java token生成和校验的实例代码

现在越来越多的登录方式都用到了token作为用户登录令牌,所以实现了一个token生成和校验案例。

缺点:该实现方式token是存储在内存中,不适合分布式项目,如需改为分布式项目部署,可把token存储在redis中,其中的实现原理还是保持不变。

一)token编码工具类

package com.oysept.token.utils;
/**
 * token编码工具类
 * @author ouyangjun
 */
public class TokenEncryptUtils {

 // 编码密码,可自定义
 private static final String ENCODED_PASSWORD = "ouyangjun";

 /**
 * 编码
 * @param str
 * @return
 */
 public static String encoded(String str) {
 return strToHex(encodedString(str, ENCODED_PASSWORD));
 }

 /**
 * 转换
 * @param str
 * @param password
 * @return
 */
 private static String encodedString(String str, String password) {
 char[] pwd = password.toCharArray();
 int pwdLen = pwd.length;

  char[] strArray = str.toCharArray();
  for (int i=0; i<strArray.length; i++) {
   strArray[i] = (char)(strArray[i] ^ pwd[i%pwdLen] ^ pwdLen);
  }
  return new String(strArray);
 }

 private static String strToHex(String s) {
 return bytesToHexStr(s.getBytes());
 }

 private static String bytesToHexStr(byte[] bytesArray) {
 StringBuilder builder = new StringBuilder();
 String hexStr;
 for (byte bt : bytesArray) {
 hexStr = Integer.toHexString(bt & 0xFF);
 if (hexStr.length() == 1) {
 builder.append("0");
 builder.append(hexStr);
 }else{
 builder.append(hexStr);
 }
 }
 return builder.toString();
 }

 /**
 * 解码
 * @param str
 * @return
 */
 public static String decoded(String str) {
 String hexStr = null;
 try {
 hexStr = hexStrToStr(str);
 } catch (Exception e) {
 e.printStackTrace();
 }
 if (hexStr != null) {
 hexStr = encodedString(hexStr, ENCODED_PASSWORD);
 }
 return hexStr;
 }

 private static String hexStrToStr(String hexStr) {
 return new String(hexStrToBytes(hexStr));
 }

 private static byte[] hexStrToBytes(String hexStr) {
 String hex;
 int val;
 byte[] btHexStr = new byte[hexStr.length()/2];
 for (int i=0; i<btHexStr.length; i++) {
 hex = hexStr.substring(2*i, 2*i+2);
 val = Integer.valueOf(hex, 16);
 btHexStr[i] = (byte) val;
 }
 return btHexStr;
 }

}

二)token生成和校验工具类(包含main方法测试)

package com.oysept.token.utils;
import java.util.HashMap;
import java.util.Map;
import java.util.Map.Entry;

/**
 * token生成和校验
 * @author ouyangjun
 */
public class TokenUtils {

 private static Map<String,String> MAP_TOKENS = new HashMap<String,String>();
 private static final int VALID_TIME = 60*60*2; // token有效期(秒)
 public static final String TOKEN_ERROR = "F"; // 非法
 public static final String TOKEN_OVERDUE = "G"; // 过期
 public static final String TOKEN_FAILURE = "S"; // 失效

 /**
 * 生成token,该token长度不一致,如需一致,可自行MD5或者其它方式加密一下
 * 该方式的token只存在磁盘上,如果项目是分布式,最好用redis存储
 * @param str: 该字符串可自定义,在校验token时要保持一致
 * @return
 */
 public static String getToken(String str) {
 String token = TokenEncryptUtils.encoded(getCurrentTime()+","+str);
 MAP_TOKENS.put(str, token);
 return token;
 }

 /**
 * 校验token的有效性
 * @param token
 * @return
 */
 public static String checkToken(String token) {
 if (token == null) {
 return TOKEN_ERROR;
 }
 try{
 String[] tArr = TokenEncryptUtils.decoded(token).split(",");
 if (tArr.length != 2) {
 return TOKEN_ERROR;
 }
 // token生成时间戳
 int tokenTime = Integer.parseInt(tArr[0]);
 // 当前时间戳
 int currentTime = getCurrentTime();
 if (currentTime-tokenTime < VALID_TIME) {
 String tokenStr = tArr[1];
 String mToken = MAP_TOKENS.get(tokenStr);
 if (mToken == null) {
  return TOKEN_OVERDUE;
 } else if(!mToken.equals(token)) {
  return TOKEN_FAILURE;
 }
 return tokenStr;
 } else {
 return TOKEN_OVERDUE;
 }
 }catch (Exception e) {
 e.printStackTrace();
 }
 return TOKEN_ERROR;
 }

