小程序后端token生成机制

原創 运动人生 2019-12-04 01:57

小程序后端token生成机制以及与前端交互处理

一、token的生成

/**
* 校验和创建token
 * @param userId
 * @param sign
 * @param timestamp
 * @return
 */
public TokenRespVO checkoutAndCreateToken(String token,String userId,
										  String sign,String timestamp) {
	//step1:判断之前是否获取过token,如果没有获取,生成token。如果获取了,判断token的剩余时间是否小于1分钟,如果大於则返回之前的token
	long ttl = redisDao.ttl(RedisKeyPrefix.TOKEN + token);
	if (ttl > Constants.REPEATED_REQUEST_TIME) {
		TokenRespVO resp = setNotExpireToken(token, ttl);
		return resp;
	}
	//step2:判断用户是否存在,不存在不让获取token
	User user = commonUserService.checkVaildUser(userId);
	//step3:判断用户的登录有效时间是否过期
	long sessionTimeOut = user.getSessionTimeOut().toInstant(ZoneOffset.of("+8")).toEpochMilli();
	long currentTimeMillis = System.currentTimeMillis();
	if (sessionTimeOut <= currentTimeMillis) {
		throw new ServiceException(ExceptionCode.ACCOUNT_EXPIRE, "账号已过期,请重新登录!");
	}
	//step4:判断签名是否有效
	String digest = null;
	try {
		digest = Md5Tool.getMD5Code(userId + timestamp + user.getOpenId()).toUpperCase();
	} catch (Exception e) {
		logger.error("checkoutAndCreateToken md5 fail:{}",e);
	}
	if (!sign.equals(digest)) {
		throw new ServiceException(ExceptionCode.SIGN_INVAILD, "签名无效");
	}
	//step5:生成token和token的过期时间
	TokenRespVO newToken = createToken(userId, user);
	return newToken;
}

/**
* 返回没有过期的token
 * @param token
 * @param ttl
 * @return
 */
private TokenRespVO setNotExpireToken(String token, Long ttl) {
	TokenRespVO resp = new TokenRespVO();
	resp.setTokenValue(token);
	long currentTime = System.currentTimeMillis();
	long expireTime = currentTime + ttl * 1000;
	resp.setExpireTime(expireTime);
	return resp;
}

/**
* 创建token
 * @param userId
 * @param user
 * @return
 */
public TokenRespVO createToken(String userId, User user) {
	//step5.1:判断数据库中保存的token是否过期
	String token = user.getToken();
	if (token != null) {
		long ttl = redisDao.ttl(RedisKeyPrefix.TOKEN + token);
		if (ttl > Constants.REPEATED_REQUEST_TIME) {
			TokenRespVO resp = setNotExpireToken(token, ttl);
			return resp;
		}
	}
	//step5.2:生成token
	TokenRespVO resp = new TokenRespVO();
	String token = RandomUtil.generateLowerString(16);
	redisDao.setValEx(RedisKeyPrefix.TOKEN + token, userId, Constants.TOKEN_EXPIRE_TIME);
	resp.setTokenValue(token);
	long currentTime = System.currentTimeMillis();
	long expireTime = currentTime + Constants.TOKEN_EXPIRE_TIME * 1000;
	resp.setExpireTime(expireTime);
	//step5.3:更新数据库中的token
	user.setToken(token);
	user.setUpdateTime(LocalDateTime.now());
	userDao.updateUser(user);
	return resp;
}

/**
 * 返回token信息的VO
 * @author mike_z
 *
 */
public class TokenRespVO {
	
	/**
	 * token的值
	 */
	private String tokenValue;
	
	/**
	 * token过期时间,单位为毫秒
	 */
	private long expireTime;

	public String getTokenValue() {
		return tokenValue;
	}

	public void setTokenValue(String tokenValue) {
		this.tokenValue = tokenValue;
	}

	public long getExpireTime() {
		return expireTime;
	}

	public void setExpireTime(long expireTime) {
		this.expireTime = expireTime;
	}

	@Override
	public String toString() {
		return "TokenRespVO [tokenValue=" + tokenValue + ", expireTime=" + expireTime + "]";
	}
}

二、token的拦截

/**
 * 认证的拦截器
 *
 */
@Component
public class AuthInterceptor implements HandlerInterceptor{
	
	@Autowired
	private RedisDao redisDao;
	
	@Override
	public boolean preHandle(HttpServletRequest request,
			HttpServletResponse response, Object handler) throws Exception {
		String token = request.getHeader(Constants.REQUEST_HEADER);
		if (StringUtils.isNoneBlank(wmkjToken)) {
			String userId = redisDao.getVal(RedisKeyPrefix.TOKEN + token);
			if (userId != null) {
				request.setAttribute("userId", userId);
				return true;
			}
		}
		//响应Json数据
		responseJson(response);
		return false;
	}

	/**
	 * 响应Json数据
	 * @param response
	 * @throws IOException
	 */
	private void responseJson(HttpServletResponse response) throws IOException {
		response.setCharacterEncoding("UTF-8");  
		response.setContentType("application/json; charset=utf-8");
		PrintWriter out = response.getWriter();
		out.append(JsonUtil.toJSon(ResData.fail(ExceptionCode.INVALID_TOKEN, "无效的token")));
	}
	
	@Override
	public void postHandle(HttpServletRequest request,
			HttpServletResponse response, Object handler,
			ModelAndView modelAndView) throws Exception {
	}
	
	@Override
	public void afterCompletion(HttpServletRequest request,
			HttpServletResponse response, Object handler, Exception ex)
			throws Exception {
	}
}

