App登陆java后台处理和用户权限验证

最近做一个app项目,后台我独自一人开发,开发任务顺序安排上没有把登陆,注册和权限验证这些基本功能放在第一阶段开发,现在是部分业务相关功能已经完成,但是用户入口竟然还没有,只能说明当初需求分析的时候还是太过于着急了,把最基本的用户入口给放到后面了。

现在就需要在现有代码的基础上添加用户登录和权限验证功能。

关于登录和权限验证方面,参照以前做iOS的开发经验,App端提供用户名和密码换取token,每次通过换取的token请求需要登陆权限的操作。

现在反过来,我就需要考虑下面几个问题:

1.在现有功能的代码上如何比较轻松地满足这些功能的实现,使得现有代码改动不大,并且今后新功能实现权限验证不麻烦

2.如何根据用户名和密码生成token,并且在需要权限的功能上如何区分客户端提供token的正确性

首先面对第一个问题,根据经验,常规解决方案就是过滤器,拦截器,若是在需求安排上登陆和权限验证这些放在前面的话,只要让后期功能的url有一定规律,过滤器或拦截器的使用简直屡试不爽。但是我现在面对的是前期没有任何设计和规范的url,所以使用过滤器或者拦截器是我不愿意面对的。

除了以上常规解决方案,spring AOP正好成了解决这类问题的利器,利用面相切面编程对所有需要权限验证的method做一个前置通知,但是由于url,类名或者方法没有规律,于是我想到了自定义注解(annotation),对所有加上自定义注解的method做权限验证。

1.既然已经想到使用spring aop了,那首先第一步就是在spring配置文件中开启aop

//开启aop

<aop:aspectj-autoproxy />

以上配置基于项目中倒入spring-aop相关jar包,并且在配置文件头部引入aop的url

2.其次我们先定义一个自定义annotation

@Target({ElementType.METHOD, ElementType.TYPE})

@Retention(RetentionPolicy.RUNTIME)

public @interface UserAccess {

}

3.我们还不能急于做权限验证的功能,因为现在我们的token还没有生成方案。

在token生成上考虑到单点登录,所以token不能一直固定,否则在任何时候,只要拥有token就可以同时至少两个人使用同一个帐户,这是目前我们业务上不允许的。最终我选择了”username+password+登录时间“做MD5加密作为token(在保证唯一和可变的情况下,有很多方法,比如uuid)。在验证用户名和密码成功的情况下生成token,并将token以“username:token” 和 “token:用户”的键值对形式保存起来(也可以保存进数据库),最后返回token给客户端。

以下代码只做一个简单示例:

@Service

public class LoginService {

/**

* 存放“用户名:token”键值对

*/

public static Map<String,String> tokenMap=new HashMap<String,String>();

/**

* 存放“token:User”键值对

*/

public static Map<String,User> loginUserMap=new HashMap<String,User>();

public String login(String name,String password){

System.out.println(name+"-----"+password);

/**

* 判断是否登录成功

* 1.登录成功

*  1.1.成功生成对应的token并更新

*  1.2.失败就抛异常

*/

String token=tokenMap.get(name);

User user=null;

if(token==null){

user=new User();

user.setName(name);

user.setPassword(password);

System.out.println("新用户登录");

}else{

user=loginUserMap.get(token);

loginUserMap.remove(token);

System.out.println("更新用户登录token");

}

token=MD5Util.MD5(name+password+new Date().getTime());

loginUserMap.put(token, user);

tokenMap.put(name, token);

System.out.println("目前有"+tokenMap.size()+"个用户");

for(User u:loginUserMap.values()){

System.out.println(u.getName()+":"+u.getPassword());

}

return token;

} 

}

4.于此同时,我们的客户端登陆后也就获得了token,只要在所有需要权限的请求中携带token即可成功获取响应(建议:为方便app编码,token可携带在请求头中,现有代码就无需大改动,并且今后都不需要关心token的问题)。我随便找了个method做实验:

@Controller

@RequestMapping("/login")

public class LoginController {

@Autowired

private LoginService loginService;

@UserAccess

@RequestMapping(value="/loginin",method=RequestMethod.GET)

public @ResponseBody String login(HttpServletRequest request){

String name=request.getParameter("name");

String password=request.getParameter("password");

String token=loginService.login(name, password);

return token;

}

}

注意加粗部分就是自定义annotation,登陆功能的请求参数是不可能有token的,所以不管验证多少次,都不可能通过,只是做个示例。@UserAccess添加在需要权限验证的功能上才起作用

