前段时间在做移动端接口过程中,考虑到安全性,所有移动端发送请求(除了登录请求)过程中进行token有效验证。

  1.利用jwt生成token

   a.导入jwt相关包

  

        <!-- jwt -->

        <dependency>

            <groupId>com.nimbusds</groupId>

            <artifactId>nimbus-jose-jwt</artifactId>

            <version>4.23</version>

        </dependency>

   b.编写生成token的工具类TokenUtils

  

public class TokenUtils {

    private static final byte[] secret = "geiwodiangasfdjsikolkjikolkijswe".getBytes();

    //生成一个token

    public static String creatToken(String uid) throws JOSEException {

        Map<String,Object> payloadMap = new HashMap<>();

        payloadMap.put("uid", uid);

        //生成时间

        payloadMap.put("sta", new Date().getTime());

        //过期时间

        payloadMap.put("exp", new Date().getTime()+1000*60*60*24); //24小时token失效

        //先建立一个头部Header

        JWSHeader jwsHeader = new JWSHeader(JWSAlgorithm.HS256);

        //建立一个载荷Payload

        Payload payload = new Payload(new JSONObject(payloadMap));

        //将头部和载荷结合在一起

        JWSObject jwsObject = new JWSObject(jwsHeader, payload);

        //建立一个密匙

        JWSSigner jwsSigner = new MACSigner(secret);

        //签名

        jwsObject.sign(jwsSigner);

        //生成token

        return jwsObject.serialize();

    }

    public static Map<String,Object> valid(String token) throws JOSEException, ParseException {

        JWSObject jwsObject = JWSObject.parse(token);

        //获取到载荷

        Payload payload=jwsObject.getPayload();

        //建立一个解锁密匙

        JWSVerifier jwsVerifier = new MACVerifier(secret);

        Map<String, Object> resultMap = new HashMap<>();

        //判断token

        if (jwsObject.verify(jwsVerifier)) {

            resultMap.put("Result", 0);

            //载荷的数据解析成json对象。

            JSONObject jsonObject = payload.toJSONObject();

            resultMap.put("data", jsonObject);

            //判断token是否过期

            if (jsonObject.containsKey("exp")) {

                Long expTime = Long.valueOf(jsonObject.get("exp").toString());

                Long nowTime = new Date().getTime();

                //判断是否过期

                if (nowTime > expTime) {

                    //已经过期

                    resultMap.clear();

                    resultMap.put("Result", 2);

                }

            }

        }else {

            resultMap.put("Result", 1);

        }

        return resultMap;

    }

}

  

    2.对于移动端所有请求进行过滤

    a.在web.xml中配置相关过滤器(对所有请求含有/app开头的进行拦截,除了/app/login)

    

   <filter>

        <filter-name>AppRequestFilter</filter-name>

        <filter-class>com.demo.common.filter.AppRequestFilter</filter-class>

        <init-param>

            <param-name>excludedRequests</param-name>

            <param-value>/app/login</param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>AppRequestFilter</filter-name>

        <url-pattern>/app/*</url-pattern>

    </filter-mapping>

    b.编写AppRequestFilter类

    

public class AppRequestFilter implements Filter{

    private String excludedRequests;

    private String[] excludedRequestArr;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        excludedRequests = filterConfig.getInitParameter("excludedRequests");

        if(excludedRequests != null && excludedRequests.length() > 0){

            excludedRequestArr = excludedRequests.split(",");

        }

        return;

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;

        HttpServletResponse res = (HttpServletResponse) response;

        boolean isExcludedRequest = false;

        for (String requestStr : excludedRequestArr) {

            if (((HttpServletRequest) request).getServletPath().startsWith(requestStr)) {

                isExcludedRequest = true;

                break;

            }

        }

        if(isExcludedRequest){

            chain.doFilter(request, response);

        }else{

            String token = req.getHeader("app_token");

            if(StringUtil.isEmpty(token)){

                responseError(res, "token为空!");

                return;

            }else{

                Map<String, Object> validMap;

                try {

                    validMap = TokenUtils.valid(token);

                    int i = (int) validMap.get("Result");

                    if (i == 0) {

                        chain.doFilter(request, response);

                    } else if (i == 2) {

                        responseError(res, "token已经过期!");

                        return;

                    } else if(i == 1) {

                        responseError(res, "token无效!");

                        return;

                    }

                } catch (JOSEException e) {

                    e.printStackTrace();

                } catch (ParseException e) {

                    e.printStackTrace();

                }

            }

        }

    }

    @SuppressWarnings("deprecation")

    private void responseError(HttpServletResponse res, String errorMsg) throws IOException {

        res.setHeader("content-type", "application/json;charset=UTF-8");

        OutputStream outputStream = res.getOutputStream();

        JsonResult msg = new JsonResult(false, errorMsg);

        IOUtils.write(JSONUtil.toJsonPrettyStr(msg), outputStream);

    }

    @Override

    public void destroy() {

        return;

    }

}

    3.测试类编写

    

@Controller

@RequestMapping(value = "/app")

public class AppLogin {

    @RequestMapping(value = "/login")

    @ResponseBody

    public String login(String loginCode, String password){

        String token = "";

        try {

            token = TokenUtils.creatToken(loginCode);

        } catch (JOSEException e) {

            e.printStackTrace();

        }

        return token;

    }

}
@Controller

@RequestMapping(value = "/app/user")

public class AppSysUserController {

    @RequestMapping(value = "/getLoginName")

    @ResponseBody

    public String getLoginName(){

        return "admin";

    }

}

    4.调用查看结果

    

    

												


											
利用jwt生成token,用于http请求身份验证的更多相关文章
	

    
								
  1. 国服最强JWT生成Token做登录校验讲解,看完保证你学会!
		
