欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

java token生成和校验的实例代码

程序员文章站 2022-06-15 22:12:26
现在越来越多的登录方式都用到了token作为用户登录令牌,所以实现了一个token生成和校验案例。缺点:该实现方式token是存储在内存中,不适合分布式项目,如需改为分布式项目部署,可把token存储...

现在越来越多的登录方式都用到了token作为用户登录令牌,所以实现了一个token生成和校验案例。

缺点:该实现方式token是存储在内存中,不适合分布式项目,如需改为分布式项目部署,可把token存储在redis中,其中的实现原理还是保持不变。

一)token编码工具类

package com.oysept.token.utils; 
/**
 * token编码工具类
 * @author ouyangjun
 */
public class tokenencryptutils {
 
 // 编码密码,可自定义
 private static final string encoded_password = "ouyangjun";
 
 /**
 * 编码
 * @param str
 * @return
 */
 public static string encoded(string str) {
 return strtohex(encodedstring(str, encoded_password));
 }
 
 /**
 * 转换
 * @param str
 * @param password
 * @return
 */
 private static string encodedstring(string str, string password) {
 char[] pwd = password.tochararray();
 int pwdlen = pwd.length;
 
  char[] strarray = str.tochararray();
  for (int i=0; i<strarray.length; i++) {
   strarray[i] = (char)(strarray[i] ^ pwd[i%pwdlen] ^ pwdlen);
  }
  return new string(strarray);
 }
 
 private static string strtohex(string s) {
 return bytestohexstr(s.getbytes());
 }
 
 private static string bytestohexstr(byte[] bytesarray) {
 stringbuilder builder = new stringbuilder();
 string hexstr;
 for (byte bt : bytesarray) {
 hexstr = integer.tohexstring(bt & 0xff);
 if (hexstr.length() == 1) {
 builder.append("0");
 builder.append(hexstr);
 }else{
 builder.append(hexstr);
 }
 }
 return builder.tostring();
 }
 
 /**
 * 解码
 * @param str
 * @return
 */
 public static string decoded(string str) {
 string hexstr = null;
 try {
 hexstr = hexstrtostr(str);
 } catch (exception e) {
 e.printstacktrace();
 }
 if (hexstr != null) {
 hexstr = encodedstring(hexstr, encoded_password);
 }
 return hexstr;
 }
 
 private static string hexstrtostr(string hexstr) {
 return new string(hexstrtobytes(hexstr));
 }
 
 private static byte[] hexstrtobytes(string hexstr) {
 string hex;
 int val;
 byte[] bthexstr = new byte[hexstr.length()/2];
 for (int i=0; i<bthexstr.length; i++) {
 hex = hexstr.substring(2*i, 2*i+2);
 val = integer.valueof(hex, 16);
 bthexstr[i] = (byte) val;
 }
 return bthexstr;
 }
 
}

二)token生成和校验工具类(包含main方法测试)

package com.oysept.token.utils; 
import java.util.hashmap;
import java.util.map;
import java.util.map.entry;
 
/**
 * token生成和校验
 * @author ouyangjun
 */
public class tokenutils {
 
 private static map<string,string> map_tokens = new hashmap<string,string>();
 private static final int valid_time = 60*60*2; // token有效期(秒)
 public static final string token_error = "f"; // 非法
 public static final string token_overdue = "g"; // 过期
 public static final string token_failure = "s"; // 失效
 
 /**
 * 生成token,该token长度不一致,如需一致,可自行md5或者其它方式加密一下
 * 该方式的token只存在磁盘上,如果项目是分布式,最好用redis存储
 * @param str: 该字符串可自定义,在校验token时要保持一致
 * @return
 */
 public static string gettoken(string str) {
 string token = tokenencryptutils.encoded(getcurrenttime()+","+str);
 map_tokens.put(str, token);
 return token;
 }
 
 /**
 * 校验token的有效性
 * @param token
 * @return
 */
 public static string checktoken(string token) {
 if (token == null) {
 return token_error;
 }
 try{
 string[] tarr = tokenencryptutils.decoded(token).split(",");
 if (tarr.length != 2) {
 return token_error;
 }
 // token生成时间戳
 int tokentime = integer.parseint(tarr[0]);
 // 当前时间戳
 int currenttime = getcurrenttime();
 if (currenttime-tokentime < valid_time) {
 string tokenstr = tarr[1];
 string mtoken = map_tokens.get(tokenstr);
 if (mtoken == null) {
  return token_overdue;
 } else if(!mtoken.equals(token)) {
  return token_failure;
 }
 return tokenstr;
 } else {
 return token_overdue;
 }
 }catch (exception e) {
 e.printstacktrace();
 }
 return token_error;
 }
 
 /**获取当前时间戳(10位整数)*/
 public static int getcurrenttime() {
 return (int)(system.currenttimemillis()/1000);
 }
 
