webflux token 验证 自定义注解

最新推荐文章于 2024-06-08 12:26:28 发布
原创 最新推荐文章于 2024-06-08 12:26:28 发布 · 869 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #web app

本文介绍了一种使用Spring WebFlux实现的自定义Token验证机制。通过定义TokenAuth注解来控制方法级别的验证,并在TokenFilter中实现了具体的验证逻辑。文章详细展示了如何根据注解属性决定是否进行验证,以及如何从请求头中获取并验证Token。

webflux token 验证 自定义注解

定义注解:


@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface TokenAuth {
    boolean validate() default true;
}

验证:

@Configuration
@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.REACTIVE)
public class TokenFilter implements WebFilter {

    @Resource
    private RequestMappingHandlerMapping requestMappingHandlerMapping;

    @Resource
    private RRRRRR rrrrrr;

    @Resource
    private ZZZZZZZZ  zzzz;

    private boolean flag;

    private String message;

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {
        // 获取Response、Request
        ServerHttpResponse res = exchange.getResponse();
        ServerHttpRequest req = exchange.getRequest();
        
        // 判断是不是需要开启token验证
        (读取配置文件是否开启验证,可删除掉)
        // if (!zzzz.z1()) return chain.filter(exchange);

        // 获取请求对应的HandlerMethod
        Mono<HandlerMethod> handlerMethodMono = requestMappingHandlerMapping
                .getHandler(exchange).cast(HandlerMethod.class);
        handlerMethodMono.subscribe(handlerMethod -> {
        	// 判断方法头是否有注解
            flag = handlerMethod.hasMethodAnnotation(TokenAuth.class);
            if (!flag) return;
            
            // 获取自定义注解里面的 validate 判断是否为false,如果是,则不验证
            TokenAuth methodAnnotation = handlerMethod.getMethodAnnotation(TokenAuth.class);
            if (methodAnnotation == null || methodAnnotation.validate() == false){
                flag = false;
                return;
            }
	
		// 获取  token信息,进行判断
            HttpHeaders headers = req.getHeaders();
            String token = headers.getFirst("token");
            if (token != null){
            	// 开关控制,可以做一些逻辑判断,redis,其他判断
            	flag = false;	
            }
        }).dispose();
        
        if (!flag) return chain.filter(exchange);
        // 返回
        res.setStatusCode(HttpStatus.NON_AUTHORITATIVE_INFORMATION);
        byte[] bytes = message.getBytes();
        return res.writeWith(Mono.just(res.bufferFactory().wrap(bytes)));
    }
}

测试:

    @GetMapping(value = "")
    @TokenAuth(validate = true)
    public Mono<WapResponse<>> getXXXXXX() {
  
