前段时间在做移动端接口过程中,考虑到安全性,所有移动端发送请求(除了登录请求)过程中进行token有效验证。

  1.利用jwt生成token

   a.导入jwt相关包

  

        <!-- jwt -->

        <dependency>

            <groupId>com.nimbusds</groupId>

            <artifactId>nimbus-jose-jwt</artifactId>

            <version>4.23</version>

        </dependency>

   b.编写生成token的工具类TokenUtils

  

public class TokenUtils {

    private static final byte[] secret = "geiwodiangasfdjsikolkjikolkijswe".getBytes();

    //生成一个token

    public static String creatToken(String uid) throws JOSEException {

        Map<String,Object> payloadMap = new HashMap<>();

        payloadMap.put("uid", uid);

        //生成时间

        payloadMap.put("sta", new Date().getTime());

        //过期时间

        payloadMap.put("exp", new Date().getTime()+1000*60*60*24); //24小时token失效

        //先建立一个头部Header

        JWSHeader jwsHeader = new JWSHeader(JWSAlgorithm.HS256);

        //建立一个载荷Payload

        Payload payload = new Payload(new JSONObject(payloadMap));

        //将头部和载荷结合在一起

        JWSObject jwsObject = new JWSObject(jwsHeader, payload);

        //建立一个密匙

        JWSSigner jwsSigner = new MACSigner(secret);

        //签名

        jwsObject.sign(jwsSigner);

        //生成token

        return jwsObject.serialize();

    }

    public static Map<String,Object> valid(String token) throws JOSEException, ParseException {

        JWSObject jwsObject = JWSObject.parse(token);

        //获取到载荷

        Payload payload=jwsObject.getPayload();

        //建立一个解锁密匙

        JWSVerifier jwsVerifier = new MACVerifier(secret);

        Map<String, Object> resultMap = new HashMap<>();

        //判断token

        if (jwsObject.verify(jwsVerifier)) {

            resultMap.put("Result", 0);

            //载荷的数据解析成json对象。

            JSONObject jsonObject = payload.toJSONObject();

            resultMap.put("data", jsonObject);

            //判断token是否过期

            if (jsonObject.containsKey("exp")) {

                Long expTime = Long.valueOf(jsonObject.get("exp").toString());

                Long nowTime = new Date().getTime();

                //判断是否过期

                if (nowTime > expTime) {

                    //已经过期

                    resultMap.clear();

                    resultMap.put("Result", 2);

                }

            }

        }else {

            resultMap.put("Result", 1);

        }

        return resultMap;

    }

}

  

    2.对于移动端所有请求进行过滤

    a.在web.xml中配置相关过滤器(对所有请求含有/app开头的进行拦截,除了/app/login)

    

   <filter>

        <filter-name>AppRequestFilter</filter-name>

        <filter-class>com.demo.common.filter.AppRequestFilter</filter-class>

        <init-param>

            <param-name>excludedRequests</param-name>

            <param-value>/app/login</param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>AppRequestFilter</filter-name>

        <url-pattern>/app/*</url-pattern>

    </filter-mapping>

    b.编写AppRequestFilter类

    

public class AppRequestFilter implements Filter{

    private String excludedRequests;

    private String[] excludedRequestArr;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        excludedRequests = filterConfig.getInitParameter("excludedRequests");

        if(excludedRequests != null && excludedRequests.length() > 0){

            excludedRequestArr = excludedRequests.split(",");

        }

        return;

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;

        HttpServletResponse res = (HttpServletResponse) response;

        boolean isExcludedRequest = false;

        for (String requestStr : excludedRequestArr) {

            if (((HttpServletRequest) request).getServletPath().startsWith(requestStr)) {

                isExcludedRequest = true;

                break;

            }

        }

        if(isExcludedRequest){

            chain.doFilter(request, response);

        }else{

            String token = req.getHeader("app_token");

            if(StringUtil.isEmpty(token)){

                responseError(res, "token为空!");

                return;

            }else{

                Map<String, Object> validMap;

                try {

                    validMap = TokenUtils.valid(token);

                    int i = (int) validMap.get("Result");

                    if (i == 0) {

                        chain.doFilter(request, response);

                    } else if (i == 2) {

                        responseError(res, "token已经过期!");

                        return;

                    } else if(i == 1) {

                        responseError(res, "token无效!");

                        return;

                    }

                } catch (JOSEException e) {

                    e.printStackTrace();

                } catch (ParseException e) {

                    e.printStackTrace();

                }

            }

        }

    }

    @SuppressWarnings("deprecation")

    private void responseError(HttpServletResponse res, String errorMsg) throws IOException {

        res.setHeader("content-type", "application/json;charset=UTF-8");

        OutputStream outputStream = res.getOutputStream();

        JsonResult msg = new JsonResult(false, errorMsg);

        IOUtils.write(JSONUtil.toJsonPrettyStr(msg), outputStream);

    }

    @Override

    public void destroy() {

        return;

    }

}

    3.测试类编写

    

@Controller

@RequestMapping(value = "/app")

public class AppLogin {

    @RequestMapping(value = "/login")

    @ResponseBody

    public String login(String loginCode, String password){

        String token = "";

        try {

            token = TokenUtils.creatToken(loginCode);

        } catch (JOSEException e) {

            e.printStackTrace();

        }

        return token;

    }

}
@Controller

@RequestMapping(value = "/app/user")

public class AppSysUserController {

    @RequestMapping(value = "/getLoginName")

    @ResponseBody

    public String getLoginName(){

        return "admin";

    }

}

    4.调用查看结果

    

    

												


											
利用jwt生成token,用于http请求身份验证的更多相关文章
	

    
								
  1. 国服最强JWT生成Token做登录校验讲解,看完保证你学会!
		
