我要评论现在越来越多的登录方式都用到了token作为用户登录令牌,所以实现了一个token生成和校验案例。
缺点:该实现方式token是存储在内存中,不适合分布式项目,如需改为分布式项目部署,可把token存储在redis中,其中的实现原理还是保持不变。
一)token编码工具类
package com.oysept.token.utils;
/**
* token编码工具类
* @author ouyangjun
*/
public class tokenencryptutils {
// 编码密码,可自定义
private static final string encoded_password = "ouyangjun";
/**
* 编码
* @param str
* @return
*/
public static string encoded(string str) {
return strtohex(encodedstring(str, encoded_password));
}
/**
* 转换
* @param str
* @param password
* @return
*/
private static string encodedstring(string str, string password) {
char[] pwd = password.tochararray();
int pwdlen = pwd.length;
char[] strarray = str.tochararray();
for (int i=0; i<strarray.length; i++) {
strarray[i] = (char)(strarray[i] ^ pwd[i%pwdlen] ^ pwdlen);
}
return new string(strarray);
}
private static string strtohex(string s) {
return bytestohexstr(s.getbytes());
}
private static string bytestohexstr(byte[] bytesarray) {
stringbuilder builder = new stringbuilder();
string hexstr;
for (byte bt : bytesarray) {
hexstr = integer.tohexstring(bt & 0xff);
if (hexstr.length() == 1) {
builder.append("0");
builder.append(hexstr);
}else{
builder.append(hexstr);
}
}
return builder.tostring();
}
/**
* 解码
* @param str
* @return
*/
public static string decoded(string str) {
string hexstr = null;
try {
hexstr = hexstrtostr(str);
} catch (exception e) {
e.printstacktrace();
}
if (hexstr != null) {
hexstr = encodedstring(hexstr, encoded_password);
}
return hexstr;
}
private static string hexstrtostr(string hexstr) {
return new string(hexstrtobytes(hexstr));
}
private static byte[] hexstrtobytes(string hexstr) {
string hex;
int val;
byte[] bthexstr = new byte[hexstr.length()/2];
for (int i=0; i<bthexstr.length; i++) {
hex = hexstr.substring(2*i, 2*i+2);
val = integer.valueof(hex, 16);
bthexstr[i] = (byte) val;
}
return bthexstr;
}
}
二)token生成和校验工具类(包含main方法测试)
package com.oysept.token.utils;
import java.util.hashmap;
import java.util.map;
import java.util.map.entry;
/**
* token生成和校验
* @author ouyangjun
*/
public class tokenutils {
private static map<string,string> map_tokens = new hashmap<string,string>();
private static final int valid_time = 60*60*2; // token有效期(秒)
public static final string token_error = "f"; // 非法
public static final string token_overdue = "g"; // 过期
public static final string token_failure = "s"; // 失效
/**
* 生成token,该token长度不一致,如需一致,可自行md5或者其它方式加密一下
* 该方式的token只存在磁盘上,如果项目是分布式,最好用redis存储
* @param str: 该字符串可自定义,在校验token时要保持一致
* @return
*/
public static string gettoken(string str) {
string token = tokenencryptutils.encoded(getcurrenttime()+","+str);
map_tokens.put(str, token);
return token;
}
/**
* 校验token的有效性
* @param token
* @return
*/
public static string checktoken(string token) {
if (token == null) {
return token_error;
}
try{
string[] tarr = tokenencryptutils.decoded(token).split(",");
if (tarr.length != 2) {
return token_error;
}
// token生成时间戳
int tokentime = integer.parseint(tarr[0]);
// 当前时间戳
int currenttime = getcurrenttime();
if (currenttime-tokentime < valid_time) {
string tokenstr = tarr[1];
string mtoken = map_tokens.get(tokenstr);
if (mtoken == null) {
return token_overdue;
} else if(!mtoken.equals(token)) {
return token_failure;
}
return tokenstr;
} else {
return token_overdue;
}
}catch (exception e) {
e.printstacktrace();
}
return token_error;
}
/**获取当前时间戳(10位整数)*/
public static int getcurrenttime() {
return (int)(system.currenttimemillis()/1000);
}
/**
* 移除过期的token
*/
public static void removeinvalidtoken() {
int currenttime = getcurrenttime();