    }
Spring WebFlux框架 - 带注解的控制器
TyuIn的博客
01-10 1007
接上一篇博客:https://blog.youkuaiyun.com/qq_43605444/article/details/122400241?spm=1001.2014.3001.5502 4、带注解的控制器 Spring WebFlux 提供了基于注解的编程模型,其中 @Controller 和 @RestController 组件使用注解来表达请求映射、请求输入、处理异常等。 带注解的控制器具有灵活的方法签名,无需扩展基类或实现特定接口。 以下清单显示了一个基本示例: @RestController publi
java webflux注解方式写一个可供web端访问的数据接口
weixin_45966674的博客
03-27 968
简单创建了一个实体类 创建了三个字段 name 用户名称 gender 性别 age 年龄 写了他们对应的get set 和 一个有参构造方法。然后在 senvice 下创建一个包 叫 impl 用于存放实现类 在下面创建一个类 叫 UserServiceImpl。我们实现了UserService接口 因为我们这次并不打算操作数据库 所以 所有的操作都是通过Map集合实现的。然后 我们如下图 找到他的启动类 进行一个启动。
WebFlux)001、如何自定义注解实现功能
编号94530
07-24 814
尝试新东西的时候是一个不断探索,学习的过程。多看,多搜,多学。
Gateway--服务网关
qq_63531917的博客
12-01 1036
大家都知道在微服务架构中,一个系统会被拆分为很多个微服务。那么作为客户端要如何去调用这么多的微服务呢?如果没有网关的存在,我们只能在客户端记录每个微服务的地址,然后分别去调用。客户端多次请求不同的微服务,增加客户端代码或配置编写的复杂性认证复杂,每个服务都需要独立认证。存在跨域请求,在一定场景下处理相对复杂。上面的这些问题可以借助API网关来解决。所谓的API网关,就是指系统的统一入口,它封装了应用程序的内部结构,为客户端提供统一服。
Spring WebFlux (7): Springboot Security+jwt登录鉴权
泛泛之素
08-17 9298
在Spring WebFlux (3): mysql+Springboot Security实现登录鉴权的基础上实现 token登录的逻辑刚上手确实很复杂,挺难啃的,而且实现方法也不唯一,看过很多博客实现的方法基本都不一样,简单说一下我的方法: 首先设置一个WebFilter,主要两个功能: 登录和注册时是没有token的,这两个功能的路由放行 其他请求检查token,是否有tokentoken是否合法,讲处理的token放入上下文中 然后就是实现ServerSecurityContextRe
webflux框架中如何校验token验证用户是否登录
weixin_38390086的博客
07-15 1068
webflux框架中如何校验token验证用户是否登录
webflux 拦截器验证token
qq_34874784的博客
06-08 860
这样,每当有请求进入时,`TokenInterceptor`中的`filter`方法都会被调用,从而验证Token。如果Token无效,将返回一个`UnauthorizedException`异常。return Mono.error(new UnauthorizedException("无效的Token"));在WebFlux中,我们可以使用拦截器(Interceptor)来验证Token。// 在这里实现Token验证逻辑,例如检查Token是否过期、签名是否正确等。// 在这里验证Token
使用拦截器和自定义注解实现权限控制
chuner201133的博客
12-06 386
使用注解为每个Action的方法声明权限。 1.首先创建自定义注解,用于设置权限: @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) public @interface PrivilegeControll { //权限的名称,可能有很多个权限,所以用数组表示 String[] privile...
Webflux注解编程模型
sx17860543449的博客
03-21 681
Webflux注解编程模型 创建springboot工程,引入webFlux相关依赖 配置启动的端口号 创建包和相关类(目录结构) 实体类User.java package com.example.webfluxdemo2.Entity; public class User { private String name; private String gender; private int age; public User(String name, String
快速入门Servlet之注解和request(四)
zzq的博客
02-20 1157
文章目录 (一)注解的概述 (二)注解的其他形式 (三)重点:request (四)request:获取请求行信息 (五)request:获取请求头信息 (六)request:获取请求体信息
WebFlux 跨越和filter 验证异常的解决办法,以及@Order的原理
dingdeyangvip123的博客
04-18 875
在使用spring中有时候需要在filter中做一些全局的校验,比如验证token是否合法,不合法需要抛异常。但是如果姿势不对就会和跨越的CorsWebFilter执行顺序不一致导致跨域。 如何解决:可以使用@Order注解把跨域的filter执行顺序提前就可以了。 原理: WebHttpHandlerBuilder 中 使用了DefaultListableBeanFactory AnnotationAwareOrderComparator 其实原理很..
webflux过滤器使用