5.现在自定义annotation就是一个很好的切入点

@Component

@Aspect

public class PermissionAspect {

 //设置以自定义annotation作为切入点

@Before("@annotation(com.example.chap01.annotation.UserAccess)")

public void checkPermission(JoinPoint joinPoint) throws Exception{

System.out.println("前置通知");

//获取拦截的请求参数

Object[] args = joinPoint.getArgs();

HttpServletRequest request=(HttpServletRequest)args[0];

String token=request.getParameter("token");

System.out.println("前置通知 token:"+token);

User user=LoginService.loginUserMap.get(token);

if(user==null){

System.out.println("验证不通过!");

throw new Exception("没有权限");

}

}

}

至此,登陆和权限验证功能全部完成。

另外附上个人github上面的源码:https://github.com/zw201913/applogin.git

以上就是本文的全部内容,希望对大家的学习有所帮助。

时间: 2016-06-08

java模拟cookie登陆操作

在使用java访问URL时,如果该URL需要身份验证,那么就不能够直接访问,因为没有登陆.那么,如何解决这个问题呢? 方法是使用java模拟登陆,登陆后记录下cookie信息,在下次发起请求时时将cookie发送过去用以表明身份,这样就能够访问带有权限的URL了. 下面首先介绍使用java模拟登陆. // 连接地址(通过阅读html源代码获得,即为登陆表单提交的URL) String surl = "http://login.goodjobs.cn/index.php/action/UserLo

Java的Struts框架中登陆功能的实现和表单处理器的使用

实现Struts登录 1.jar包拷贝 首先是建立java web项目,之后打开我们我们下载好strtus框架,Struts-1.2.9-bin文件夹和struts-1.2.9.src源文件文件夹.在bin文件夹中的lib文件中拷贝struts的jar包,拷贝到我们自己项目struts_login –>lib文件夹下. 2.web.xml文件配置 找到Struts-1.2.9-bin中Struts-1.2.9-bin-->webapps下的struts实例struts-blank中的strut

SpringMVC实现账号只能在一处登陆

一.问题引导 在Web开发中,实现一个账号只能在一处登陆有两种形式:1.当某个账号在某处登陆后,如果再在其他处登陆,将前一个账号挤掉:2.当某个账号登陆后,此账号在其他设备登陆提示已经登陆,无法登陆. 正常的应用逻辑第一种应用较为广泛,因此此篇文章讨论一下第一种逻辑在spring mvc开发中一种较为简单的实现方式. 然而在没有长连接如WebSocket或者异步请求轮询的情况下,我们之前登陆的账号只能在下一次请求(同步或异步)才能获取被挤掉的状态(如页面跳转). 二.实现步骤 1.建立一个静态M

JavaWeb实现同一帐号同一时间只能一个地点登陆(类似QQ登录的功能)

JavaWeb实现同一帐号同一时间只能一个地点登陆(类似QQ登录的功能)的实现思路如下所示: 一.该功能有什么作用 大家想想吧.反正总会有这样的需求的.这年头什么需求不会有..呵呵.有时候也不一定是需求,很有可能为了安全也会这么做.例如考试系统,在线聊天系统,很有必要做成这样的吧. 二.实现过程 a.问题分析 在系统中,我们一般都是把登录信息绑定到session中,看来从这入手是可能找到解决办法.说白了,也就是当用户登录时,判断一下这个用户有没有登录,如果登录了,就把以前的那个session清除

Java Web 实现QQ登录功能一个帐号同一时间只能一个人登录

对于一个帐号在同一时间只能一个人登录,可以通过下面的方法实现: 1 .在用户登录时,把用户添加到一个ArrayList中 2 .再次登录时查看ArrayList中有没有该用户,如果ArrayList中已经存在该用户,则阻止其登录 3 .当用户退出时,需要从该ArrayList中删除该用户,这又分为三种情况 ① 使用注销按钮正常退出 ② 点击浏览器关闭按钮或者用Alt+F4退出,可以用JavaScript捕捉该页面关闭事件, 执行一段Java方法删除ArrayList中的用户 ③ 非正常退出,比如

完全解剖安全帐号管理器(SAM)结构

安全设置不得不需要了解的东西一.摘要 分析安全帐号管理器结构是在一个多月前做的事情了,只零碎地记录下片段,没有发布过.不发布的主要原因是安全帐户管理器(SAM)是WIN系统帐户管理的核心,并且非常系统化,我也有很多地方仅仅是进行的推断和猜测,同时,SAM hack可能造成启动时lsass.exe加载帐户管理器出错,即便是安全模式也不能修复(启动时候必然加载SAM)使得整个系统启动崩溃(我通常需要依靠第二系统删除SAM文件来启动).至于现在发布出来,主要是因为Adam和叮叮的<克隆管理员帐号>种

