2. 程式人生 > >如何在項目中用token進行權限驗證

如何在項目中用token進行權限驗證

阿新 發佈:2019-02-25
amp 配置 服務 ring common ole mvc 登錄 flush

如何在項目中用token進行權限驗證
原理: 當用戶首次登錄的時候,後臺給用戶生成一個token,並緩存到Map中,後續每次登錄都會根據userId校驗,移動端調用後臺的每個服務都需要有token的驗證通過才視作合法的。

1.首先自定義一個annotations,註解@Retention(RetentionPolicy.RUNTIME)
br/>@Retention(RetentionPolicy.RUNTIME)
public @interface ApiAuth {
String value() default "";
}

2.自定義一個攔截器
public class ApiAuthInterceptor extends HandlerInterceptorAdapter {

private static final int TOKEN_LONG = 32; //token的長度

@Override
public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)
        throws Exception {
}

@Override
public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, ModelAndView arg3)
        throws Exception {
}

// token驗證
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    if (handler instanceof HandlerMethod) {
        ApiAuth authPassport = ((HandlerMethod) handler).getMethodAnnotation(ApiAuth.class);
        if (authPassport != null) {
            String paramToken = request.getParameter("token");
            if (paramToken == null) {
                fillUnauthorizedResponse(response);
                return false;
            }

            if (!isTokenValid(paramToken)) {
                fillTokenUnauthorizedResponse(response);
                return false;
            }

            return true;
        }
    }

    return true;
}

private boolean isTokenValid(String token) {
    // token為空,或者token位數不為32位
    if (StringUtils.isEmpty(token) || token.length() != TOKEN_LONG) {
        return false;
    }

    // 驗證token是否存在
    return BaseDataMapCache.checkToken(token);
}

private void fillUnauthorizedResponse(HttpServletResponse response) throws IOException {
    response.setCharacterEncoding("UTF-8");
    response.setContentType("application/json;charset=UTF-8");
    PrintWriter out = response.getWriter();
    out.print(JSON.toJSONString(ResultObject.error("身份驗證未通過!")));
    out.flush();
    out.close();
}

private void fillTokenUnauthorizedResponse(HttpServletResponse response) throws IOException {
    response.setCharacterEncoding("UTF-8");
    response.setContentType("application/json;charset=UTF-8");
    PrintWriter out = response.getWriter();
    out.print(JSON.toJSONString(ResultObject.error("token驗證失敗!")));
    out.flush();
    out.close();
}

}

public class BaseDataMapCache {

private static Map<String, String> dataMap = Maps.newHashMap();

public static void push(String key, String value) {
    dataMap.put(key, value);
}

public static String putToken(String userId) {
    if (!dataMap.containsKey(userId)) {
        String token = UUID.randomUUID().toString().replaceAll("-", "");
        dataMap.put(userId, token);
    }
    return dataMap.get(userId);
}

public static boolean checkToken(String token) {
    return !dataMap.isEmpty() && dataMap.containsValue(token);
}

}

3.配置spring-mvc.xml文件

如何在項目中用token進行權限驗證

相關推薦

如何在中用token進行驗證

amp 配置 服務 ring common ole mvc 登錄 flush 如何在項目中用token進行權限驗證原理: 當用戶首次登錄的時候,後臺給用戶生成一個token,並緩存到Map中,後續每次登錄都會根據userId校驗,移動端調用後臺的每個服務都需要有token的

後臺管理之管理(RBAC)

如果 ont logs 權限管理 設計思想 更多 表設計方法 com alt 首先給沒有做過權限的小夥伴普及一下,權限管理主要思想就是采用RBAC(Role-Based Access Control)的設計方法。 在我們的項目中使用的是基本的5張表設計方法,包括(用戶表,用

LINUX——gitlab版本控制,關於組管理,用戶及管理的使用

entos 開發 chan 網頁 1.2 保存 ise roo 能力 gitlab一般用於:1.開發工程中各種文件變更的管理最主要的功能是追蹤文件的變更,將信息記錄下來。每一次文件的改變,版本號都會增加 2.並行開發軟件開發時往往是多人協同,而版本控制可以解決版本同步以及不

簡單的登錄驗證實現

prefix void 定向 exceptio clas 攔截 登錄 scrip oca 1.登錄 登錄時需要生成一個自定義的token,token的生成規則一般可以考慮混合多種因素,如userId+生成時間+UUID,再進行一定的編碼 String token=user

現實中用戶隨意添加序號,如何用SQL解決序號連續性問題

font cast 語言 另一個 有時 -1 col .com end 前段時間,一直忙於學習golang語言,沒有時間整理項目中用到的方法,今天趁著有空寫下筆記。 項目中,遇到一個比較"刁鉆"的需求:用戶用Excel導入到系統裏,每一行前面都有一個序號,序號分成兩