fall_hat的博客
05-14 4108
下面是简单处理token的例子 @Component @Order(value = 2) public class AuthFilter implements WebFilter { @Override public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) { ServerHttpRequest request = exchange.getRequest(); .
Springcloud gateway网关+认证服务+token方式,入口层认证统一微服务鉴权【设计实践】
殷长庆的博客
08-04 9992
分布式项目的单点登录分为认证服务(单点登录服务端)和业务服务(单点登录客户端)两个角色,当访问业务服务时,认证服务客户端SDK校验一下是否有登录token,如果没有登录token,需要携带当前请求链接重定向到认证服务,认证通过后由认证服务重定向业务服务链接,实现单点登录。gateway实现单点登录客户端功能,一般如果前后端项目是分离的,如果请求中没有携带登录token,直接返回需要认证,前后端没有分离的项目,可以做页面重定向操作。本文主要讨论gateway的实现,认证服务需要自行实现。......
Oauth2使用postman登录获取token
xiao-啸
05-06 4235
ego-shop源码发送到资源里面了
微服务API网关--Spring Cloud Gateway
xuejun_1996的博客
10-19 767
微服务网关
java实现http接口_使用Java实现简单的Http服务器
weixin_39548541的博客
11-30 2594
使用Java实现简单的Http服务器在Java中可以使用HttpServer类来实现Http服务器,该类位于com.sun.net包下(rt.jar)。实现代码如下:主程序类Copypackage bg.httpserver;import com.sun.net.httpserver.HttpServer;import java.io.IOException;import java.net.Ine...
微服务——Gateway网关
xujiangyu1的博客
02-02 1094
网关gateway 主要是身份确认 负载均衡 断言规则 过滤器
Filter过滤器中获取token和get、post请求中的参数【json和application/x-www-form-urlencoded请求体类型】请求体再次封装写回到request中
zzfgwj的博客
02-28 2624
Filter过滤器中获取token和get、post请求中的参数【json和application/x-www-form-urlencoded请求体类型】请求体再次封装写回到request中
ServerHttpRequest(ServerWebExchange)修改请求参数修改请求头
weixin_45795306的博客
11-15 8649
ServerHttpRequest重新设置URI,编辑请求头
java reactor生成一条30分钟token验证的链接指向浏览器下载文件接口
最新发布
05-31
<think>好的,我现在需要解决用户的问题:使用Java Reactor生成一个带有30分钟有效Token的链接,用于浏览器访问下载文件接口。首先,我得理解用户的需求。用户想要在Web应用中提供一个文件下载的链接,这个链接需要包含一个Token,该Token在30分钟后过期,确保链接的有效期受限,提高安全性。接下来,我需要考虑如何用Reactor来实现这个功能。Reactor是响应式编程库,强调异步和非阻塞处理。因此,整个流程需要符合响应式编程的范式。首先,生成Token的部分,可能需要使用到JWT(JSONWeb Token)或者自定义Token生成机制,并设置过期时间。然后,需要将Token与对应的文件信息存储起来,可能使用缓存如Redis,并设置30分钟的过期时间。最后,提供一个下载接口,验证Token的有效性,并返回文件流。首先,生成Token。JWT是一个常用的方案,可以方便地设置过期时间。或者,如果系统不想引入JWT,可以自己生成一个唯一的字符串作为Token,并记录在缓存中。这里两种方式都可以,但JWT可能更简洁,因为过期时间可以直接在Token中体现,不需要依赖缓存的过期机制。不过,使用缓存的话,即使Token被篡改,只要缓存中没有对应的记录,也会失效,可能更安全一些。需要权衡。假设用户选择JWT方案,那么需要引入相关的依赖,比如jjwt。然后,生成Token时设置30分钟的过期时间。同时,可能需要在Token中存储一些必要的信息,比如文件ID或路径,这样在验证时可以直接解析出来,而不需要查询数据库或缓存。不过,如果文件信息敏感,可能需要加密或者存储在服务端,这时候就需要将Token作为键,去缓存中查找对应的文件信息。 另一种方案是生成随机UUID作为Token,存入缓存(如Redis),并设置30分钟的TTL。当用户访问下载链接时,从请求参数中获取Token,查询缓存,若存在且未过期,则允许下载。这种方式更依赖缓存,但实现起来可能更简单,尤其是当文件信息较大或需要频繁变更时,缓存可以灵活处理。 接下来,整合Reactor。由于Reactor是响应式的,所有操作需要是非阻塞的。例如,生成Token、存储到缓存、验证Token等步骤都需要使用异步的方式。例如,使用ReactiveRedisTemplate来操作Redis,返回Mono或Flux对象。然后,设计下载接口。使用SpringWebFlux注解方式定义路由,处理GET请求,提取Token参数,验证有效性,然后返回文件流。文件流的响应也需要是响应式的,比如使用DataBuffer来分块传输。还需要考虑异常处理,比如Token无效或过期时,返回相应的HTTP错误状态。Reactor中的错误处理可以通过onErrorResume等方法来实现,保持响应式链的完整性。