登录功能实现(会话,令牌,Filter,Interceptor)

最新推荐文章于 2024-09-25 10:59:43 发布
最新推荐文章于 2024-09-25 10:59:43 发布
阅读量998 收藏 29
点赞数 24
分类专栏: 技术栈 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79070677/article/details/142436360
版权

1. 基础登录功能

 问题

在未登录情况下,我们也可以直接访问部门管理、员工管理等功能。

2. 登录校验

 

 2.1 会话技术

会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。

会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据

会话跟踪方案:

客户端会话跟踪技术:Cookie

服务端会话跟踪技术:Session

令牌技术

2.1.1 Cookie

优点:HTTP协议中支持的技术

缺点

移动端APP无法使用Cookie

不安全,用户可以自己禁用Cookie

Cookie不能跨域 

2.1.2 Session

优点:存储在服务端,安全

缺点

服务器集群环境下无法直接使用Session

Cookie的缺点

令牌技术

优点

支持PC端、移动端

解决集群环境下的认证问题

减轻服务器端存储压力

缺点:需要自己实现 

2.2 JWT令牌

2.2.1 JWT

简介

全称:JSON Web Token 

定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。

组成:

第一部分:Header(头),记录令牌类型,签名算法等。例如{"alg":'HS256","type":"JWT"}

第二部分:PayLoad(有效载荷),携带一些自定义信息、默认信息等。例如{"id":"1":"username":"Tom"}

第三部分:Signature(签名),防止Token被篡改、确保安全性。将header\payload,并加入指定密钥,通过指定签名算法而来。

 Base64:是一种基于64个可打印的字符(A - Z a - z 0 - 9 + /) 来表示二进制数据的编码方式。

场景

1. 登录成功后,生成令牌

2. 后续每个请求,都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理

注意事项

JWT校验时使用的签名密钥,必须和生成JWT令牌时使用的密钥是配套的。

如果JWT令牌解析校验时报错,则说明JWT令牌被篡改了或 失效了,令牌非法。 

2.3 过滤器Filter

2.3.1 概念

Filter 过滤器,是javaWeb三大组件(Servlet、Filter、Listener)之一。

过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。

过滤器一般完成一些通用的操作,比如:登录校验、统一编码处理、敏感字符处理等。

2.3.2 Filter快速入门

1. 定义Filter: 定义一个类,实现Filter接口,并重写其所有的方法。

2. 配置Filter: Filter类上加 @WebFilter 注解,配置拦截资源的路径。引导类上加 @ServletComponentScan 开启Servlet组件支持。

2.3.3 详解

执行流程

疑问

放行后访问对应资源,资源访问完成后,还会回到Filter中吗? 

如果回到Filter中,是重新执行还是执行放行后的逻辑呢? 执行放行后的逻辑

拦截路径

Filter 可以根据需求,配置不同的拦截资源路径:

拦截路径urlPatterns值含义
拦截具体路径/login只有访问/login路径时,才会被拦截
目录拦截/emps/*访问/emps下的所有资源,都会被拦截
拦截所有/*访问所有资源,都会被拦截
过滤器链 

1. 执行流程

请求 -> 放行前逻辑 ->放行 ->资源 ->放行后逻辑

2. 拦截路径

/login

/depts/*

/*

3. 过滤器链

一个web应用中,配置了多个过滤器,就形成了一个过滤器链

2.4 拦截器Interceptor

2.4.1 概述

概念:是一种动态拦截方法调用的机制,类似于过滤器。Spring 框架中提供的,用来动态拦截控制器方法的执行。

作用:拦截请求,在指定的方法调用前后,根据业务需要执行预先设计的代码。

2.4.2 快速入门

1. 定义拦截器,实现HandlerInterceptor接口,并重写其所有方法。

2. 注册拦截器

 

2.4.3 详解

拦截路径

拦截器可以根据需求,配置不同的拦截路径:

拦截路径含义举例
/*一级路径能匹配/depts,/emps,/login,不能匹配/depts/1
/**任意级路径能匹配/depts,/depts/1,/depts/1/2
/depts/*/depts的下一级路径能匹配/depts/1,不能匹配/depts/1/2,/depts
/depts/**/depts下的任意级路径能匹配/depts,/depts/1,/depts/1/2,不能匹配/emps/1
拦截流程

Filter 与 Interceptor

接口规范不同:过滤器需要实现Filter接口,而拦截器需要实现HandlerInterceptor接口。

拦截范围不同:过滤器Filter会拦截所有的资源,而Interceptor只会拦截Spring 环境中的资源。

Milo_K
关注
专栏目录
登录校验:JWT令牌FilterInterceptor
m0_74399268的博客
03-20 798
初始化方法,Web服务器启动后创建Filter调用,只调用一次。
登录校验(会话跟踪(Cookie、Session、JWT令牌)、统一拦截技术(过滤器Filter、拦截器Interceptor)、全局异常拦截)
m0_63839619的博客
07-20 660
什么是会话?在我们日常生活当中,会话指的就是谈话、交谈。在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话。在用户打开浏览器第一次访问服务器的时候,这个会话就建立了,直到有任何一方断开连接,此时会话就结束了。在一次会话当中,是可以包含多次请求和响应的。同一个浏览器在未关闭之前请求了多次服务器,这多次请求是属于同一个会话。什么是会话跟踪?一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。为什么要共享数据呢?
Web-登录功能实现(含JWT令牌
y_k_j_c的博客
07-15 1072
就是你比如复制一个url用一个未曾登陆对应url系统的浏览器访问他会先进入登陆页面登陆校验就是实现这个功能简而言之,就是不能让你直接访问内部数据,要先登陆才可以首先http协议是无状态的每次请求都是独立的而我们浏览器和web服务器之间就是http协议实现思路存一个登陆标记每个请求前有if判断对应队列标记登陆就正常执行,没有登陆就去登陆界面但是:这样太繁琐了所以我们使用统一拦截来做对应技术主要介绍登陆标记(会话技术)和统一拦截呗三部分之间用.隔开。
后端登录校验——Filter过滤器和Interceptor拦截器
m0_73991249的博客
07-09 1376
外部请求是一个乘客,买了一张高铁票要上高铁Filter就是高铁检票的N多个闸机,它就固定在那,你要进去大厅、进站台就得被它拦一次然后DispatcherServlet就是站台,你终于通过重重难关来到站台,等待高铁到来然后坐到座位Interceptor就是检票员,你终于准备要找到高铁座位,准备坐下,Interceptor检票员就动态随机的出现在你面前,要检查你的高铁票,发现你是逃票、站票就让你滚一边呆着,是坐票你就坐着。
登录验证 --会话会话跟踪技术(cookie,session,jwt令牌)、 filter过滤器、interceptor拦截器相关基础知识
z1659079591的博客
05-23 513
什么是会话?在我们日常生活当中,会话指的就是谈话、交谈。在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话。JWT全称:JSON Web Token (官网:https://jwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。Filter表示过滤器,是JavaWeb三大组件(Servlet、Filter、Listener)之一。过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。
登录认证《JWT+Filter+Interceptor
weixin_64340669的博客
09-23 208
解决身份校验问题,内含JWT、FilterInterceptor知识
登录校验(会话跟踪、JWT令牌FilterInterceptor、全局异常处理器)
2301_80113113的博客
07-25 668
会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间。登陆成功后生成令牌,后续每个请求,都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理。用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。如果JWT令牌解析校验时报错,则说明JWT令牌被篡改或者失效了,令牌非法。JWT校验时使用的签名密钥,必须和生成的JWT令牌时使用的密钥时配套的。请求-->放行前逻辑--> 放行--> 资源--> 放行后逻辑。
