登录校验(会话跟踪、JWT令牌、Filter、Interceptor、全局异常处理器)

于 2024-07-25 11:18:20 发布
阅读量685 收藏 6
点赞数 22
分类专栏: java web后端 文章标签: javascript java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80113113/article/details/140638783
版权

目录

会话技术 

会话跟踪方案

客户端会话跟踪技术:Cookie

服务端会话跟踪技术:Session

​编辑

令牌技术(JWT令牌)

 生成JWT

解析JWT

登录的实现

Filter 

入门

详解 

执行流程

拦截路径 

过滤器链 

登录校验Filter的实现 

思路

拦截器Interceptor 

入门 

详解

拦截路径

执行流程

与Filter的区别 

登录校验Interceptor的实现 

异常处理

 

会话技术 

用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应

会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据

会话跟踪方案

客户端会话跟踪技术:Cookie

@Slf4j
@RestController
public class CookieController {
    //设置cookie
    @GetMapping("c1")
    public Result cookie(HttpServletResponse response){
   response.addCookie(new Cookie("login_username","itheima"));
   return Result.success();
    }
    //获取cookie
    @GetMapping("c2")
    public Result cookie2(HttpServletRequest request){
        Cookie[] cookies=request.getCookies();//获取所有的cookie 
        for(Cookie cookie:cookies){
            if (cookie.getName().equals("login_username")){
                System.out.println("login_username:"+cookie.getValue());
            }
        }
        return Result.success();
    }
}

服务端会话跟踪技术:Session

  //往httpSession中存储
    @GetMapping("s1")
    public Result session1(HttpSession session){
        log.info("HttpSession-s1:{}",session.hashCode());
        session.setAttribute("loginUser","tom");//往session中存储
        return Result.success();
    }
    //往httpSession中存储
    @GetMapping("s2")
    public Result session2(HttpServletRequest request){
        HttpSession session=request.getSession();
        log.info("httpSession-s2:{}",session.hashCode());
        Object loginUser=session.getAttribute("loginUser");//从session中获取数据
        log.info("loginUser:{}",loginUser);
   return Result.success(loginUser);
    }

令牌技术(JWT令牌)

JWT定义 

定义了一种简洁的自包含模式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的

应用场景:登录认证

登陆成功后生成令牌,后续每个请求,都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理

 生成JWT

//生成jwt令牌
@Test
public void testGenJwt(){
	Map<String,Object> claims=new HashMap<>();
	claims.put("id",1);
	claims.put("name","tom");
	String jwt=Jwts.builder()
			.signWith(SignatureAlgorithm.HS256,"itheima")//签名算法
	        .setClaims(claims)//自定义内容(载荷)
	        .setExpiration(new Date(System.currentTimeMillis()+3600*1000))//设置有效期为1小时
	        .compact();
	System.out.println(jwt);
}

解析JWT

	//解析JWT
	@Test
	public void testParseJwt(){
		Claims claims=Jwts.parser()
				.setSigningKey("itheima")//指定签名密钥
				.parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcyMTc5MzA3Nn0.sr9O2q23mb85qVNRABlL9hj0KCMfkYtoRYEn7t3T5qM")//解析令牌
				.getBody();
		System.out.println(claims);
	}

 生成令牌以后,篡改任意一个位置都会报错!

JWT校验时使用的签名密钥,必须和生成的JWT令牌时使用的密钥时配套的

如果JWT令牌解析校验时报错,则说明JWT令牌被篡改或者失效了,令牌非法 

登录的实现

@Slf4j
@RestController
public class LoginController {
    @Autowired
    private EmpService empService;
    @PostMapping("/login")
    public Result login(@RequestBody Emp emp){
log.info("员工登录{}",emp);
Emp e=empService.login(emp);
//登陆成功,生成令牌,下发令牌
        if (e!=null){
            Map<String, Object> claims=new HashMap<>();
            claims.put("id",e.getId());
            claims.put("name",e.getName());
            claims.put("username",e.getUsername());
            String jwt= JwtUtils.generateJwt(claims);//jwt包含了当前登录的员工信息
            return Result.success(jwt);
        }
        //登陆失败,返回信息
return Result.error("用户名或者密码错误");
    }
}
public class JwtUtils {
    private static String signKey="itheima";
    private static Long expire=43200000L;
    /*
    生成JWT令牌
    JWT第二部分负载payload中存储的内容
     */
    public static String generateJwt(Map<String,Object> claims){
        String jwt= Jwts.builder()
                .addClaims(claims)
                .signWith(SignatureAlgorithm.HS256,signKey)//签名算法

                .setExpiration(new Date(System.currentTimeMillis()+expire))//设置有效期为1小时
                .compact();
        return jwt;
    }
    /*
    解析
     */
    public static Claims paraseJwt(String jwt){
        Claims claims=Jwts.parser()
                .setSigningKey(signKey)//指定签名密钥
                .parseClaimsJws(jwt)//解析令牌
                .getBody();
        return claims;
    }
}

Filter 

入门

@WebFilter(urlPatterns = "/*")//拦截所有请求
public class DemoFilter implements Filter {
    @Override//初始化方法,只调用一次
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("init 初始化方法执行了");
    }

    @Override//拦截到请求后调用,调用多次
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("拦截到了请求");
        //放行
        filterChain.doFilter(servletRequest,servletResponse);
    }

    @Override
    public void destroy() {//销毁方法,只调用一次
        System.out.println("destroy销毁方法执行了");
    }
}

这里如果没有放行操作的话,访问了这个网址但是不会显示数据,只有放行以后,才可以有数据显示。

@ServletComponentScan   //加上这个才能对servlet组件的加载
@SpringBootApplication
public class SpringPractice1Application {
    public SpringPractice1Application() {
    }

    public static void main(String[] args) {
        SpringApplication.run(SpringPractice1Application.class, args);
    }
}

详解 

执行流程

请求-->放行前逻辑--> 放行--> 资源--> 放行后逻辑

拦截路径 

过滤器链 

比如AbcFilter和DemoFilter 就是AbcFilter先执行

登录校验Filter的实现 

思路

@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest req=(HttpServletRequest) servletRequest;
        HttpServletResponse resp=(HttpServletResponse) servletResponse;
        //获取请求url
        String url=req.getRequestURL().toString();
        log.info("获取url:{}",url);
        //判断url中是否包含login,如果包含,登录请求,放行
        if(url.contains("login")){
            log.info("登录操作,放行");
            filterChain.doFilter(servletRequest,servletResponse);
            return;
        }
        //获取请求头中的令牌(token)
         String jwt=req.getHeader("token");

        //判断令牌是否存在,如果不存在,返回错误结果(未登录)
         if(!StringUtils.hasLength(jwt)){
            log.info("请求头为空,返回未登陆信息");
            Result error=Result.error("NOT_LOGIN");
            //手动转换对象为json-----阿里巴巴
             String notLogin=JSONObject.toJSONString(error);
             resp.getWriter().write(notLogin);
             return;
         }
        //解析token,如果解析失败,返回错误信息(未登录)
       try {
           JwtUtils.paraseJwt(jwt);
       }catch (Exception e){//jwt解析失败
           log.info("解析令牌失败,返回未登录错误信息");
           Result error=Result.error("NOT_LOGIN");
           //手动转换对象为json
           String notLogin=JSONObject.toJSONString(error);
           resp.getWriter().write(notLogin);
           return;

       }
        //放行
        log.info("令牌合法,放行");
        filterChain.doFilter(servletRequest,servletResponse);
    }

把对象转化为json,需要引入阿里巴巴的依赖 

		<dependency>
			<groupId>com.alibaba</groupId>
			<artifactId>fastjson</artifactId>
			<version>1.2.76</version>
		</dependency>

登录操作时的后台

 

拦截器Interceptor 

一种动态拦截方法调用的机制,类似于过滤器,Spring框架中提供的,用来动态拦截控制器方法的执行

作用:拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码

 

入门 

定义拦截器 

//定义拦截器
@Component//交给ioc容器
public class LoginCheckInterceptor implements HandlerInterceptor {
    @Override//目标资源方法运行前运行,返回true:放行,返回false:不放行
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("prehandle...");
        return true;
    }

    @Override//目标资源运行后运行
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("psothandle...");
    }

    @Override//视图渲染完毕后运行,最后运行
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("afterCompletion"
        );
    }
}

 配置拦截器

@Configuration //配置类
public class WebConfig implements WebMvcConfigurer {
   @Autowired
    private LoginCheckInterceptor loginCheckInterceptor;
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**");//拦截所有
    }
}

详解

拦截路径

执行流程

与Filter的区别 

登录校验Interceptor的实现 

@Configuration //配置类
public class WebConfig implements WebMvcConfigurer {
   @Autowired
    private LoginCheckInterceptor loginCheckInterceptor;
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**");//拦截所有
    }
}
//定义拦截器
@Component//交给ioc容器
@Slf4j
public class LoginCheckInterceptor implements HandlerInterceptor {
    @Override//目标资源方法运行前运行,返回true:放行,返回false:不放行
    public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {

            //获取请求url
            String url=req.getRequestURL().toString();
            log.info("获取url:{}",url);
            //判断url中是否包含login,如果包含,登录请求,放行
            if(url.contains("login")){
                log.info("登录操作,放行");

                return true;
            }
            //获取请求头中的令牌(token)
            String jwt=req.getHeader("token");

            //判断令牌是否存在,如果不存在,返回错误结果(未登录)
            if(!StringUtils.hasLength(jwt)){
                log.info("请求头为空,返回未登陆信息");
                Result error=Result.error("NOT_LOGIN");
                //手动转换对象为json-----阿里巴巴
                String notLogin= JSONObject.toJSONString(error);
                resp.getWriter().write(notLogin);
                return false;
            }
            //解析token,如果解析失败,返回错误信息(未登录)
            try {
                JwtUtils.paraseJwt(jwt);
            }catch (Exception e){//jwt解析失败
                log.info("解析令牌失败,返回未登录错误信息");
                Result error=Result.error("NOT_LOGIN");
                //手动转换对象为json
                String notLogin=JSONObject.toJSONString(error);
                resp.getWriter().write(notLogin);
                return false;

            }
            //放行
            log.info("令牌合法,放行");
            return  true;

    }


    @Override//目标资源运行后运行
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("psothandle...");
    }

    @Override//视图渲染完毕后运行,最后运行
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("afterCompletion"
        );
    }
}

异常处理

/*
全局异常处理器
 */
@RestControllerAdvice
public class GlobalExceptionHandler {
    @ExceptionHandler(Exception.class)//捕获所有异常
    public Result ex(Exception ex){
        ex.printStackTrace();
        return Result.error("对不起,操作失败了,请联系管理员");
    }
}

 @RestControllerAdvice=@ControllerAdvice+@ResponseBody

嘻嘻哈哈樱桃
关注
专栏目录
第5周 云短信注册登录全流程落地与JWT实现
与海
05-18 76
对短信注册登录的全流程业务落地,并且结合JWT实现用户令牌的签发,同时可以搭配RedisToken实现有/无状态的灵活切换,并且结合微服务网关来控制接口的访问权限。
SpringBoot---登录校验
m0_62486174的博客
08-05 1683
● 该浏览在后续的请求中,每一次请求都会将该令牌携带到服务端,然后接下来在服务端,我们可以通过FilterInterceptor对所有的请求进行拦截,然后进行校验,获取到请求中携带过来的令牌,进行判断,如果令牌正确合法,则放行,如果令牌不合法,则直接返回错误信息给前端,前端跳转到登录页面。如果查询到的用户不存在,则说明用户输入的用户名和密码错误。中的信息,如果有登录成功的信息,就说明用户登录成功,放行请求,如果发现登录标记中没有登录成功的标记,则给前端返回错误信息,跳转至登录页面。
springboot项目中登录校验
qq_58216887的博客
05-08 2146
springboot项目登录相关问题及解决方案
SpringBoot + shiro Demo 简单登录验证权限验证
02-08
SpringBoot ,Shiro 密码加密,登录验证,权限控制demo
spring boot 实现用户登录认证
11-07
1.架构: spring boot + jpa + thyemleaf, mysql数据库 2.功能实现: 1)使用Logback进行日志记录; 2)使用HandlerInterceptor接口实现登陆认证 3)登陆验证码的生成
springboot登录验证
qq_67124455的博客
05-06 5005
springboot登录校验
登录校验会话技术,Cookie,Session,JWT令牌,统一拦截技术,过滤FIlter,拦截Interceptor全局异常处理
暖阳爱学计算机的博客
05-23 163
会话:在web开发当中,会话指的就是浏览与服务之间的一次连接,我们就称为一次会话。需要注意的是:会话是和浏览关联的,当有三个浏览客户端和服务建立了连接时,就会有三个会话。同一个浏览在未关闭之前请求了多次服务,这多次请求是属于同一个会话会话跟踪:一种维护浏览状态的方法,服务需要识别多次请求是否来自于同一浏览,以便在同一次会话的多次请求间共享数据。使用会话跟踪技术就是要完成在同一个会话中,多个请求之间进行共享数据。
JavaWeb学习笔记】登录实现与校验
最新发布
07-28
同时,文章还介绍了jwt(json web token)令牌的使用,包括生成和校验jwt的过程,如何将jwt用于登录流程,并详细说明了过滤filter)和拦截interceptor)在登录校验中的应用。此外,文章还提供了全局异常...
day13 SpringBoot案例3 令牌技术、登录校验
XH3344I的博客
08-05 220
抛出异常:直接抛出异常,然后在Controller的方法中进行try…判断请求url中是否包含login,如果包含,说明是登录操作,放行。第一部分:Header(头),作用:记录令牌类型、签名算法等。2,定义登录校验过滤类,实现 Filter接口,并重写。判断令牌是否存在,如果不存在,返回错误结果(未登录)。解析token,如果解析失败,返回错误结果(未登录)。3,配置Filter拦截资源的路径:在类上定义。任务:把登录校验功能实现完善,并集成全局异常处理。(依赖,创建,校验)项目中异常是怎么处理的?
springboot登录校验[JWT]
学习笔记,相关教程 分享
04-13 1720
👏作者简介:我是笑霸final,一名热爱技术的在校学生。
spring boot整合scurity做简单的登录校验的实现
08-19
主要介绍了spring boot整合scurity做简单的登录校验的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring boot登录项目,有验证码,MD5加密。还有简单的 增删改查,还有分页
10-24
这是我自己写的一个Spring boot项目的登录源码,里面登录用到了动态验证码,Mybatis 逆向生成工具,密码使用Base64加密前端,后端解密以后,再用MD5加密到数据库比对。还有资源页面的增删改查和页面分页:http:localhost:8888/ziyuan -这是分页和增删改查页面,登录页面:http:localhost:8888/login 。里面打包了sql文件,大家直接在mysql运行即可。压缩包解压以后,改一下数据库配置,就可以启动。
spring boot登录验证码
07-16
spring boot登录验证码校验,包含短信验证码和图形验证码
SpringBoot登录校验
HunYuanXing的博客
08-06 457
(1)概念:Filter 过滤,是 JavaWeb 三大组件(Servlet、Filter、Listener)之一(2)过滤可以把对资源的请求拦截下来,从而实现一些特殊的功能(3)过滤一般完成一些通用的操作,比如:登陆鉴权、统一编码处理、敏感字符处理等等…拦截:(Interceptor)是一种动态拦截方法调用的机制,类似于过滤。在SpringMVC中动态拦截控制方法的执行作用:在指定的方法调用前后执行预先设定的代码,完成功能增强。
登录验证 springboot
大白的博客
04-13 600
先讲一下登录验证的过程: 1.客户端请求登录,输入必要的信息 2.服务验证信息,通过后返回一个token 保存在cookie 中,并且把cookie 保存在redis里面,用来保存用户 3.每次请求页面,带上cookie, 4.客户端验证cookie,并且查验redis token 的正确性,如果正确,就是用户已登录的状态,可以返回请求的页面 实现过程: 登录-》验证-》生成toke...
【springboot】配置登陆校验
qq_41617261的博客
11-10 667
登录校验 添加配置 #properties auth.enable=true auth.user-name=admin auth.password=admin # yml auth: enable: true user-name: admin auth.password: admin 添加配置类 @Component @ConfigurationProperties(prefix = "auth", ignoreUnknownFields = true) public class A
Springboot简单用户登录验证
zzds111的博客
11-14 6468
初版 结合了spring后,以及前面l连接数据库的内容,做出初版的页面匹配代码 先创建一个User类,如果输入的用户名存在,就从数据库中将这个用户的信息读取出来存储到我们创建的user类中,然后与输入的密码进行匹配 通过lombok插件,可以省略类里面的很多的创建步骤 import lombok.*; //set,get方法,构造方法有参无参,toString方法 @Setter @Getter @AllArgsConstructor @NoArgsConstructor @ToString pu
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
springboot-登录认证
m0_64077136的博客
01-31 1116
用户登录成功后,系统会自动下发JWT令牌,然后在后续的每次请求中,都需要在请求头header中携带到服务端,请求头的名称为 token ,值为 登录时下发的JWT令牌登录成功后,生成令牌 后续每个请求,都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理。会话:用户打开浏览,访问web服务的资源,会话建立,直到有一方断开连接,会话结束。会话跟踪:一种维护浏览状态的方法,服务需要识别多次请求是否来自于同一浏览,以便在同一次会话的多次请求间共享数据。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值