背景

web验证授权合法的一般分为下面几种

  • 使用session作为验证合法用户访问的验证方式
  • 使用自己实现的token
  • 使用OCA标准

在使用API接口授权验证时,token是自定义的方式实现起来不需要引入其他东西,关键是简单实用。

合法登陆后一般使用用户UID+盐值+时间戳使用多层对称加密生成token并放入分布式缓存中设置固定的过期时间长(和session的方式有些相同),这样当用户访问时使用token可以解密获取它的UID并据此验证其是否是合法的用户。

springboot中实现filter

  • 一种是注解filter
  • 一种是显示的硬编码注册filter

先有filter

import javax.servlet.annotation.WebFilter;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.stereotype.Component;

import springfox.documentation.spring.web.json.Json;

import com.alibaba.fastjson.JSON;

import java.io.IOException;

import java.io.OutputStreamWriter;

import java.io.PrintWriter;

import java.io.UnsupportedEncodingException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

/***************

 * token验证拦截

 * @author bamboo zjcjava@163.com

 * @time 2017-08-01

 */

@Component

//@WebFilter(urlPatterns = { "/api/v/*" }, filterName = "tokenAuthorFilter")

public class TokenAuthorFilter implements Filter {

    private static Logger logger = LoggerFactory

            .getLogger(TokenAuthorFilter.class);

    @Override

    public void destroy() {

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response,

            FilterChain chain) throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;

        HttpServletResponse rep = (HttpServletResponse) response;

        //设置允许跨域的配置

        // 这里填写你允许进行跨域的主机ip(正式上线时可以动态配置具体允许的域名和IP)

        rep.setHeader("Access-Control-Allow-Origin", "*");

        // 允许的访问方法

        rep.setHeader("Access-Control-Allow-Methods","POST, GET, PUT, OPTIONS, DELETE, PATCH");

        // Access-Control-Max-Age 用于 CORS 相关配置的缓存

        rep.setHeader("Access-Control-Max-Age", "3600");

        rep.setHeader("Access-Control-Allow-Headers","token,Origin, X-Requested-With, Content-Type, Accept");

        response.setCharacterEncoding("UTF-8");

        response.setContentType("application/json; charset=utf-8");

        String token = req.getHeader("token");//header方式

        ResultInfo resultInfo = new ResultInfo();

        boolean isFilter = false;

        String method = ((HttpServletRequest) request).getMethod();

        if (method.equals("OPTIONS")) {

            rep.setStatus(HttpServletResponse.SC_OK);

        }else{

            if (null == token || token.isEmpty()) {

                resultInfo.setCode(Constant.UN_AUTHORIZED);

                resultInfo.setMsg("用户授权认证没有通过!客户端请求参数中无token信息");

            } else {

                if (TokenUtil.volidateToken(token)) {

                    resultInfo.setCode(Constant.SUCCESS);

                    resultInfo.setMsg("用户授权认证通过!");

                    isFilter = true;

                } else {

                    resultInfo.setCode(Constant.UN_AUTHORIZED);

                    resultInfo.setMsg("用户授权认证没有通过!客户端请求参数token信息无效");

                }

            }

            if (resultInfo.getCode() == Constant.UN_AUTHORIZED) {// 验证失败

                PrintWriter writer = null;

                OutputStreamWriter osw = null;

                try {

                    osw = new OutputStreamWriter(response.getOutputStream(),

                            "UTF-8");

                    writer = new PrintWriter(osw, true);

                    String jsonStr = JSON.toJSONString(resultInfo);

                    writer.write(jsonStr);

                    writer.flush();

                    writer.close();

                    osw.close();

                } catch (UnsupportedEncodingException e) {

                    logger.error("过滤器返回信息失败:" + e.getMessage(), e);

                } catch (IOException e) {

                    logger.error("过滤器返回信息失败:" + e.getMessage(), e);

                } finally {

                    if (null != writer) {

                        writer.close();

                    }

                    if (null != osw) {

                        osw.close();

                    }

                }

                return;

            }

            if (isFilter) {

            logger.info("token filter过滤ok!");

            chain.doFilter(request, response);

