网站建设目的与作用/百度账号登陆入口
一、登录校验
- 问题:在未登录情况下,我们也可以直接访问部门管理、员工管理等功能。
- 由于浏览器与web服务器中的数据交互是通过HTTP协议的,而HTTP协议是无状态的–即每个页面中的请求和响应都是独立的,没有状态存在。
- 所以我们需要进行登录校验:
1.登录校验
- 每次访问页面的时候可以用
if...else...来进行判断用户是否登录。但过程较为繁琐,所以我们设置统一拦截。
二、统一拦截
1.登录标记
(1).会话技术:
- 用户登录成功之后,每一次请求中,都可以获取到该标记。
- 会话:
- 用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束在一次会话中可以包含多次请求和响应。
- 会话跟踪:
- 一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。
(2).会话跟踪方案:
- 客户端Cookie(传统)
- 客户端会话跟踪技术:
Cookie。
import com.mannor.pojo.Result;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;@Slf4j
@RestController
public class SessionController {//设置cookie@GetMapping("/c1")public Result cookie(HttpServletResponse response) {response.addCookie(new Cookie("login_username", "mannor"));//设置Cookie/响应Cookiereturn Result.success();}@GetMapping("/c2")public Result cookie2(HttpServletRequest request) {Cookie[] cookies = request.getCookies();//获取所有的Cookiefor (Cookie cookie : cookies) {if (cookie.getName().equals("login_username")) {//输出name为 login_username 的cookieSystem.out.println("login_username: " + cookie.getValue());}}return Result.success();}
}
优点:HTTP协议中支持
缺点:1.移动端APP无法使用cookie不安全,2.用户可以自己禁用,3.Cookiecookie不能跨域。
- 服务端Session(传统)
- 服务端会话跟踪技术:
Session,基于cookie开发
import com.mannor.pojo.Result;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;@Slf4j
@RestController
public class SessionController {//往HttpSession中存储值@GetMapping("/s1")public Result session1(HttpSession session) {log.info("attpSession-s1: {}", session.hashCode());session.setAttribute("loginUser", "tom");//往session中存储数据return Result.success();}//从HttpSession中获取值@GetMapping("/s2")public Result session2(HttpServletRequest request) {HttpSession session = request.getSession();log.info("HttpSession-s2:{}", session.hashCode());Object loginUser = session.getAttribute("loginUser");//从session中获取数据log.info("loginUser: {}", loginUser);return Result.success(loginUser);}
}
优点:存储在服务器,安全性高
缺点:1.在服务器集群的情况下无法直接使用Session; 2.Cookie的缺点(基于Cookie开发)。
- JWT令牌技术 (主流)
//具体相关内容在下详细介绍
优点:1.支持PC端和移动端 2.解决了集群环境下的认证问题 3.减轻了服务器端存储的压力(不用存储)。
缺点:需要自己实现。
(3). JWT令牌技术
- 简介:
- 全称:JSON Web Token 官网:https://jwt.io/
- 定义了一种简洁的、自包含的格式,用于在通信双方以
json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。
- 组成:
- 第一部分: Header(头),记录令牌类型、签名算法等。例如:
{"alg":"HS256", "type":"JwT"} - 第二部分: Payload(有效载荷),携带一些自定义信息、默认信息等。例如:
{"id":"1","username":"Tom"} - 第三部分: Signature(签名),防止
Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。
生成JWT令牌时要对JSON格式的数据进行Base64编码:一种基于64个可打印字符(A-Z a-Z 0-9 + /)来表示二进制数据的编码方式。
//原始的JWT令牌:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
//1.HEADER:ALGORITHM & TOKEN TYPE (头)
{"alg": "HS256","typ": "JWT"
}
//2.PAYLOAD:DATA (有效载荷)
{"sub": "1234567890","name": "John Doe","iat": 1516239022
}
//3.VERIFY SIGNATURE (数字签名)--通过前面的数据,执行签名算法
HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),)
- 应用场景
- 场景:登录认证。
- 登录成功后,生成令牌
- 后续每个请求,都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理
- JWT-生成
- 首先需要引入
pom.xml依赖:
<!-- JWT令牌-->
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version>
</dependency>
- 创建一个测试类
/*** 生成JWT令牌*/
@Test
