APP的权限校验不同于web网页端,web一般使用session记录用户的状态信息,而app则使用token令牌来记录用户信息。有这样一个场景,系统的数据量达到千万级,需要几台服务器部署,当一个用户在其中一台服务器登录后,用session保存其登录信息,其他服务器怎么知道该用户登录了?(单点登录),当然解决办法有,可以用spring-session。如果该系统同时为移动端服务呢?移动端通过url向后台要数据,如果用session,通过sessionId识别用户,万一sessionId被截获了,别人可以利用sessionId向后台要数据,就有安全隐患了。所以有必要跟session说拜拜了。服务端不需要存储任何用户的信息,用户的验证应该放在客户端,jwt就是这种方式!

什么是jwt?

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
 

最详细的是官网:https://jwt.io/

这里以java的ssm框架为例,集成jwt。

1.pom.xml 导入jwt的包

 

 <!-- jwt -->

   <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt -->

   <dependency>

    <groupId>com.auth0</groupId>

    <artifactId>java-jwt</artifactId>

    <version>2.2.0</version>

   </dependency>
 

2.编写jwt的工具类,有加密解密功能就好

 

import com.auth0.jwt.JWTSigner;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.internal.com.fasterxml.jackson.databind.ObjectMapper;


import java.util.HashMap;

import java.util.Map;


public class JWT {

    private static final String SECRET = "XX#$%()(#*!()!KL<><MQLMNQNQJQK sdfkjsdrow32234545fdf>?N<:{LWPW";


    private static final String EXP = "exp";


    private static final String PAYLOAD = "payload";


    //加密,传入一个对象和有效期

    public static <T> String sign(T object, long maxAge) {

        try {

            final JWTSigner signer = new JWTSigner(SECRET);

            final Map<String, Object> claims = new HashMap<String, Object>();

            ObjectMapper mapper = new ObjectMapper();

            String jsonString = mapper.writeValueAsString(object);

            claims.put(PAYLOAD, jsonString);

            claims.put(EXP, System.currentTimeMillis() + maxAge);

            return signer.sign(claims);

        } catch(Exception e) {

            return null;

        }

    }


    //解密,传入一个加密后的token字符串和解密后的类型

    public static<T> T unsign(String jwt, Class<T> classT) {

        final JWTVerifier verifier = new JWTVerifier(SECRET);

        try {

            final Map<String,Object> claims= verifier.verify(jwt);

            if (claims.containsKey(EXP) && claims.containsKey(PAYLOAD)) {

                long exp = (Long)claims.get(EXP);

                long currentTimeMillis = System.currentTimeMillis();

                if (exp > currentTimeMillis) {

                    String json = (String)claims.get(PAYLOAD);

                    ObjectMapper objectMapper = new ObjectMapper();

                    return objectMapper.readValue(json, classT);

                }

            }

            return null;

        } catch (Exception e) {

            return null;

        }

    }


}

3.jwt有了,ssm要如何去利用,用户验证的第一步是登录,登录时根据用户传来的username和password到数据库验证身份,如果合法,便给该用户jwt加密生成token

//处理登录

    @RequestMapping(value="login", produces = "application/json; charset=utf-8")

    public @ResponseBody ResponseData login(HttpServletRequest request, @RequestParam( "email") String email,

            @RequestParam("password") String password) {

        Login login = new Login();

        login.setEmail(email);

        login.setPassword(password);

        ResponseData responseData = ResponseData.ok();

        //先到数据库验证

        Integer loginId = userService.checkLogin(login);

        if(null != loginId) {

            User user = userService.getUserByLoginId(loginId);

            login.setId(loginId);

            //给用户jwt加密生成token

            String token = JWT.sign(login, 60L* 1000L* 30L);

            //封装成对象返回给客户端

            responseData.putDataValue("loginId", login.getId());

            responseData.putDataValue("token", token);

            responseData.putDataValue("user", user);

        }

        else{

            responseData =  ResponseData.customerError();

        }

        return responseData;

    }

4.在用户登录时,把loginId和token返回给前台,以后用户每次请求时,都得带上这两个参数,后台拿到token后解密出loginId,与用户传递过来的loginId比较,如果相同,则说明用户身份合法。因为是每个登录过后的每个请求,这里用springmvc的拦截器做

 
<mvc:interceptors>

    <mvc:interceptor>

        <!-- 匹配的是url路径, 如果不配置或/**,将拦截所有的Controller -->

        <mvc:mapping path="/**" />

        <!-- /register 和 /login 不需要拦截-->

        <mvc:exclude-mapping path="/register" />

        <mvc:exclude-mapping path="/login" />

        <bean class="com.xforce.charles.interceptor.TokenInterceptor"></bean>

    </mvc:interceptor>

    <!-- 当设置多个拦截器时,先按顺序调用preHandle方法,然后逆序调用每个拦截器的postHandle和afterCompletion方法 -->

    </mvc:interceptors>

  

