册jwt拦截器(记得放行登陆接口)一.五 设定统一返回类后后端返给前端的信息数
后端分离实现用户登录Token权限验证
Silence_dhy的博客
09-29 6417
Springboot+Vue前后端分离实现用户登录Token权限验证以及登录Token状态保存
Token验证实现思路
qq_34991010的博客
09-01 2262
简介 Token 是一个临时、唯一、保证不重复的令牌 Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 使用Token的目的:
api鉴权-token验证机制springboot版本java后端
04-24
在API鉴权中,Token验证机制是现代Web应用中安全访问接口的重要手段。Spring Boot作为Java后端开发的主流框架,提供了丰富的工具和支持来实现这一机制。本教程将重点讲解如何在Spring Boot环境下,不依赖数据库,...
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
1. **C#中的Token验证**: - ASP.NET Core Identity:这是.NET框架提供的一个身份管理库,支持用户注册、登录、密码重置等功能,并可以生成基于Cookie的认证令牌。 - JWT:JWT是一种轻量级的身份验证协议,它允许...
token的两种验证方式
05-17
为避免在每个接口中重复相同的验证代码,可以创建一个专门处理Token验证的中间件,该中间件可以应用于一系列路由或整个应用。这样,只要请求经过这个中间件,就会自动进行Token验证。 总结,Token验证方式多样,...
nginx+lua+redis实现token验证
09-29
`token`验证是一种身份验证机制,它允许客户端通过提供一个令牌来证明其身份。这个令牌通常由服务器在用户成功登录后生成,包含用户的相关信息,如用户ID,过期时间等,并且是加密的。服务器会检查请求中的`token`,...
莫名获取不到request的header属性
蚂蚁搬家的博客
06-07 2351
前几天做某银行的项目,因项目需要给了一个sso-client.jar,这个包主要用于权限控制,行里要求必须使用,检查请求头中是否包含”xxl_sso_sessionid”,在行里某系统登陆成功后,会将行里生成的token信息放入。 前期开发都非常顺畅,后面将该jar引入之后,发现登陆成功后,从该请求头中获取不到token信息,与行里再三确认存入的名称无误,并确定获取名称无误的情况下,一时没了办法。 具体是这样的:查了半天,发现跟nginx的配置有关系,nginx会默认去除属性名包含下划线“_”的属性,这个还
后台获取不到请求头中token信息的解决方法
weixin_45151960的博客
11-03 8405
项目要做单点登录功能,于是在shiro的基础上加入了自定义的Filter,使用JWT自定义生成和校验token信息。功能写好后自己在postman中测试了效果,将token放在Headers中请求后台接口(如下图,还没发现问题),结果是测试成功开心的告诉前端可以对接了。过了一会,前端说接口一直返回token为空的错误信息。然后我就开始debug测试,发现前端发来请求头中确实没有找到token,但是Network。
登录流程-token、cookie与request.getHeader实现登录
weixin_44610169的博客
11-01 1198
在登录页面,当我们输入用户名与密码后,通过点击登录按钮,我们就会调用按钮绑定的登录方法,我们的登录接口会使用JWT工具返回一个token,我们需要引入js-cookie包,将token设置到cookie中去。
java中Token验证
qq_35124535的博客
01-09 953
java中Token验证 什么是Token:它是一个令牌,随机不可预测的。 为什么需要使用Token: 1,防止表单的重复提交 2:,防止跨站点的请求伪造 Token的使用流程是:首先在服务器端生成一个随机的token值并在服务器端保存起来,然后向客户端请求的过程中把这个Token值传过去。之后页面操作完毕后向服务器提交数据的过程中又把这个Token值传回服务器端,
Java实现Token登录验证(基于JWT的token认证实现)
热门推荐
shuux666的博客
03-12 2万+
文章目录 一、JWT是什么? 二、使用步骤 1.项目结构 2.相关依赖 3.数据库 4.相关代码 三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在co
13.(后端)生成token验证
m0_63953077的博客
10-12 2197
在flask_shop的工具类utils下创建一个新文件,专门用于生成和验证token信息。若对token不了解,可以查看第12篇文章。
token(令牌)的理解
芝识分享
04-10 1471
1 、若是单纯的浏览文档,不需要记录是谁发送了请求,在某一段时间里浏览了什么,每一次都是一个新的请求。 随着交互式WEB应用的兴起,像购物网站、需要登录的网站等,这就需要区分每个用户,因为HTTP协议是无状态的,无状态的意思就是服务器不保存与客户端交互的任何状态,也就是说,上一次请求对这次没有任何影响,每一次请求都是新的。一开始是使用session和cookie机制,见文档“https://blog.csdn.net/weixin_42037528/article/details/115584069” 这样
后端返回token完整案例
06-02
好的,以下是一个后端返回token的完整案例: 首先,前端后端发送登录请求,并提供用户名和...前端在每次请求后端时,将该token作为请求头部的Authorization字段发送给后端后端通过解析该token验证用户的身份。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值