 /**获取当前时间戳(10位整数)*/
 public static int getCurrentTime() {
 return (int)(System.currentTimeMillis()/1000);
 }

 /**
 * 移除过期的token
 */
 public static void removeInvalidToken() {
 int currentTime = getCurrentTime();
 for (Entry<String,String> entry : MAP_TOKENS.entrySet()) {
 String[] tArr = TokenEncryptUtils.decoded(entry.getValue()).split(",");
 int tokenTime = Integer.parseInt(tArr[0]);
 if(currentTime-tokenTime > VALID_TIME){
 MAP_TOKENS.remove(entry.getKey());
 }
 }
 }

 /**
 * 测试
 * @param args
 */
 public static void main(String[] args) {
 String str = "username_and_password";

 // 获取token
 String token = TokenUtils.getToken(str);
 System.out.println("token Result: " + token);

 // 校验token
 String checkToken = TokenUtils.checkToken(token);
 System.out.println("checkToken Result: " + checkToken);
 if(str.equals(checkToken)) {
 System.out.println("==>token verification succeeded!");
 }
 }
}

补充知识:JAVA后端生成Token(令牌),用于校验客户端,防止重复提交

1.概述:在web项目中,服务端和前端经常需要交互数据,有的时候由于网络相应慢,客户端在提交某些敏感数据(比如按照正常的业务逻辑,此份数据只能保存一份)时,如果前端多次点击提交按钮会导致提交多份数据,这种情况我们是要防止发生的。

2.解决方法:

①前端处理:在提交之后通过js立即将按钮隐藏或者置为不可用。

②后端处理:对于每次提交到后台的数据必须校验,也就是通过前端携带的令牌(一串唯一字符串)与后端校验来判断当前数据是否有效。

3.总结:第一种方法相对来说比较简单,但是安全系数不高,第二种方法从根本上解决了问题,所以我推荐第二种方法。

4.核心代码:

生成Token的工具类:

/**
 * 生成Token的工具类:
 */
package red.hearing.eval.modules.token;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Random;
import sun.misc.BASE64Encoder;

/**
 * 生成Token的工具类
 * @author zhous
 * @since 2018-2-23 13:59:27
 *
 */
public class TokenProccessor {
 private TokenProccessor(){};
 private static final TokenProccessor instance = new TokenProccessor();
 public static TokenProccessor getInstance() {
 return instance;
 }

 /**
 * 生成Token
 * @return
 */
 public String makeToken() {
 String token = (System.currentTimeMillis() + new Random().nextInt(999999999)) + "";
 try {
 MessageDigest md = MessageDigest.getInstance("md5");
 byte md5[] = md.digest(token.getBytes());
 BASE64Encoder encoder = new BASE64Encoder();
 return encoder.encode(md5);
 } catch (NoSuchAlgorithmException e) {
 // TODO Auto-generated catch block
 e.printStackTrace();
 }
 return null;
 }
}

Token通用工具类:

/**
 *
 */
package red.hearing.eval.modules.token;
import javax.servlet.http.HttpServletRequest;
import org.apache.commons.lang3.StringUtils;

/**
 * Token的工具类
 * @author zhous
 * @since 2018-2-23 14:01:41
 *
 */
public class TokenTools {

 /**
 * 生成token放入session
 * @param request
 * @param tokenServerkey
 */
 public static void createToken(HttpServletRequest request,String tokenServerkey){
 String token = TokenProccessor.getInstance().makeToken();
 request.getSession().setAttribute(tokenServerkey, token);
 }

 /**
 * 移除token
 * @param request
 * @param tokenServerkey
 */
 public static void removeToken(HttpServletRequest request,String tokenServerkey){
 request.getSession().removeAttribute(tokenServerkey);
 }

