2. 程式人生 > >使用token和SpringMVC來實現安全的RESTFul介面

使用token和SpringMVC來實現安全的RESTFul介面

阿新 發佈:2019-01-01

首先寫一個Controller,專門用於獲取token的

@Autowired
private UserService userService;

@RequestMapping(value = "/token", method = RequestMethod.POST)
@ResponseBody
public ResponseEntity<TokenResult> getToken(@RequestBody User user) {//TokenResult包括Token和Message兩個屬性
try {
Token token = userService.getToken(user); //Token 包括String token和Date create兩個屬性
TokenResult tokenResult = new TokenResult();
if (null == token) {
tokenResult.setMessage("User authenticate failed.");
// 401
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body(tokenResult);
}
tokenResult.setToken(token);
tokenResult.setMessage("User authenticate successful.");
// 建立
return ResponseEntity.status(HttpStatus.CREATED).body(tokenResult);
} catch (Exception e) {
e.printStackTrace();
}
return ResponseEntity.status(HttpStatus.INTERNAL_SERVER_ERROR).body(null);
}

UserService類中

public Token getToken(User user) {
// 每次生成會頂掉前面的token
if ("admin".equals(user.getName()) && "123456".equals(user.getPassword())) {//舉個例子
Token token = new Token();
token.setCreate(new Date());
token.setToken(UUID.randomUUID().toString());
TokenManager.userOfToken.put("admin", token);//TokenManager.userOfToken是一個ConcurrentHashMap
return token;
}
return null;
}

然後寫獲取資源的Controller。這裡使用@ModelAttribute註解,它所在的Controller每次在進入requestmapping後會先呼叫@ModelAttribute所在的方法

這個方法就是校驗token的

@Autowired
private UserService userService;

@ModelAttribute("tokenIdValidateResult")
public TokenValidateResult validateTokenId(@RequestHeader HttpHeaders headers) {
System.out.println("ResourceController.validateTokenId()");
String tokenId = headers.getFirst("X-Auth-Token");//這個是客戶端傳過來的,客戶端要在請求頭中寫:X-Auth-Token和token值。也就是說X-Auth-Token使我們自定義要求客戶端做的
if (StringUtils.isEmpty(tokenId)) {
return TokenValidateResult.TOKEN_EMPTY;
}
for (Token token : TokenManager.userOfToken.values()) {
Date date = new Date();
if (tokenId.equals(token.getToken()) && ((date.getTime() - token.getCreate().getTime()) > (30L * 1000))) {// token有效期30秒
return TokenValidateResult.TOKEN_EXPIRED;
} else if (tokenId.equals(token.getToken())) {
return TokenValidateResult.SUCCESS;
}
}
return TokenValidateResult.TOKEN_NOT_EXIST;
}

最後寫獲取資源的方法

@RequestMapping(value = "{id}", method = RequestMethod.GET)
@ResponseBody

//ResponseEntity<?>注意這裡泛型用了“?”,這樣可以返回你想要的各種結果
public ResponseEntity<?> queryUserById(@PathVariable("id") Long id,
@ModelAttribute("tokenIdValidateResult") TokenValidateResult tokenIdValidateResult,
@RequestHeader HttpHeaders headers) {
try {
if (tokenIdValidateResult == TokenValidateResult.SUCCESS) {
User user = this.userService.queryUserById(id);
if (null == user) {
// 資源不存在,響應404
return ResponseEntity.status(HttpStatus.NOT_FOUND).body(null);
}
// 資源存在,響應200
// return ResponseEntity.status(HttpStatus.OK).body(user);
return ResponseEntity.ok(user);
} else if (tokenIdValidateResult == TokenValidateResult.TOKEN_EXPIRED) {//驗證不通過的情況
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("token過期");
} else if (tokenIdValidateResult == TokenValidateResult.TOKEN_EMPTY) {
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("請填寫token");
} else if (tokenIdValidateResult == TokenValidateResult.TOKEN_NOT_EXIST) {
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("token不存在");
}
} catch (Exception e) {
e.printStackTrace();
}
return ResponseEntity.status(HttpStatus.INTERNAL_SERVER_ERROR).body(null);
}

文章參考http://blog.csdn.net/kingmax54212008/article/details/51785634

相關推薦

使用tokenSpringMVC實現安全RESTFul介面

首先寫一個Controller,專門用於獲取token的 @Autowiredprivate UserService userService; @RequestMapping(value = "/token", method = RequestMethod.POST)@Re

使用SpringSecuritySpringMVC實現安全RESTFul介面

可以使用SpringSecurity在請求到@RequestMapping之前進行攔截。 題外話:Spring的Interceptor(攔截器)是在@RequestMapping之後進行攔截的。 SpringSecurity可以得到使用者資訊並在攔截器中使用  Obje

Spring Cloud實戰 | 第十一篇:Spring Cloud Gateway 閘道器實現RESTful介面許可權控制按鈕許可權控制

## 一. 前言 hi,大家好,這應該是農曆年前的關於開源專案[有來商城](https://github.com/hxrui) 的最後一篇文章了。 [有來商城](https://github.com/hxrui) 是基於 Spring Cloud OAuth2 + Spring Cloud Gateway

Spring Cloud實戰 | 第十一篇:Spring Cloud Gateway閘道器實現RESTful介面許可權按鈕許可權細粒度控制

## 一. 前言 hi,大家好,這應該是農曆年前的關於開源專案[有來商城](https://github.com/hxrui) 的最後一篇文章了。 [有來商城](https://github.com/hxrui) 是基於 Spring Cloud OAuth2 + Spring Cloud Gateway

采用什麽樣的策略方法實現系統緩存?