public void testGenJwt() {//利用Map集合来整合需要存储的数据Map<String, Object> claims = new HashMap<>();claims.put("id", 1);claims.put("name", "tom");//链式编程String jwt = Jwts.builder().signWith(SignatureAlgorithm.HS256, "mannor")//签名算法 解析密钥.setClaims(claims)//自定义内容(载荷).setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))//设置有效期为1h.compact();System.out.println(jwt);//控制台输出:eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTY4NzQ4OTkxOH0.FmNSF7KDVZ9SaGoVJb6jNDq_oqlgSeUcFBskGNgy0UE}
- 把输出的JWT令牌发放到官网的Encoded下可以看见原始数据
- JWT-解析
/*** 解析JwT*/
@Test
public void testParseJwt() {Claims claims = Jwts.parser().setSigningKey("mannor") //解析密钥.parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTY4NzQ5MTIwN30.Tjzr4CKzwJcGtYwiRCo7d71z6WNugMMefu09hUp5H3o").getBody();System.out.println(claims);
}
- JWT校验时使用的签名秘钥,必须和生成JWT令牌时使用的秘钥是配套的。
- 如果JWT令牌解析校验时报错,则说明JWT令牌被篡改或失效了,令牌非法。
(4).JWT的登录校验实现(登录-生成令牌)
- 步骤:
- 引入JWT令牌操作工具类。
- 登录完成后,调用工具类生成JWT令牌,并返回。
- 编写一个Util工具类:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.Map;public class JwtUtils {private static String signKey = "mannor"; //登录令牌private static Long expire = 43200000L; //十二个小时后过期/*** 生成JWT令牌* @param claims JWT第二部分负载 payload 中存储的内容* @return*/public static String generateJwt(Map<String, Object> claims){String jwt = Jwts.builder().addClaims(claims).signWith(SignatureAlgorithm.HS256, signKey).setExpiration(new Date(System.currentTimeMillis() + expire)).compact();return jwt;}/*** 解析JWT令牌* @param jwt JWT令牌* @return JWT第二部分负载 payload 中存储的内容*/public static Claims parseJWT(String jwt){Claims claims = Jwts.parser().setSigningKey(signKey).parseClaimsJws(jwt).getBody();return claims;}
}
- 重新编写Controller层代码:
import com.mannor.Service.EmpService;
import com.mannor.pojo.Emp;
import com.mannor.pojo.Result;
import com.mannor.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;import java.util.HashMap;
import java.util.Map;@Slf4j
@RestController
public class LoginController {@Autowiredprivate EmpService empService;@PostMapping("/login")public Result login(@RequestBody Emp emp) {log.info("登录的查询参数:{},{}", emp.getUsername(), emp.getPassword());Emp e = empService.loginSelect(emp);//登陆成功生成令牌,下发令牌if (e != null) {Map<String, Object> claim = new HashMap<>(); //存如我们需要的信息,ID,name、usernameclaim.put("id", e.getId());claim.put("name", e.getName());claim.put("username", e.getUsername());String jwt = JwtUtils.generateJwt(claim);//jwt中包含了员工当前的登录信息return Result.success(jwt);}//登录失败,返回错误信息return Result.error("用户名或密码错误,请检查重新输入");}
}
- 剩下的就需要拦截器来处理
2.统一拦截–过滤器Filter
1. 概述
- 概念: Filter过滤器,是JavaWeb三大组件(Servlet、Filter、Listener)之一。
- 过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。
- 过滤器一般完成一些通用的操作,比如:登录校验、统一编码处理、敏感字符处理等。
2. Filter的快速入门
- 1.定义
Filter:定义一个类,实现Filter接口,并重写其所有方法。
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;@WebFilter(urlPatterns = "/*") //这是JavaWeb中的组件,springboot中没有,还需要在启动类上加上@ServletComponentScan注解
public class demoFilter implements Filter {@Override //初始化、只调用一次 项目启动自动调用public void init(FilterConfig filterConfig) throws ServletException {System.out.println("init初始化方法");}@Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {System.out.println("拦截到了请求");//拦截放行,在路径资源访问之后filterChain.doFilter(servletRequest,servletResponse);}@Override //销毁方法,也只调用一次 项目结束自动调用public void destroy() {System.out.println("destroy初始化方法");}