三、token在前端和后端的使用

前端每次请求的时候把token放在请求头中,后端通过拦截获取请求头里的token,然后查询redis,获取token对应的值,如果为null,则token已经过期了,返回token过期的code给到前端。前端通过判断返回值的code为token过期,则重新调获取token的接口,将返回的token写入缓存,然后刷新当前页面。后端拿到token则鉴权通过。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

java线程并发库

  ThreadLocal的使用,,,實際上相當於維護了一個Map,其中以鍵值對的形式,存儲了某一個數據被多個線程訪問所對應的值。當然這個數據只能有

xinyetonghua 2020-07-08 12:36:33

分布式系统各个节点状态如何同步?浅谈一下

寫在前面:2020年面試必備的Java後端進階面試題總結了一份複習指南在Github上,內容詳細,圖文並茂,有需要學習的朋友可以Star一下! GitHub地址:https://github.com/abel-max/Java-S

毛发旺盛的程序员 2020-07-08 12:27:30

ZooKeeper 一致性协议 ZAB 原理,了解一下

一致性協議有很多種,比如 Paxos,Raft,2PC,3PC等等,在這講一種協議,ZAB 協議,該協議應該是所有一致性協議中生產環境中應用最多的了。爲什麼?因爲它是爲 Zookeeper 設計的分佈式一致性協議! 1. 什麼是

毛发旺盛的程序员 2020-07-08 12:27:20

Spring中Transactional 失效的解决方案,让我们一起探讨一下

寫在前面:2020年面試必備的Java後端進階面試題總結了一份複習指南在Github上,內容詳細,圖文並茂,有需要學習的朋友可以Star一下! GitHub地址:https://github.com/abel-max/Java-S

毛发旺盛的程序员 2020-07-08 12:27:20

太狠了,Spring全家桶笔记,一站式通关全攻略,已入职某厂涨薪18K

Spring 早已成爲 Java 後端開發事實上的行業標準,無數的公司選擇 Spring 作爲基礎的開發框架,大部分Java 後端程序員在日常工作中也會接觸到 Spring ,因此,如何用好 Spring ,也就成爲 Java

毛发旺盛的程序员 2020-07-08 12:27:20

java中的NAN和INFINITY java中的NAN和INFINITY

    java中的NAN和INFINITY   java浮點數運算中有兩個特殊的情況:NAN、INFINITY。 1、INFINITY: 在浮點數運算時,有時我們會遇到除數爲0的情況,那java是如何解決的呢? 我們知道,在整型運算中

a318013800 2021-11-28 13:09:28

【Java 小白菜入门笔记 2.2】常用的类和方法

Array Array 含有sort、fill、equals、BinarySearch等方法 import java.util.Arrays; import java.util.Random; public class Arra

江户川柯壮 2020-07-08 12:39:29

springboot增量打包更新--静态资源分离打包

springboot部署打包爲jar,一般都是全量打包,jar包的大小通常都是超過100M的,並且在進行一般的頁面html微調、js修改、img替換、css樣式修改時也需要重新打包進行部署;每次微小的調整都需要重新打包就太煩了,一

CNOYG 2020-07-08 12:39:29

增加FastDfs多文件存储路径

項目需要增加聊天會話功能,涉及到上傳語音圖片等信息。考慮新增一個目錄,所有相關文件存在一個相同的目錄中。因此需要對原項目增加一個存儲的路徑。以前的項目因爲只有一個路徑,且已經運行中。走了些彎路,僅此記錄操作過程。nginx version

pengdayong77 2020-07-08 12:37:23

JSONArray指定日期的反序列化

 JSONArray序列化日期最初用到, 這個是全局設置,會有風險。     String[] dateFormats = new String[] {"yyyyMMdd"};                 JSONUtils.getM

pengdayong77 2020-07-08 12:37:23

java缓存对象,使之不需要每次都从数据库中获取,以提高程序性能

直接上源碼,定義一個抽象類,必須實現get方法。該方法是用來獲取需要緩存的對象的。  import java.util.HashMap; import java.util.Map; /** * 用於從數據庫中獲取相應值的緩存類 *

pengdayong77 2020-07-08 12:37:23

类加载和类实例化

Java程序中對類的使用方式分爲兩類 :主動使用和被動使用 主動使用: 創建類的實例 訪問某個類或接口的靜態變量,或者對該靜態變量賦值 調用類的靜態方法 反射 初始化一個類的子類 java虛擬機啓動時被標明爲啓動類的類 從JDK

吃酒忘情殇 2020-07-08 12:36:21

大数据入门(七)win10上eclipse使用Hadoop的配置

目錄工具eclipse的Hadoop環境配置參考 系列: 大數據入門(一)環境搭建,VMware15+CentOS8.1 配置 https://blog.csdn.net/qq_34391511/article/details/1

33 Audrey 2020-07-08 12:35:23

Java动态绑定机制经典案列理解

如題,直接帶入案例進行理解Java的動態綁定機制,不多說直接上代碼了。 package one; public class JavaTest { public static void main(String[] args

柘月十七 2020-07-08 12:33:16

阿里年薪破百架构师推荐:鸟哥的Linux私房菜,搭配面试题,真香

在Linux實操的過程中,你是否有過這些疑問: 如何提取日誌中含有關鍵字的指定行,上一行或上幾行? ln 做了符號鏈接,對符號鏈接進行權限修改,原文件是否會受到影響? Shell 腳本里有很多特殊符號,到底該怎麼用?網上流傳的

毛发旺盛的程序员 2020-07-08 12:27:30