    转载于:https://blog.csdn.net/u011277123/article/details/78918390 Free码农 2017-12-28 00:08:02 JWT简介 JWT(j ...
    
		
    2. 
						
  2. 使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)——第1部分
		
    原文:使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)--第1部分 原文链接:https://www.codeproject.com/Articles/5160941/ASP- ...
    
		
    3. 
						
  3. Token:服务端身份验证的流行方案【转】
		
    01- 身份认证 服务端提供资源给客户端,但是某些资源是有条件的.所以服务端要能够识别请求者的身份,然后再判断所请求的资源是否可以给请求者. token是一种身份验证的机制,初始时用户提交账号数据给服 ...
    
		
    4. 
						
  4. Token:服务端身份验证的流行方案
		
    01- 身份认证 服务端提供资源给客户端,但是某些资源是有条件的.所以服务端要能够识别请求者的身份,然后再判断所请求的资源是否可以给请求者. token是一种身份验证的机制,初始时用户提交账号数据给服 ...
    
		
    5. 
						
  5. tp5使用jwt生成token,做api的用户认证
		
    首先 composer 安装  firebase/php-jwt github:https://github.com/firebase/php-jwt composer require firebas ...
    
		
    6. 
						
  6. JWT生成token及过期处理方案
		
    业务场景 在前后分离场景下,越来越多的项目使用token作为接口的安全机制,APP端或者WEB端(使用VUE.REACTJS等构建)使用token与后端接口交互,以达到安全的目的.本文结合stacko ...
    
		
    7. 
						
  7. JWT生成token
		
    1.JWT简介 JSON Web Token 简称JWT.一个JWT实际上就是一个字符串,它由三部分组成,头部.载荷与签名.JWT生成的token是这样的 2.Json Web Token(JWT)生 ...
    
		
    8. 
						
  8. .NET6 JWT(生成Token令牌)
		
    一.Net 6环境下的.net core项目里如何使用JWT. 第一步,在Nuget引入JWT.Microsoft.AspNetCore.Authentication.JwtBearer这两个NuGe ...
    
		
    9. 
						
  9. 使用 JWT 生成 Token 代码示例
		
    JSON Web Token,简称 JWT, 是一个开放的标准(RFC 7519),它定义了以一种紧凑的.自包含的 JSON 对象在各方之间安全传输信息的方式.该信息含有数字签名,可以被验证和信任.  ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. nginx配置监控
			
    通过查看Nginx的并发连接,我们可以更清除的知道网站的负载情况.Nginx并发查看有两种方法(之所以这么说,是因为笔者只知道两种),一种是通过web界面,一种是通过命令,web查看要比命令查看显示的 ...
    
			
    2. 
						
  2. JS 将页面上的表格导出为 Excel 文件
			
    如果在页面上展示了一个表格,想把这个表格导出为Excel文件,那么在要求不高的情况下,可以直接利用 JavaScript 的 Blob 和 Object URL 特性将表格导出.不过,这就是利用了 E ...
    
			
    3. 
						
  3. Java同步数据结构之ConcurrentSkipListMap/ConcurrentSkipListSet
			
    引言 上一篇Java同步数据结构之Map概述及ConcurrentSkipListMap原理已经将ConcurrentSkipListMap的原理大致搞清楚了,它是一种有序的能够实现高效插入,删除,更 ...
    
			
    4. 
						
  4. KL距离(相对熵)
			
    KL距离,是Kullback-Leibler差异(Kullback-Leibler Divergence)的简称,也叫做相对熵(Relative Entropy).它衡量的是相同事件空间里的两个概率分 ...
    
			
    5. 
						
  5. @Qualifier is not applicable for constructor
			
    问题场景: 笔者在springboot项目中使用java_websocket作为客户端,调用第三方ws服务. 最初只调用一个ws服务,以下代码可以正常工作: @Bean public URI ttsU ...
    
			
    6. 
						
  6. Python命令行参数解析模块getopt使用实例
			
    Python命令行参数解析模块getopt使用实例 这篇文章主要介绍了Python命令行参数解析模块getopt使用实例,本文讲解了使用语法格式.短选项参数实例.长选项参数实例等内容,需要的朋友可以参 ...
    
			
    7. 
						
  7. activiti的坑
			
    maven配置: <dependency> <groupId>org.activiti</groupId> <artifactId>activiti-e ...
    
			
    8. 
						
  8. 高级UI-RecyclerView简单使用
			
    RecyclerView从Android 5.0开始引入,用以替代ListView.GridView控件,RecyclerView的存在,使得控件的耦合度更低,在ListView中需要使用ViewHo ...
    
			
    9. 
						
  9. 性能优化-service进程防杀
			
    service作为后台服务,其重要性不言而喻,但很多时候service会被杀死,从而失去了我们原本想要其发挥的作用,在这种情况下我们该如何确保我们的service不被杀死就是本节需要讨论的内容了 se ...
    
			
    10. 
						
  10. PHP 7 错误处理 Error
			
    前提:PHP 7 改变了大多数错误的报告方式.不同于 PHP 5 的传统错误报告机制,现在大多数错误被作为 Error 异常抛出. try { echo 2 % 0; // 错误: 分母为0 } ca ...
    
			
    11.