Serv-U 批量帐号管理及申请(Access+Asp) 图文方法

1.首先下载Asp程序,在下载中包含Serv-U所需要的数据库,名为Serv#U.mdb.2.建立系统数据源:ftp,通过ODBC进行数据库连接,连接到Serv#U.mdb.步骤如图 3.成功建立ODBC后,打开Serv-U软件,建立FTP域.在步骤4时注意选择Store in ODBC database 4.打开Serv-U安装目录下的ServUDaemon.ini文件,做以下操作:(1)用下面的代码覆盖原来的ODBCSource.ODBCTables.ODBCColumns---------

易语言SMTP验证帐号、密码教程

易语言通过SMTP验证帐号.密码 1.打开易语言>>>>新建一个窗口程序打开易语言>>>>新建一个窗口程序 2.一次添加两个标签.两个编辑框.一个按钮 3.用到的两个编辑框,一个作为帐号编辑框,一个作为密码编辑框.用到的两个编辑框,一个作为帐号编辑框,一个作为密码编辑框. 4.输入代码: .版本 2 .支持库 internet .程序集 窗口程序集1 .子程序 _按钮1_被单击 .判断开始 (连接发信服务器 ("smtp.163.com"

同一个帐号不能同时登陆的问题

〓简介〓有点常识的人都知道本身用asp做这种功能显然有些牵强,因为他不像qq,msn或irc 聊天室那样是即时通讯,他都是靠刷新网页更改最后活动时间来获取用户是否在线的,所以您不要指望下面这片教程有多完美,我也只是把我的思维模式记录下来,有啥不对的地方还请高手们多多指教!--------------------------------------------------------------------------------〓正文〓首先我先向大家介绍一下我实现这个效果的思路,如果你看过我的思

利用SQL SERVER建立登录WINDOWS帐号

那一刻,我的心跳到了嗓子眼. 运行建立帐号命令,OK! 远程登录,输入帐号,密码,OK!终于又进去了! ××××××××××××××××××× 我忽然发现,数据库服务器登录不了了. 提示帐号密码过期.按提示修改,提交,又说我没权限修改密码! CNM,这样来害我.这个帐号属于administrators,原先那个默认的administrator被我停掉了.因此这个帐号是进入系统的唯一通道. 接着发现后果比我想象的要严重更多: 1.硬盘做了RAID5,这样即使拿到硬盘,可能也读不出数据库文件了. 2

微信公众帐号开发-自定义菜单的创建及菜单事件响应的实例

微信开发公众平台自定义菜单需要花钱认证才能实现,不想花钱只能玩测试账号了,不过这并不影响开发.我的开发都是基于柳峰老师的微信公众平台应用开发做的. 只要我们使用公众平台测试账号就可以开发自定义菜单了,比较方便,测试账号开放了很多接口,很方便. 在开发自定义菜单的时候可以参考微信公众平台开发者文档的自定义菜单创建. 一.自定义菜单 1.自定义菜单最多包括3个一级菜单,每个一级菜单最多包含5个二级菜单. 2.一级菜单最多4个汉字,二级菜单最多7个汉字,多出来的部分将会以"..."代替. 3

js读写COOKIE实现记住帐号或密码的代码(js读写COOKIE)

js COOKIE 记住帐号或密码 function onLoginLoaded() { if(isPostBack == "False") { GetLastUser(); } } function GetLastUser() { var id = "49BAC005-7D5B-4231-8CEA-16939BEACD67"; var usr = GetCookie(id); if(usr != null) { document.getElementById('t

.Net微信网页开发解决用户在不同公众号或在公众号、移动应用之间帐号统一问题

开发背景: 最近一段时间一直在做关于微信方面的网站应用开发,这段时间也收获的不少关于微信开发方面的开发技能,接触的比较多的主要有微信公众号和微信网站app第三方登录授权,以及微信会员卡,优惠券和扫描二位码的功能,今天我主要想要总结的是微信公众号登录和网站app第三方应用微信授权登录这两者之间获取到的Openid关联问题,实现两边登录都是同一个账号. 首先我们必须区别开来微信公众平台开发是指微信公众号进行业务开发(https://mp.weixin.qq.com/wiki?t=resource/r