}
- 2.配置
Filter:Filter类上加@WebFilter注解,配置拦截资源的路径。启动类上加@ServletComponentScan开启Servlet组件支持。
3. Filter详解
- 1.Filter可以根据需求,配置不同的拦截资源路径:
| 拦截路径 | urlPatterns值 | 含义 |
|---|---|---|
| 拦截具体路径 | /login | 只有访问/login 路径时,才会被拦截 |
| 目录拦截 | /emps/* | 访问/emps下的所有资源,都会被拦截 |
| 拦截所有 | /* | 访问所有资源,都会被拦截 |
4. 过滤器链
- 介绍:一个web应用中,可以配置多个过滤器,这多个过滤器就形成了一个过滤器链。
- 执行流程:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wHREKRhw-1687578908342)(18_files/1.jpg)] - 执行顺序:注解配置的
Filter,优先级是按照过滤器类名(字符串)的自然排序。
5. 利用Filter过滤器实现登录校验
- 流程
- 获取请求url。
- 判断请求url中是否包含login,如果包含,说明是登录操作,放行。
- 获取请求头中的令牌(token) 。
- 判断令牌是否存在,如果不存在,返回错误结果(未登录)。
- 解析token,如果解析失败,返回错误结果(未登录)。
- 放行。
- 代码实现:(具体细节请看注释)
import com.alibaba.fastjson.JSONObject;
import com.mannor.pojo.Result;
import com.mannor.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {HttpServletRequest req = (HttpServletRequest) servletRequest;HttpServletResponse resp = (HttpServletResponse) servletResponse;//1. 获取请求url。String requestURI = req.getRequestURI();log.info("请求的url:{}", requestURI);//2.判断请求url中是否包含login,如果包含,说明是登录操作,放行。if (requestURI.contains("login")) {log.info("登录操作");filterChain.doFilter(servletRequest, servletResponse);return;}//3.获取请求头中的令牌(token)。String jwt = req.getHeader("token");//4.判断令牌是否存在,如果不存在,返回错误结果(未登录)。if (!StringUtils.hasLength(jwt)) {log.info("请求头token为空,返回未登录的信息");Result error = Result.error("NOT_LOGIN");//前端需要响应一个json格式的数据//手动将对象转换为json格式的数据-------》使用阿里巴巴fastJSON的工具包(需要引入依赖)String notLogin = JSONObject.toJSONString(error);resp.getWriter().write(notLogin);//使用HttpServletResponse对象返回错误的JSON数据return;}//5.解析token(校验jwt令牌),如果解析失败,返回错误结果(未登录)。如果错误会报错,所以使用try...catch...try {JwtUtils.parseJWT(jwt);} catch (Exception e) {//程序执行到这里说明程序执行失败--jwt令牌错误e.printStackTrace();log.info("解析令牌失败,返回未登录的错误信息");Result error = Result.error("NOT_LOGIN");//前端需要响应一个json格式的数据//手动将对象转换为json格式的数据-------》使用阿里巴巴fastJSON的工具包(需要引入依赖)String notLogin = JSONObject.toJSONString(error);resp.getWriter().write(notLogin);//使用HttpServletResponse对象返回错误的JSON数据return;}//6.放行。log.info("令牌合法,直接放行");filterChain.doFilter(servletRequest,servletResponse);}
}3.统一拦截–拦截器Interceptor
1.概述
- 概念:是一种动态拦截方法调用的机制,类似于过滤器。Spring框架中提供的,用来动态拦截控制器方法的执行。
- 作用:拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码。
- 与过滤器Filter的使用差不多。
2.快速入门
- 定义拦截器,实现
HandlerInterceptor接口,并重写其所有方法。
package com.mannor.Interceptor;import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;@Component
public class LoinCheckInterceptor implements HandlerInterceptor {@Override //目标资源方法运行前运行,返回true:放行;false:不放行public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {System.out.println("preHandle...运行了");return true;}@Override //目标资源方法运行后运行public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println("postHandle...运行了");}@Override //视图渲染完毕后运行,最后运行public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion...运行了");}
}
- 注册配置拦截器
