自定义注解跳过Token验证(二)

已于 2023-08-30 15:43:24 修改
阅读量676 收藏
点赞数
文章标签: java maven spring
于 2023-08-30 15:42:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwy12321/article/details/132584083
版权

自定义注解跳过Token验证

JWT+token+redis实现登录逻辑中通过配置webconfig对登录接口进行放行,现通过给对应接口添加注解的方式使其不用经过token验证

  1. PassToken.java 自定义注解
@Target({ElementType.METHOD,ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
    
}
  1. AuthenticationInterceptor.java 修改拦截器preHandle方法
  @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,Object object)  {

        //判断方法是否有PassToken注解 如果有则放行
        if(object instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) object;
            Method method = handlerMethod.getMethod();
            if (method.isAnnotationPresent(PassToken.class)) {
                    return true;
            }
        }
        //获取请求头信息
        String token = httpServletRequest.getHeader("token");
        if (token == null) {
            return false;
        }
        String username;
        try {
            username = JWT.decode(token).getAudience().get(0);
        } catch (Exception j) {
           return false;
        }

        // 验证 token
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(userService.getPassword(username))).build();
        try {
            jwtVerifier.verify(token);
        } catch (JWTVerificationException e) {
            return false;
        }
        return true;
    }
  1. TestVontroller.java 在测试方法上添加PassToken注解
@RestController
@RequestMapping("/test")
public class TestController {

    @GetMapping
    @PassToken
    public void test(){
        System.out.println("hello world");
    }
}
zwy12321
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java实现自定义注解,实现不需要token 验证就可以访问接口
一天不写代码难受的博客
05-11 304
一个springboot 项目,需要token 验证,前端传过来token ,我们一般在项目全局写一个过滤器,去验证前端传过来的token ,如果有哪些接口不需要token验证,那么就排除这些接口,这个也需要配置。所以现在我们就需要自定义一个注解,如果你认为哪个接口不需要token 验证就可以访问,那么就在这个接口上面写这个自定义的注解就可以了。但是这样就有一个问题,那就是不能一直配置不需要token验证的接口。第五步,启动项目之后,访问这个接口就可以了。第一步,自定义一个注解。
java SpringBoot登录验证token拦截器
m0_54850825的博客
08-01 379
定义2个注解,1个用于任何接口都能访问,另外一个用于需要登录才能访问拦截器拦截,除了登录和发送短信,不拦截,其他都拦截@Resource@Override//注册自己的拦截器,并设置拦截的请求路径//addPathPatterns为拦截此请求路径的请求//excludePathPatterns为不拦截此路径的请求}}拦截的时候,调用的方法,给谁通过其中service查询数据库,有没有用户,的方法要自己写加入全局,异常类,这样当异常,会返回你所指定的异常。...
SpirngBoot设置自定义注解@NoToken去除部分接口的token验证
洛阳泰山的博客
10-30 4309
项目开发中,有部分对外提供的接口需要无token调用,毕竟每次都需要先调用登录接口获取token,再去调用功能接口,还要不停的更新token,防止token过期,别的项目调用实在有点麻烦,于是开发一个notoken 的注解在不需要传token的接口controller里加上@NoToken注解,即可实现,非常方便,下面就附上代码教程,仅供参考。
token绕过
weixin_58782362的博客
02-11 6111
pikachu中token绕过
绕过token脚本
08-14
该脚本是用来绕过user_token的,是用PHP写的,可以用在爆破也可以用在其他方面
Token验证绕过 靶场实战
weixin_54771278的博客
06-08 1587
实验介绍 1.漏洞简介 在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式。 具有以下几点特性: 1)无状态、可扩展 2)支持移动设备 3)跨程序调用 4)安全 2.原理基于Token验证原理 基于Token的身份验证是无状态的,我们不将用户信息存在服务器或Session中。 NoSession意味着你的程序可以根据需要去增减机器,而不用去担心用户是...
渗透测试-暴力破解之验证码测试token防爆破绕过
lza20001103的博客
05-01 4421
暴力破解之验证token防爆破绕过
【渗透测试】web安全-穷举 通过brupsuite进行token绕过
m0_62783065的博客
10-11 1211
通过brupsuite进行token绕过
暴力破解之绕过token
a987329381的博客
05-28 919
由于每次登录token的值都会随机改变,所以暴力破解的基本思路为:每次登陆时,返回上次登录时的token值,由于此时的token值还没有改变,即可完成暴力破解。与之前的操作一致,区别在于多了一个token变量,且这次使用pitchfolk的爆破方式。在搜索栏中搜索token,选中并复制token的值。回到payloads,将刚才复制的数字粘贴到如下栏内。首先还是输入随机账号密码进行抓包。在options中勾选此选项。在token这一栏,选择如下。点击add,并如下图操作。在此页面将线程改为1。
java token验证和注解方式放行
08-28
token工具,集成了token校验和注解方式token放行策略,解压后直接将java文件放到项目中,引入一下maven就可以用了,亲测可用,如果有问题欢迎留言评论或者私信,可以帮忙解决问题
TOKEN自定义注解
05-18
TOKEN自定义注解,用于防止重复提交的,直接应用就可以了!
Laravel的Auth验证Token验证使用自定义Redis的例子
10-16
今天小编就为大家分享一篇Laravel的Auth验证Token验证使用自定义Redis的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
PHP token验证生成原理实例分析
10-16
主要介绍了PHP token验证生成原理,结合实例形式分析了php的token验证原理与使用技巧,需要的朋友可以参考下
中间件token验证,自定义返回消息
最新发布
05-17
中间件token验证,自定义返回消息
shiro通过注解方式自定义控制接口无需认证访问的解决过程
凌大大的博客
01-26 9612
1. 需求背景   用过Shiro的小伙伴都知道,shiro提供两种权限控制方式,通过过滤器或注解。我们项目是springboot + vue前后分离项目,后台对于权限控制一直使用的是过滤器的方式,并且还有自定义的过滤器。大概如下: @Bean("shiroFilter") public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new
暴力破解-绕过token防御
weixin_45095113的博客
11-11 852
暴力破解绕过token防御
某个接口去掉请求头的token
qq_43748314的博客
09-29 1479
去掉请求头
BurpSuite 暴力破解之绕过 token
白帽渗透笔记的博客
07-12 3095
0x01 现在的网站安全性越来越高,防爆破机制也越来越多,token 验证便是其中比较常见的一种。客户端每次请求服务器时,服务器会返回一个 token,下次请求时,客户端需要带上这个 token,否则服务器认为请求不合法。且这个 token 不可重复使用,每次请求都将生成新的 token,并导致旧的 token 失效。 0x02 token 机制使得我们的爆破变得困难了许多,但正所谓道高一尺魔高一丈,神器 BurpSuite 已经为我们提供了这一问题的解决方案,接下来就由老夫将这武林秘籍授予你们!
oauth2 跳过token
05-16
OAuth2 是一种常见的授权协议,用于保护 Web 应用程序和 API。在 OAuth2 协议中,当用户授权应用程序访问他们的资源时,应用程序会收到一个访问令牌(token),以便访问受保护的资源。如果你想跳过 OAuth2 的 token 验证,那么可能会导致安全风险,因为这可能允许未经授权的用户访问你的资源。 如果你真的需要在开发过程中跳过 OAuth2 的 token 验证,那么你可以在应用程序中添加一个 bypass 标志,以便在特定环境中跳过 token 验证。但是,一旦你将应用程序部署到生产环境中,你必须确保 OAuth2 token 验证已经恢复,并采取必要的措施来保护你的资源和用户数据安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值