前段时间在做移动端接口过程中,考虑到安全性,所有移动端发送请求(除了登录请求)过程中进行token有效验证。

  1.利用jwt生成token

   a.导入jwt相关包

  

        <!-- jwt -->

        <dependency>

            <groupId>com.nimbusds</groupId>

            <artifactId>nimbus-jose-jwt</artifactId>

            <version>4.23</version>

        </dependency>

   b.编写生成token的工具类TokenUtils

  

public class TokenUtils {

    private static final byte[] secret = "geiwodiangasfdjsikolkjikolkijswe".getBytes();

    //生成一个token

    public static String creatToken(String uid) throws JOSEException {

        Map<String,Object> payloadMap = new HashMap<>();

        payloadMap.put("uid", uid);

        //生成时间

        payloadMap.put("sta", new Date().getTime());

        //过期时间

        payloadMap.put("exp", new Date().getTime()+1000*60*60*24); //24小时token失效

        //先建立一个头部Header

        JWSHeader jwsHeader = new JWSHeader(JWSAlgorithm.HS256);

        //建立一个载荷Payload

        Payload payload = new Payload(new JSONObject(payloadMap));

        //将头部和载荷结合在一起

        JWSObject jwsObject = new JWSObject(jwsHeader, payload);

        //建立一个密匙

        JWSSigner jwsSigner = new MACSigner(secret);

        //签名

        jwsObject.sign(jwsSigner);

        //生成token

        return jwsObject.serialize();

    }

    public static Map<String,Object> valid(String token) throws JOSEException, ParseException {

        JWSObject jwsObject = JWSObject.parse(token);

        //获取到载荷

        Payload payload=jwsObject.getPayload();

        //建立一个解锁密匙

        JWSVerifier jwsVerifier = new MACVerifier(secret);

        Map<String, Object> resultMap = new HashMap<>();

        //判断token

        if (jwsObject.verify(jwsVerifier)) {

            resultMap.put("Result", 0);

            //载荷的数据解析成json对象。

            JSONObject jsonObject = payload.toJSONObject();

            resultMap.put("data", jsonObject);

            //判断token是否过期

            if (jsonObject.containsKey("exp")) {

                Long expTime = Long.valueOf(jsonObject.get("exp").toString());

                Long nowTime = new Date().getTime();

                //判断是否过期

                if (nowTime > expTime) {

                    //已经过期

                    resultMap.clear();

                    resultMap.put("Result", 2);

                }

            }

        }else {

            resultMap.put("Result", 1);

        }

        return resultMap;

    }

}

  

    2.对于移动端所有请求进行过滤

    a.在web.xml中配置相关过滤器(对所有请求含有/app开头的进行拦截,除了/app/login)

    

   <filter>

        <filter-name>AppRequestFilter</filter-name>

        <filter-class>com.demo.common.filter.AppRequestFilter</filter-class>

        <init-param>

            <param-name>excludedRequests</param-name>

            <param-value>/app/login</param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>AppRequestFilter</filter-name>

        <url-pattern>/app/*</url-pattern>

    </filter-mapping>

    b.编写AppRequestFilter类

    

public class AppRequestFilter implements Filter{

    private String excludedRequests;

    private String[] excludedRequestArr;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        excludedRequests = filterConfig.getInitParameter("excludedRequests");

        if(excludedRequests != null && excludedRequests.length() > 0){

            excludedRequestArr = excludedRequests.split(",");

        }

        return;

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;

        HttpServletResponse res = (HttpServletResponse) response;

        boolean isExcludedRequest = false;

        for (String requestStr : excludedRequestArr) {

            if (((HttpServletRequest) request).getServletPath().startsWith(requestStr)) {

                isExcludedRequest = true;

                break;

            }

        }

        if(isExcludedRequest){

            chain.doFilter(request, response);

        }else{

            String token = req.getHeader("app_token");

            if(StringUtil.isEmpty(token)){

                responseError(res, "token为空!");

                return;

            }else{

                Map<String, Object> validMap;

                try {

                    validMap = TokenUtils.valid(token);

                    int i = (int) validMap.get("Result");

                    if (i == 0) {

                        chain.doFilter(request, response);

                    } else if (i == 2) {

                        responseError(res, "token已经过期!");

                        return;

                    } else if(i == 1) {

                        responseError(res, "token无效!");

                        return;

                    }

                } catch (JOSEException e) {

                    e.printStackTrace();

                } catch (ParseException e) {

                    e.printStackTrace();

                }

            }

        }

    }

    @SuppressWarnings("deprecation")

    private void responseError(HttpServletResponse res, String errorMsg) throws IOException {

        res.setHeader("content-type", "application/json;charset=UTF-8");

        OutputStream outputStream = res.getOutputStream();

        JsonResult msg = new JsonResult(false, errorMsg);

        IOUtils.write(JSONUtil.toJsonPrettyStr(msg), outputStream);

    }

    @Override

    public void destroy() {

        return;

    }

}

    3.测试类编写

    

@Controller

@RequestMapping(value = "/app")

public class AppLogin {

    @RequestMapping(value = "/login")

    @ResponseBody

    public String login(String loginCode, String password){

        String token = "";

        try {

            token = TokenUtils.creatToken(loginCode);

        } catch (JOSEException e) {

            e.printStackTrace();

        }

        return token;

    }

}
@Controller

@RequestMapping(value = "/app/user")

public class AppSysUserController {

    @RequestMapping(value = "/getLoginName")

    @ResponseBody

    public String getLoginName(){

        return "admin";

    }

}

    4.调用查看结果

    

    

												


											
利用jwt生成token,用于http请求身份验证的更多相关文章
	

    
								
  1. 国服最强JWT生成Token做登录校验讲解,看完保证你学会!
		