    转载于:https://blog.csdn.net/u011277123/article/details/78918390 Free码农 2017-12-28 00:08:02 JWT简介 JWT(j ...
    
		
    2. 
						
  2. 使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)——第1部分
		
    原文:使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)--第1部分 原文链接:https://www.codeproject.com/Articles/5160941/ASP- ...
    
		
    3. 
						
  3. Token:服务端身份验证的流行方案【转】
		
    01- 身份认证 服务端提供资源给客户端,但是某些资源是有条件的.所以服务端要能够识别请求者的身份,然后再判断所请求的资源是否可以给请求者. token是一种身份验证的机制,初始时用户提交账号数据给服 ...
    
		
    4. 
						
  4. Token:服务端身份验证的流行方案
		
    01- 身份认证 服务端提供资源给客户端,但是某些资源是有条件的.所以服务端要能够识别请求者的身份,然后再判断所请求的资源是否可以给请求者. token是一种身份验证的机制,初始时用户提交账号数据给服 ...
    
		
    5. 
						
  5. tp5使用jwt生成token,做api的用户认证
		
    首先 composer 安装  firebase/php-jwt github:https://github.com/firebase/php-jwt composer require firebas ...
    
		
    6. 
						
  6. JWT生成token及过期处理方案
		
    业务场景 在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE.REACTJS等构建)使用token与后端接口交互,以达到安全的目的.本文结合stacko ...
    
		
    7. 
						
  7. JWT生成token
		
    1.JWT简介 JSON Web Token 简称JWT.一个JWT实际上就是一个字符串,它由三部分组成,头部.载荷与签名.JWT生成的token是这样的 2.Json Web Token(JWT)生 ...
    
		
    8. 
						
  8. .NET6 JWT(生成Token令牌)
		
    一.Net 6环境下的.net core项目里如何使用JWT. 第一步,在Nuget引入JWT.Microsoft.AspNetCore.Authentication.JwtBearer这两个NuGe ...
    
		
    9. 
						
  9. 使用 JWT 生成 Token 代码示例
		
    JSON Web Token,简称 JWT, 是一个开放的标准(RFC 7519),它定义了以一种紧凑的.自包含的 JSON 对象在各方之间安全传输信息的方式.该信息含有数字签名,可以被验证和信任.  ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. arcgis python  参数类型和含义
			
    数据类型 datatype 关键字 描述 地址定位器 DEAddressLocator 用于地理编码的数据集,存储地址属性.关联的索引以及用于定义将地点的非空间描述转换为空间数据这一过程的规则. 地址 ...
    
			
    2. 
						
  2. 网络中的tarpit/tar pit
			
    最近看haproxy源码,里面有个TARPIT的概念不能理解,找了很久才找到对应的意思.特此记录. tarpit 本意是“沼泽地.地洼地”,这里显然把它引申为“捕获或者困住某个物体”. 在网络语义中提 ...
    
			
    3. 
						
  3. Python-文件读写及修改
			
    文件的读写有三种形式:读.写和追加. 一.读模式 r 和读写模式 r+ 1.读模式 r 读模式r特点:(1)只能读,不能写:(2)文件不存在时会报错. (1)例:读取当前目录下的books.txt文件 ...
    
			
    4. 
						
  4. CDH 安装的博客地址记录
			
    1. 集群环境配置 https://www.cnblogs.com/yinzhengjie/articles/11019333.html 2. 二进制方法安装 https://www.cnblogs. ...
    
			
    5. 
						
  5. ubuntu系统调整时区和时间
			
    date: 2019-05-30  10:14:23 author:headsen  chen 个人原创博客,转录需要注明作者和出处. 1,安装ntpdate,同步标准时间 root@hk-confl ...
    
			
    6. 
						
  6. keras Model 2 多输入和输出
			
    1 入门 2 多个输入和输出 3 共享层 函数式模型有一个很好用的应用实例是:编写拥有多个输入和输出的模型.函数式模型使得在复杂网络中操作巨大的数据流变的简单. 我们实现下面这样的模型 from ke ...
    
			
    7. 
						
  7. angular 中的[ngClass]、[ngStyle]
			
    <div style="text-align:center"> <h1> Welcome to {{ title }}! </h1> </ ...
    
			
    8. 
						
  8. GPS nmealib学习 问题
			
    When building on Ubuntu 12.x the build fails with the following error… gcc  samples/generate/main.o  ...
    
			
    9. 
						
  9. JAVA8 JVM内存结构变了,永久代到元空间
			
    在文章<JVM之内存结构详解>中我们描述了Java7以前的JVM内存结构,但在Java8和以后版本中JVM的内存结构慢慢发生了变化.作为面试官如果你还不知道,那么面试过程中是不是有些露怯? ...
    
			
    10. 
						
  10. 第一个php文件运行
			
    运行会发现报错,解决参考:写的很详细 http://blog.csdn.net/meegomeego/article/details/36020553
    
			
    11.