java token生成和校驗(yàn)的實(shí)例代碼
現(xiàn)在越來(lái)越多的登錄方式都用到了token作為用戶登錄令牌,所以實(shí)現(xiàn)了一個(gè)token生成和校驗(yàn)案例。
缺點(diǎn):該實(shí)現(xiàn)方式token是存儲(chǔ)在內(nèi)存中,不適合分布式項(xiàng)目,如需改為分布式項(xiàng)目部署,可把token存儲(chǔ)在redis中,其中的實(shí)現(xiàn)原理還是保持不變。
一)token編碼工具類(lèi)
package com.oysept.token.utils; /** * token編碼工具類(lèi) * @author ouyangjun */ public class TokenEncryptUtils { // 編碼密碼,可自定義 private static final String ENCODED_PASSWORD = "ouyangjun"; /** * 編碼 * @param str * @return */ public static String encoded(String str) { return strToHex(encodedString(str, ENCODED_PASSWORD)); } /** * 轉(zhuǎn)換 * @param str * @param password * @return */ private static String encodedString(String str, String password) { char[] pwd = password.toCharArray(); int pwdLen = pwd.length; char[] strArray = str.toCharArray(); for (int i=0; i<strArray.length; i++) { strArray[i] = (char)(strArray[i] ^ pwd[i%pwdLen] ^ pwdLen); } return new String(strArray); } private static String strToHex(String s) { return bytesToHexStr(s.getBytes()); } private static String bytesToHexStr(byte[] bytesArray) { StringBuilder builder = new StringBuilder(); String hexStr; for (byte bt : bytesArray) { hexStr = Integer.toHexString(bt & 0xFF); if (hexStr.length() == 1) { builder.append("0"); builder.append(hexStr); }else{ builder.append(hexStr); } } return builder.toString(); } /** * 解碼 * @param str * @return */ public static String decoded(String str) { String hexStr = null; try { hexStr = hexStrToStr(str); } catch (Exception e) { e.printStackTrace(); } if (hexStr != null) { hexStr = encodedString(hexStr, ENCODED_PASSWORD); } return hexStr; } private static String hexStrToStr(String hexStr) { return new String(hexStrToBytes(hexStr)); } private static byte[] hexStrToBytes(String hexStr) { String hex; int val; byte[] btHexStr = new byte[hexStr.length()/2]; for (int i=0; i<btHexStr.length; i++) { hex = hexStr.substring(2*i, 2*i+2); val = Integer.valueOf(hex, 16); btHexStr[i] = (byte) val; } return btHexStr; } }
二)token生成和校驗(yàn)工具類(lèi)(包含main方法測(cè)試)
package com.oysept.token.utils; import java.util.HashMap; import java.util.Map; import java.util.Map.Entry; /** * token生成和校驗(yàn) * @author ouyangjun */ public class TokenUtils { private static Map<String,String> MAP_TOKENS = new HashMap<String,String>(); private static final int VALID_TIME = 60*60*2; // token有效期(秒) public static final String TOKEN_ERROR = "F"; // 非法 public static final String TOKEN_OVERDUE = "G"; // 過(guò)期 public static final String TOKEN_FAILURE = "S"; // 失效 /** * 生成token,該token長(zhǎng)度不一致,如需一致,可自行MD5或者其它方式加密一下 * 該方式的token只存在磁盤(pán)上,如果項(xiàng)目是分布式,最好用redis存儲(chǔ) * @param str: 該字符串可自定義,在校驗(yàn)token時(shí)要保持一致 * @return */ public static String getToken(String str) { String token = TokenEncryptUtils.encoded(getCurrentTime()+","+str); MAP_TOKENS.put(str, token); return token; } /** * 校驗(yàn)token的有效性 * @param