    转载于:https://blog.csdn.net/u011277123/article/details/78918390 Free码农 2017-12-28 00:08:02 JWT简介 JWT(j ...
    
		
    2. 
						
  2. 使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)——第1部分
		
    原文:使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)--第1部分 原文链接:https://www.codeproject.com/Articles/5160941/ASP- ...
    
		
    3. 
						
  3. Token:服务端身份验证的流行方案【转】
		
    01- 身份认证 服务端提供资源给客户端,但是某些资源是有条件的.所以服务端要能够识别请求者的身份,然后再判断所请求的资源是否可以给请求者. token是一种身份验证的机制,初始时用户提交账号数据给服 ...
    
		
    4. 
						
  4. Token:服务端身份验证的流行方案
		
    01- 身份认证 服务端提供资源给客户端,但是某些资源是有条件的.所以服务端要能够识别请求者的身份,然后再判断所请求的资源是否可以给请求者. token是一种身份验证的机制,初始时用户提交账号数据给服 ...
    
		
    5. 
						
  5. tp5使用jwt生成token,做api的用户认证
		
    首先 composer 安装  firebase/php-jwt github:https://github.com/firebase/php-jwt composer require firebas ...
    
		
    6. 
						
  6. JWT生成token及过期处理方案
		
    业务场景 在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE.REACTJS等构建)使用token与后端接口交互,以达到安全的目的.本文结合stacko ...
    
		
    7. 
						
  7. JWT生成token
		
    1.JWT简介 JSON Web Token 简称JWT.一个JWT实际上就是一个字符串,它由三部分组成,头部.载荷与签名.JWT生成的token是这样的 2.Json Web Token(JWT)生 ...
    
		
    8. 
						
  8. .NET6 JWT(生成Token令牌)
		
    一.Net 6环境下的.net core项目里如何使用JWT. 第一步,在Nuget引入JWT.Microsoft.AspNetCore.Authentication.JwtBearer这两个NuGe ...
    
		
    9. 
						
  9. 使用 JWT 生成 Token 代码示例
		
    JSON Web Token,简称 JWT, 是一个开放的标准(RFC 7519),它定义了以一种紧凑的.自包含的 JSON 对象在各方之间安全传输信息的方式.该信息含有数字签名,可以被验证和信任.  ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. RT-Thread 柿饼GUI
			
    目前主流的嵌入式GUI开发技术中,RT-Thread/Persimmon.TouchGFX和emWin是最受人瞩目的.   RT-Thread/ Persimmon是国内主导开发的实时线程操作系统RT ...
    
			
    2. 
						
  2. ORACLE中声明变量:define variable declare
			
    在sqlplus 环境中,声明变量的关键字:define variable declare 一.define关键字(host变量) host变量的作用是一个替换作用,是主机环境与oracle进行交互的 ...
    
			
    3. 
						
  3. linux几种传输方式与拷贝方式的性能分析
			
    本文记录linux系统中文件传输的多种方式,留作备忘.linux中文件传输的方式有ftp,scp,rsync,rz,sz等,但各个工具的功能又有所区别: FTP : FTP是文件服务器,可实现文件的上 ...
    
			
    4. 
						
  4. LiquiBase实战总结
			
    LiquiBase概述 Liquibase是一个用于跟踪.管理和应用数据库变化的开源的数据库重构工具.它将所有数据库的变化(包括结构和数据)都保存在XML文件中,便于版本控制. Liquibase具备 ...
    
			
    5. 
						
  5. Syste类
			
    System类的概述 System 类包含一些有用的类字段和方法.它不能被实例化. 成员方法 public static void gc()  运行垃圾回收器. public static void  ...
    
			
    6. 
						
  6. KL距离(相对熵)
			
    KL距离,是Kullback-Leibler差异(Kullback-Leibler Divergence)的简称,也叫做相对熵(Relative Entropy).它衡量的是相同事件空间里的两个概率分 ...
    
			
    7. 
						
  7. ifc构件加载到树形控件中
			
    void IfcTreeWidget::setParentCheckState(QTreeWidgetItem *item) { if(!item) return; ; int childCount  ...
    
			
    8. 
						
  8. MySQL数据库之sql_mode解释
			
    在MySQL5.6中,默认的SQL模式为:NO_ENGINE_SUBSTITUTION, 而在MySQL5.7中默认的SQL模式为:ONLY_FULL_GROUP_BY, STRICT_TRANS_T ...
    
			
    9. 
						
  9. windows的mysql无法启动 服务没有报告任何错误
			
    相信很多人都遇到过安装Mysql的时候出现各种各样的问题,今天小编就教大家解决window下mysql服务没有报告任何错误的情况下无法启动 的问题.本文所用的mysql版本是5.7以上版本,解决方法: ...
    
			
    10. 
						
  10. 雨田家园 delphi 拆分字符串
			
    最近在使用Delphi开发一种应用系统的集成开发环境.其中需要实现一个字符串拆分功能,方法基本原型应该是:procedure SplitString(src: string ; ch: Char; v ...
    
			
    11.