caplike
caplike

SpringSecurity OAuth2 (8) 自定义: ResourceServerTokenServices 资源服务器自行验证签名并解析令牌

文章目录

  • 序言
  • 资源服务器: 自定义 ResourceServerTokenServices
    • 自定义 - CustomResourceServerTokenServices
  • 授权服务器: 注入 TokenKeyEndpoint
  • 总结
  • Reference

序言

之前的资源服务器都是通过 RemoteTokenServices 请求授权服务器的 /oauth/check_token 端点解析令牌的. 我们假设有 N 个资源服务器, 在高并发的情况下, 每来一个携带令牌的请求都去向授权服务器申请解析一次令牌, 即使授权服务器做了高可用, 这其中的网络开销, 对授权服务器的压力等诸多不稳定因素是我们不得不考虑, 有没有一种方案, 让我们的资源服务器自行校验 JWT 的签名, 实现一定意义上的 “自治”?

这便是本篇要探讨的内容…

本篇基本上主要探讨资源服务器相关特性, 以及如何实现 “自治”.

资源服务器: 自定义 ResourceServerTokenServices

在 上一篇 中, 资源服务器使用的是 ResourceServerTokenServices 其中一个实现: RemoteTokenServices, 其提供了资源服务器访问远端授权服务器解析令牌的端口. 而同样身为 ResourceServerTokenServices 实现的 DefaultTokenServices 则被广泛用于授权服务器中, 因为它同时实现了 AuthorizationServerTokenServicesResourceServerTokenServices, 进而既具备了颁发令牌, 签名令牌的能力, 也具备了接收请求解析令牌, 验证令牌签名的能力, 因此很适合用于授权服务器, 或是授权资源服务一体的场景.

经过分析, 看起来我们需要实现自己的 resourceServerTokenServices, 它需要具备如下能力:

  1. 获取公钥 (用于验证 JWT 的签名):
    1. 本地获取 (资源服务器端需要公钥文件);
    2. 请求授权服务器提供的获取公钥的端点 TokenKeyEndpoint (/oauth/token_key), 需要注意的是此端点默认不启用, 需要用户手动将其注入到容器中 (稍后会有介绍);
  2. “独立” 解析令牌 (不依赖于请求授权服务器);

(由于是资源服务器自行处理逻辑, 所以客户端凭证的验证就没必要了, 因为此时的客户端凭证不正是资源服务器自己嘛…)

ResourceServerTokenServices 定义了两个签名方法:

  1. OAuth2Authentication loadAuthentication(String accessToken) 用于从指定的令牌字符串中抽取认证信息, 构建 OAuth2Authentication 对象.

  2. OAuth2AccessToken readAccessToken(String accessToken) 仅用于 CheckTokenEndpoint 端点, 后者用于在授权服务器接收资源服务器的请求校验令牌. 所以对于资源服务器来说, 并不需要实现它.

自定义 - CustomResourceServerTokenServices

综上所述, 我们需要实现 ResourceServerTokenServices 的 loadAuthentication 接口方法, 该方法会在 OAuth2AuthenticationProcessingFilter(对于被 OAuth2 保护的资源来说, 它扮演着一个预认证的过滤器, 它承担着从请求中抽取令牌, 然后构建 OAuth2Authentication 对象进而生成 SpringSecurity 安全上下文的职能) 的 doFilter 被调用: AuthenticationManager.authenticate(Authentication), 其中这个 AuthenticationManager 的真实类型是 OAuth2AuthenticationManager, 这部分源码摘录:

public class OAuth2AuthenticationManager implements AuthenticationManager, InitializingBean {
    // ...
    
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		if (authentication == null) {
			throw new InvalidTokenException("Invalid token (token not found)");
		}
		String token = (String) authentication.getPrincipal();
		OAuth2Authentication auth = tokenServices.loadAuthentication(token);
		if (auth == null) {
			throw new InvalidTokenException("Invalid token: " + token);
		}

		Collection<String> resourceIds = auth.getOAuth2Request().getResourceIds();
		if (resourceId != null && resourceIds != null && !resourceIds.isEmpty() && !resourceIds.contains(resourceId)) {
			throw new OAuth2AccessDeniedException("Invalid token does not contain resource id (" + resourceId + ")");
		}

		checkClientDetails(auth);

		if (authentication.getDetails() instanceof OAuth2AuthenticationDetails) {
			OAuth2AuthenticationDetails details = (OAuth2AuthenticationDetails) authentication.getDetails();
			// Guard against a cached copy of the same details
			if (!details.equals(auth.getDetails())) {
				// Preserve the authentication details from the one loaded by token services
				details.setDecodedDetails(auth.getDetails());
			}
		}
		auth.setDetails(authentication.getDetails());
		auth.setAuthenticated(true);
		return auth;
	}
    
    // ...
}

在 SpringSecurity OAuth2 提供的 RemoteTokenServices 中, 就是在 loadAuthentication 方法中远程调用授权服务器的解析令牌端点的. 对于我们自定义的 tokenServices, 这个逻辑需要在且仅在资源服务器本身完成.

