前段时间在做移动端接口过程中,考虑到安全性,所有移动端发送请求(除了登录请求)过程中进行token有效验证。

  1.利用jwt生成token

   a.导入jwt相关包

  

        <!-- jwt -->

        <dependency>

            <groupId>com.nimbusds</groupId>

            <artifactId>nimbus-jose-jwt</artifactId>

            <version>4.23</version>

        </dependency>

   b.编写生成token的工具类TokenUtils

  

public class TokenUtils {

    private static final byte[] secret = "geiwodiangasfdjsikolkjikolkijswe".getBytes();

    //生成一个token

    public static String creatToken(String uid) throws JOSEException {

        Map<String,Object> payloadMap = new HashMap<>();

        payloadMap.put("uid", uid);

        //生成时间

        payloadMap.put("sta", new Date().getTime());

        //过期时间

        payloadMap.put("exp", new Date().getTime()+1000*60*60*24); //24小时token失效

        //先建立一个头部Header

        JWSHeader jwsHeader = new JWSHeader(JWSAlgorithm.HS256);

        //建立一个载荷Payload

        Payload payload = new Payload(new JSONObject(payloadMap));

        //将头部和载荷结合在一起

        JWSObject jwsObject = new JWSObject(jwsHeader, payload);

        //建立一个密匙

        JWSSigner jwsSigner = new MACSigner(secret);

        //签名

        jwsObject.sign(jwsSigner);

        //生成token

        return jwsObject.serialize();

    }

    public static Map<String,Object> valid(String token) throws JOSEException, ParseException {

        JWSObject jwsObject = JWSObject.parse(token);

        //获取到载荷

        Payload payload=jwsObject.getPayload();

        //建立一个解锁密匙

        JWSVerifier jwsVerifier = new MACVerifier(secret);

        Map<String, Object> resultMap = new HashMap<>();

        //判断token

        if (jwsObject.verify(jwsVerifier)) {

            resultMap.put("Result", 0);

            //载荷的数据解析成json对象。

            JSONObject jsonObject = payload.toJSONObject();

            resultMap.put("data", jsonObject);

            //判断token是否过期

            if (jsonObject.containsKey("exp")) {

                Long expTime = Long.valueOf(jsonObject.get("exp").toString());

                Long nowTime = new Date().getTime();

                //判断是否过期

                if (nowTime > expTime) {

                    //已经过期

                    resultMap.clear();

                    resultMap.put("Result", 2);

                }

            }

        }else {

            resultMap.put("Result", 1);

        }

        return resultMap;

    }

}

  

    2.对于移动端所有请求进行过滤

    a.在web.xml中配置相关过滤器(对所有请求含有/app开头的进行拦截,除了/app/login)

    

   <filter>

        <filter-name>AppRequestFilter</filter-name>

        <filter-class>com.demo.common.filter.AppRequestFilter</filter-class>

        <init-param>

            <param-name>excludedRequests</param-name>

            <param-value>/app/login</param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>AppRequestFilter</filter-name>

        <url-pattern>/app/*</url-pattern>

    </filter-mapping>

    b.编写AppRequestFilter类

    

public class AppRequestFilter implements Filter{

    private String excludedRequests;

    private String[] excludedRequestArr;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        excludedRequests = filterConfig.getInitParameter("excludedRequests");

        if(excludedRequests != null && excludedRequests.length() > 0){

            excludedRequestArr = excludedRequests.split(",");

        }

        return;

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;

        HttpServletResponse res = (HttpServletResponse) response;

        boolean isExcludedRequest = false;

        for (String requestStr : excludedRequestArr) {

            if (((HttpServletRequest) request).getServletPath().startsWith(requestStr)) {

                isExcludedRequest = true;

                break;

            }

        }

        if(isExcludedRequest){

            chain.doFilter(request, response);

        }else{

            String token = req.getHeader("app_token");

            if(StringUtil.isEmpty(token)){

                responseError(res, "token为空!");

                return;

            }else{

                Map<String, Object> validMap;

                try {

                    validMap = TokenUtils.valid(token);

                    int i = (int) validMap.get("Result");

                    if (i == 0) {

                        chain.doFilter(request, response);

                    } else if (i == 2) {

                        responseError(res, "token已经过期!");

                        return;

                    } else if(i == 1) {

                        responseError(res, "token无效!");

                        return;

                    }

                } catch (JOSEException e) {

                    e.printStackTrace();

                } catch (ParseException e) {

                    e.printStackTrace();

                }

            }

        }

    }

    @SuppressWarnings("deprecation")

    private void responseError(HttpServletResponse res, String errorMsg) throws IOException {

        res.setHeader("content-type", "application/json;charset=UTF-8");

        OutputStream outputStream = res.getOutputStream();

        JsonResult msg = new JsonResult(false, errorMsg);

        IOUtils.write(JSONUtil.toJsonPrettyStr(msg), outputStream);

    }

    @Override

    public void destroy() {

        return;

    }

}

    3.测试类编写

    

@Controller

@RequestMapping(value = "/app")

public class AppLogin {

    @RequestMapping(value = "/login")

    @ResponseBody

    public String login(String loginCode, String password){

        String token = "";

        try {

            token = TokenUtils.creatToken(loginCode);

        } catch (JOSEException e) {

            e.printStackTrace();

        }

        return token;

    }

}
@Controller

@RequestMapping(value = "/app/user")

public class AppSysUserController {

    @RequestMapping(value = "/getLoginName")

    @ResponseBody

    public String getLoginName(){

        return "admin";

    }

}

    4.调用查看结果

    

    

												


											
利用jwt生成token,用于http请求身份验证的更多相关文章
	

    
								
  1. 国服最强JWT生成Token做登录校验讲解,看完保证你学会!
		
    转载于:https://blog.csdn.net/u011277123/article/details/78918390 Free码农 2017-12-28 00:08:02 JWT简介 JWT(j ...
    
		
    2. 
						
  2. 使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)——第1部分
		
    原文:使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)--第1部分 原文链接:https://www.codeproject.com/Articles/5160941/ASP- ...
    
		
    3. 
						
  3. Token:服务端身份验证的流行方案【转】
		
    01- 身份认证 服务端提供资源给客户端,但是某些资源是有条件的.所以服务端要能够识别请求者的身份,然后再判断所请求的资源是否可以给请求者. token是一种身份验证的机制,初始时用户提交账号数据给服 ...
    
		
    4. 
						
  4. Token:服务端身份验证的流行方案
		
    01- 身份认证 服务端提供资源给客户端,但是某些资源是有条件的.所以服务端要能够识别请求者的身份,然后再判断所请求的资源是否可以给请求者. token是一种身份验证的机制,初始时用户提交账号数据给服 ...
    
		
    5. 
						
  5. tp5使用jwt生成token,做api的用户认证
		
    首先 composer 安装  firebase/php-jwt github:https://github.com/firebase/php-jwt composer require firebas ...
    
		
    6. 
						
  6. JWT生成token及过期处理方案
		
    业务场景 在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE.REACTJS等构建)使用token与后端接口交互,以达到安全的目的.本文结合stacko ...
    
		
    7. 
						
  7. JWT生成token
		
    1.JWT简介 JSON Web Token 简称JWT.一个JWT实际上就是一个字符串,它由三部分组成,头部.载荷与签名.JWT生成的token是这样的 2.Json Web Token(JWT)生 ...
    
		
    8. 
						
  8. .NET6 JWT(生成Token令牌)
		
    一.Net 6环境下的.net core项目里如何使用JWT. 第一步,在Nuget引入JWT.Microsoft.AspNetCore.Authentication.JwtBearer这两个NuGe ...
    
		
    9. 
						
  9. 使用 JWT 生成 Token 代码示例
		
    JSON Web Token,简称 JWT, 是一个开放的标准(RFC 7519),它定义了以一种紧凑的.自包含的 JSON 对象在各方之间安全传输信息的方式.该信息含有数字签名,可以被验证和信任.  ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. linux too many files
			
    Too many open files这个问题主要指的是进程企图打开一个文件,或者叫句柄,但是现在进程打开的句柄已经达到了上限,已经无法打开新句柄了. 网上一提到这个问题就要增加句柄上限,而往往这种情 ...
    
			
    2. 
						
  2. Mybatis 中的转义字符(转帖)
			
    下文来自:https://www.cnblogs.com/dato/p/7028723.html  在此感谢作者的辛勤付出. 记录以下mybatis中的转义字符,方便以后自己看一下 Mybatis转义 ...
    
			
    3. 
						
  3. ubuntu更强大的包管理工具:aptitude
			
        aptitude 与 apt-get 一样,是 Debian 及其衍生系统ubuntu上 一个强大的包管理工具.与 apt-get 不同的是,aptitude 在处理依赖问题上更佳一些.apt ...
    
			
    4. 
						
  4. osg #ifdef _WIN32 osg
			
    #ifdef _WIN32 #include <Windows.h> #endif // _WIN32 #include <osgViewer/Viewer> #include ...
    
			
    5. 
						
  5. css调用字体 没装微软雅黑,用css写@font-face让其能显示微软雅黑字体
			
    在设计布局网页时 经常想要用一些比较好看的字体,比如微软雅黑,这个字体在近年来在网页设计中运用越来越平常, 然而所使用的字体也只有自己能看到 到别的机子上 又恢复了原来的宋体神马的. 经过一位高手的提 ...
    
			
    6. 
						
  6. iOS-AVFoundation生成缩略图
			
    使用MPMoviePlayerController来生成缩略图足够简单,但是如果仅仅是是为了生成缩略图而不进行视频播放的话,此刻使用 MPMoviePlayerController就有点大材小用了.其 ...
    
			
    7. 
						
  7. iOS技术面试02:内存管理
			
    怎么保证多人开发进行内存泄露的检查. 如何定位内存泄露? 1> 使用Analyze进行代码的静态分析(检测有无潜在的内存泄露) 2> 通过leak检查在程序运行过程中有无内存泄露 3> ...
    
			
    8. 
						
  8. iOS技术面试07:第三方框架
			
    1ios框架分为:cocoa Touch:UIKit.Foundation.附属框架 Media:OpenGL ES.EAGL.Quartz.Core Animation.Core Audio.    ...
    
			
    9. 
						
  9. Docker从入门到动手实践
			
    一些理论知识,我这里就不累赘了 docker 入门资料,参考:https://yeasy.gitbooks.io/docker_practice/content/ Dockerfile常用命令,图片来 ...
    
			
    10. 
						
  10. EXCEL中,在其中列 前面or后面加一个“元”字的技巧
			
    EXCEL小技巧,我们平常需要用到一些,记录下,供有需要的人参考! 案例: EXCEL其中的一列,每个后面加一个“元”字,如果要1个1个去加,相当麻烦,其实很简单,只需要一个公式即可! 解决方法: ( ...
    
			
    11.