Token认证问题

自己按自己的理解做个一个Token认证
首先有个Token对象，具有以下属性

private long id;    private long exp;//有效时间    private long createtime;    private String power;//权限

1.登陆

当用户登陆时生成一个Token对象，把属性转换成字符串

String temp = tokenBean.getId()+";"+tokenBean.getCreatetime()+";"+tokenBean.getExp()+";"+tokenBean.getPower();

进行aes加密

 /**     * AES加密字符串     *      * @param content     *            需要被加密的字符串     * @param password     *            加密需要的密码     * @return 密文     */    public static byte[] encrypt(String content, String password) {        try {            KeyGenerator kgen = KeyGenerator.getInstance("AES");// 创建AES的Key生产者            kgen.init(128, new SecureRandom(password.getBytes()));// 利用用户密码作为随机数初始化出                                                                    // 128位的key生产者            //加密没关系，SecureRandom是生成安全随机数序列，password.getBytes()是种子，只要种子相同，序列就一样，所以解密只要有password就行            SecretKey secretKey = kgen.generateKey();// 根据用户密码，生成一个密钥            byte[] enCodeFormat = secretKey.getEncoded();// 返回基本编码格式的密钥，如果此密钥不支持编码，则返回                                                            // null。            SecretKeySpec key = new SecretKeySpec(enCodeFormat, "AES");// 转换为AES专用密钥            Cipher cipher = Cipher.getInstance("AES");// 创建密码器            byte[] byteContent = content.getBytes("utf-8");            cipher.init(Cipher.ENCRYPT_MODE, key);// 初始化为加密模式的密码器            byte[] result = cipher.doFinal(byteContent);// 加密            return result;        } catch (NoSuchPaddingException e) {            logger.debug("{}",e);        } catch (NoSuchAlgorithmException e) {            logger.debug("{}",e);        } catch (UnsupportedEncodingException e) {            logger.debug("{}",e);        } catch (InvalidKeyException e) {            logger.debug("{}",e);        } catch (IllegalBlockSizeException e) {            logger.debug("{}",e);        } catch (BadPaddingException e) {            logger.debug("{}",e);        }        return null;    }

再用base64加密，保存到数据库

BASE64Encoder encoder = new BASE64Encoder();        String token = encoder.encodeBuffer(tokenbytes);

同时请求头添加属性 Authorization，返回登陆成功。

response.addHeader("Authorization",token);

2.拦截

对于请求先进行base64解码

 byte[] tokenbytes = decoder.decodeBuffer(Authorization);

在aes解码

 /**     * 解密AES加密过的字符串     *      * @param content     *            AES加密过过的内容     * @param password     *            加密时的密码     * @return 明文     */    public static byte[] decrypt(byte[] content, String password) {        try {            KeyGenerator kgen = KeyGenerator.getInstance("AES");// 创建AES的Key生产者            kgen.init(128, new SecureRandom(password.getBytes()));            SecretKey secretKey = kgen.generateKey();// 根据用户密码，生成一个密钥            byte[] enCodeFormat = secretKey.getEncoded();// 返回基本编码格式的密钥            SecretKeySpec key = new SecretKeySpec(enCodeFormat, "AES");// 转换为AES专用密钥            Cipher cipher = Cipher.getInstance("AES");// 创建密码器            cipher.init(Cipher.DECRYPT_MODE, key);// 初始化为解密模式的密码器            byte[] result = cipher.doFinal(content);              return result; // 明文           } catch (NoSuchAlgorithmException e) {            logger.debug("{}",e);        } catch (NoSuchPaddingException e) {            logger.debug("{}",e);        } catch (InvalidKeyException e) {            logger.debug("{}",e);        } catch (IllegalBlockSizeException e) {            logger.debug("{}",e);        } catch (BadPaddingException e) {            logger.debug("{}",e);        }        return null;    }

然后根据解码后的id在数据库进行查询
同时Token的有效期要在当前时间内
如果已经失效，但是和数据库保存的token一致，重新刷新Token，不进行拦截
不一致则进行拦截

另外
放上一个MD5加密的方法

import org.springframework.util.DigestUtils;    public static String getMD5(String str){        String slat="haha";        String base=str+"/"+slat;        String md5=DigestUtils.md5DigestAsHex(base.getBytes());        return md5;    }