更改配置 還原成老 不用手動進行布局了

ges 能夠 tex style post 發的 ima tracking 應用 今天通過配置啟動圖發現了一個能夠不用適配豎屏應用的方法了 即能夠不用Autolayout 就能夠高速開發了 可是得有幾個前提:1:必須將App Icon and Lauch Images

微信開發配置JSSDK,註入驗證,以及invalid signature簽名錯誤解決

工具 沒有 ans dem menus true 發現 bin ces 在微信開發中很多功能都要用到微信JSSDK,關於JSSDK的使用,微信官方的文檔已經比較詳細,一定要仔細去看文檔。 <script src="https://res.wx.qq.com/open

PHP.48-TP框架商城應用實例-後臺23-管理-驗證

商城 strong pre model 必須 查看 數據 parent col 權限驗證 1、登錄控制器 2、通過tp驗證碼類生成驗證碼圖片 3、在管理員模型增加登錄驗證規則 4、後臺中所有的控制器必須先登錄才能訪問 思路:在訪問任何一個控制器之前都判斷一個sess

簡單兩步快速實現shiro的配置和使用,包含登錄驗證、角色驗證驗證以及shiro登錄註銷流程(基於spring的方式,使用maven構建)

protect login uid sim isa 當前 sub efi inf 前言: shiro因為其簡單、可靠、實現方便而成為現在最常用的安全框架,那麽這篇文章除了會用簡潔明了的方式講一下基於spring的shiro詳細配置和登錄註銷功能使用之外,也會根據慣例在文章最

038 使用shiro的方法註解方式進行控制 - bos

gin 切面 list 頁面 taf 接口 tcl str delete 1.在Spring的配置文件中開啟shiro的註解支持 <!-- 開啟shiro框架註解支持 --> <bean id="defaultAdvisorAutoProxyCrea

node中用到的一些模塊

模塊 代碼 require write creates http模塊 function var cnblogs 1、http模塊,用來搭建服務器 代碼,簡單服務器實現 1 var http = require(‘http‘); 2 http.createServer(fu

web工程使用spring mvc+shiro進行控制

items query prim dog first lte fec 用戶賬號 find 第1步:引入shiro相關jar包 ehcache-core-2.5.0.jar shiro-ehcache-1.2.3.jar shiro-core-1.2.3.jar shiro-

MVC 基於FormsAuthentication 方式的驗證

pri onf text 重建 用戶 spa names 包含 minutes 1.登錄的代碼 1 [HttpPost] 2 public ActionResult Index(User entity) 3 { 4

中用到的設計模式-觀察者模式

道理 generated 商家 商城項目 bean boolean collect 相關 not 一:觀察者模式簡單介紹   觀察者模式又稱為發布-訂閱模式(publish/subscribe),該模式定義了一種,一對多的依賴關系,讓多個觀察者同時監聽一個主題對像,這個主題

中用到的正則

str 所有 input reg 格式 == pan get function 一、小數 str.replace(/[^\d.]+/g,‘‘).replace(‘.‘,‘$#$‘).replace(/\./g,‘‘).replace(‘$#$‘,‘.‘).replace(

ASP.NET WebApi總結之自定義驗證

use bar cor 介紹 string roles 獲得 ext status 在.NET中有兩個AuthorizeAttribute類, 一個定義在System.Web.Http命名空間下 #region 程序集 System.Web.Http, Version=5.

nginx-rtmp加入驗證的簡單方法

mar 權限 out admin web query 修改 傳輸 term nginx-rtmp-module默認不限制推流權限、播放權限。如果想加入權限驗證,有很多種方法。 方法一:修改源碼,如: 如何給 nginx rtmp 服務加入鑒權機制 http://blog

shiro進行控制的四種方式

shiro ```我們使用shiro進行權限控制 有以下幾種方式 1. URL攔截權限控制:基於filter過濾器實現 我們在spring配置文件中配置shiroFilter時配置 <!--指定URL級別攔截策略 --> <

springmvc攔截器實現用戶登錄驗證

tdi form char urn isp msg NPU 數據 drive 實現用戶登錄權限驗證 先看一下我的項目的目錄,我是在intellij idea 上開發的 1、先創建一個User類 1 package cn.lzc.po; 2 3 public

beego利用casbin進行管理——第四節 策略更新

casbin onlyoffcie engineercms 權限設計 移步到這裏近4個月沒有更新這個系列。這個系列都是我粗淺的理解,其中我感覺有些的思路並非最優,並不合主流概念,因為我沒去學習rbac之類的概念,僅供參考。特別是對於權限設計的處理方式,casbin是盡量用它自己的查詢方式,因為