前段时间在做移动端接口过程中,考虑到安全性,所有移动端发送请求(除了登录请求)过程中进行token有效验证。

  1.利用jwt生成token

   a.导入jwt相关包

  

        <!-- jwt -->

        <dependency>

            <groupId>com.nimbusds</groupId>

            <artifactId>nimbus-jose-jwt</artifactId>

            <version>4.23</version>

        </dependency>

   b.编写生成token的工具类TokenUtils

  

public class TokenUtils {

    private static final byte[] secret = "geiwodiangasfdjsikolkjikolkijswe".getBytes();

    //生成一个token

    public static String creatToken(String uid) throws JOSEException {

        Map<String,Object> payloadMap = new HashMap<>();

        payloadMap.put("uid", uid);

        //生成时间

        payloadMap.put("sta", new Date().getTime());

        //过期时间

        payloadMap.put("exp", new Date().getTime()+1000*60*60*24); //24小时token失效

        //先建立一个头部Header

        JWSHeader jwsHeader = new JWSHeader(JWSAlgorithm.HS256);

        //建立一个载荷Payload

        Payload payload = new Payload(new JSONObject(payloadMap));

        //将头部和载荷结合在一起

        JWSObject jwsObject = new JWSObject(jwsHeader, payload);

        //建立一个密匙

        JWSSigner jwsSigner = new MACSigner(secret);

        //签名

        jwsObject.sign(jwsSigner);

        //生成token

        return jwsObject.serialize();

    }

    public static Map<String,Object> valid(String token) throws JOSEException, ParseException {

        JWSObject jwsObject = JWSObject.parse(token);

        //获取到载荷

        Payload payload=jwsObject.getPayload();

        //建立一个解锁密匙

        JWSVerifier jwsVerifier = new MACVerifier(secret);

        Map<String, Object> resultMap = new HashMap<>();

        //判断token

        if (jwsObject.verify(jwsVerifier)) {

            resultMap.put("Result", 0);

            //载荷的数据解析成json对象。

            JSONObject jsonObject = payload.toJSONObject();

            resultMap.put("data", jsonObject);

            //判断token是否过期

            if (jsonObject.containsKey("exp")) {

                Long expTime = Long.valueOf(jsonObject.get("exp").toString());

                Long nowTime = new Date().getTime();

                //判断是否过期

                if (nowTime > expTime) {

                    //已经过期

                    resultMap.clear();

                    resultMap.put("Result", 2);

                }

            }

        }else {

            resultMap.put("Result", 1);

        }

        return resultMap;

    }

}

  

    2.对于移动端所有请求进行过滤

    a.在web.xml中配置相关过滤器(对所有请求含有/app开头的进行拦截,除了/app/login)

    

   <filter>

        <filter-name>AppRequestFilter</filter-name>

        <filter-class>com.demo.common.filter.AppRequestFilter</filter-class>

        <init-param>

            <param-name>excludedRequests</param-name>

            <param-value>/app/login</param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>AppRequestFilter</filter-name>

        <url-pattern>/app/*</url-pattern>

    </filter-mapping>

    b.编写AppRequestFilter类

    

public class AppRequestFilter implements Filter{

    private String excludedRequests;

    private String[] excludedRequestArr;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        excludedRequests = filterConfig.getInitParameter("excludedRequests");

        if(excludedRequests != null && excludedRequests.length() > 0){

            excludedRequestArr = excludedRequests.split(",");

        }

        return;

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;

        HttpServletResponse res = (HttpServletResponse) response;

        boolean isExcludedRequest = false;

        for (String requestStr : excludedRequestArr) {

            if (((HttpServletRequest) request).getServletPath().startsWith(requestStr)) {

                isExcludedRequest = true;

                break;

            }

        }

        if(isExcludedRequest){

            chain.doFilter(request, response);

        }else{

            String token = req.getHeader("app_token");

            if(StringUtil.isEmpty(token)){

                responseError(res, "token为空!");

                return;

            }else{

                Map<String, Object> validMap;

                try {

                    validMap = TokenUtils.valid(token);

                    int i = (int) validMap.get("Result");

                    if (i == 0) {

                        chain.doFilter(request, response);

                    } else if (i == 2) {

                        responseError(res, "token已经过期!");

                        return;

                    } else if(i == 1) {

                        responseError(res, "token无效!");

                        return;

                    }

                } catch (JOSEException e) {

                    e.printStackTrace();

                } catch (ParseException e) {

                    e.printStackTrace();

                }

            }

        }

    }

    @SuppressWarnings("deprecation")

    private void responseError(HttpServletResponse res, String errorMsg) throws IOException {

        res.setHeader("content-type", "application/json;charset=UTF-8");

        OutputStream outputStream = res.getOutputStream();

        JsonResult msg = new JsonResult(false, errorMsg);

        IOUtils.write(JSONUtil.toJsonPrettyStr(msg), outputStream);

    }

    @Override

    public void destroy() {

        return;

    }

}

    3.测试类编写

    

@Controller

@RequestMapping(value = "/app")

public class AppLogin {

    @RequestMapping(value = "/login")

    @ResponseBody

    public String login(String loginCode, String password){

        String token = "";

        try {

            token = TokenUtils.creatToken(loginCode);

        } catch (JOSEException e) {

            e.printStackTrace();

        }

        return token;

    }

}
@Controller

@RequestMapping(value = "/app/user")

public class AppSysUserController {

    @RequestMapping(value = "/getLoginName")

    @ResponseBody

    public String getLoginName(){

        return "admin";

    }

}

    4.调用查看结果

    

    

												


											
利用jwt生成token,用于http请求身份验证的更多相关文章
	

    
								
  1. 国服最强JWT生成Token做登录校验讲解,看完保证你学会!
		
    转载于:https://blog.csdn.net/u011277123/article/details/78918390 Free码农 2017-12-28 00:08:02 JWT简介 JWT(j ...
    
		
    2. 
						
  2. 使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)——第1部分
		
    原文:使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)--第1部分 原文链接:https://www.codeproject.com/Articles/5160941/ASP- ...
    
		
    3. 
						
  3. Token:服务端身份验证的流行方案【转】
		
    01- 身份认证 服务端提供资源给客户端,但是某些资源是有条件的.所以服务端要能够识别请求者的身份,然后再判断所请求的资源是否可以给请求者. token是一种身份验证的机制,初始时用户提交账号数据给服 ...
    
		
    4. 
						
  4. Token:服务端身份验证的流行方案
		
    01- 身份认证 服务端提供资源给客户端,但是某些资源是有条件的.所以服务端要能够识别请求者的身份,然后再判断所请求的资源是否可以给请求者. token是一种身份验证的机制,初始时用户提交账号数据给服 ...
    
		
    5. 
						
  5. tp5使用jwt生成token,做api的用户认证
		
    首先 composer 安装  firebase/php-jwt github:https://github.com/firebase/php-jwt composer require firebas ...
    
		
    6. 
						
  6. JWT生成token及过期处理方案
		
    业务场景 在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE.REACTJS等构建)使用token与后端接口交互,以达到安全的目的.本文结合stacko ...
    
		
    7. 
						
  7. JWT生成token
		
    1.JWT简介 JSON Web Token 简称JWT.一个JWT实际上就是一个字符串,它由三部分组成,头部.载荷与签名.JWT生成的token是这样的 2.Json Web Token(JWT)生 ...
    
		
    8. 
						
  8. .NET6 JWT(生成Token令牌)
		
    一.Net 6环境下的.net core项目里如何使用JWT. 第一步,在Nuget引入JWT.Microsoft.AspNetCore.Authentication.JwtBearer这两个NuGe ...
    
		
    9. 
						
  9. 使用 JWT 生成 Token 代码示例
		
    JSON Web Token,简称 JWT, 是一个开放的标准(RFC 7519),它定义了以一种紧凑的.自包含的 JSON 对象在各方之间安全传输信息的方式.该信息含有数字签名,可以被验证和信任.  ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. P5662 纪念品
			
    P5662 纪念品 题解 拿到题目想到DP,但是就是不知道咋写 后来证实这是个背包DP(最近整理背包白整了 我们观察这道题目的特殊之处: 也就是说,对于手中的物品,我们可以今天买了然后明天早上接着卖出 ...
    
			
    2. 
						
  2. 基于Android的ADT目录
			
    src: 源代码(重要) gen : 工具自动生成的代码 > BUildconfig 调试的开关,默认开启 > R.java 很多的静态的内部类 > 开发用的jar包 Android ...
    
			
    3. 
						
  3. ISO/IEC 9899:2011 条款5——5.2.4 环境限制
			
    5.2.4 环境限制 1.翻译与执行环境都约束了语言翻译器和库的实现.下面概述了对一个顺应标准实现的语言相关的环境限制:库相关的限制在条款7中讨论. 5.2.4.1 翻译限制 1.实现应该能够翻译并执 ...
    
			
    4. 
						
  4. 011-多线程-基础-基于AbstractQueuedSynchronizer自定义同步组件
			
    一.概述 队列同步器AbstractQueuedSynchronizer,是用来构建锁或者其他同步组件的基础框架. 1.1.自定义独占锁同步组件 设计一个同步工具:该工具在同一时刻,只允许一个线程访问 ...
    
			
    5. 
						
  5. linux下使用SVN上传项目
			
    linux下使用SVN上传项目 摘自:https://blog.csdn.net/puppet_/article/details/78259591 2017年10月17日 13:51:33 puppe ...
    
			
    6. 
						
  6. MYSQL 启动问题
			
    1.日志中出现  [ERROR] InnoDB: The Auto-extending innodb_system data file './ibdata1' is of a different si ...
    
			
    7. 
						
  7. iOS-二维码扫描界面(转)
			
    网址学习:http://blog.csdn.net/linux_zkf/article/details/7724867     二维码扫描界面自定义 作者:朱克锋 邮箱:zhukefeng@iboxp ...
    
			
    8. 
						
  8. Arduino图形化编程软件ArduBlock的安装过程
			
    ArduBlock是一款图形编程插件,接下来我们在Windows10上进行安装 注意ArduBlock虽然能安装在1.83版本的Ardunio上,但在载入程序时会报错,用本身的IDE不会出现这种情况. ...
    
			
    9. 
						
  9. Ubuntu下搜狗拼音输入法打不出汉字的解决方法
			
    问题 (1)Ubuntu下,搜狗拼音输入法能启动(系统托盘处有图标),但是打不出汉字,打字时选框不正常. 或者 (2)Deepin下,搜狗输入法无法启动,托盘处不显示图标,fcitx运行正常(这个可以 ...
    
			
    10. 
						
  10. tab页签
			
    <div class="fl" id="newsBox"> <div class="tab1 grayBar"> & ...
    
			
    11.