登录功能实现全流程
m0_68331743的博客
06-09 710
登录功能中,会话技术的演进体现了从客户端到服务端的跟踪方式的变化,同时也涉及到了认证与授权机制的不断发展。以下是对客户端会话跟踪技术(Cookie)、服务端会话跟踪技术(Session)以及令牌技术(JWT)的总结,以及这些技术与过滤器(Filter)和拦截器(Interceptor)的配合使用情况的概述。
登录认证功能中的会话技术
m0_72167535的博客
04-08 373
如果用户没有登录,此时就不允许他执行相关的业务操作,直接给前端响应一个错误的结果,最终跳转到登录页面,要求他登录成功之后,再来访问对应的数据。输出的结果就是生成的JWT令牌,,通过英文的点分割对三个部分进行分割,我们可以将生成的令牌复制一下,然后打开JWT的官网,将生成的令牌直接放在Encoded位置,此时就会自动的将令牌解析出来。接下来,在后续的每次请求时,都会将Cookie的值,携带到服务端,那服务端呢,接收到Cookie之后,会自动的根据JSESSIONID的值,找到对应的会话对象Session。
JavaWeb学习笔记】登录实现与校验
07-28
同时,文章还介绍了jwt(json web token)令牌的使用,包括生成和校验jwt的过程,如何将jwt用于登录流程,并详细说明了过滤器(filter)和拦截器(interceptor)在登录校验中的应用。此外,文章还提供了全局异常...
sso单点登录
08-28
综上所述,基于SpringBoot的SSO单点登录框架结合了Redis缓存、Cookie、过滤器和拦截器等技术,为开发者提供了一种高效、灵活的方式来实现多应用之间的统一登录管理。在实际项目中,这样的框架可以大大提升用户体验,...
高级软件人才培训专家-day12-SpringBootWeb 登录认证
03-10
本课程主要讲解了如何在Spring Boot Web项目中实现登录认证功能,包括登录功能的设计与实现、登录校验机制及异常处理等内容。特别强调了会话管理和基于JWT的令牌技术,并对Cookie和Session两种会话跟踪技术进行了...
day13 SpringBoot案例3 令牌技术、登录校验
XH3344I的博客
08-05 205
抛出异常:直接抛出异常,然后在Controller的方法中进行try…判断请求url中是否包含login,如果包含,说明是登录操作,放行。第一部分:Header(头),作用:记录令牌类型、签名算法等。2,定义登录校验过滤器类,实现 Filter接口,并重写。判断令牌是否存在,如果不存在,返回错误结果(未登录)。解析token,如果解析失败,返回错误结果(未登录)。3,配置Filter拦截资源的路径:在类上定义。任务:把登录校验功能实现完善,并集成全局异常处理。(依赖,创建,校验)项目中异常是怎么处理的?
工厂模式的介绍及实现
最新发布
户伟伟的博客
09-25 88
工厂模式(Factory Pattern)是一种创建型设计模式,提供了一种创建对象的接口,而无需显式指定对象的具体类。在这种模式中,我们通过定义一个工厂类,专门负责生产各种类型的对象,这样我们可以避免直接在代码中实例化具体类,使代码更具扩展性、灵活性和维护性。解耦:客户端代码与具体的类解耦,避免了对象创建逻辑的重复。简化对象创建:通过工厂统一管理对象的创建逻辑,使代码更清晰易懂。扩展性强:新增类时,只需在工厂中增加创建逻辑,而不必修改现有的业务代码。
Java Stream流编程入门
2301_77207909的博客
09-21 546
Java StreamAPI的使用与常用方法
智能BI平台项目
2302_79400545的博客
09-22 219
BI商业智能:数据可视化、报表可视化系统。
Android系统:系统架构
liufeismart2024的博客
09-23 425
Android的系统结构的设计混合了分层设计和分块设计。
Java Alibaba Druid 数据库连接池
miracle的专栏
09-24 709
Java开发中,数据库连接池是性能优化的重要一环。而作为一款强大的数据库连接池解决方案,凭借其和对多种数据库的支持,成为了许多企业级应用的首选。本篇文章将介绍Druid的核心特性,并结合不同数据库的实际用法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值