            }

        }

    }

    @Override

    public void init(FilterConfig arg0) throws ServletException {

    }

}

注解配置filter

加上如下配置则启动时会根据注解加载此filter 
@WebFilter(urlPatterns = { “/api/*” }, filterName = “tokenAuthorFilter”)

硬编码注册filter

在application.java中加入如下代码

 //注册filter

    @Bean

    public FilterRegistrationBean  filterRegistrationBean() {

        FilterRegistrationBean registrationBean = new FilterRegistrationBean();

        TokenAuthorFilter tokenAuthorFilter = new TokenAuthorFilter();

        registrationBean.setFilter(tokenAuthorFilter);

        List<String> urlPatterns = new ArrayList<String>();

        urlPatterns.add("/api/*");

        registrationBean.setUrlPatterns(urlPatterns);

        return registrationBean;

    }

以上两种方式都可以实现filter

跨域说明

springboot可以设置全局跨域,但是对于filter中的拦截地址并不其中作用,因此需要在dofilter中再次设置一次

区局设置跨域方式如下

方式1.在application.java中加入如下代码

//跨域设置

    private CorsConfiguration buildConfig() {

        CorsConfiguration corsConfiguration = new CorsConfiguration();

        corsConfiguration.addAllowedOrigin("*");

        corsConfiguration.addAllowedHeader("*");

        corsConfiguration.addAllowedMethod("*");  

        return corsConfiguration;

    }  

    /**

     * 跨域过滤器

     * @return

     */

    @Bean

    public CorsFilter corsFilter() {

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

        source.registerCorsConfiguration("/**", buildConfig()); // 4

        return new CorsFilter(source);

    }

方式2.配置注解

必须集成WebMvcConfigurerAdapter类

/**********

 * 跨域 CORS:使用 方法3

 * 方法:

    1服务端设置Respone Header头中Access-Control-Allow-Origin

    2配合前台使用jsonp

    3继承WebMvcConfigurerAdapter 添加配置类

    http://blog.csdn.net/hanghangde/article/details/53946366

 * @author xialeme

 *

 */

@Configuration

public class CorsConfig extends WebMvcConfigurerAdapter{  

   /* @Override

    public void addCorsMappings(CorsRegistry registry) {

        registry.addMapping("/**")

                .allowedOrigins("*")

                .allowCredentials(true)

                .allowedMethods("GET", "POST", "DELETE", "PUT")

                .maxAge(3600);

    }  */

    private CorsConfiguration buildConfig() {

        CorsConfiguration corsConfiguration = new CorsConfiguration();

        corsConfiguration.addAllowedOrigin("*"); //

        corsConfiguration.addAllowedHeader("*"); //

        corsConfiguration.addAllowedMethod("*"); //

        return corsConfiguration;

    }

    @Bean

    public CorsFilter corsFilter() {

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

        source.registerCorsConfiguration("/**", buildConfig()); //

        return new CorsFilter(source);

    }

}

Springboot实现filter拦截token验证和跨域的更多相关文章

  1. vue+springboot前后端分离实现单点登录跨域问题处理

    最近在做一个后台管理系统,前端是用时下火热的vue.js,后台是基于springboot的.因为后台系统没有登录功能,但是公司要求统一登录,登录认证统一使用.net项目组的认证系统.那就意味着做单点登 ...

  2. 基于 HTTP 请求拦截,快速解决跨域和代理 Mock

    近几年,随着 Web 开发逐渐成熟,前后端分离的架构设计越来越被众多开发者认可,使得前端和后端可以专注各自的职能,降低沟通成本,提高开发效率. 在前后端分离的开发模式下,前端和后端工程师得以并行工作. ...

  3. 基于JWT的web api身份验证及跨域调用实践

    随着多终端的出现,越来越多的站点通过web api restful的形式对外提供服务,很多网站也采用了前后端分离模式进行开发,因而在身份验证的方式上可能与传统的基于cookie的Session Id的 ...

  4. Cookie、Session、Token与JWT(跨域认证)

    之前看到群里有人问JWT相关的内容,只记得是token的一种,去补习了一下,和很久之前发的认证方式总结的笔记放在一起发出来吧. Cookie.Session.Token与JWT(跨域认证) 什么是Co ...