服務器 耗時 緩存服務器 time 緩存策略 自定義緩存 情況下 直接 集群 在ASP.NET 中緩存有頁面緩存,數據源緩存,和一些自己定義的緩存! 對於那些整個頁面不經常變化的我們可以使用頁面緩存,而對於那些執行非常耗時的SQL 語句並且數據的及時性要求不高的我們可以使用

採用什麼樣的策略方法實現系統快取?

在ASP.NET 中快取有頁面快取,資料來源快取,和一些自己定義的快取! 對於那些整個頁面不經常變化的我們可以使用頁面快取,而對於那些執行非常耗時的SQL 語句並且資料的及時性要求不高的我們可以使用資料來源快取。 對於頁面快取、資料來源快取等都不滿足要求的情況下采用直接操作HttpRuntime.Cach

idea使用SpringBootSpringMybatis實現增刪改查

需求: 使用新SSM來實現增刪改查 步驟 第一步:看最終包結構 糾正:資料庫連線池部分還有整合mybatis和springboot 這裡主要是匯入依賴的jar包 第二步:配置pom.xml 導包springBoot支援jdk1.8

AJAX:基於jsxml實現非同步請求

要談AJAX,就不得不提同步與非同步的概念了 同步互動:使用者傳送一個請求,在收到伺服器的應答之前,不可以做任何操作。並且在收到應答後,會重新整理整個頁面。在網 絡不好的情況下使用者體驗不好。非同步互動:使用者傳送一個請求,在收到伺服器的應答之前,可以向伺服器傳送新的請求。

三種方式實現遠端restful 介面呼叫

1,基本介紹 Restful介面的呼叫,前端一般使用ajax呼叫,後端可以使用的方法比較多,   本次介紹三種:     1.HttpURLConnection實現     2.HttpClient實現     3.Spring的RestTemplate      

利用htmlunitjsoup實現爬取js的動態網頁實踐(執行js)

更新,這就尷尬了,這篇文章部落格閱讀文章最多,但是被踩得也最多。 爬取思路: 所謂動態,就是通過請求後臺,可以動態的改變相應的html頁面,頁面並不是一開始就全部展現出來的。 大部分操作都是通過請求完成的,一次請求,一次返回。而在大多數網頁中請求往往都被開發者隱藏在了js程

使用RAP2Mock.JS實現Web API介面的資料模擬測試

最近一直在思考如何對Web API的其介面資料進行獨立開發的問題,隨著Web API的越來越廣泛應用,很多開發也要求前端後端分離,例如統一的Web API介面後,Winform團隊、Web前端團隊、微信小程式或者APP團隊大家可以同步開發,在最初約定一些介面的輸入JSON資料和輸出JSON資料,但是隨著專案的

利用redis的訂閱釋出實現實時監控的一個DEMO(Python版本)

       redis的list型別有個很好的特性,就是每次新增元素後會返回當前list的長度,利用這個特點,我們可以監控它的長度,比如我們的key是使用者註冊的IP地址,list中存放的是已經在此IP地址上註冊的使用者的ID,當用戶數超過1000的時候來發一個告警,而r

centos7 systemctl取代servicechkconfig實現系統管理

Linux systemctl是一個系統管理守護程序、工具和庫的集合,用於取代System V、service和chkconfig命令) CentOS 7.x開始,CentOS開始使用systemd服務來代替daemon,原來管理系統啟動和管理系統服務的相關命令全部由sys

EXCEL 中利用 INDEX match 實現多條件查詢

1: 先建立一個sheet: 2: 測試:有兩個人叫同一個“胡天”,只是來自不同的省份: 先測試一下match: MATCH(A24&B24,A2:A16&B2:B16,0) 注意是 要 ctrl + shift + enter 一起按下去,才生效。看到

使用xUtils3RandomAccessFile實現檔案的分片上傳

     首先,想使用xUtils3需要先做好相應的配置,這裡就不詳細說了,詳細http://blog.csdn.net/a1002450926/article/details/50341173      在這裡我自己封裝了一個上傳檔案的方法,如下:       //檔案上

java中怎麼將一個檔案內容寫入到另一個檔案,這裡分別使用ionio實現

一:使用io來實現將一個檔案內容寫入到另一個檔案 需要兩個檔案流,檔案輸入流和檔案輸出流,中間還需要一個作為記憶體中的輔助空間(類似於裝東西的小車),我們可以使用一個位元組陣列。 迴圈使用小車,從倉庫(源頭)運貨到商場(目的地)。 package aboutIO; import jav

springmvc 框架下使用restful介面引數資料傳輸

如前文所說,現在在寫的課程設計老師強制你使用restful介面,說是介面,其實是一種規範。關於restful詳見我之前的那篇講述關於前後端分離的帖子,給出傳送門。不得不說,在開發完一個模組之後,我仍舊

android studio 如何實現RadioBottoRadioGroup實現單選按鈕的選擇

實現單選功能的控制元件     一組RadioButton必須放在一個RadioGroup中    意思就是說單選按鈕中的值我們可以看作是一個數組也就是這裡說的這個陣列是RadioGroup陣列中的值是RadioButton,在這個陣列中我們通常都有且只能選擇一個值,而這個

使用sortawk實現對檔案塊進行排序

professor.db中每個檔案塊記錄了一位教授的資訊,由三行組成:第1行是姓名,第2行是學校名,第3行是學校所處的城市和國家.如果需要根據姓名對檔案塊進行排序,僅使用sort命令是難以實現的,我們通過結合使用sort和awk來實現這一功能: cat professor.

Java中通過waitnotify實現生產者消費者模式

今天通過介紹一下如何通過wait和notify來實現生產者和消費者模式。 通過synchronized同步程式碼塊實現執行緒的同步操作,從而保證資料的一致性。下面具體介紹一下這個模式的實現過程。 1.首先編寫一個生產者類: public class Producer imp