 /**
 * 移除过期的token
 */
 public static void removeinvalidtoken() {
 int currenttime = getcurrenttime();
 for (entry<string,string> entry : map_tokens.entryset()) {
 string[] tarr = tokenencryptutils.decoded(entry.getvalue()).split(",");
 int tokentime = integer.parseint(tarr[0]);
 if(currenttime-tokentime > valid_time){
 map_tokens.remove(entry.getkey());
 }
 }
 }
 
 /**
 * 测试
 * @param args
 */
 public static void main(string[] args) {
 string str = "username_and_password";
 
 // 获取token
 string token = tokenutils.gettoken(str);
 system.out.println("token result: " + token);
 
 // 校验token
 string checktoken = tokenutils.checktoken(token);
 system.out.println("checktoken result: " + checktoken);
 if(str.equals(checktoken)) {
 system.out.println("==>token verification succeeded!");
 } 
 }
}

补充知识:java后端生成token(令牌),用于校验客户端,防止重复提交

1.概述:在web项目中,服务端和前端经常需要交互数据,有的时候由于网络相应慢,客户端在提交某些敏感数据(比如按照正常的业务逻辑,此份数据只能保存一份)时,如果前端多次点击提交按钮会导致提交多份数据,这种情况我们是要防止发生的。

2.解决方法:

①前端处理:在提交之后通过js立即将按钮隐藏或者置为不可用。

②后端处理:对于每次提交到后台的数据必须校验,也就是通过前端携带的令牌(一串唯一字符串)与后端校验来判断当前数据是否有效。

3.总结:第一种方法相对来说比较简单,但是安全系数不高,第二种方法从根本上解决了问题,所以我推荐第二种方法。

4.核心代码:

生成token的工具类:

/**
 * 生成token的工具类:
 */
package red.hearing.eval.modules.token; 
import java.security.messagedigest;
import java.security.nosuchalgorithmexception;
import java.util.random; 
import sun.misc.base64encoder;
 
/**
 * 生成token的工具类
 * @author zhous
 * @since 2018-2-23 13:59:27
 *
 */
public class tokenproccessor { 
 private tokenproccessor(){};
 private static final tokenproccessor instance = new tokenproccessor(); 
 public static tokenproccessor getinstance() {
 return instance;
 }
 
 /**
 * 生成token
 * @return
 */
 public string maketoken() {
 string token = (system.currenttimemillis() + new random().nextint(999999999)) + "";
 try {
 messagedigest md = messagedigest.getinstance("md5");
 byte md5[] = md.digest(token.getbytes());
 base64encoder encoder = new base64encoder();
 return encoder.encode(md5);
 } catch (nosuchalgorithmexception e) {
 // todo auto-generated catch block
 e.printstacktrace();
 }
 return null;
 }
}

token通用工具类:

/**
 * 
 */
package red.hearing.eval.modules.token; 
import javax.servlet.http.httpservletrequest; 
import org.apache.commons.lang3.stringutils;
 
/**
 * token的工具类
 * @author zhous
 * @since 2018-2-23 14:01:41
 *
 */
public class tokentools {
 
 /**
 * 生成token放入session
 * @param request
 * @param tokenserverkey
 */
 public static void createtoken(httpservletrequest request,string tokenserverkey){
 string token = tokenproccessor.getinstance().maketoken();
 request.getsession().setattribute(tokenserverkey, token);
 }
 
 /**
 * 移除token
 * @param request
 * @param tokenserverkey
 */
 public static void removetoken(httpservletrequest request,string tokenserverkey){
 request.getsession().removeattribute(tokenserverkey);
 }
 
 /**
 * 判断请求参数中的token是否和session中一致
 * @param request
 * @param tokenclientkey
 * @param tokenserverkey
 * @return
 */
 public static boolean judgetokenisequal(httpservletrequest request,string tokenclientkey,string tokenserverkey){
 string token_client = request.getparameter(tokenclientkey);
 if(stringutils.isempty(token_client)){
 return false;
 }
 string token_server = (string) request.getsession().getattribute(tokenserverkey);
 if(stringutils.isempty(token_server)){
 return false;
 }
 
 if(!token_server.equals(token_client)){
 return false;
 }
 
 return true;
 } 
}

使用方法:

①在输出前端页面的时候调用tokentools.createtoken方法,会把本次生成的token放入session中。

②然后在前端页面提交数据时从session中获取token,然后添加到要提交的数据中。

③服务端接受数据后调用judgetokenisequal方法判断两个token是否一致,如果不一致则返回,不进行处理。

备注:tokenclientkey和tokenserverkey自定义,调用judgetokenisequal方法时的tokenclientkey一定要与前端页面的key一致。

以上这篇java token生成和校验的实例代码就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持。