AOP 切面判断 token 是否有效

最新推荐文章于 2025-02-08 19:45:21 发布
最新推荐文章于 2025-02-08 19:45:21 发布
阅读量487 收藏 2
点赞数 8
CC 4.0 BY-SA版权
分类专栏: JAVA 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42555971/article/details/137605403

需求:

  1. 接口必须传入 token
  2. token 必须有效
  3. token 未过期

maven 依赖

  • 引入 aop 做切面
  • 引入 hutool 做 JWT 解析
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-aop</artifactId>
    <version>${springframework.version}</version>
</dependency>
<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-core</artifactId>
    <version>${hutool-core.version}</version>
</dependency>

<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>${hutool-all.version}</version>
</dependency>

 
关键代码

  • 使用 @Before 在流量进入接口前先检验
  • 获取过期时间戳
  • 过期需要抛出异常
import cn.hutool.core.convert.Convert;
import cn.hutool.core.lang.TypeReference;
import cn.hutool.jwt.JWT;
import cn.hutool.jwt.JWTUtil; 
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang.StringUtils;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import javax.servlet.http.HttpServletRequest;
import java.time.Instant;
import java.util.Objects;

@Aspect
@Component
@Slf4j
public class AuthorizationAspect {

    @Before("execution(* com.xxx.controller.*.*(..))")
    public void checkAuthorization(JoinPoint joinPoint) {
        HttpServletRequest request = ((ServletRequestAttributes) Objects.requireNonNull(Objects.requireNonNull(RequestContextHolder.getRequestAttributes()))).getRequest();
        String authorizationHeader = request.getHeader("Authorization");
        Assert.isTrue(StringUtils.isBlank(authorizationHeader), TokenExpireEnum.NULL);
        Assert.isTrue(isExpireAuthorization(authorizationHeader), TokenExpireEnum.EXPIRE);
    }

    /**
     * 判断token是否过期
     *
     * @param jwtToken 令牌
     * @return 是否过期
     */

    private boolean isExpireAuthorization(String jwtToken) {
        JWT jwt = null;
        try {
            jwt = JWTUtil.parseToken(jwtToken);
        } catch (Exception e) {
            Assert.throwException(TokenExpireEnum.PARSE);
        }

        Object expObj = jwt.getPayload("exp");
        Long exp = Convert.convert(new TypeReference<Long>() {
        }, expObj);
        Instant now = Instant.now();
        Instant timeStampInstant = Instant.ofEpochSecond(exp);
        if (now.isAfter(timeStampInstant)) {
            log.error("token expired, time: {}", timeStampInstant);
            return true;
        }
        return false;
    }
}

 
这样问题来了,登录获取 token 的接口也被拦截调了,两个办法

  1. @Before 可以排除不需要拦截类
  2. 新增注解,在不需要 token 校验的方法加上

这里举例方法二

新建注解 ExcludeAuthorizationCheck

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface ExcludeAuthorizationCheck {
}