5.拦截器代码

 

import java.io.PrintWriter;


import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;


import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;


import com.alibaba.fastjson.JSONObject;

import com.xforce.charles.model.Admin;

import com.xforce.charles.model.Login;

import com.xforce.charles.util.JWT;

import com.xforce.charles.util.ResponseData;


public class TokenInterceptor implements HandlerInterceptor{


    public void afterCompletion(HttpServletRequest request,

            HttpServletResponse response, Object handler, Exception arg3)

            throws Exception {

    }


    public void postHandle(HttpServletRequest request, HttpServletResponse response,

            Object handler, ModelAndView model) throws Exception {

    }


    //拦截每个请求

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,

            Object handler) throws Exception {

        response.setCharacterEncoding("utf-8");

        String token = request.getParameter("token");

        ResponseData responseData = ResponseData.ok();

        //token不存在

        if(null != token) {

            Login login = JWT.unsign(token, Login.class);

            String loginId = request.getParameter("loginId");

            //解密token后的loginId与用户传来的loginId不一致,一般都是token过期

            if(null != loginId && null != login) {

                if(Integer.parseInt(loginId) == login.getId()) {

                    return true;

                }

                else{

                    responseData = ResponseData.forbidden();

                    responseMessage(response, response.getWriter(), responseData);

                    return false;

                }

            }

            else

            {

                responseData = ResponseData.forbidden();

                responseMessage(response, response.getWriter(), responseData);

                return false;

            }

        }

        else

        {

            responseData = ResponseData.forbidden();

            responseMessage(response, response.getWriter(), responseData);

            return false;

        }

    }


    //请求不通过,返回错误信息给客户端

    private void responseMessage(HttpServletResponse response, PrintWriter out, ResponseData responseData) {

        responseData = ResponseData.forbidden();

        response.setContentType("application/json; charset=utf-8");

        String json = JSONObject.toJSONString(responseData);

        out.print(json);

        out.flush();

        out.close();

    }

​

}

6.注意点:用@ResponseBody返回json数据时,有时会有乱码,需要在springmvc的配置文件里面加以下配置(spring4以上)

<mvc:annotation-driven>

     <mvc:message-converters register-defaults="true">

    <bean class="org.springframework.http.converter.StringHttpMessageConverter">

      <property name="supportedMediaTypes" value = "text/plain;charset=UTF-8" />

    </bean>

   </mvc:message-converters>

     </mvc:annotation-driven>  

7.最后分享一个类,用于返回给客户端的万能类,我觉得它可以满足一般的接口

import java.util.HashMap;

import java.util.Map;


public class ResponseData {


    private final String message;

    private final int code;

    private final Map<String, Object> data = new HashMap<String, Object>();


    public String getMessage() {

        return message;

    }


    public int getCode() {

        return code;

    }


    public Map<String, Object> getData() {

        return data;

    }


    public ResponseData putDataValue(String key, Object value) {

        data.put(key, value);

        return this;

    }


    private ResponseData(int code, String message) {

        this.code = code;

        this.message = message;

    }


    public static ResponseData ok() {

        return new ResponseData(200, "Ok");

    }


    public static ResponseData notFound() {

        return new ResponseData(404, "Not Found");

    }


    public static ResponseData badRequest() {

        return new ResponseData(400, "Bad Request");

    }


    public static ResponseData forbidden() {

        return new ResponseData(403, "Forbidden");

    }


    public static ResponseData unauthorized() {

        return new ResponseData(401, "unauthorized");

    }


    public static ResponseData serverInternalError() {

        return new ResponseData(500, "Server Internal Error");

    }


    public static ResponseData customerError() {

        return new ResponseData(1001, "customer Error");

    }

}

个人技术博客(alpha)的更多相关文章

  1. 【技术博客】nginx服务器的https协议实现

    在本学期软件工程的Alpha和Beta阶段,我们的服务器部署都是使用基础的http协议,http在网络路由间的信息转发都为明文,这对我们网站的账户密码登录来说很不安全,因此在Gamma阶段我们实现了h ...

  2. [技术博客]使用CDN加快网站访问速度

    [技术博客]使用CDN加快网站访问速度 2s : most users are willing to wait 10s : the limit for keeping the user's atten ...

  3. [技术博客]采用Bootstrap框架进行排版布局

    [技术博客]采用Bootstrap框架进行排版布局 网页的前端框架有很多很多种,比如Bootstrap.Vue.Angular等等,在最开始其实并没有考虑到框架这回事,开始阅读往届代码时发现其部分采用 ...

