java token生成和校驗的例項程式碼
阿新 • • 發佈:2020-09-16
現在越來越多的登入方式都用到了token作為使用者登入令牌,所以實現了一個token生成和校驗案例。
缺點:該實現方式token是儲存在記憶體中,不適合分散式專案,如需改為分散式專案部署,可把token儲存在redis中,其中的實現原理還是保持不變。
一)token編碼工具類
package com.oysept.token.utils;
/**
* token編碼工具類
* @author ouyangjun
*/
public class TokenEncryptUtils {
// 編碼密碼,可自定義
private static final String ENCODED_PASSWORD = "ouyangjun";
/**
* 編碼
* @param str
* @return
*/
public static String encoded(String str) {
return strToHex(encodedString(str,ENCODED_PASSWORD));
}
/**
* 轉換
* @param str
* @param password
* @return
*/
private static String encodedString(String str,String password) {
char[] pwd = password.toCharArray();
int pwdLen = pwd.length;
char[] strArray = str.toCharArray();
for (int i=0; i<strArray.length; i++) {
strArray[i] = (char)(strArray[i] ^ pwd[i%pwdLen] ^ pwdLen);
}
return new String(strArray);
}
private static String strToHex(String s) {
return bytesToHexStr(s.getBytes());
}
private static String bytesToHexStr(byte[] bytesArray) {
StringBuilder builder = new StringBuilder();
String hexStr;
for (byte bt : bytesArray) {
hexStr = Integer.toHexString(bt & 0xFF);
if (hexStr.length() == 1) {
builder.append("0");
builder.append(hexStr);
}else{
builder.append(hexStr);
}
}
return builder.toString();
}
/**
* 解碼
* @param str
* @return
*/
public static String decoded(String str) {
String hexStr = null;
try {
hexStr = hexStrToStr(str);
} catch (Exception e) {
e.printStackTrace();
}
if (hexStr != null) {
hexStr = encodedString(hexStr,ENCODED_PASSWORD);
}
return hexStr;
}
private static String hexStrToStr(String hexStr) {
return new String(hexStrToBytes(hexStr));
}
private static byte[] hexStrToBytes(String hexStr) {
String hex;
int val;
byte[] btHexStr = new byte[hexStr.length()/2];
for (int i=0; i<btHexStr.length; i++) {
hex = hexStr.substring(2*i,2*i+2);
val = Integer.valueOf(hex,16);
btHexStr[i] = (byte) val;
}
return btHexStr;
}
}二)token生成和校驗工具類(包含main方法測試)
package com.oysept.token.utils;
import java.util.HashMap;
import java.util.Map;
import java.util.Map.Entry;
/**
* token生成和校驗
* @author ouyangjun
*/
public class TokenUtils {
private static Map<String,String> MAP_TOKENS = new HashMap<String,String>();
private static final int VALID_TIME = 60*60*2; // token有效期(秒)
public static final String TOKEN_ERROR = "F"; // 非法
public static final String TOKEN_OVERDUE = "G"; // 過期
public static final String TOKEN_FAILURE = "S"; // 失效
/**
* 生成token,該token長度不一致,如需一致,可自行MD5或者其它方式加密一下
* 該方式的token只存在磁碟上,如果專案是分散式,最好用redis儲存
* @param str: 該字串可自定義,在校驗token時要保持一致
* @return
*/
public static String getToken(String str) {
String token = TokenEncryptUtils.encoded(getCurrentTime()+","+str);
MAP_TOKENS.put(str,token);
return token;
}
/**
* 校驗token的有效性
* @param token
* @return
*/
public static String checkToken(String token) {
if (token == null) {
return TOKEN_ERROR;
}
try{
String[] tArr = TokenEncryptUtils.decoded(token).split(",");
if (tArr.length != 2) {
return TOKEN_ERROR;
}
// token生成時間戳
int tokenTime = Integer.parseInt(tArr[0]);
// 當前時間戳
int currentTime = getCurrentTime();
if (currentTime-tokenTime < VALID_TIME) {
String tokenStr = tArr[1];
String mToken = MAP_TOKENS.get(tokenStr);
if (mToken == null) {
return TOKEN_OVERDUE;
} else if(!mToken.equals(token)) {
return TOKEN_FAILURE;
}
return tokenStr;
} else {
return TOKEN_OVERDUE;
}
}catch (Exception e) {
e.printStackTrace();
}
return TOKEN_ERROR;
}
/**獲取當前時間戳(10位整數)*/
public static int getCurrentTime() {
return (int)(System.currentTimeMillis()/1000);
}
/**
* 移除過期的token
*/
public static void removeInvalidToken() {
int currentTime = getCurrentTime();
for (Entry<String,String> entry : MAP_TOKENS.entrySet()) {
String[] tArr = TokenEncryptUtils.decoded(entry.getValue()).split(",");
int tokenTime = Integer.parseInt(tArr[0]);
if(currentTime-tokenTime > VALID_TIME){
MAP_TOKENS.remove(entry.getKey());
}
}
}
/**
* 測試
* @param args
*/
public static void main(String[] args) {
String str = "username_and_password";
// 獲取token
String token = TokenUtils.getToken(str);
System.out.println("token Result: " + token);
// 校驗token
String checkToken = TokenUtils.checkToken(token);
System.out.println("checkToken Result: " + checkToken);
if(str.equals(checkToken)) {
System.out.println("==>token verification succeeded!");
}
}
}補充知識:JAVA後端生成Token(令牌),用於校驗客戶端,防止重複提交
1.概述:在web專案中,服務端和前端經常需要互動資料,有的時候由於網路相應慢,客戶端在提交某些敏感資料(比如按照正常的業務邏輯,此份資料只能儲存一份)時,如果前端多次點選提交按鈕會導致提交多份資料,這種情況我們是要防止發生的。
2.解決方法:
①前端處理:在提交之後通過js立即將按鈕隱藏或者置為不可用。
②後端處理:對於每次提交到後臺的資料必須校驗,也就是通過前端攜帶的令牌(一串唯一字串)與後端校驗來判斷當前資料是否有效。
3.總結:第一種方法相對來說比較簡單,但是安全係數不高,第二種方法從根本上解決了問題,所以我推薦第二種方法。
4.核心程式碼:
生成Token的工具類:
/**
* 生成Token的工具類:
*/
package red.hearing.eval.modules.token;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Random;
import sun.misc.BASE64Encoder;
/**
* 生成Token的工具類
* @author zhous
* @since 2018-2-23 13:59:27
*
*/
public class TokenProccessor {
private TokenProccessor(){};
private static final TokenProccessor instance = new TokenProccessor();
public static TokenProccessor getInstance() {
return instance;
}
/**
* 生成Token
* @return
*/
public String makeToken() {
String token = (System.currentTimeMillis() + new Random().nextInt(999999999)) + "";
try {
MessageDigest md = MessageDigest.getInstance("md5");
byte md5[] = md.digest(token.getBytes());
BASE64Encoder encoder = new BASE64Encoder();
return encoder.encode(md5);
} catch (NoSuchAlgorithmException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
return null;
}
}
Token通用工具類:
/**
*
*/
package red.hearing.eval.modules.token;
import javax.servlet.http.HttpServletRequest;
import org.apache.commons.lang3.StringUtils;
/**
* Token的工具類
* @author zhous
* @since 2018-2-23 14:01:41
*
*/
public class TokenTools {
/**
* 生成token放入session
* @param request
* @param tokenServerkey
*/
public static void createToken(HttpServletRequest request,String tokenServerkey){
String token = TokenProccessor.getInstance().makeToken();
request.getSession().setAttribute(tokenServerkey,token);
}
/**
* 移除token
* @param request
* @param tokenServerkey
*/
public static void removeToken(HttpServletRequest request,String tokenServerkey){
request.getSession().removeAttribute(tokenServerkey);
}
/**
* 判斷請求引數中的token是否和session中一致
* @param request
* @param tokenClientkey
* @param tokenServerkey
* @return
*/
public static boolean judgeTokenIsEqual(HttpServletRequest request,String tokenClientkey,String tokenServerkey){
String token_client = request.getParameter(tokenClientkey);
if(StringUtils.isEmpty(token_client)){
return false;
}
String token_server = (String) request.getSession().getAttribute(tokenServerkey);
if(StringUtils.isEmpty(token_server)){
return false;
}
if(!token_server.equals(token_client)){
return false;
}
return true;
}
}
使用方法:
①在輸出前端頁面的時候呼叫TokenTools.createToken方法,會把本次生成的token放入session中。
②然後在前端頁面提交資料時從session中獲取token,然後新增到要提交的資料中。
③服務端接受資料後呼叫judgeTokenIsEqual方法判斷兩個token是否一致,如果不一致則返回,不進行處理。
備註:tokenClientkey和tokenServerkey自定義,呼叫judgeTokenIsEqual方法時的tokenClientkey一定要與前端頁面的key一致。
以上這篇java token生成和校驗的例項程式碼就是小編分享給大家的全部內容了,希望能給大家一個參考,也希望大家多多支援我們。