 /**
 * 判断请求参数中的token是否和session中一致
 * @param request
 * @param tokenClientkey
 * @param tokenServerkey
 * @return
 */
 public static boolean judgeTokenIsEqual(HttpServletRequest request,String tokenClientkey,String tokenServerkey){
 String token_client = request.getParameter(tokenClientkey);
 if(StringUtils.isEmpty(token_client)){
 return false;
 }
 String token_server = (String) request.getSession().getAttribute(tokenServerkey);
 if(StringUtils.isEmpty(token_server)){
 return false;
 }

 if(!token_server.equals(token_client)){
 return false;
 }

 return true;
 }
}

使用方法:

①在输出前端页面的时候调用TokenTools.createToken方法,会把本次生成的token放入session中。

②然后在前端页面提交数据时从session中获取token,然后添加到要提交的数据中。

③服务端接受数据后调用judgeTokenIsEqual方法判断两个token是否一致,如果不一致则返回,不进行处理。

备注:tokenClientkey和tokenServerkey自定义,调用judgeTokenIsEqual方法时的tokenClientkey一定要与前端页面的key一致。

以上这篇java token生成和校验的实例代码就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持我们。

(0)

相关推荐

  • JAVA中的Token 基于Token的身份验证实例

    最近在做项目开始,涉及到服务器与安卓之间的接口开发,在此开发过程中发现了安卓与一般浏览器不同,安卓在每次发送请求的时候并不会带上上一次请求的SessionId,导致服务器每次接收安卓发送的请求访问时都新建一个Session进行处理,无法通过传统的绑定Session来进行保持登录状态和通讯状态. 基于传统方法无法判断安卓的每次请求访问状态,故查询资料了解到Token,特殊的身份证验证.以下是网上搜寻资料所得,作为学习总结资料. 令牌是一种能够控制站点占有媒体的特殊帧,以区别数据帧及其他控制帧.to

  • Java令牌Token登录与退出的实现

    Token 之前的博客已经介绍了各种登录的方式,现在直接介绍一种现在比较流行的登录方式,无状态登录,只需要客户端携带令牌就能登陆,服务器不再存储登录状态.突然粉丝量爆棚,开心死了,所以抓紧写一篇硬核代码,分享给大家,拿来即用的代码,直接copy即可. 使用之前需要配置一下xml <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt --> <dependency> <groupId>com.auth0<

  • Java TokenProcessor令牌校验工具类

    关于TokenProcessor令牌校验工具类废话不多说了,直接给大家贴代码了,一切内容就在下面一段代码中,具体代码详情如下所示: public class TokenProcessor { private long privious;// 上次生成表单标识号得时间值 private static TokenProcessor instance = new TokenProcessor(); public static String FORM_TOKEN_KEY = "FORM_TOKEN_KE

  • Java接口测试Cookie与token原理解析

    一.Cookie与token机制测试 Cookie与Session token机制 cookie/session机制需要在服务端保存大量的session信息,造成严重负担,而token机制则避免记录大量信息,采用服务器签发的token完成验证. 1.客户端使用用户名跟密码请求登录 2.服务端收到请求,去验证用户名与密码 3.验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 4.客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local S

  • Java跨session实现token接口测试过程图解

    这套框架的报告是自己封装的 一般token会在登录接口返回结果中呈现,从代码层面获取token的方式有很多种,我是使用jsonpath这个json路径语言去匹配token所在路径的key值 没有使用testng.xml的情况下调试testCase,需要设置一下dependsOnMethods,否则token将无法传递给其他test步骤 附上TestUtil.getToken()方法: //获取返回的token ,使用JsonPath获取json路径 public static HashMap<S

  • JAVA maven项目使用钉钉SDK获取token、用户

    本文介绍了JAVA maven项目使用钉钉SDK获取token.用户,分享给大家,具体如下: 将SDK放一个文件里,记住文件地址.D:\eclipse-workspace\项目名\模块名\lib win+r cmd 敲下面的命令: [进入相应盘]   D: [进入文件地址]   cd D:\eclipse-workspace\项目名\模块名 [运行命令]  mvn install:install-file -DgroupId=com.dingtalk.api -DartifactId=top-a

  • java token生成和校验的实例代码

    现在越来越多的登录方式都用到了token作为用户登录令牌,所以实现了一个token生成和校验案例. 缺点:该实现方式token是存储在内存中,不适合分布式项目,如需改为分布式项目部署,可把token存储在redis中,其中的实现原理还是保持不变. 一)token编码工具类 package com.oysept.token.utils; /** * token编码工具类 * @author ouyangjun */ public class TokenEncryptUtils { // 编码密码,