package com.mannor.Config;import com.mannor.Interceptor.LoinCheckInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration //声明为配置类
public class WebConfig implements WebMvcConfigurer {@Autowiredprivate LoinCheckInterceptor loinCheckInterceptor;@Override //用来注册拦截器public void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(loinCheckInterceptor).addPathPatterns("/**");}
}
3.拦截路径
- 拦截器可以根据需求,配置不同的拦截路径:
| 拦截路径 | 含义 | 举例 |
|---|---|---|
| /* | 一级路径 | 能匹配/depts,/emps,/login,不能匹配/depts/1 |
| /** | 任意级路径 | 能匹配/depts,/depts/1 ,/depts/1/2 |
| /depts/* | /depts下的一级路径 | 能匹配/depts/1,不能匹配/depts/1/2,/depts |
| /depts/** | /depts下的任意级路径 | 能匹配/depts,/depts/1,/depts/1/2,不能匹配/emps/1 |
addPathPatterns:拦截的路径。excludePathPatterns:不拦截的路径。
@Configuration //声明为配置类
public class WebConfig implements WebMvcConfigurer {@Autowiredprivate LoinCheckInterceptor loinCheckInterceptor;@Override //用来注册拦截器public void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(loinCheckInterceptor).addPathPatterns("/**").excludePathPatterns("/login");}
}
4.拦截器-执行流程
- 过滤器和拦截器的执行先后流程:
5.Filter与Interceptor
- 接口规范不同:过滤器需要实现
Filter接口,而拦截器需要实现HandlerInterceptor接口。 - 拦截范围不同:过滤器
Filter会拦截所有的资源,而Interceptor只会拦截Spring环境中的资源
6.登录校验的实现–Interceptor
- 步骤(与
Filter一样)
- 获取请求url。
- 判断请求url中是否包含login,如果包含,说明是登录操作,放行。
- 获取请求头中的令牌( token) 。
- 判断令牌是否存在,如果不存在,返回错误结果(未登录)。
- 解析token,如果解析失败,返回错误结果(未登录)。
- 放行。
package com.mannor.Interceptor;import com.alibaba.fastjson.JSONObject;
import com.mannor.pojo.Result;
import com.mannor.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;@Slf4j
@Component
public class LoinCheckInterceptor implements HandlerInterceptor {@Override //目标资源方法(Controller方法)运行前运行,返回true:放行;false:不放行public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {System.out.println("preHandle...运行了");//1. 获取请求url。String requestURI = req.getRequestURI();log.info("请求的url:{}", requestURI);//2.判断请求url中是否包含login,如果包含,说明是登录操作,放行。if (requestURI.contains("login")) {log.info("登录操作");return true;}//3.获取请求头中的令牌(token)。String jwt = req.getHeader("token");//4.判断令牌是否存在,如果不存在,返回错误结果(未登录)。if (!StringUtils.hasLength(jwt)) {log.info("请求头token为空,返回未登录的信息");Result error = Result.error("NOT_LOGIN");//前端需要响应一个json格式的数据//手动将对象转换为json格式的数据-------》使用阿里巴巴fastJSON的工具包(需要引入依赖)String notLogin = JSONObject.toJSONString(error);resp.getWriter().write(notLogin);//使用HttpServletResponse对象返回错误的JSON数据return false;}//5.解析token(校验jwt令牌),如果解析失败,返回错误结果(未登录)。如果错误会报错,所以使用try...catch...try {JwtUtils.parseJWT(jwt);} catch (Exception e) {//程序执行到这里说明程序执行失败--jwt令牌错误e.printStackTrace();log.info("解析令牌失败,返回未登录的错误信息");Result error = Result.error("NOT_LOGIN");//前端需要响应一个json格式的数据//手动将对象转换为json格式的数据-------》使用阿里巴巴fastJSON的工具包(需要引入依赖)String notLogin = JSONObject.toJSONString(error);resp.getWriter().write(notLogin);//使用HttpServletResponse对象返回错误的JSON数据return false;}//6.放行。log.info("令牌合法,直接放行");return true;}@Override //目标资源方法运行后运行public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println("postHandle...运行了");}@Override //视图渲染完毕后运行,最后运行public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion...运行了");}
}
除此之外,还需要在配置类
WebConfig.java中使用excludePathPatterns()方法对css、vue,js等静态资源放行,不然Interceptor会产生拦截