token * @return */ public static String checkToken(String token) { if (token == null) { return TOKEN_ERROR; } try{ String[] tArr = TokenEncryptUtils.decoded(token).split(","); if (tArr.length != 2) { return TOKEN_ERROR; } // token生成時(shí)間戳 int tokenTime = Integer.parseInt(tArr[0]); // 當(dāng)前時(shí)間戳 int currentTime = getCurrentTime(); if (currentTime-tokenTime < VALID_TIME) { String tokenStr = tArr[1]; String mToken = MAP_TOKENS.get(tokenStr); if (mToken == null) { return TOKEN_OVERDUE; } else if(!mToken.equals(token)) { return TOKEN_FAILURE; } return tokenStr; } else { return TOKEN_OVERDUE; } }catch (Exception e) { e.printStackTrace(); } return TOKEN_ERROR; } /**獲取當(dāng)前時(shí)間戳(10位整數(shù))*/ public static int getCurrentTime() { return (int)(System.currentTimeMillis()/1000); } /** * 移除過(guò)期的token */ public static void removeInvalidToken() { int currentTime = getCurrentTime(); for (Entry<String,String> entry : MAP_TOKENS.entrySet()) { String[] tArr = TokenEncryptUtils.decoded(entry.getValue()).split(","); int tokenTime = Integer.parseInt(tArr[0]); if(currentTime-tokenTime > VALID_TIME){ MAP_TOKENS.remove(entry.getKey()); } } } /** * 測(cè)試 * @param args */ public static void main(String[] args) { String str = "username_and_password"; // 獲取token String token = TokenUtils.getToken(str); System.out.println("token Result: " + token); // 校驗(yàn)token String checkToken = TokenUtils.checkToken(token); System.out.println("checkToken Result: " + checkToken); if(str.equals(checkToken)) { System.out.println("==>token verification succeeded!"); } } }
補(bǔ)充知識(shí):JAVA后端生成Token(令牌),用于校驗(yàn)客戶端,防止重復(fù)提交
1.概述:在web項(xiàng)目中,服務(wù)端和前端經(jīng)常需要交互數(shù)據(jù),有的時(shí)候由于網(wǎng)絡(luò)相應(yīng)慢,客戶端在提交某些敏感數(shù)據(jù)(比如按照正常的業(yè)務(wù)邏輯,此份數(shù)據(jù)只能保存一份)時(shí),如果前端多次點(diǎn)擊提交按鈕會(huì)導(dǎo)致提交多份數(shù)據(jù),這種情況我們是要防止發(fā)生的。
2.解決方法:
①前端處理:在提交之后通過(guò)js立即將按鈕隱藏或者置為不可用。
②后端處理:對(duì)于每次提交到后臺(tái)的數(shù)據(jù)必須校驗(yàn),也就是通過(guò)前端攜帶的令牌(一串唯一字符串)與后端校驗(yàn)來(lái)判斷當(dāng)前數(shù)據(jù)是否有效。
3.總結(jié):第一種方法相對(duì)來(lái)說(shuō)比較簡(jiǎn)單,但是安全系數(shù)不高,第二種方法從根本上解決了問(wèn)題,所以我推薦第二種方法。
4.核心代碼:
生成Token的工具類(lèi):
/** * 生成Token的工具類(lèi): */ package red.hearing.eval.modules.token; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.util.Random; import sun.misc.BASE64Encoder; /** * 生成Token的工具類(lèi) * @author zhous * @since 2018-2-23 13:59:27 * */ public class TokenProccessor { private TokenProccessor(){}; private static final TokenProccessor instance = new TokenProccessor(); public static TokenProccessor getInstance() { return instance; } /** * 生成Token * @return */ public String makeToken() { String token = (System.currentTimeMillis() + new Random().nextInt(999999999)) + ""; try { MessageDigest md = MessageDigest.getInstance("md5"); byte md5[] = md.digest(token.getBytes()); BASE64Encoder encoder = new BASE64Encoder(); return encoder.encode(md5); } catch (NoSuchAlgorithmException e) { // TODO Auto-generated catch block e.printStackTrace(); } return null; } }