  • Java生成验证码功能实例代码

    页面上输入验证码是比较常见的一个功能,实现起来也很简单.给大家写一个简单的生成验证码的示例程序,需要的朋友可以借鉴一下. 闲话少续,直接上代码.代码中的注释很详细. package com.SM_test.utils; import java.awt.Color; import java.awt.Font; import java.awt.Graphics; import java.awt.Graphics2D; import java.awt.RenderingHints; import ja

  • java 动态生成SQL的实例讲解

    代码如下: /** * 动态生成SQ及SQL参数L * @param ve 接收到的消息的CHGLIST * @param paramList MQ消息中的SQL参数 * @param t 泛型对象 * @param table 数据表 * @param list 可执行SQL语句集合 * @return */ public <T> String updateSqlAndParamList(Vector<String> ve,List<String> paramList

  • java中的 toString()方法实例代码

    前言: toString()方法 相信大家都用到过,一般用于以字符串的形式返回对象的相关数据. 最近项目中需要对一个ArrayList<ArrayList<Integer>> datas  形式的集合处理. 处理要求把集合数据转换成字符串形式,格式为 :子集合1数据+"#"+子集合2数据+"#"+....+子集合n数据. 举例: 集合数据 :[[1,2,3],[2,3,5]]  要求转成为 "[1,2,3]#[2,3,5]"

  • Java Chaos Game噪声游戏实例代码

    Java Chaos Game噪声游戏实例代码

    [简介] 最近一直在读<深奥的简洁>,里面有一章介绍了几种使用噪声产生分形图的方法,感觉很有意思,于是尝试使用计算机模拟了一下,效果还不错(噪声法比传统迭代法在编程上好实现一些,后来发现这类算法还不少,搜索chaosgame可以找到更多). [Sierpinski三角形的噪声产生法] 在这些噪声游戏中,Sierpinski(谢尔宾斯基)三角形的生成规则可谓是最简单的: 1.在平面上选取三个点,标记为1.2.3,作为大三角形的顶点. 2.选择其中一点,作为"当前点"(比如选择

  • Java方法签名的获取实例代码

    本文研究的主要是Java方法签名的获取,下面是具体实现实例. 实例代码: package com.yunshouhu; import java.lang.reflect.Field; import java.lang.reflect.Method; import java.lang.reflect.Type; import java.util.Collection; import com.alibaba.fastjson.parser.DefaultJSONParser; import com.

  • Java制作验证码的完整实例代码

    JAVA代码制作验证码,可用于注册等功能页面 要导入servlet-api.jar包 创建验证码的Util工具类: 先创建图片并生成随机的验证码字母 设置图片的底色,并用setFont函数将验证码画在图片上,如果想让验证码难一点,可以添加for循环的代码给图片增加旋转角度 给验证码增加干扰线,提高安全性 设置边框 创建VerifyPic的servlet,通过Util类获取代码,并存入session中,然后输送去前端页面 前端页面验证码如下: 完整Util工具类代码如下: package com.

  • Java实现单链表翻转实例代码

    Java实现单链表翻转实例代码

    Java实现单链表反转,递归和非递归两种形式 /** * 反转单链表 */ /** * 定义链表 * * @author 16026 * */ class Node { int val; Node next; public Node(int val) { this.val = val; } } public class ReverseList { /** * 反转链表 * * @param head * @return */ public static Node reverseList(Node

  • Java实现FTP服务器功能实例代码

    FTP(File Transfer Protocol 文件传输协议)是Internet 上用来传送文件的协议.在Internet上通过FTP 服务器可以进行文件的上传(Upload)或下载(Download).FTP是实时联机服务,在使用它之前必须是具有该服务的一个用户(用户名和口令),工作时客户端必须先登录到作为服务器一方的计算机上,用户登录后可以进行文件搜索和文件传送等有关操作,如改变当前工作目录.列文件目录.设置传输参数及传送文件等.使用FTP可以传送所有类型的文件,如文本文件.二进制可执

  • Java执行hadoop的基本操作实例代码

    Java执行hadoop的基本操作实例代码 向HDFS上传本地文件 public static void uploadInputFile(String localFile) throws IOException{ Configuration conf = new Configuration(); String hdfsPath = "hdfs://localhost:9000/"; String hdfsInput = "hdfs://localhost:9000/user/

随机推荐