@Before 排除注解 ExcludeAuthorizationCheck

  @Before("execution(* com.xxx.controller.*.*(..)) && !@annotation(com.xxx.ExcludeAuthorizationCheck)")
Spring boot 入门教程-token验证
2401_84048161的博客
04-04 1166
互联网大厂比较喜欢的人才特点:对技术有热情,强硬的技术基础实力;主动,善于团队协作,善于总结思考。无论是哪家公司,都很重视高并发高可用技术,重视基础,所以千万别小看任何知识。面试是一个双向选择的过程,不要抱着畏惧的心态去面试,不利于自己的发挥。同时看中的应该不止薪资,还要看你是不是真的喜欢这家公司,是不是能真的得到锻炼。其实我写了这么多,只是我自己的总结,并不一定适用于所有人,相信经过一些面试,大家都会有这些感触。下面有部分截图希望能对大家有所帮助。
通过AOP编程思想判断token有效
。。。。。
04-22 3227
问题描述: 每次访问接口的时候都需要验证传递token有效性,常规的办法就是在每个接口中判断token有效性,但如果接口个数比较多,那么就会增加开发人员编写代码的工作量。所以考虑是否有一种方法可以省去每次接口中判断token有效性的代码。其实这个需求与spring管理service层的事物是一样的。 解决方案: 采用AOP的编程思想,通过@ControllerAdvice...
编程校验token有效
Wangyunqian_piu的博客
11-05 2566
2021SC@SDUSC 每次访问接口的时候都需要验证传递token有效性,常规的办法就是在每个接口中判断token有效性,但是如果在较大的项目中有太多接口的情况下,每次都进行token的校验会太过麻烦。所以写出程序进行编程校验token有效性。 首先,获取request中传递的token public class TokenUtils { public static String getTokenByRequest(HttpServletRequest request) {
从0到1实现自动化测试平台(四):如何校验token有效
02-08 745
至此,我们已经完成了用户的token验证。能够在需要鉴权的接口中,通过加入装饰器的方式来鉴定是否有效用户的访问请求,实现起来非常的方便简单。当然还有更简单的方式,我们可以配置DRF的中间件# 下面的配置就是配置全局的请求校验),],复制代码这样的设置减少了大量重复性的代码,只能说太香了。下一章将通过视图的方式来完成用户的增删改查接口。下方这份完整的软件测试视频学习教程已经上传CSDN官方认证的二维码,朋友们如果需要可以自行免费领取 【保证100%免费】
使用aop去实现token校验
weixin_45965124的博客
11-14 367
面试被问倒的问题
SpringBoot(二) AOP切面token验证
悄悄quite
12-15 5218
生成token 首先,在登陆注册时我通过传入 电话,密码登录,然后随机生成一个UUID将其存入缓存中 @RestController @CrossOrigin("*") @RequestMapping("servicerest/auth") public class AuthController extends BaseController { private Logger logger...
AOP 切面编程实战(日志+限流)
HHH的博客
08-11 661
现在我有这么一个controller , 想要给他们都添加一个打印日志的功能,传统的方法就是都在每一个方法里写上一个打印的代码, 可是万一方法数量更多,并且有很多个这样的controller ,你还是一个个的处理吗?所以这里就要用到我们的AOP 切面编程了。顾名思义,切面就是统一的来对某些方法进行操作 AOP切面编程一共有两种写法,我这里就基于更加主流更加灵活的注解的写法进行演示。我们这里先创建一个注解,这个注解里只有一个属性 basenessName(基本名称)我们想要的效果就是将该注解放在对应的方法上
拦截器AOP切面异步执行
m0_64979027的博客
11-08 301
log.info("拦截埋点数据请求的返回值====result===={}",JSONObject.toJSONString(result));log.info("拦截埋点数据请求的返回状态====code===={}",result.getInteger("code"));// log.info("拦截埋点数据获取所有HTTP请求头的名称=====headerNames====={}",headerNames);log.info("拦截埋点数据请求开始======");
【Spring】 AOP面向切面编程
Orion
02-23 1744
横切关注点从每个方法中抽取出来的同一类非核心业务。在同一个项目中,我们可以使用多个横切关注点对相关方法进行多个不同方面的增强。有十个附加功能,就有十个横切关注点。AOP核心关注点和横切关注点。业务处理的主要流程是核心关注点,非核心代码是横切关注点。横切关注点的一个特点是,他们经常发生在核心关注点的多处,而各处基本相似,比如权限认证、日志、事务、异常等。AOP的作用在于分离系统中的各种关注点,将核心关注点和横切关注点分离开来。(分离核心业务代码与非核心代码通知(增强)每一个横切关注点。
AOP 实现日志与权限控制:切面编程与自定义注解详解
最新发布
2302_76552486的博客
02-08 1360
Spring AOP 实现日志记录和权限控制,并通过自定义注解灵活控制拦截逻辑。
微服务实战(十八)通过AOP的方式自动完成微服务token验证
看山不是山
03-29 4168
本章主要内容 在上一篇中,我们介绍了微服务架构中,token的多种实现方式。 https://blog.csdn.net/u011177064/article/details/104822700 本篇我们继续探究微服务架构中token验证环节,在token微服务搭建好之后,我们将它接入 注册中心 (nacos)。 这样其他微服务就可以通过 注册中心 结合 RPC(远程过程调用)来轻松调...
Token验证怎么验证
大连赵哥的博客
02-25 2254
Token验证怎么验证
Java aop 实战 Token鉴权
QG_zhang的博客
04-02 2470