Token通用工具類(lèi):
/** * */ package red.hearing.eval.modules.token; import javax.servlet.http.HttpServletRequest; import org.apache.commons.lang3.StringUtils; /** * Token的工具類(lèi) * @author zhous * @since 2018-2-23 14:01:41 * */ public class TokenTools { /** * 生成token放入session * @param request * @param tokenServerkey */ public static void createToken(HttpServletRequest request,String tokenServerkey){ String token = TokenProccessor.getInstance().makeToken(); request.getSession().setAttribute(tokenServerkey, token); } /** * 移除token * @param request * @param tokenServerkey */ public static void removeToken(HttpServletRequest request,String tokenServerkey){ request.getSession().removeAttribute(tokenServerkey); } /** * 判斷請(qǐng)求參數(shù)中的token是否和session中一致 * @param request * @param tokenClientkey * @param tokenServerkey * @return */ public static boolean judgeTokenIsEqual(HttpServletRequest request,String tokenClientkey,String tokenServerkey){ String token_client = request.getParameter(tokenClientkey); if(StringUtils.isEmpty(token_client)){ return false; } String token_server = (String) request.getSession().getAttribute(tokenServerkey); if(StringUtils.isEmpty(token_server)){ return false; } if(!token_server.equals(token_client)){ return false; } return true; } }
使用方法:
①在輸出前端頁(yè)面的時(shí)候調(diào)用TokenTools.createToken方法,會(huì)把本次生成的token放入session中。
②然后在前端頁(yè)面提交數(shù)據(jù)時(shí)從session中獲取token,然后添加到要提交的數(shù)據(jù)中。
③服務(wù)端接受數(shù)據(jù)后調(diào)用judgeTokenIsEqual方法判斷兩個(gè)token是否一致,如果不一致則返回,不進(jìn)行處理。
備注:tokenClientkey和tokenServerkey自定義,調(diào)用judgeTokenIsEqual方法時(shí)的tokenClientkey一定要與前端頁(yè)面的key一致。
以上這篇java token生成和校驗(yàn)的實(shí)例代碼就是小編分享給大家的全部?jī)?nèi)容了,希望能給大家一個(gè)參考,也希望大家多多支持腳本之家。
相關(guān)文章
Java向上轉(zhuǎn)型和向下轉(zhuǎn)型實(shí)例解析
這篇文章主要介紹了Java向上轉(zhuǎn)型和向下轉(zhuǎn)型實(shí)例解析,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下2020-02-02基于SpringBoot2的Shiro最簡(jiǎn)配置操作(兩個(gè)文件)
這篇文章主要介紹了基于SpringBoot2的Shiro最簡(jiǎn)配置操作(兩個(gè)文件),具有很好的參考價(jià)值,希望對(duì)大家有所幫助。一起跟隨小編過(guò)來(lái)看看吧2021-01-01Java中用Socket實(shí)現(xiàn)HTTP文件上傳實(shí)例
本篇文章主要介紹了Java中用Socket實(shí)現(xiàn)HTTP文件上傳實(shí)例,詳細(xì)的介紹了通過(guò)讀取Socket的輸入流來(lái)實(shí)現(xiàn)一個(gè)文件上傳的功能,有興趣的同學(xué)可以一起了解一下2017-04-04SpringBoot2.x 集成騰訊云短信的詳細(xì)流程
本文主要對(duì)SpringBoot2.x集成騰訊云短信進(jìn)行簡(jiǎn)單總結(jié),其中SpringBoot使用的2.4.5版本,本文通過(guò)業(yè)務(wù)流程圖實(shí)例代碼相結(jié)合給大家介紹的非常詳細(xì),需要的朋友參考下吧2021-06-06解決mybatis-plus動(dòng)態(tài)數(shù)據(jù)源切換不生效的問(wèn)題
本文主要介紹了解決mybatis-plus動(dòng)態(tài)數(shù)據(jù)源切換不生效的問(wèn)題,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧2023-01-01Spring Boot 通過(guò)AOP和自定義注解實(shí)現(xiàn)權(quán)限控制的方法
這篇文章主要介紹了Spring Boot 通過(guò)AOP和自定義注解實(shí)現(xiàn)權(quán)限控制,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧2019-11-11