  5. Springboot 项目源码 vue.js html 跨域 前后分离 shiro权限

    官网:www.fhadmin.org 特别注意: Springboot 工作流  前后分离 + 跨域 版本 (权限控制到菜单和按钮) 后台框架:springboot2.1.2+ activiti6.0 ...

  6. springboot WebMvcConfigurer配置静态资源和解决跨域

    前言 虽然现在都流行前后端分离部署,但有时候还是需要把前端文件跟后端文件一起打包发布,这就涉及到了springboot的静态资源访问的问题.不单只是静态资源打包,比如使用本地某个目录作为文件存储,也可 ...

  7. 不用调整Nginx,SpringBoot也能解决前端访问的跨域问题

    1.什么情况下会出现跨域问题 通常,在前端工程师的开发过程中,往往在本地机器启动前端服务, 而调用的后端接口服务是在另外一台机器运行,这时就会出现跨域问题,让接口无法调通. 而到了测试环境和生产环境, ...

  8. Spring Boot配置拦截器及实现跨域访问

    拦截器功能强大,能够深入方法前后,常应用于日志记录.权限检查和性能检测等,几乎是项目中不可或缺的一部分,本文就来实现Spring Boot自定义拦截器的配置. 理论指导 问:Spring Boot怎么 ...

  9. SpringBoot入门教程(十三)CORS方式实现跨域

    什么是跨域?浏览器从一个域名的网页去请求另一个域名的资源时,域名.端口.协议任一不同,都是跨域 . 跨域资源访问是经常会遇到的场景,当一个资源从与该资源本身所在的服务器不同的域或端口请求一个资源时,资 ...

随机推荐

  1. POJ - 2828 Buy Tickets(线段树单点更新)

    http://poj.org/problem?id=2828 题意 排队买票,依次给出当前人要插队的位置,每个人有个编号,然后问你最后整个的序列是什么? 分析 最后一个人的要插入的位置是确定的,所以逆 ...

  2. Gitlab配置阿里邮件通知

    1. 在/etc/gitlab/gitlab.rb 中添加如下内容 $ vi /etc/gitlab/gitlab.rb gitlab_rails['smtp_enable'] = true  git ...

  3. baiduTemplate.js 百度JS模板引擎

    baiduTemplate希望创造一个用户觉得“简单好用”的JS模板引擎 先展示两个例子,然后说说对baidutemplate.js的理解,从而将这一工具加到个人百宝箱里. <script id ...

  4. 百度编辑器 Ueditor 如何增加模板 ?

    模板文件在这里: dialogs/template/config.js 参见:http://t.mreald.com/191 .

  5. P3806 【模板】点分治1(CDQ分治)

    题目链接:https://www.luogu.org/problemnew/show/P3806 题目大意:中文题目 具体思路:直接dfs好像会超时,然后我们就开始想优化的方法,然后就是一个CDQ入门 ...

  6. 从前端和后端两个角度分析jsonp跨域访问(完整实例)

    一.什么是跨域访问 举个栗子:在A网站中,我们希望使用Ajax来获得B网站中的特定内容.如果A网站与B网站不在同一个域中,那么就出现了跨域访问问题.你可以理解为两个域名之间不能跨过域名来发送请求或者请 ...

  7. SpringBoot2.x整合Redis实战 4节课

    1.分布式缓存Redis介绍      简介:讲解为什么要用缓存和介绍什么是Redis,新手练习工具 1.redis官网 https://redis.io/download          2.新手 ...

  8. 解决 ionic 中的 CORS(跨域)

    译者注:本人翻译功力有限,所以文中难免有翻译不准确的地方,凑合看吧,牛逼的话你看英文版的去,完事儿欢迎回来指正交流(^_^) 如果你通过 ionic serve 或者 ionic run 命令使用或 ...

  9. 首次使用Vue开发

    1.首先在页面上添加如下的代码 var app = new Vue({ el: '#signupForm', data: { UserName: '', PWD: '' } }); 2.在下面添加ht ...

  10. js的正则表达式编程,悬赏解决下面的问题

    悬赏解决下面的问题 1.切分url 2.将时间日期 转化为 yyyy-MM-dd的模式和可逆性 3.数据的千分位和可逆性 4.用C#或者nodejs检索如下的模式 h1{ border:1px sol ...