自定义注解 Authorization.java package cn.zdfy.blogsystem.authorization.annotation; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPol...
Token详解及安全验证
wangluoanquan111的博客
04-21 3791
最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成“令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。
全网超细--Java实现Token登录验证步骤实现
欢迎来到快乐懒洋洋的博客
05-08 7636
2、后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串。5、后端检查前端传过来的JWT Token验证有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等。6、验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果。
springboot切面实现token权限校验
m0_54250110的博客
05-07 1510
我们需要对一些控制层中特定的方法进行权限校验,并且部分方法的权限要求可能是不同的,所以需要给方法添加自定义注解,注解中包含所需的权限/*** 权限校验注解*/
Java 中基于自定义注解 + AOP 的认证授权实现:从原理到实战
m0_57836225的博客
07-18 961
在上述示例中,当执行带有 `@Authenticated` 注解的方法时,会先进入切面的 `authenticate` 方法进行认证授权的判断,如果认证成功则执行方法,否则抛出异常。当希望在运行时能够读取和处理注解的信息,以实现一些动态的功能(如通过反射获取注解并根据注解的值执行不同的逻辑)时,就需要将注解的保留策略设置为 `RetentionPolicy.RUNTIME`。需要注意的是,如果目标方法抛出了异常,将不会执行返回通知,而是直接跳转到异常通知(`@AfterThrowing`)。
使用AOP实现高效的登录校验:Java自定义切面实践
Takumilove的博客
08-12 775
GuiguLogin为了使切面能够在指定的方法上生效,我们需要创建一个自定义注解。// 自定义注解,用于标记需要登录验证的方法一旦在方法上添加了该注解,切面就会在方法执行前自动进行登录验证。通过AOP技术,我们可以优雅地实现登录校验,并将验证逻辑从繁琐的业务代码中解耦。这不仅提升了代码的可读性和维护性,还增强了系统的模块化和可扩展性。
java代码优化方案2(Aop处理Token令牌,页面缓存)
旺旺的博客
01-03 782
目录前言一、Aop处理Token令牌1、如果不需要验证身份信息2、如果需要验证身份信息二、页面缓存,页面伪静态化(应对秒杀)1、页面缓存2、页面伪静态化(应对秒杀)后言 前言 我们本次要解决的问题有两个大点 一、每次用户请求都需要判断是否身份验证过 解决方案:使用Aop来为每一个需要进行身份验证后才能调用的方法写一个注解 思路:每次调用方法前都先判断这个方法是否携带注解,如果没携带则需要验证。 ...
sa-token aop
12-28
### sa-tokenAOP集成概述 在Java Spring框架中,sa-token可以很好地与面向切面编程(AOP)相结合来实现权限控制和其他横切关注点的功能。通过这种方式,可以在不修改业务逻辑代码的情况下增强功能。 #### 使用sa-token进行身份验证和授权 为了使sa-token能够利用AOP特性,在配置类中定义切入点表达式,这些表达式指定了哪些方法应该被拦截并应用额外的行为。通常情况下,这涉及到创建一个自定义注解用于标记受保护的方法或控制器端点[^1]。 ```java @Aspect @Component public class SaTokenAop { @Autowired private StpInterface stpLogic; /** * 定义切入点, 对所有controller包下的接口进行监控 */ @Pointcut("execution(public * com.example.controller..*.*(..))") public void controllerLayer() {} /** * 切入点执行之前触发该函数 * * @param joinPoint 连接点对象 */ @Before("controllerLayer()") public void doBefore(JoinPoint joinPoint){ // 获取当前请求的token String token = SaHolder.getRequest().getHeader("Authorization"); try { // 验证token有效性 boolean verifyResult = StpUtil.checkLogin(); if (!verifyResult) { throw new NotLoginException("未登录异常!"); } // 可选: 执行更多基于角色或其他条件的身份验证 } catch (NotLoginException e) { // 处理认证失败的情况 ResponseUtil.out(ServletActionContext.getResponse(), Result.error(e.getMessage())); return; } System.out.println("[Sa-Token] >>>> 请求路径:" + ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest().getServletPath()); System.out.println("[Sa-Token] >>>> 控制层正常进入..."); } } ``` 此代码片段展示了如何设置`@Aspect`组件以监听特定于控制器层(`com.example.controller`)的所有公共方法调用,并在其前实施安全检查。如果检测到用户尚未登录,则抛出异常阻止进一步处理;否则允许继续访问目标资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值