现在,具体步骤可能如下:1.生成Token(JWT或UUID)。 2.存储Token及相关信息到缓存,设置30分钟过期。3.创建下载链接,包含Token作为参数。4.实现下载接口,验证Token,返回文件。 代码示例方面,需要展示如何用Reactor实现这些步骤。比如,使用Mono.defer生成Token,然后使用flatMap将Token存储到Redis,最后生成链接。下载接口中,从请求中获取Token,查询Redis,如果存在则返回文件,否则返回错误。需要注意,Reactor的操作是惰性的,需要确保每个步骤都正确订阅。例如,存储Token到Redis时,需要确保写操作完成,可能需要使用then()来返回结果。 另外,关于时间处理,生成Token的时间点需要记录,或者在JWT中设置expiration时间。对于Redis,设置TTL为30分钟即可。可能的相关问题包括如何选择Token生成方式、Reactor与缓存的集成、响应式文件下载的实现,以及如何测试这类接口。需要确保每个环节都符合响应式编程的要求,避免阻塞操作。 总结下来,关键点在于Token生成与存储的响应式处理,以及下载接口的非阻塞验证和文件流返回。需要确保整个流程的异步性和正确性,同时处理好错误情况。</think>### 分步实现方案 #### 1. Token生成与存储 使用JWT生成带有过期时间的Token,并存储文件元数据到Redis: ```java // 添加依赖:io.jsonwebtoken:jjwt-api, io.jsonwebtoken:jjwt-impl, io.jsonwebtoken:jjwt-jackson public Mono<String> generateDownloadToken(String fileId) { String secretKey = "your-256-bit-secret"; Instant now = Instant.now(); Instant expiry = now.plus(30, ChronoUnit.MINUTES); String token = Jwts.builder() .setSubject(fileId) .setIssuedAt(Date.from(now)) .setExpiration(Date.from(expiry)) .signWith(Keys.hmacShaKeyFor(secretKey.getBytes())) .compact(); return reactiveRedisTemplate.opsForValue() .set(token, fileId, Duration.ofMinutes(30)) .thenReturn(token); } ``` #### 2. 创建下载链接 ```java public Mono<String> createDownloadLink(String fileId) { return generateDownloadToken(fileId) .map(token -> "https://yourdomain.com/download?token=" + token); } ``` #### 3. 文件下载接口 使用Spring WebFlux实现响应式文件下载路由: ```java @GetMapping("/download") public Mono<ResponseEntity<Resource>> downloadFile( @RequestParam String token, ServerWebExchange exchange ) { return reactiveRedisTemplate.opsForValue().get(token) .flatMap(fileId -> { if (fileId == null) { return Mono.error(new InvalidTokenException()); } Resource fileResource = new FileSystemResource("/path/to/files/" + fileId); return Mono.just(ResponseEntity.ok() .header(HttpHeaders.CONTENT_DISPOSITION, "attachment; filename=\"" + fileResource.getFilename() + "\"") .body(fileResource)); }) .onErrorResume(InvalidTokenException.class, e -> Mono.just(ResponseEntity.status(HttpStatus.FORBIDDEN).build())); } ``` #### 4. 异常处理 ```java public class InvalidTokenException extends RuntimeException { // 自定义异常处理逻辑 } ``` ### 流程图解析 ```mermaid graph TD A[用户请求下载链接] --> B{验证文件权限} B -->|通过| C[生成JWT Token] C --> D[存储Token到Redis] D --> E[返回含Token的URL] E --> F[用户访问URL] F --> G{验证Token有效性} G -->|有效| H[返回文件流] G -->|无效| I[返回403错误] ``` ### 技术验证点 1. **响应式存储操作**:使用`ReactiveRedisTemplate`确保Redis操作不阻塞线程[^3] 2. **时间敏感校验**:JWT自带过期时间校验+Redis双重验证机制 3. **背压控制**:文件下载使用`Resource`对象自动处理背压
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值