接下来, 我们就来配置并实现自定义的 tokenServices: CustomResourceServerTokenServices:

首先是 ResourceServerConfiguration:

/**
 * 资源服务器配置
 *
 * @author LiKe
 * @version 1.0.0
 * @date 2020-06-13 20:55
 */
@Slf4j
@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

    /**
     * 资源服务器保存的持有公钥的文件名
     */
    private static final String AUTHORIZATION_SERVER_PUBLIC_KEY_FILENAME = "authorization-server.pub";

    /**
     * 资源服务器 ID
     */
    private static final String RESOURCE_ID = "resource-server";

    /**
     * 授权服务器的 {@link org.springframework.security.oauth2.provider.endpoint.TokenKeyEndpoint} 供资源服务器请求授权服务器获取公钥的端点

     * 在资源服务器中, 可以有两种方式获取授权服务器用于签名 JWT 的私钥对应的公钥:
     * 
    
     *     
  1. 本地获取 (需要公钥文件)
    2. 
     *     
  2. 请求授权服务器提供的端点 (/oauth/token_key) 获取
    3. 
     * 

     */
    private static final String AUTHORIZATION_SERVER_TOKEN_KEY_ENDPOINT_URL = "http://localhost:18957/token-customize-authorization-server/oauth/token_key";

    // =================================================================================================================

    private AuthenticationEntryPoint authenticationEntryPoint;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        // @formatter:off
        resources.resourceId(RESOURCE_ID).stateless(true);

        // ~ 指定 ResourceServerTokenServices
        resources.tokenServices(new CustomResourceServerTokenServices(jwtAccessTokenConverter()));

        // ~ AuthenticationEntryPoint. ref: OAuth2AuthenticationProcessingFilter
        resources.authenticationEntryPoint(authenticationEntryPoint);
        // @formatter:on
    }

    // ~ TokenStore

    /**
     * Description: 为签名验证和解析提供转换器

     * Details: 看起来 {@link org.springframework.security.jwt.crypto.sign.RsaVerifier} 已经被标记为过时了, 究其原因, 似乎 Spring 已经发布了一个新的产品 Spring Authorization Server, 有空再研究.
     *
     * @see OAuth 2.0 Migration Guide
     * @see Announcing the Spring Authorization Server
     * @see JwtAccessTokenConverter
     */
    @SuppressWarnings("deprecation")
    private JwtAccessTokenConverter jwtAccessTokenConverter() {
        final JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
        jwtAccessTokenConverter.setVerifier(new org.springframework.security.jwt.crypto.sign.RsaVerifier(retrievePublicKey()));
        return jwtAccessTokenConverter;
    }

    /**
     * Description: 获取公钥 (Verifier Key)

     * Details: 启动时调用
     *
     * @return java.lang.String
     * @author LiKe
     * @date 2020-07-22 11:45:40
     */
    private String retrievePublicKey() {
        final ClassPathResource classPathResource = new ClassPathResource(AUTHORIZATION_SERVER_PUBLIC_KEY_FILENAME);
        try (
                // ~ 先从本地取读取名为 authorization-server.pub 的公钥文件, 获取公钥
                final BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(classPathResource.getInputStream()))
        ) {
            log.debug("{} :: 从本地获取公钥 ...", RESOURCE_ID);
            return bufferedReader.lines().collect(Collectors.joining("\n"));
        } catch (IOException e) {
            // ~ 如果本地没有, 则尝试通过授权服务器的 /oauth/token_key 端点获取公钥
            log.debug("{} :: 从本地获取公钥失败: {}, 尝试从授权服务器 /oauth/token_key 端点获取 ...", RESOURCE_ID, e.getMessage());
            final RestTemplate restTemplate = new RestTemplate();
            final String responseValue = restTemplate.getForObject(AUTHORIZATION_SERVER_TOKEN_KEY_ENDPOINT_URL, String.class);

            log.debug("{} :: 授权服务器返回原始公钥信息: {}", RESOURCE_ID, responseValue);
            return JSON.parseObject(JSON.parseObject(responseValue).getString("data")).getString("value");
        }
    }

    // =================================================================================================================

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().authenticated();
    }

    // -----------------------------------------------------------------------------------------------------------------

    @Autowired
    public void setAuthenticationEntryPoint(@Qualifier("customAuthenticationEntryPoint") AuthenticationEntryPoint authenticationEntryPoint) {
        this.authenticationEntryPoint = authenticationEntryPoint;
    }
}

可以看到, 我们为 ResourceServerSecurityConfigurer 置入了自定的 tokenServices, 其构造需要一个令牌转换器, 传入公钥. 这里公钥的获得的方式有二: 本地或是授权服务器. 并且这段代码在资源服务器启动的时候就会且仅会执行一次, 所以即使是需要访问授权服务器获取公钥, 也在启动时仅需要一次. 如果是从本地直接能获取到公钥, 那整个对授权服务器的携带令牌的访问过程都不需要授权服务器介入. 较之前的采用 RemoteTokenServices 每次请求都需要向授权服务器申请解析认证, 是不是大大降低了授权服务器的压力呢? 肯定的!

下面是自定义的 ResourceServerTokenServices 的代码:

/**
 * 自定义的 {@link ResourceServerTokenServices}
 *
 * @author LiKe
 * @version 1.0.0
 * @date 2020-07-24 09:27
 */
@Slf4j
public class CustomResourceServerTokenServices implements ResourceServerTokenServices {

    private final TokenStore tokenStore;

    public CustomResourceServerTokenServices(JwtAccessTokenConverter accessTokenConverter) {
        this.tokenStore = new JwtTokenStore(accessTokenConverter);
    }

    /**
     * Description: 用于从 accessToken 中加载凭证信息, 并构建出 {@link OAuth2Authentication} 的方法

     *     Details:
     *
     * @see ResourceServerTokenServices#loadAuthentication(String)
     */
    @Override
    public OAuth2Authentication loadAuthentication(String accessToken) throws AuthenticationException, InvalidTokenException {
        log.debug("CustomResourceServerTokenServices :: loadAuthentication called ...");
        log.trace("CustomResourceServerTokenServices :: loadAuthentication :: accessToken: {}", accessToken);

        return tokenStore.readAuthentication(accessToken);
    }

    @Override
    public OAuth2AccessToken readAccessToken(String accessToken) {
        log.debug("CustomResourceServerTokenServices :: readAccessToken called ...");
        throw new UnsupportedOperationException("暂不支持 readAccessToken!");
    }

}

可以看到, 我们为 tokenServices 在构造阶段就初始化了一个 JwtTokenStore 的实例, 后者会调用 readAuthentication 方法解析令牌并组织 OAuth2Authentication 对象:

public class JwtTokenStore implements TokenStore {
	// ...

	@Override
	public OAuth2Authentication readAuthentication(String token) {
		return jwtTokenEnhancer.extractAuthentication(jwtTokenEnhancer.decode(token));
	}

	// ...
}

这样, 资源服务器的改造就算结束了. 为了让资源服务器能够访问授权服务器的 /oauth/token_key 端点, 我们还需要在授权服务器上, 开启这个端点, 请接着往下看…

授权服务器: 注入 TokenKeyEndpoint

前面也说到了, 如果资源服务器本地没有公钥文件, 它还可以请求授权服务器的公钥端点 TokenKeyEndpoint 端点获取公钥. 但是需要授权服务器开启了这个端点, 这就是本章要讨论的内容.

TokenKeyEndpoint 对应端点 /oauth/token_key, 是供外部调用的, 获取 “公钥” 的端点. 在 org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerEndpointsConfiguration 中我们看到, 默认情况下, 注入了 TokenEndpoint (/oauth/token), CheckTokenEndpoint (/oauth/check_token), AuthorizationEndpoint (/oauth/authorize), WhitelabelApprovalEndpointWhitelabelErrorEndpoint (/oauth/error) 这几个端点, 唯独没有我们需要的 TokenKeyEndpoint. 正因如此, 现在访问 /oauth/token_key 端点会直接响应 404. 看来, 这个端点需要用户手动注入.

TokenKeyEndpoint 源代码可以看到, 这个端点构造时接收 JwtAccessTokenConverter, 正好是我们配置的转换器.

@FrameworkEndpoint
public class TokenKeyEndpoint {
    private final JwtAccessTokenConverter converter;

 	public TokenKeyEndpoint(JwtAccessTokenConverter converter) {
		super();
		this.converter = converter;
	}

    /**
     * Get the verification key for the token signatures. The principal has to
     * be provided only if the key is secret
     * (shared not public).
     * 
     * @param principal the currently authenticated user if there is one
     * @return the key used to verify tokens
     */
    @RequestMapping(value = "/oauth/token_key", method = RequestMethod.GET)
    @ResponseBody
    public Map<String, String> getKey(Principal principal) {
        if ((principal == null || principal instanceof AnonymousAuthenticationToken) && !converter.isPublic()) {
            throw new AccessDeniedException("You need to authenticate to see a shared key");
        }
        Map<String, String> result = converter.getKey();
        return result;
    }
}

而调用这个转换器的 getKey 方法将返回公钥:

/**
 * Get the verification key for the token signatures.
 *
 * @return the key used to verify tokens
 */
public Map<String, String> getKey() {
	Map<String, String> result = new LinkedHashMap<String, String>();
	result.put("alg", signer.algorithm());
	result.put("value", verifierKey);
	return result;
}

我们可以继承这个转换器然后重写这个方法返回统一的响应格式:

/**
 * 自定义的 {@link JwtAccessTokenConverter}
 *
 * @author LiKe
 * @version 1.0.0
 * @date 2020-07-22 10:19
 */
public class CustomJwtAccessTokenConverter extends JwtAccessTokenConverter {

    /**
     * Description: 重写以返回统一的格式
     *
     * @return java.util.Map
     * @author LiKe
     * @date 2020-07-22 10:23:04
     * @see JwtAccessTokenConverter#getKey()
     */
    @Override
    public Map<String, String> getKey() {
        return SecurityResponse.Builder.of().httpStatus(HttpStatus.OK).message(HttpStatus.OK.getReasonPhrase())
                .data(super.getKey())
                .build().toMap();
    }
}

在授权服务器的配置类中, 手动注入 TokenKeyEndpoint 并将 JwtAccessTokenConverter 的引用指向自定义的转换器:

@Slf4j
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {
	// ...

    /**
     * Description: 为 {@link JwtTokenStore} 所须
     *
     * @return org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter
     * @author LiKe
     * @date 2020-07-20 18:04:48
     */
    private JwtAccessTokenConverter jwtAccessTokenConverter() {
        final KeyStoreKeyFactory keyStoreKeyFactory = new KeyStoreKeyFactory(new ClassPathResource("authorization-server.jks"), "********".toCharArray());
        final JwtAccessTokenConverter jwtAccessTokenConverter = new CustomJwtAccessTokenConverter();
        jwtAccessTokenConverter.setKeyPair(keyStoreKeyFactory.getKeyPair("authorization-server-jwt-keypair"));
        return jwtAccessTokenConverter;
    }

    @Bean
    public TokenKeyEndpoint tokenKeyEndpoint() {
        return new TokenKeyEndpoint(jwtAccessTokenConverter());
    }

	// ...
}

测试 /oauth/token_key 端点, 授权服务器返回的数据应当形如:

{
    "timestamp": "2020-07-22 10:38:34",
    "status": "200",
    "message": "OK",
    "data": "{\"alg\":\"SHA256withRSA\",\"value\":\"-----BEGIN PUBLIC KEY-----\\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAlLx5bz3zu/ptZpVuvCBQZ4dMeDhmZJmyxia7A9706B5o/ipLFcZnjOtKVQcZTa8UOniTDJ46DmMyK2Q5oW8d24cpMdPSwxNMU/7dOv40DFnoFUFIWUR/+fAZVTCfJb7pBpzWpmLmvOhLV8rSOKbJTIeRUWgsFZsCJJaqIa3/6k7moTV4DURUgh1ABmMyXUd3/zeSkdPJXu9QCdxFygSPVJs4d5Bqr97mROIdt9qmngap1Lch2elwrzWuQx63mGxoK+lxEQB6ftdPLvpEABuCBs7hO18CBj5ei9G+foaFe/77muNCILAtvc8UiD6PRbf5e1YXEp0IHZisuOhedjqBFQIDAQAB\\n-----END PUBLIC KEY-----\"}"
}

接下来可以启动授权服务器和资源服务器, 用向授权服务器申请的令牌请求资源服务器的资源, 可以观察到, 整个过程授权服务器都没有一行日志输出. 可见, 授权和验证, 已经实现了解耦. 授权服务器也得到了 “减负”.

总结

本篇探讨了如何在资源服务器通过自定义的 tokenServices 独立实现令牌的解析和签名认证 (不需要授权服务器介入).

下一篇, 我们将尝试研究一下如何在 SpringSecurity OAuth2 实现客户端和用户端, 两端的动态权限…

Reference

  • How to use HS256 with JwtAccessTokenConverter

你可能感兴趣的:(#,Spring,Security,java,spring,jwt)

  • 【2025年饿了么春招-3月14日-第二题(200分)- 小红的排列构造】(题目+思路+Java&C++&Python解析+在线测试) 塔子哥学算法 javac++python算法数据结构饿了么
    题目内容小红希望你构造一个长度为nnn的排列,满足∑i=1n∗i\sum_{i
  • Spring Cache的基本使用 奇怪的大象 面试学习路线阿里巴巴springjava后端
    文章目录一、概述二、SpringCache的使用2.1环境搭建2.2缓存的读模式@Cacheable2.3自定义缓存配置[email protected]@CacheEvict删除缓存2.6@Caching多个操作三、SpringCache的不足一、概述常见的缓存的框架有Redis、Memcached、Guava、Caffeine等等,各有各的优势。如果我们的程序想要使用缓存,就要与这些框架耦合。聪明
  • Apache OFBiz路径遍历漏洞(CVE-2024-36104) WuY1nSec 漏洞复现apache
    0x01漏洞描述ApacheOFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。ApacheOFBiz18.12.14之前版本存在命令执行漏洞,该漏洞源于ControlFilter对路径限制不当导致用户能够访问ProgramExport导出功能执行Groovy代码。0x02影响版本ApacheOFBiz<18.12
  • Spring框架快速入门手册 Uncoverlove springmysqlmybatisjava后端
    说明:本文试图将Spring框架的知识体系进行整合分析,并冠以自己的理解,为初学Spring框架的同学,提供一个快速入门手册。同时呢,也是为了总结一下工作学习中遇到的问题和经验,以免发生遗漏!文末将附上Spring的学习资料,以供大家学习~(申明一下:纯小白一枚,由于工作需要自学的Spring,或许某些理解会出现偏差,烦请各位斧正!不慎感激!!)快速入门推荐阅读书籍(欢迎补充):1、《JavaEE
  • Java通过Apache POI操作Excel IT__learning 数据分析javaapacheexcel
    1、添加依赖org.apache.poipoi3.9org.apache.poipoi-ooxml3.9joda-timejoda-time2.10.12、读EXCELpublicstaticvoidread()throwsException{FileInputStreamstream=newFileInputStream("D:\\Test\\file.xlsx");//1.创建工作簿对象,并指
  • 【MyBatis-Plus 注解配置】开发中常用注解整理与介绍 Yan.love mybatis后端java
    不知道朋友们会不会在SpringBoot中集成MyBatis-Plus的时候,总是这个注解那个注解,都不知道哪些是MyBatis-Plus的了,搞得晕乎乎的,所以我整理了一份MyBatis-Plus开发中常用的注解,相信看完你就知道哪些注解是MyBatis-Plus提供的了,以后在开发中就能够更加清晰了1.@TableName作用:指定实体类对应的数据库表名。用法:@TableName("user
  • 英伟达系列显卡大解析B100、H200、L40S、A100 2301_78234743 java
    家里有了变故。。。快手数分秋招一面面经我发现算法岗也不很难进啊(深度学习)算法想转数开…Java零基础校招学习路线突击版(吐血整理)等的花都谢了的华子最后给开了22k,武汉,应该是14a。不过在这几个月里我坚定了搞几年快钱回家和np朋友因骂了hr,boos被封了哈哈哈在央企想被开除需要做什么?2024小米分布式存储研发急招华为2012被毁意向我发现算法岗也不很难进啊(深度学习)在央企想被开除需要做
  • Podman 运行redis 报错 one one day podmanredis数据库
    Podman运行redis报错一、报错内容find:'.':Permissiondeniedchown:changingownershipof'.':Permissiondenied二、问题分析SELinux模式SELinux(Security-EnhancedLinux)是一种安全模块,旨在通过强制访问控制(MAC)来增强Linux系统的安全性。SELinux具有三种工作模式,每种模式提供不同的
  • java24种设计模式目录,为大家整理最全的24种设计模式详解,必收藏 高补 java24种设计模式目录
    设计模式六大原则单一职责原则一个方法尽可能做一件事情,一般来说不应该让一个方法承担多个职责。单一职责原则的英文名称是SingleResponsibilityPrinciple,简称是SRP。单一职责原则的定义是:应该有且仅有一个原因引起类的变更。SRP的原话解释是:Thereshouldneverbemorethanonereasonforaclasstochange.单一职责原则提出了一个编写程
  • 结构型模式之适配器模式:让不兼容的接口兼容 菜就多练少说 设计模式适配器模式
    在软件开发中,经常会遇到这样一种情况:系统的不同部分需要进行交互,但由于接口不兼容,导致无法直接使用。这时,适配器模式(AdapterPattern)就能派上用场。适配器模式是设计模式中的结构型模式,它的目的是通过创建一个适配器类来“包装”一个不兼容的接口,使得两个接口能够兼容、协作。简单来说,适配器模式就是“转换接口”模式。本文将深入探讨适配器模式,讲解其概念、应用场景,并展示如何在Java中实
  • 【JS】JS中的jQuery库简介及使用方法 菜就多练少说 javascriptjavascriptjquery开发语言
    jQuery简介及使用方法jQuery简介如何使用jQuery1导入jQuery库2编写自己的jQuery文件3jQuery语法3.1基础语法3.2文档就绪函数3.3选择器3.4事件绑定函数结语jQuery简介jQuery是一个流行的JavaScript库,用于简化JavaScript编程。它提供了许多便捷的方法来处理DOM操作、事件处理、动画效果等,使得JavaScript开发变得更加简单和高效
  • 高性能缓存利器:Caffeine 在 Spring Boot 中的应用 阿里小阿希 JAVA缓存springbootspring
    在现代应用程序中,缓存是提高数据检索速度、减少对数据库或其他数据源访问次数的重要手段。SpringCache提供了多种缓存实现方式,而在我们的SpringBoot项目中,我们选择了Caffeine作为默认的缓存库。Caffeine简介Caffeine是一个基于Java8的高性能、近乎最佳的缓存库。它提供了多种优化技术,如写入时复制(Copy-on-Write)和分段锁(SegmentedLocki
  • Android自动化测试工具 海棠如醉 web技术自动化运维
    细解自动化测试工具Airtest-CSDN博客以下是几种常见的Android应用自动化测试工具:Appium:支持多种编程语言,如Java、Python、Ruby、JavaScript等。可以用于Web应用程序和原生应用程序的自动化测试,并支持iOS和Android平台。Espresso:由Google开发的AndroidUI测试框架,可用于测试应用程序的用户界面和与用户的交互。Espresso支
  • SpringBoot整合MinIO实现文件的上传下载以及获取预览URL .晚安. springboot后端javaweb
    SpringBoot整合MinIO实现文件的上传下载以及获取预览URLJDK17SpringBoot3参考https://min.io/docs/minio/linux/developers/java/API.html?ref=docs-redirect#uploadObject源码https://gitee.com/Uncommen/easy-min-io引入依赖在pom.xml中添加主要的依赖
  • Cookie,Session,JWT .晚安. javaweb
    Cookie,Session,JWT前言由于早期的网页被设计出来只是为了满足人们浏览网络资源的需求,几乎没有交互,所以HTTP在设计之初就是无状态的,无法携带信息。随着互联网的发展,为了满足人们对于网络交互的需求,需要一种技术来保存用户信息,用于登录认证等。目前常见的技术便是Cookie,Session,JWT。CookieCookie存储于客户端(浏览器),当用户访问一个页面时,客户端将用户填好
  • Java并发——ThreadLocal .晚安. java开发语言
    Java——ThreadLocal什么是ThreadLocal?ThreadLocal可以翻译为线程本地存储,是用来解决多线程间对共享资源的访问安全性的一种技术。当我们在面临多线程并发问题时,例如线程A创建了对于一个共享资源(static)的访问链接,此时当线程A正在访问该资源时,线程B也通过该链接开始对资源进行访问,而当线程A访问资源完毕后关闭了对于资源的访问链接,那么线程B就会出错。一种解决方
  • java不用缓存实现token续签_JWT实现登陆认证及Token自动续期 deep go
    过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章中介绍了,可以阅读:https://juejin.cn/post/6916150628955717646今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是对一个原先没写过认证功能的菜鸡甜来说也是一种锻炼吧技术选型要实现认证功能,很容易就会想到JWT或者session,但是两者有
  • jwt的token自动续约_关于JWT Token 自动续期的解决方案 weixin_39608301 jwt的token自动续约
    前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwttoken。前端(如vue)在接收到jwttoken后会将token存储到LocalStorage中。后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对token进行拦截校验,校验token是否过期,如果token过期则会让前端跳转到登录页面重新登录。因为jwttoken中一般会包含用户的
  • 项目使用mybatis-plus分页插件和pageHelper分页插件引起失效问题! JavinLu mybatisjavaspringboot个人开发深度学习
    一、背景项目中以前的源码是使用pageHelper分页插件来实现。涉及到的sql代码还是要手写部分。而目前在Springboot项目中,使用的主流的方式就是一个基于mybatis-plus的.page()的分页,当然这种分页方式是适用于一些简单的查询和简单场景下。对于多表联查等场景,可能还是需要通过手写sql来实现复杂查询。这时候就可以使用pageHelper的分页插件。二、问题描述在同时使用my
  • 计算机毕业设计Java河南省农村多元化养老服务管理系统设计与实现(源码+系统+mysql数据库+lw文档) 山逸网络 数据库javamysql
    计算机毕业设计Java河南省农村多元化养老服务管理系统设计与实现(源码+系统+mysql数据库+lw文档)计算机毕业设计Java河南省农村多元化养老服务管理系统设计与实现(源码+系统+mysql数据库+lw文档)本源码技术栈:项目架构:B/S架构开发语言:Java语言开发软件:ideaeclipse前端技术:Layui、HTML、CSS、JS、JQuery等技术后端技术:JAVA运行环境:Win1
  • 怎么使用jwt,token以及redis进行续期? 曦月不可及? java
    怎么使用jwt,token以及redis进行续期?什么是jwt?什么是token?结合JWT、Token和Redis进行续期的一般步骤:生成JWT:用户登录成功后,服务器生成一个JWT,并返回给客户端。importio.jsonwebtoken.Jwts;importio.jsonwebtoken.SignatureAlgorithm;publicclassJwtUtil{privatestati
  • spring BeanFactory解析 yulin959 spring
    BeanFactory是spring容器的根容器,定义和约定了获取对象.定义了spring管理的对象的生命周期;生命周期如下:Beanfactoryimplementationsshouldsupportthestandardbeanlifecycleinterfacesasfaraspossible.Thefullsetofinitializationmethodsandtheirstandar
  • Spring Boot入门(15):一键生成,轻松搭建你的Spring Boot+MyBatis-Plus项目! 喵手 Springbootspringbootmybatis后端
    1.前言SpringBoot是一种全新的基于Spring框架的用于快速开发新一代应用程序的框架。它能够使开发者通过简单的配置快速搭建项目,并能够提供常见的功能模块,如数据库访问、事务管理、Web开发和安全管理等。而MyBatis-Plus是一个功能强大的MyBatis增强工具,它基于MyBatis本身进行了扩展,可以大幅度减少开发工作量,提高开发效率。本文将介绍如何使用MyBatis-Plus的A
  • Spring Boot启动流程及源码实现深度解析 黑猫Teng springboot后端java
    SpringBoot启动流程及源码实现深度解析一、启动流程概述SpringBoot的启动流程围绕SpringApplication类展开,核心流程可分为以下几个阶段:初始化阶段:推断应用类型,加载ApplicationContextInitializer和ApplicationListener环境准备:加载配置文件和命令行参数上下文创建:实例化ApplicationContext上下文刷新:执行r
  • Spring工厂Bean FactoryBean finajoy Springspringjava后端
    首先什么是bean,我感觉我看了这么久,一直没太明白,这里听老师说,bean就是对象。在Spring中有两种类型的bean,一种是普通bean,另一种是工厂bean(FactoryBean)普通bean和FactoryBean的区别:普通bean,在配置文件中定义bean类型就是返回类型。工厂bean,在配置文件中定义的bean类型可以和返回的类型不一样。演示工厂bean:创建类,让这个类作为工厂
  • 模拟类似 DeepSeek 的对话 二川bro 前端智能AI前端人工智能
    以下是一个完整的JavaScript数据流式获取实现方案,模拟类似DeepSeek的对话式逐段返回效果。包含前端实现、后端模拟和详细注释:流式对话演示#output{border:1pxsolid#ccc;padding:20px;margin:20px;min-height:200px;font-family:monospace;white-space:pre-wrap;}.loading{di
  • Spring bean factory 门里有什么
    EJB:JAVA中的商业应用组件技术(EnterpriseJavaBean)控制反转/反向控制inversionofcontrol依赖注入:dependencyinjection所有的类的创建、销毁都由spring来控制,也就是说控制对象生存周期的不再是引用它的对象,而是spring。对于某个具体的对象而言,以前是它控制其他对象,现在是所有对象都被spring控制,所以这叫控制反转。IoC的一个重
  • Spring 中的 BeanFactory 和 ApplicationContext 详解 青灯文案 Java后端springjava后端
    文章目录一、BeanFactory1、BeanFactory的作用2、BeanFactory的实现类3、BeanFactory的创建4、BeanFactory与ApplicationContext的关系5、BeanFactory的工作原理二、ApplicationContext1、ApplicationContext的作用2、ApplicationContext的实现类3、ApplicationC
  • 计算机毕业设计springboot基于BS的驾校在线学习考试系统43i2x9【附源码+数据库+部署+LW】 ゛花昔 计算机毕设源码程序 课程设计springboot学习
    本项目包含程序+源码+数据库+LW+调试部署环境,文末可获取一份本项目的java源码和数据库参考。系统的选题背景和意义选题背景:随着社会的发展和交通工具的普及,驾驶证成为了越来越多人的需求。然而,传统的驾校学习考试方式存在一些问题,如时间和空间限制、学习资源不足等。为了解决这些问题,基于BS(Browser/Server)架构的驾校在线学习考试系统应运而生。该系统利用互联网浏览器作为客户端,通过服
  • 深入理解Java集合框架:构建高效、灵活的数据管理方案 love729234ming java开发语言
    深入理解Java集合框架:构建高效、灵活的数据管理方案引言Java集合框架(JavaCollectionsFramework,JCF)是Java语言提供的一套用于表示和操作集合的统一架构。它包含了一系列的接口和类,用于存储和操作对象集合,如列表(List)、集合(Set)、映射(Map)和队列(Queue)等。集合框架的设计初衷是为了提供一套灵活、可重用且类型安全的集合数据结构,帮助开发者以统一和
  • Java 并发包之线程池和原子计数 lijingyao8206 Java计数ThreadPool并发包java线程池
    对于大数据量关联的业务处理逻辑,比较直接的想法就是用JDK提供的并发包去解决多线程情况下的业务数据处理。线程池可以提供很好的管理线程的方式,并且可以提高线程利用率,并发包中的原子计数在多线程的情况下可以让我们避免去写一些同步代码。     这里就先把jdk并发包中的线程池处理器ThreadPoolExecutor 以原子计数类AomicInteger 和倒数计时锁C
  • java编程思想 抽象类和接口 百合不是茶 java抽象类接口
    接口c++对接口和内部类只有简介的支持,但在java中有队这些类的直接支持   1 ,抽象类 :  如果一个类包含一个或多个抽象方法,该类必须限定为抽象类(否者编译器报错)   抽象方法 : 在方法中仅有声明而没有方法体    package com.wj.Interface;
  • [房地产与大数据]房地产数据挖掘系统 comsci 数据挖掘
           随着一个关键核心技术的突破,我们已经是独立自主的开发某些先进模块,但是要完全实现,还需要一定的时间...        所以,除了代码工作以外,我们还需要关心一下非技术领域的事件..比如说房地产     &nb
  • 数组队列总结 沐刃青蛟 数组队列
          数组队列是一种大小可以改变,类型没有定死的类似数组的工具。不过与数组相比,它更具有灵活性。因为它不但不用担心越界问题,而且因为泛型(类似c++中模板的东西)的存在而支持各种类型。      以下是数组队列的功能实现代码:   import List.Student; public class
  • Oracle存储过程无法编译的解决方法 IT独行者 oracle存储过程 
    今天同事修改Oracle存储过程又导致2个过程无法被编译,流程规范上的东西,Dave 这里不多说,看看怎么解决问题。   1.     查看无效对象 XEZF@xezf(qs-xezf-db1)> select object_name,object_type,status from all_objects where status='IN
  • 重装系统之后oracle恢复 文强chu oracle
    前几天正在使用电脑,没有暂停oracle的各种服务。 突然win8.1系统奔溃,无法修复,开机时系统 提示正在搜集错误信息,然后再开机,再提示的无限循环中。 无耐我拿出系统u盘 准备重装系统,没想到竟然无法从u盘引导成功。 晚上到外面早了一家修电脑店,让人家给装了个系统,并且那哥们在我没反应过来的时候, 直接把我的c盘给格式化了 并且清理了注册表,再装系统。 然后的结果就是我的oracl
  • python学习二( 一些基础语法) 小桔子 pthon基础语法
    紧接着把!昨天没看继续看django 官方教程,学了下python的基本语法 与c类语言还是有些小差别: 1.ptyhon的源文件以UTF-8编码格式 2. /   除 结果浮点型 //  除 结果整形 %   除 取余数 *   乘 **  乘方 eg 5**2 结果是5的2次方25 _&
  • svn 常用命令 aichenglong SVN版本回退
    1 svn回退版本   1)在window中选择log,根据想要回退的内容,选择revert this version或revert chanages from this version 两者的区别:   revert this version:表示回退到当前版本(该版本后的版本全部作废)   revert chanages from this versio
  • 某小公司面试归来 alafqq 面试
    先填单子,还要写笔试题,我以时间为急,拒绝了它。。时间宝贵。 老拿这些对付毕业生的东东来吓唬我。。 面试官很刁难,问了几个问题,记录下; 1,包的范围。。。public,private,protect. --悲剧了 2,hashcode方法和equals方法的区别。谁覆盖谁.结果,他说我说反了。 3,最恶心的一道题,抽象类继承抽象类吗?(察,一般它都是被继承的啊) 4,stru
  • 动态数组的存储速度比较 集合框架 百合不是茶 集合框架
    集合框架: 自定义数据结构(增删改查等) package 数组; /** * 创建动态数组 * @author 百合 * */ public class ArrayDemo{ //定义一个数组来存放数据 String[] src = new String[0]; /** * 增加元素加入容器 * @param s要加入容器
  • 用JS实现一个JS对象,对象里有两个属性一个方法 bijian1013 js对象
    <html> <head> </head> <body> 用js代码实现一个js对象,对象里有两个属性,一个方法 </body> <script> var obj={a:'1234567',b:'bbbbbbbbbb',c:function(x){
  • 探索JUnit4扩展:使用Rule bijian1013 java单元测试JUnitRule
            在上一篇文章中,讨论了使用Runner扩展JUnit4的方式,即直接修改Test Runner的实现(BlockJUnit4ClassRunner)。但这种方法显然不便于灵活地添加或删除扩展功能。下面将使用JUnit4.7才开始引入的扩展方式——Rule来实现相同的扩展功能。 1. Rule       &n
  • [Gson一]非泛型POJO对象的反序列化 bit1129 POJO
    当要将JSON数据串反序列化自身为非泛型的POJO时,使用Gson.fromJson(String, Class)方法。自身为非泛型的POJO的包括两种: 1. POJO对象不包含任何泛型的字段 2. POJO对象包含泛型字段,例如泛型集合或者泛型类 Data类 a.不是泛型类, b.Data中的集合List和Map都是泛型的 c.Data中不包含其它的POJO    
  • 【Kakfa五】Kafka Producer和Consumer基本使用 bit1129 kafka
    0.Kafka服务器的配置 一个Broker, 一个Topic Topic中只有一个Partition()   1. Producer: package kafka.examples.producers; import kafka.producer.KeyedMessage; import kafka.javaapi.producer.Producer; impor
  • lsyncd实时同步搭建指南——取代rsync+inotify ronin47
    1. 几大实时同步工具比较 1.1 inotify + rsync 最近一直在寻求生产服务服务器上的同步替代方案,原先使用的是 inotify + rsync,但随着文件数量的增大到100W+,目录下的文件列表就达20M,在网络状况不佳或者限速的情况下,变更的文件可能10来个才几M,却因此要发送的文件列表就达20M,严重减低的带宽的使用效率以及同步效率;更为要紧的是,加入inotify
  • java-9. 判断整数序列是不是二元查找树的后序遍历结果 bylijinnan java
    public class IsBinTreePostTraverse{ static boolean isBSTPostOrder(int[] a){ if(a==null){ return false; } /*1.只有一个结点时,肯定是查找树 *2.只有两个结点时,肯定是查找树。例如{5,6}对应的BST是 6 {6,5}对应的BST是
  • MySQL的sum函数返回的类型 bylijinnan javaspringsqlmysqljdbc
    今天项目切换数据库时,出错 访问数据库的代码大概是这样: String sql = "select sum(number) as sumNumberOfOneDay from tableName"; List<Map> rows = getJdbcTemplate().queryForList(sql); for (Map row : rows
  • java设计模式之单例模式 chicony java设计模式
    在阎宏博士的《JAVA与模式》一书中开头是这样描述单例模式的:   作为对象的创建模式,单例模式确保某一个类只有一个实例,而且自行实例化并向整个系统提供这个实例。这个类称为单例类。 单例模式的结构   单例模式的特点: 单例类只能有一个实例。 单例类必须自己创建自己的唯一实例。 单例类必须给所有其他对象提供这一实例。   饿汉式单例类   publ
  • javascript取当月最后一天 ctrain JavaScript
    <!--javascript取当月最后一天--> <script language=javascript> var current = new Date(); var year = current.getYear(); var month = current.getMonth(); showMonthLastDay(year, mont
  • linux tune2fs命令详解 daizj linuxtune2fs查看系统文件块信息
    一.简介: tune2fs是调整和查看ext2/ext3文件系统的文件系统参数,Windows下面如果出现意外断电死机情况,下次开机一般都会出现系统自检。Linux系统下面也有文件系统自检,而且是可以通过tune2fs命令,自行定义自检周期及方式。 二.用法: Usage: tune2fs [-c max_mounts_count] [-e errors_behavior] [-g grou
  • 做有中国特色的程序员 dcj3sjt126com 程序员
      从出版业说起 网络作品排到靠前的,都不会太难看,一般人不爱看某部作品也是因为不喜欢这个类型,而此人也不会全不喜欢这些网络作品。究其原因,是因为网络作品都是让人先白看的,看的好了才出了头。而纸质作品就不一定了,排行榜靠前的,有好作品,也有垃圾。 许多大牛都是写了博客,后来出了书。这些书也都不次,可能有人让为不好,是因为技术书不像小说,小说在读故事,技术书是在学知识或温习知识,有
  • Android:TextView属性大全 dcj3sjt126com textview
    android:autoLink    设置是否当文本为URL链接/email/电话号码/map时,文本显示为可点击的链接。可选值(none/web/email/phone/map/all)  android:autoText    如果设置,将自动执行输入值的拼写纠正。此处无效果,在显示输入法并输
  • tomcat虚拟目录安装及其配置 eksliang tomcat配置说明tomca部署web应用tomcat虚拟目录安装
    转载请出自出处:http://eksliang.iteye.com/blog/2097184 1.-------------------------------------------tomcat  目录结构 config:存放tomcat的配置文件 temp  :存放tomcat跑起来后存放临时文件用的 work   : 当第一次访问应用中的jsp
  • 浅谈:APP有哪些常被黑客利用的安全漏洞 gg163 APP
    首先,说到APP的安全漏洞,身为程序猿的大家应该不陌生;如果抛开安卓自身开源的问题的话,其主要产生的原因就是开发过程中疏忽或者代码不严谨引起的。但这些责任也不能怪在程序猿头上,有时会因为BOSS时间催得紧等很多可观原因。由国内移动应用安全检测团队爱内测(ineice.com)的CTO给我们浅谈关于Android 系统的开源设计以及生态环境。 1. 应用反编译漏洞:APK 包非常容易被反编译成可读
  • C#根据网址生成静态页面 hvt Web.netC#asp.nethovertree
    HoverTree开源项目中HoverTreeWeb.HVTPanel的Index.aspx文件是后台管理的首页。包含生成留言板首页,以及显示用户名,退出等功能。根据网址生成页面的方法:   bool CreateHtmlFile(string url, string path) { //http://keleyi.com/a/bjae/3d10wfax.htm stri
  • SVG 教程 (一) 天梯梦 svg
    SVG 简介 SVG 是使用 XML 来描述二维图形和绘图程序的语言。 学习之前应具备的基础知识: 继续学习之前,你应该对以下内容有基本的了解: HTML XML 基础 如果希望首先学习这些内容,请在本站的首页选择相应的教程。 什么是SVG? SVG 指可伸缩矢量图形 (Scalable Vector Graphics) SVG 用来定义用于网络的基于矢量
  • 一个简单的java栈 luyulong java数据结构
    public class MyStack { private long[] arr; private int top; public MyStack() { arr = new long[10]; top = -1; } public MyStack(int maxsize) { arr = new long[maxsize]; top
  • 基础数据结构和算法八:Binary search sunwinner AlgorithmBinary search
    Binary search needs an ordered array so that it can use array indexing to dramatically reduce the number of compares required for each search, using the classic and venerable binary search algori
  • 12个C语言面试题,涉及指针、进程、运算、结构体、函数、内存,看看你能做出几个! 刘星宇 c面试
    12个C语言面试题,涉及指针、进程、运算、结构体、函数、内存,看看你能做出几个! 1.gets()函数 问:请找出下面代码里的问题: #include<stdio.h> int main(void) {     char buff[10];     memset(buff,0,sizeof(buff));
  • ITeye 7月技术图书有奖试读获奖名单公布 ITeye管理员 活动ITeye试读
    ITeye携手人民邮电出版社图灵教育共同举办的7月技术图书有奖试读活动已圆满结束,非常感谢广大用户对本次活动的关注与参与。 7月试读活动回顾: http://webmaster.iteye.com/blog/2092746 本次技术图书试读活动的优秀奖获奖名单及相应作品如下(优秀文章有很多,但名额有限,没获奖并不代表不优秀): 《Java性能优化权威指南》
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他