itsu-token一个手写的第三方token校验SpringBoot Starter模块

最新推荐文章于 2023-08-04 20:16:07 发布
置顶 最新推荐文章于 2023-08-04 20:16:07 发布
阅读量623 收藏
点赞数
分类专栏: 技术博文 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuhelve3308/article/details/111039947
版权
介绍

itsu-token作为SpringBoot 的starter 模块依赖SpringBoot环境。使用了hu-tool工具包作为底层开发工具包。依赖Spring Aop进行token校验。支持token的持久化保存,目前仅支持mysql数据库。支持token的可视化构建和管理。token构建,token list页面使用bootstrap和jquery-confirm进行设计。实现了第三方系统调用时的token校验、token注册等功能

软件架构

Spring, SpringBoot, Jquery, Hutool, Spring Aop

安装教程
  1. git clone https://github.com/zjwan461/itsu-token.git
  2. mvn clean install
  3. 在需要使用的项目中添加新构建的maven依赖
<dependency>
    <groupId>com.itsu</groupId>
        <artifactId>itsu-token</artifactId>
    <version>1.0</version>
</dependency>
使用说明

使用者可以在itsu-token-sample中查看到具体的使用案例

一、快速上手

  1. 第一步需要导入maven依赖。

    <dependency>
	<groupId>com.itsu</groupId>
	<artifactId>itsu-token</artifactId>
	<version>1.0</version>
</dependency>

  2. 在application.yml或application.properties中开启itsu-token功能

    itsu-token:
  enable: true

  3. 在需要提供token校验的接口上添加@Token注解

    @RestController
public class TestController {
	@Token
	@GetMapping("/index")
	public String idx() {
		return "index";
	}
}
二、自动创建token数据库表

  1. 开启自动建表功能

  2. 提供自动建表schema.sql

    itsu-token:
  enable: true
  init:
    auto-create-table: true
    schema-location: classpath:example.sql

    需要留意的是,即使使用者不提供schema,itsu-token也内置了两种建表方案。他们分别是rsaSchema.sql和simpleSchema.sql,分别对应了系统内置的两种校验方式“RSA” & “SIMPLE”
    在这里插入图片描述

    通常情况下我建议直接使用内置的schema完成自动建表,如果使用者一定要使用自定义的schema建表,还需要开启custom-schema功能,并给出自定义的schema-location。并且需要在IOC容器中注入TableSample接口的实现类。并且使用特定的“表结构修饰注解”给这个类打上标记,以适配使用者在自定义schema脚本建表的表接口。请看如下一个完整的使用案例。

    我准备了一个example.sql作为自定义建表的schema文件

    CREATE TABLE IF NOT EXISTS sys_token (
    id char(32) not null primary key,
    name varchar(255) not null,
    simple_token char(32) not null
);

    同时我也开启了auto-create-table和custom-schema功能,并给出了schema文件的所在位置。

    itsu-token:
  enable: true
  init:
    auto-create-table: true
    schema-location: classpath:example.sql
    custom-schema: true  #声明开启自定义schema功能
  web-register:
    enable: true

    此时我还需要自定义一个tableSample类,如下。使用TableDesc,TableId,SimpleToken,SysName这几个注解完成和自定义example.sql的表结构统一。另一种验证方式RSA和这种方式是一致的,只不过不再使用SimpleToken这个注解,取而代之的是PrivateKey, PublicKey这两个注解。用于表示RSA非对称加密中的“公钥”和“私钥”。

    @TableDesc("sys_token")
public class MySimpleTableSample implements TableSample {
	@TableId
	private String id;
    
	@SimpleToken("simple_token")
	private String token;
	
	@SysName("name")
	private String name;
	
}
三、自定义Token验证规则

  1. itsu-token提供了自定义的Token校验机制。让使用者可以根据自己的需求,个性化的来定制自己所需的token校验。你需要继承一个com.itsu.itsutoken.checker.CusTokenChecker抽象类,并重写check()、getTableSample() 方法。

    public class MyCustomTokenChecker extends CusTokenChecker<MyCustomTableSample> {

	@Override
	public void check(JoinPoint joinPoint) throws TokenCheckException {
		// do some check here
	}

	@Override
	public MyCustomTableSample getTableSample() {
		return new MyCustomTableSample();
	}

}

  2. 为何要重写getTableSample()方法?因为对于自定义token校验来说,使用者在数据库中存储的token信息是不明确的,也无法知道使用者需要进行那种方式的token校验。所以需要给出数据库中存储token信息的表的结构。对于这种要求,itsu-token是通过TableSample类+TableSample注解来实现的。这一点在上文中的custom-schema中也有提及。那也就意味着如果使用者使用了自动建表功能,那就需要同时给出schema-location,然后还需要定义TableSample的具体实现。当然手动建表也需要提供TableSample的具体实现。

    @TableDesc("tb_token")
public class MyCustomTableSample implements TableSample {

	@TableId
	private String id;
	
	@TableField("custom_field")
	private String token;
}

  3. 工具方法

    CustomTokenChecker提供了三个基本工具方法,分别是getTableFieldNames(),getTableName(),getTableId()用来获取用户自定义TableSample的字段&表的定义。可以方便后期使用者获取Table的详细信息。我知道这样看起来多此一举,因为我大部分会用到自定义token校验的使用者都会清楚的知道表结构是什么样子的,直接写原生的sql查询数据就可以达到目标。这里只是提供一种方式。

    protected List<String> getTableFieldNames() throws TokenCheckException {
		try {
			return ClassUtil.getTableFieldValues(tableSample.getClass());
		} catch (Exception e) {
			throw new TokenCheckException(e);
		}
	}

protected String getTableName() throws TokenCheckException {
		try {
			return AnnotationUtil.getAnnotationValue(tableSample.getClass(), TableDesc.class);
		} catch (UtilException e) {
			throw new TokenCheckException(e);
		}
}

protected String getTableId() throws TokenCheckException {
		try {
			return ClassUtil.getId(tableSample.getClass());
		} catch (Exception e) {
			throw new TokenCheckException(e);
		}
}
四、web register 功能

​ 目前itsu-token仅对默认支持的Token校验类型“simple”,”rsa“ 提供了web register功能。至于web register,顾名思义就是提供了集成化的非侵入式的通过web方式来向系统注册token的功能。在itsu-token中,这一功能,默认是关闭的。需要在配置文件中开启。如下是一个web-register功能的完整配置。可以看到的是除了web register的开关位,还提供了几个选项。详细的解释可以参考下文的定义。需要注意的是,web register目前暂时不支持自定义校验,也就是custom token check。

itsu-token:
  web-register:
    enable: true
    user: admin
    password: password
    register-url: /register.html
    token-list-url: /tokenlist.html

​ 当你开启web register后,想要访问到tokenlist.html, 此时itsu-token会要求你先进行登录。账号和密码也就是在上述代码中所配置的。
在这里插入图片描述
当你完成登录后,就能访问register.html和tokenlist.html了。你可以在register页面做token的注册工作,在tokenlist.html查看已注册的token列表。
在这里插入图片描述
在这里插入图片描述

三头小牛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手动生成token_手动设计简单的Token验证
weixin_35781147的博客
12-29 648
简述一下项目中手写Token验证服务设计过程PART A 设计校验的哈希算法这里直接展示整个项目中用到的算法库,其中涉及位运算的可不管直接应用到的方法是hash(str)大概流程如下1.构造一个大素数表并随机打乱2.提供足够快的快速幂3.哈希规则:\sum 下标对应byte^^randomPrimes[下标 % 素数表长度] % 128为了更快的hash过程其实可以把下标进一步转为其bitcou...
token加sign加签名实现app和web接口安全验证
雷绍发
03-31 1268
最近csdn改版,有点不适应改版的后台,觉得没有以前发博客方便了: 废话不多说直接说内容吧,接口风格有很多种,但是到最后还是会走到安全验证这里 其他验证我就说了,汽车有bba互联网就拿b(百度)t(淘宝)t(腾讯)来说吧!虽然我不知道他们内部的安全验证怎么走的,但是调用三家sdk接口之后我回过头也看了原声的api: 共同点: 1:ascii码排序这个是逃不掉的, 2:返回数据格式CONT...
springboot第三方接口时先登录鉴权获取token后才能调用其他请求
qq_40642294的博客
01-27 2019
springboot第三方接口时先登录鉴权获取token后才能调用其他请求
老生常谈的问题:Spring Boot中如何一键自定义starter
ygk004的博客
11-19 4526
Spring Boot starter 我们知道Spring Boot大大简化了项目初始搭建以及开发过程,而这些都是通过Spring Boot提供的starter来完成的。品达通用权限系统就是基于Spring Boot进行开发,而且一些基础模块其本质就是starter,所以我们需要对Spring Boot的starter一个全面深入的了解,这是我们开发品达通用权限系统的必备知识。 1 starter介绍 spring boot 在配置上相比spring要简单许多, 其核心在于spring-boot-
第三方token过期监控及刷新机制
热门推荐
一只小码渣的博客
12-21 13万+
背景 信息系统随着业务发展的多样化及场景的拓展,需要接入越来越多的第三方系统,部分收费的第三方服务都会按照合同约定给用户提供对应的应用授权账户,授权账户包含并不仅限于账号/密码/AppKey/AppSecret/MerchantId,但是从系统安全角度出发,为了保护授参数的安全性和系统的稳定性,服务商都有针对账号进行流量控制/服务降级/关键安全信息定期更新等机制,来确保双方系统稳定及安全,本次说到的Token过期就是其中的一种保护账号安全的机制 现状 各第三方服务token过期时间 针对目前的一些第三方服务
【Nginx 代理前端第三方免登录-token验证,session和local缓存填入】
wow~
06-23 4327
第三方平台免登录 配置nginx监听、跳转 这里访问的地址应该是这样的也就是和前端页面在一个IP + Nginx监听端口+监听路径 192.168.124.27:81/sso 这样用postMan请求上面的地址 访问成功就可以直接在页面上测试了。.........
NewMusicPlayer-from-itsu020402:播放Nukkit的音乐插件。 声音资源包制造商
04-27
放下鲭鱼一次 在plugins / NewMusicPlayer / Config.yml的“资源名称”字段中输入Resopa的名称。 在plugins / NewMusicPlayer / MusicKeys.properties中的“ =”后面输入要显示的歌曲的标题(不必这样做) 重新启动...
ClosingTime-Android:适用于ClosingTime的Android应用
05-18
关闭时间-Android 该应用程序可让您知道餐厅何时提供关门时间折扣。目前支持的餐厅: 芥末英国Itsu UK
CSRF防御之token认证
EmotionComputer
06-24 2万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
Token验证机制
sun_qqq的博客
02-06 237
前后端交互的令牌
让身份验证更简单:OAuth2基于令牌方式为第三方应用提供认证和授权方案
BASK2312的博客
06-03 858
OAuth 2.0 是一个开放标准,允许用户通过授权方式访问第三方应用程序。它通过令牌(token)授权方式,在不暴露用户凭据的情况下授权给第三方应用程序访问资源。OAuth 2.0 是 OAuth 协议的下一代版本,相比于 OAuth 1.0,更加简单、易于使用,并且支持多种授权流程。
手动设计简单的Token验证
weixin_30819163的博客
07-18 117
简述一下项目中手写Token验证服务设计过程 PART A 设计校验的哈希算法 这里直接展示整个项目中用到的算法库,其中涉及位运算的可不管 直接应用到的方法是hash(str) 大概流程如下 1.构造一个大素数表并随机打乱 2.提供足够快的快速幂 3.哈希规则:\sum 下标对应byte^^randomPrimes[下标 % 素数表长度] % 128 为了更快的hash过程其实可以把下...
创建token验证,手写spring-boot-starter(个人笔记)
最新发布
weixin_61850931的博客
08-04 58
重写 添加一个拦截器,并将TokenXproperties里的拦截器配置属性添加到对应位置,excludePath是白名单中如果有多个路径,以 “ ,” 进行字符串分割,分为一个包含路径的集合 新创建一个含有tokenKey的拦截器,并添加到相应配置。pom文件依赖改为dependencyManagement用来管理子模块的依赖版本,spring-boot-starter-parent的版本设为常用的2.3.11版本。属性中,prefix获取bean里属性的前缀,从配置文件中依靠前缀获取详细属性。
laravel jwt同一个token在不同系统中验证
weixin_39651391的博客
02-25 916
laravel jwt token跨平台验证,用户中心
前后端分离架构 -- SpringSecurity用法+自定义token校验
weixin_44795847的博客
02-11 3976
前后端分离架构 -- SpringSecurity用法+自定义token校验
封装BaseController  
qq_28326501的博客
12-02 725
package com.yunque.www.springbootdemo.base; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; import com.yunque.www.springbootdemo.exceptions.PicaException; import com.yunque.www.springbootdemo.exceptions.PicaResultCode; impor...
第三方API对接如何设计接口认证?
damimi88的博客
07-02 769
一、前言夏菡小说网 https://www.2912.info 在与第三方系统做接口对接时,往往需要考虑接口的安全性问题,本文主要分享几个常见的系统之间做接口对接时的认证方案。 二、认证方案 例如订单下单后通过 延时任务 对接 物流系统 这种 异步 的场景,都是属于系统与系统之间的相互交互,不存在用户操作;所以认证时需要的不是用户凭证而是系统凭证,通常包括 app_id 与 app_secrect。 app_id与app_secrect由接口提供方提供 2.1. Baic认证 这是一种较为简单的...
基于 token 的多平台身份认证架构设计
java思维导图
02-02 388
本文作者:哈莫cnblogs.com/beer/p/6029861.html1、概述在存在账号体系的信息系统中,对身份的鉴定是非常重要的事情。随着移动互联网时代到来,客户端的类型越来越多...
SpringBoot2+ JWT 前后端分离 自定义token 校验,及自定义全局异常处理
u014212540的博客
07-16 986
SpringBoot2 + JWT 实现微信小程序登录, token 校验 及 自定义全局异常处理
Token验证实现思路
qq_34991010的博客
09-01 2244
简介 Token一个临时、唯一、保证不重复的令牌 Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 使用Token的目的:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值