  4. 个人作业——软件工程实践总结&个人技术博客

    一. 回望 (1)对比开篇博客你对课程目标和期待,"希望通过实践锻炼,增强软件工程专业的能力和就业竞争力",对比目前的所学所练所得,在哪些方面达到了你的期待和目标,哪些方面还存在哪 ...

  5. 技术博客——微信小程序UI的设计与美化

    技术博客--微信小程序UI的设计与美化 在alpha阶段的开发过后,我们的小程序也上线了.看到自己努力之后的成果大家都很开心,但对比已有的表情包小程序,我们的界面还有很大的提升空间,许多的界面都是各个 ...

  6. 如何写出高质量的技术博客 这边文章出自http://www.jianshu.com/p/ae9ab21a5730 觉得不错直接拿过来了 好东西要大家分享嘛

        如何写出高质量的技术博客?答案是:如果你想,就一定能写出高质量的技术博客.看起来很唯心,但这就是事实.有足够愿力去做一件目标明确,有良好反馈系统的事情往往很简单.就是不停地训练,慢慢地,你自己 ...

  7. ******IT公司面试题汇总+优秀技术博客汇总

    滴滴面试题:滴滴打车数据库如何拆分 前端时间去滴滴面试,有一道题目是这样的,滴滴每天有100万的订单,如果让你去设计数据库,你会怎么去设计? 当时我的想法是根据用户id的最后一位对某个特殊的值取%操作 ...

  8. 转: BAT等研发团队的技术博客

    BAT 技术团队博客   1. 美团技术团队博客:  地址: http://tech.meituan.com/ 2. 腾讯社交用户体验设计(ISUX) 地址:http://isux.tencent.c ...

  9. 解决Eclipse中文乱码 - 技术博客 - 51CTO技术博客 http://hsj69106.blog.51cto.com/1017401/595598/

    解决Eclipse中文乱码 - 技术博客 - 51CTO技术博客  http://hsj69106.blog.51cto.com/1017401/595598/

随机推荐

  1. 5 分钟让你秒懂 Docker !

    Docker是啥? 打开翻译君输入Docker 结果显示码头工人,没错!码头工人搬运的是集装箱,那么今天要讲的Docker其操作的也是集装箱,这个集装箱就静态而言就是一个应用镜像文件,就动态而言,就是 ...

  2. CTSC 选课

    题面(有删减) 题目描述 学校实行学分制.每门的必修课都有固定的学分,同时还必须获得相应的选修课程学分.学校开设了N(N<300)门的选修课程,每个学生可选课程的数量M是给定的.学生选修了这M门 ...

  3. Flex 关于 keyDown事件的添加和移除(另附添加事件的执行带参数的函数)

    今天遇到一个棘手的问题,原本的textInput控件有一个keyDown事件,但是不是所有的用户都需要,麻烦了首先先删除控件里面的keyDown,这个事件放在这谁都得用,我就是不想用这就实现不了,怎么 ...

  4. Delphi子窗体随主窗体大小而变化

    当然办法有很多种,我建议用TRzsplitter更好点, TRzsplitter分割,在其上边放置panel,然后把align置为alClient,则可以随着主窗体的大小而一起变动 选中此控件右键ed ...

  5. 回顾JS Date()对象

    突然想写一个日历插件发现Date对象的一些常识快忘光了,复习一下 new Date()返回当前时间 年月日 getFullYear() 返回年份 getMonth() 返回月份(因为从0开始算 所以要 ...

  6. TCP/IP NAT知识梳理

    一. IP地址的获取 首先,互联网上的每台主机都有一个唯一的IP地址标识,计算机在通信时需要向网络中的DHCP(动态主机配置协议)服务器申请一个IP地址,但开始主机并不知道哪台机器是DHCP服务器(不 ...

  7. 防反编译的加壳工具-Virbox Protector

    通过Virbox Protector可快速对您的软件进行加壳,可防调试,防挂钩,防反编译. 首先,你要有一个云平台(www.sense.com.cn)的帐号,登录后,只需将你的dll或者exe拖入到加 ...

  8. linux PMBus总线及设备驱动分析

    PMBus协议规范介绍 PMBus是一套对电源进行配置.控制和监控的通讯协议标准.其最新版本为1.3,该规范还在不断演进中,比如新标准中新增的zone PMBus.AVSBus等特性.在其官网上有详细 ...

  9. 一场IPFS引领下的共享之风正在走向区块链

    中国互联网的高速发展 已经接近10年,小编完整的经历这个过程.这一切我们从一个小网站 饭否 说起... 互联网 2006年3月16:Twitter上线 2007年5月12:  饭否上线 饭否是中国第一 ...

  10. Dell服务器系统安装后无法正常进入系统

    问题描述: 正常安装完系统后,重启,出现无法进入系统 问题解决: 此问题出现意味着系统引导项出现错误,进入raid配置里设置相应的所装系统盘为boot引导项: