登录验证功能实现(会话技术、JWT、Filter、Interceptor)

于 2024-05-22 21:25:09 发布
阅读量901 收藏 11
点赞数 32
文章标签: maven spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_76273965/article/details/137121429
版权

登录验证是开发过程中最重要的功能,在此总结一下登陆验证的方法,在开发过程中最常用也最安全的方法是JWT令牌验证的方法,本篇文章将会着重讲解JWT令牌验证的详细流程。

一、会话技术

会话:

        用户打开浏览器访问web服务器,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。

会话跟踪:

        一种维护浏览器状态的方法,服务器需要识别多次请求是否来自同一浏览器,以便再同一次会话的多次请求间共享数据。

        因为HTTP协议是无状态的,每次向服务器发送的请求时独立的,服务器会将每次的请求视为新的请求,所以需要会话跟踪技术来实现会话内数据共享。

        会话跟踪技术有两种:客户端会话跟踪技术以及服务器端会话跟踪技术。登陆验证一般使用客户端会话跟踪技术。

Cookie


@RestController
@Slf4j
@Api("用户登录")
@RequestMapping("/user/login")
public class LoginController {
    
    //设置Cookie
    @GetMapping("/1")
    public Result cookie1(HttpServletResponse response){
        //设置Cookie
        response.addCookie(new Cookie("name","value1"));
        return Result.success();
    }

    //获取Cookie
    @GetMapping("/2")
    public Result cookie2(HttpServletRequest request){
        //获取所有的Cookie
        Cookie[] cookies = request.getCookies();
        for(Cookie cookie: cookies){
            if(cookie.getName().equals("name")){
                System.out.println("name"+cookie.getValue());
            }
        }
        return Result.success();
    }

}

在浏览器中发送请求1

便可看到响应头中有了Set-Cookie 值为name = value1并将此值存储在浏览器中,在下次发送请求时加入到请求头中。

再发送请求2

便可看到请求头中有了Cookie对应的值。

Cookie技术的优缺点

优点:

HTTP协议中支持的技术

缺点:

移动端APP无法使用Cookie

不安全,用户可以自己禁止Cookie

Cookie不能跨域

        跨域区分为三个维度:协议、IP/域名、端口,前后端分离时跨域

Session

Session技术是基于Cookie技术实现的


@RestController
@Slf4j
@Api("用户登录")
@RequestMapping("/user/login")
public class LoginController {
    
    /**
     * 向HttpSession中存储值
     * @param httpSession
     * @return
     */
    @GetMapping("/1")
    public Result session1(HttpSession httpSession){
        //向session中存储数据
        httpSession.setAttribute("user","value1");
        return Result.success();
    }

    /**
     * 从HttpSession中获取值
     * @param httpServletRequest
     * @return
     */
    @GetMapping("/2")
    public Result session2(HttpServletRequest httpServletRequest){
        HttpSession session = httpServletRequest.getSession();

        //获取数据
        Object login = session.getAttribute("user");
        System.out.println(login);
        return Result.success(login);
    }

}

打开浏览器发送请求1

此时便可得到Set-Cookie 并得到服务器生成的session数据

发送请求2

浏览器已自动将session加入请求头中

Session优缺点

优点

因为session是存储在服务端,比较安全

缺点

现在软件系统不仅仅使用一台服务器,服务器集群环境下无法直接使用Session

具有Cookie的缺点

二、JWT令牌

JWT(JSON Web Token)

JWT令牌技术是一种开放的行业标准(RFC7591),用于实现端到端的安全验证。它提供了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。JWT主要由三部分组成:头部(Header)、负载(Payload)和签名(Signature)。由于数字签名的存在,这些信息是可靠的。所以JWT令牌的应用场景主要是登陆验证。

JWT令牌的生成

要使用JWT令牌技术首先需要引入JWT的依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

引入依赖后方可使用JWT技术提供的API来实现登录验证功能。

在项目开发过程中一般会将生成JWT令牌与解析JWT令牌写为工具类

工具类


import io.jsonwebtoken.*;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtUtil {

    private static final String SECRET_KEY = "mySecretKey"; // 你的密钥,请保持私密
    private static final long JWT_EXPIRATION = 86400000; // 24小时

    //将用户id作为参数传进来作为自定义内容
    public static String createToken(String userId) {
        Map<String, Object> claims = new HashMap<>();
        claims.put("userId", userId);
        
        //设置过期时间
        Date expiration = new Date(System.currentTimeMillis() + JWT_EXPIRATION);

    //返回生成的令牌
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(expiration)
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();
    }


    //解析令牌
    public static Claims parseToken(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(SECRET_KEY)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (ExpiredJwtException e) {
            // JWT已过期
            e.printStackTrace();
        } catch (UnsupportedJwtException e) {
            // 不支持的JWT
            e.printStackTrace();
        } catch (MalformedJwtException e) {
            // JWT格式错误
            e.printStackTrace();
        } catch (SignatureException e) {
            // JWT签名错误
            e.printStackTrace();
        } catch (IllegalArgumentException e) {
            // JWT字符串为空
            e.printStackTrace();
        }
        return null;
    }
}

登录功能案例

@RestController
@Slf4j
@Api(tags = "用户登录")
@RequestMapping("/user/login")
public class LoginController {
    @Autowired
    private UserService userService;


    @GetMapping("/login")
    @ApiOperation("用户登录验证")
    public Result userLogin(UserLoginDto userLoginDto) {
        log.info("用户登录:{}",userLoginDto);
        User user = userService.login(userLoginDto);

        String token = JwtUtil.createToken(user.getId().toString());

        UserLoginVo userLoginVo = UserLoginVo.builder()
                .id(user.getId())
                .account(user.getAccount())
                .name(user.getNickname())
                .token(token)
                .build();
        return Result.success(userLoginVo);
    }

}

解析令牌一般使用拦截器拦截所有动态请求,从请求头中获取令牌进行校验,一般使用有两种方法,一种是过滤器Filter,一种是拦截器Interceptor

JWT令牌优缺点

优点:

  1. 安全性:JWT使用数字签名或加密机制来验证令牌的真实性,防止伪造和篡改。同时,JWT不需要在服务器上存储会话信息,降低了被攻击的风险。
  2. 跨平台兼容性:JWT是基于标准的JSON格式,可以在不同的平台和编程语言之间进行交互。即解决了Cookie和Session中不能应用与App端的缺点。
  3. 分布式和无状态:由于JWT包含了所有必要的信息,服务器不需要在数据库中存储会话信息,也无需在集群中共享会话状态。这使得应用程序可以轻松地进行水平扩展。

缺点:

  1. 可伪造性:尽管JWT包含签名,但如果密钥不够强大或者不够安全,仍然存在伪造的风险。
  2. 信息量过大:在某些情况下,JWT包含了很多声明和信息,导致传输的数据量较大。
  3. 过期时间管理:如果JWT的过期时间设置得太短,可能会导致频繁刷新令牌;而过期时间设置得太长可能会导致安全风险。
  4. 密钥管理:有效地管理JWT的密钥可能会带来挑战,尤其是在大规模的系统中。
  5. 无法处理会话管理:JWT是无状态的,因此无法有效处理会话管理,包括注销和跟踪用户状态。

三、过滤器(Filter)

Filter是JavaWeb三大件(Servelt、Filter、Listener)之一,过滤器可以将对资源的请求拦截,实现特殊的功能,过滤器一般完成一些通用功能的操作,比如登录校验、统一编码处理以及敏感字符处理等。

使用Filter需要做到:

1.先定义一个类,实现Filter接口,并重写所有方法。

2.配置Filter:Filter类上加上@WebFilter注解,配置拦截资源路径Springboot项目需要在启动类上加@ServletComponentScan注解开启Servlet组件支持。

为了实现登录校验功能,我们需要编写一个登录校验过滤器,拦截到请求时,如果令牌验证成功再放行,否则直接抛出异常,不需要继续执行代码。

import com.alibaba.fastjson.JSONObject;
import com.result.Result;
import com.utils.JwtUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {}


    @Override
    public void destroy() {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        //执行放行前操作

        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
        //获取请求url
        String url = httpServletRequest.getRequestURL().toString();

        //判断url中是否包含login,如果包含说明是登录请求,直接放行
        if(url.contains("login")){
            filterChain.doFilter(servletRequest,servletResponse);
            return;//登陆后不需要执行外面代码,需要直接返回
        }

        //获取请求头中的令牌进行校验
        String jwt = httpServletRequest.getHeader("token");

        //未登录
        if(!StringUtils.hasLength(jwt)){
            log.info("请求头为空,返回未登录信息");
            Result error = Result.error("未登录");
            //需要返回json格式的数据返回给浏览器
            String notLogin = JSONObject.toJSONString(error);
            httpServletResponse.getWriter().write(notLogin);//将错误信息返回给浏览器
            return;
        }

        //解析token,如果解析失败,返回错误结果(未登录)
        try {
            JwtUtil.parseToken(jwt);
        } catch (Exception e) {
            e.printStackTrace();
            log.info("解析令牌失败,返回未登录信息");
            Result error = Result.error("未登录");
            //需要返回json格式的数据返回给浏览器
            String notLogin = JSONObject.toJSONString(error);
            httpServletResponse.getWriter().write(notLogin);//将错误信息返回给浏览器
            return;
        }
        //放行
        log.info("令牌合法,放行");
        filterChain.doFilter(servletRequest,servletResponse);
    }
}

需要注意的一点是过滤器拦截到请求之后执行完放行前操作后必须执行放行操作,否则不会访问到数据并返回前端请求的数据。放行后访问对应资源还会回到Filter中,直接执行放行后操作,不会执行放行前操作。

拦截路径:

1.拦截具体的路径(“/login”),只有访问具体的路径时才会被拦截

2.目录拦截(“/user/*") 访问user路径下的所有资源时都会被拦截

3.拦截所有("/*"),实例中配置的就是拦截所有,访问所有资源时都会被拦截

四、拦截器(Interceptor)

拦截器是一种动态拦截方法调用的机制,类似于过滤器,只不过拦截器是spring框架中提供的,用来动态拦截控制器方法的执行,它会根据拦截请求在指定的方法调用前后,根据业务需要执行预先设定的代码。

使用拦截器步骤和过滤器比较相似

1.定义拦截器类,实现HandlerInterceptor接口,并重写其所有方法,因为其中的方法都是默认实现的,所以只需要重写我们需要的方法即可。

其中有三个方法,preHandle():目标资源方法执行前放行,

postHandle()目标资源方法执行后执行,

afterCompletion()视图渲染完毕后执行,最后执行,

@Component
@Slf4j
public class JwtTokenAdminInterceptor implements HandlerInterceptor {
        public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object handler) throws Exception {
            //获取请求url
            String url = httpServletRequest.getRequestURL().toString();

            //判断url中是否包含login,如果包含说明是登录请求,直接放行
            if(url.contains("login")){
                log.info("登录操作,放行...");
                return true;
            }

            //获取请求头中的令牌进行校验
            String jwt = httpServletRequest.getHeader("token");

            //未登录
            if(!StringUtils.hasLength(jwt)){
                log.info("请求头为空,返回未登录信息");
                Result error = Result.error("未登录");
                //需要返回json格式的数据返回给浏览器
                String notLogin = JSONObject.toJSONString(error);
                httpServletResponse.getWriter().write(notLogin);//将错误信息返回给浏览器
                return false;
            }

            //解析token,如果解析失败,返回错误结果(未登录)
            try {
                JwtUtil.parseToken(jwt);
            } catch (Exception e) {
                e.printStackTrace();
                log.info("解析令牌失败,返回未登录信息");
                Result error = Result.error("未登录");
                //需要返回json格式的数据返回给浏览器
                String notLogin = JSONObject.toJSONString(error);
                httpServletResponse.getWriter().write(notLogin);//将错误信息返回给浏览器
                return false;
            }
            //放行
            log.info("令牌合法,放行");
            return true;
        }
    }
    
}

2.配置拦截器

定义WebConfig类实现WebMvcConfigurer接口

@Configuration
@Slf4j
public class WebMvcConfiguration extends WebMvcConfigurationSupport {

    @Autowired
    private JwtTokenAdminInterceptor jwtTokenAdminInterceptor;

    /**
     * 注册自定义拦截器
     * @param registry
     */
    protected void addInterceptors(InterceptorRegistry registry) {
        log.info("开始注册自定义拦截器...");
        registry.addInterceptor(LoginCheckInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/user/login");
    }
}
扎女孩的小辫子
关注
  • 32
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
完成登录验证功能(新手学习笔记)
single__s的博客
04-12 579
完成登录验证功能 注意事项: 1.注释:/**文本注释 */ 第三种被称作说明注释,它以 /** 开始,以 */结束。 说明注释允许你在程序中嵌入关于程序的信息。你可以使用 javadoc 工具软件来生成信息,并输出到HTML文件中。私有方法可以使用多行注释 说明注释,更加方便的记录程序信息。 2.代码行数不要太多,可以单独拎出来,创建一个方法,也可以新建一个类再把代码复制过去,然后把方法改为...
三 后台环境登搭建 - 10.异常映射
m0_46450423的博客
03-31 151
三 后台环境搭建10. 异常映射10.1 目标和思路10.1.1 目标10.1.2 思路10.1.3 注意: SpringMVC 提供了 基于 XML 和 基于注解两种异常映射机制10.2 基于 XML 的异常映射10.2.1 XML 配置10.2.2 新建错误页面10.2.3 测试10.3 判断请求类型的工具方法10.3.1 CrowdUtil.java10.3.2 pom.xml 需要的依赖10.4 基于注解的异常映射10.4.1 CrowdUtil.java10.5 Push 10. 异常映射 支点
登陆验证功能
weixin_45402215的博客
08-24 465
首先我们创建一个表单 <form action="register"> <input type="text" name="name" id="name" placeholder="用户名"><span id="msgName"></span><br> <input type="password" name="pwd" i...
登录验证功能
lijinlong1989的博客
05-24 1615
描述 1,首先验证码是一张图片,页面登录页面要以图片的形式来接受 即 <img> 标签 2,图片生成 是通过A-Z a-z 1-9 这些字母数字组成,以4位数的验证码来说,要先生成随机四位A-Z a-z 1-9编码,并且把编码放到session 里,主要是用于跟用户输入的验证码进行比较 3,根据随机编码,设置宽 高 ,指定图片输出流 来完成堆图片 4,点击图片 调用生成图片的c...
四、登录验证功能
jbkjhji的博客
04-06 451
用户访问任何业务资源,都需要进行登录验证.*只有登录成功的用户才能访问业务资源*没有登录成功的用户访问业务资源,跳转到登录页面。
springboot + jwt + websocket + 拦截
09-02
例如,Filter可以全局地处理请求和响应,如进行登录验证、日志记录等。而Interceptor则更适用于Spring MVC环境中,它可以针对特定的Controller方法进行拦截,例如进行权限检查、操作日志记录等。 将这四个技术整合...
单态登录——只能在一个机器上登录(完整实例)
12-28
这通常通过Servlet Filter或者Spring MVC的Interceptor实现。当检测到未登录的用户尝试访问受保护的资源时,系统会重定向至登录页面。 5. **登录验证**:用户在任一应用登录后,需要在其他所有应用中更新登录状态。...
springsecurity-jwt
02-18
它主要由四个部分组成:Filter Security Interceptor(过滤器安全拦截器)、Access Decision Manager(访问决策管理器)、Authentication Manager(认证管理器)和UserDetailsService(用户详情服务)。这些组件协同...
SpringBoot2.0前后端分离开发之用户身份认证实战 (后端实现)
06-15
本课程在技术栈层面涵盖了“用户身份认证”、“接口鉴权”等业务场景常用的大部分技术,包括Spring Boot2.x、Spring MVC、Mybatis、加密解密算法AES、雪花算法Snowflake、统一验参工具ValidatorUtil、JWT(Json Web ...
LoginSpringSecurity:具有Spring Security的登录应用程序
05-18
通过对源代码的深入分析,我们可以了解到具体实现细节,包括如何与数据库交互验证用户、如何处理权限控制以及如何定制化登录和登出流程等。 总结来说,Spring Security是Java Web开发中不可或缺的安全框架,它为...
Spring AOP【用户登陆统一验证功能
积跬步以至千里
01-14 1073
对于以上问题 Spring 中提供了具体的实现拦截器:HandlerInterceptor,拦截器的实现分为以下两个步创建⾃定义拦截器,实现接⼝的preHandle(执⾏具体⽅法之前的预处理)⽅法将⾃定义拦截器加⼊实现接口类的,重写⽅法中具体实现如下:/*** 自定义登陆用户登陆拦截器/*** 返回 ture 表示拦截判断通过, 可以访问后面的接口, 如果返回false 表示拦截未通过,直接返回结果给前端= null) {// 表示已经登陆 return true;
如何实现验证登录
weixin_44547914的博客
04-17 4703
如何实现验证登录 开发工具与关键技术:JS 作者:李宥良 撰写时间:2019年4月16日 如何实现验证登录 今天主要讲两部分内容 一、 Session 二、 验证码 Session 对象用于存储关于某个用户会话(session)的信息,或者修改相关的设置。存储在 session 对象中的变量掌握着单一用户的信息,同时这些信息对于页面中的所有页面都是可用的。存储于 session 变量中的...
django实现用户注册以及邮箱验证功能
brynao的博客
07-28 1万+
用户注册:类似于用户登陆,同样在users.views.py中添加RegisterView(View)类,其中对表单的get和post作出处理。 如果是get方法,重新返回register页面让用户进行填写。 def get(self, request): register_form = RegisterForm() return render(request
Qt 实现登录验证功能
程序猿进化梯
10-12 3457
功能描述: 在登录界面输入正确的用户名和密码后方可顺利登录。如输入有误,提示输入用户名或密码错误。 效果展示: 正确输入账号密码后: 功能实现: 主要就是一个登录按钮的槽函数,根据ui->lineEdit->text().trimmed()是否是想要的账号和密码,然后作一个判断,如果输入正确则执行下一步,否则弹出警告信息,账号或密码输入有误。 void Login::on_login_clicked() { if(ui->lineEdit->text().trimmed(
实现登录验证
xiaoxiamiqianqian的博客
01-15 3831
最近练习搭建了一个后台管理系统,首先第一步做了关于验证登录功能.以下项目使用了Nacos作为服务发现和注册中心,将Auth和gateway,system等相关多个微服务注册进Nacos.每次刷新登录页面,就会获取新的验证码(,输入正确的验证码即可成功跳转至首页. 获取验证码url:http://localhost/dev-api/code - dev-api是前端设置的反向代理,实际访问的是网关路径和端口.即在网关gateway模块做了路由转发.返回给前端 /** * 路由转发...
后台管理系统的登陆验证功能
热门推荐
就要逆风飞翔!!!
05-18 2万+
实现后台管理系统的登陆验证     简单来说登陆验证有两种实现方式:            1.通过ajax进行验证;                                                                  2.通过from表单提交进行验证;    这里就先介绍一下通过ajax进行登陆验证的方法。            首先在登陆验证的页面上,给
jwt实现token登录验证
最新发布
04-28
如果要实现 JWT登录验证,可以按照以下步骤进行: 1. 用户在登录成功后,服务器生成一个 JWT,并将其发送给客户端。 2. 客户端将 JWT 存储在本地,例如在 LocalStorage 或者 Cookie 中。 3. 客户端在向服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值