for (entry<string,string> entry : map_tokens.entryset()) {
string[] tarr = tokenencryptutils.decoded(entry.getvalue()).split(",");
int tokentime = integer.parseint(tarr[0]);
if(currenttime-tokentime > valid_time){
map_tokens.remove(entry.getkey());
}
}
}
/**
* 测试
* @param args
*/
public static void main(string[] args) {
string str = "username_and_password";
// 获取token
string token = tokenutils.gettoken(str);
system.out.println("token result: " + token);
// 校验token
string checktoken = tokenutils.checktoken(token);
system.out.println("checktoken result: " + checktoken);
if(str.equals(checktoken)) {
system.out.println("==>token verification succeeded!");
}
}
}
补充知识:java后端生成token(令牌),用于校验客户端,防止重复提交
1.概述:在web项目中,服务端和前端经常需要交互数据,有的时候由于网络相应慢,客户端在提交某些敏感数据(比如按照正常的业务逻辑,此份数据只能保存一份)时,如果前端多次点击提交按钮会导致提交多份数据,这种情况我们是要防止发生的。
2.解决方法:
①前端处理:在提交之后通过js立即将按钮隐藏或者置为不可用。
②后端处理:对于每次提交到后台的数据必须校验,也就是通过前端携带的令牌(一串唯一字符串)与后端校验来判断当前数据是否有效。
3.总结:第一种方法相对来说比较简单,但是安全系数不高,第二种方法从根本上解决了问题,所以我推荐第二种方法。
4.核心代码:
生成token的工具类:
/**
* 生成token的工具类:
*/
package red.hearing.eval.modules.token;
import java.security.messagedigest;
import java.security.nosuchalgorithmexception;
import java.util.random;
import sun.misc.base64encoder;
/**
* 生成token的工具类
* @author zhous
* @since 2018-2-23 13:59:27
*
*/
public class tokenproccessor {
private tokenproccessor(){};
private static final tokenproccessor instance = new tokenproccessor();
public static tokenproccessor getinstance() {
return instance;
}
/**
* 生成token
* @return
*/
public string maketoken() {
string token = (system.currenttimemillis() + new random().nextint(999999999)) + "";
try {
messagedigest md = messagedigest.getinstance("md5");
byte md5[] = md.digest(token.getbytes());
base64encoder encoder = new base64encoder();
return encoder.encode(md5);
} catch (nosuchalgorithmexception e) {
// todo auto-generated catch block
e.printstacktrace();
}
return null;
}
}
token通用工具类:
/**
*
*/
package red.hearing.eval.modules.token;
import javax.servlet.http.httpservletrequest;
import org.apache.commons.lang3.stringutils;
/**
* token的工具类
* @author zhous
* @since 2018-2-23 14:01:41
*
*/
public class tokentools {
/**
* 生成token放入session
* @param request
* @param tokenserverkey
*/
public static void createtoken(httpservletrequest request,string tokenserverkey){
string token = tokenproccessor.getinstance().maketoken();
request.getsession().setattribute(tokenserverkey, token);
}
/**
* 移除token
* @param request
* @param tokenserverkey
*/
public static void removetoken(httpservletrequest request,string tokenserverkey){
request.getsession().removeattribute(tokenserverkey);
}
/**
* 判断请求参数中的token是否和session中一致
* @param request
* @param tokenclientkey
* @param tokenserverkey
* @return
*/
public static boolean judgetokenisequal(httpservletrequest request,string tokenclientkey,string tokenserverkey){
string token_client = request.getparameter(tokenclientkey);
if(stringutils.isempty(token_client)){
return false;
}
string token_server = (string) request.getsession().getattribute(tokenserverkey);
if(stringutils.isempty(token_server)){
return false;
}
if(!token_server.equals(token_client)){
return false;
}
return true;
}
}
使用方法:
①在输出前端页面的时候调用tokentools.createtoken方法,会把本次生成的token放入session中。
②然后在前端页面提交数据时从session中获取token,然后添加到要提交的数据中。
③服务端接受数据后调用judgetokenisequal方法判断两个token是否一致,如果不一致则返回,不进行处理。
备注:tokenclientkey和tokenserverkey自定义,调用judgetokenisequal方法时的tokenclientkey一定要与前端页面的key一致。
以上这篇java token生成和校验的实例代码就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持移动技术网。
您可能感兴趣的文章:
如您对本文有疑问或者有任何想说的,请点击进行留言回复,万千网友为您解惑!
网友评论