登陆:
LoginController:
@PostMapping("/login")
public Result Login(@RequestBody Emp emp){//用emp实体类配合@RequestBody来对JSON格式的数据进行封装
Emp e=empService.login(emp);
return e!=null?Result.success():Result.error("用户名或密码错误");
}
EmpService:
@Override
public Emp login(Emp emp) {
return empMapper.getByUsernameAndPassword(emp);
}
EmpMapper:
@Select("select * from emp where username=#{username} and password=#{password}")
Emp getByUsernameAndPassword(Emp emp);
-----------------------------------------------------
上述存在的问题,若直接复制网站地址,则不用登录就可以进入相应网页。
进行“统一拦截”来判断当前用户是否登录。若没有获取到登录标记/获取到的登录标记有问题,则跳转到登录页面。
会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。
会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。
会话跟踪方案: 客户端会话跟踪技术:Cookie 服务端会话跟踪技术:Session 令牌技术
目前,令牌技术是主流方案。
跨域:前后端部署的服务器地址(ip地址)不同
-----------------------------------------------------------------------
JWT令牌:全称:JSON Web Token (https://jwt.io/) 定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。
场景:登录认证。 登录成功后,生成令牌 后续每个请求,都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理。
组成: 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{"alg":"HS256","type":"JWT"}
第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{"id":"1","username":"Tom"}
第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。
JWT令牌的生成与解析:
@Test
public void testGenJwt(){//测试JWT令牌生成
Map<String,Object> claims=new HashMap<>();
claims.put("id",1);
claims.put("name","tom");
String jwt=Jwts.builder()
.signWith(SignatureAlgorithm.HS256,"itheima")//签名算法
.setClaims(claims)//自定义内容(载荷)
.setExpiration(new Date(System.currentTimeMillis()+3600*1000))//令牌有效期
.compact();
System.out.println(jwt);
}
@Test
public void testParseJwt(){//解析Jwt令牌
Claims claims =Jwts.parser()
.setSigningKey("itheima")
.parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcwNjY5ODk2M30.fFlv2QoRRUPKUes6BF5Db91Mhxu4b_Hqh6jEXD9ZB8M")
.getBody();
System.out.println(claims);
}
如果JWT令牌解析校验时报错,则说明 JWT令牌被篡改 或 失效了,令牌非法。
----------------------------------------------------
引入令牌后的返回数据:
用户登录成功后,系统会自动下发JWT令牌,然后在后续的每次请求中,都需要在请求头header中携带到服务端,请求头的名称为 token ,值为 登录时下发的JWT令牌。
LoginController:
@PostMapping("/login")
public Result Login(@RequestBody Emp emp){//用emp实体类配合@RequestBody来对JSON格式的数据进行封装
Emp e=empService.login(emp);
//若登录成功,则生成令牌并下发令牌
if(e!=null){
Map<String,Object> claims=new HashMap<>();
//将员工的id、姓名、用户名封装到Map集合中
claims.put("id",e.getId());
claims.put("name",e.getName());
claims.put("username",e.getUsername());
String jwt=JwtUtils.generateJwt(claims);//将员工信息放入JWT令牌
return Result.success(jwt);
}
//若登录失败,则返回错误信息
return Result.error("用户名或密码错误");
}
登陆后,前端会把JWT令牌存储在浏览器本地。在请求头中包含一个token(JWT令牌),后续的每一次请求当中,都会将这个令牌携带到服务端。
----------------------------------------------
统一拦截校验令牌:过滤器、拦截器
Filter 过滤器,是 JavaWeb 三大组件(Servlet、Filter、Listener)之一。 过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。 过滤器一般完成一些通用的操作,比如:登录校验、统一编码处理、敏感字符处理等。
Filter 可以根据需求,配置不同的拦截资源路径
一个web应用中,可以配置多个过滤器,这多个过滤器就形成了一个过滤器链。只有最后一个过滤器放行后,才会访问对应的web资源
----------------------------------------------------
登录校验过滤器:
登录校验Filter-流程:
获取请求url。
判断请求url中是否包含login,如果包含,说明是登录操作,放行。
获取请求头中的令牌(token)。
判断令牌是否存在,如果不存在,返回错误结果(未登录)。
解析token,如果解析失败,返回错误结果(未登录)。
放行。
LoginCheckFilter:
@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest req=(HttpServletRequest) servletRequest;//强制类型转换
HttpServletResponse resp=(HttpServletResponse) servletResponse;//强制类型转换
//获取请求url。
String url=req.getRequestURL().toString();
//判断请求url中是否包含login,如果包含,说明是登录操作,放行。
if(url.contains("login")){
filterChain.doFilter(servletRequest,servletResponse);//放行
return;
}
//获取请求头中的令牌(token)。
String jwt=req.getHeader("token");
//判断令牌是否存在,如果不存在,返回错误结果(未登录)。
if(!StringUtils.hasLength(jwt)){//如果字符串没有长度,说明为null
log.info("请求头中token为空");
Result error=Result.error("NOT_LOGIN");
String str=JSONObject.toJSONString(error);//手动将对象转换为JSON格式的数据
resp.getWriter().write(str);
return;
}
//解析token,如果解析失败,返回错误结果(未登录)。
try{
JwtUtils.parseJWT(jwt);
} catch (Exception e){//jwt解析失败
e.printStackTrace();
Result error=Result.error("NOT_LOGIN");
String str=JSONObject.toJSONString(error);//手动将对象转换为JSON格式的数据
resp.getWriter().write(str);
return;
}
//放行。
log.info("放行");
filterChain.doFilter(servletRequest,servletResponse);
}
}
---------------------------------------------------
拦截器:
概念:是一种动态拦截方法调用的机制,类似于过滤器。Spring框架中提供的,用来动态拦截控制器方法的执行。
作用:拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码。
----------------------------------------------------------------
过滤器和拦截器的区别:
接口规范不同:过滤器需要实现Filter接口,而拦截器需要实现HandlerInterceptor接口。
拦截范围不同:过滤器Filter会拦截所有的资源,而Interceptor只会拦截Spring环境中的资源。
LoginCheckInterceptor:
@Slf4j
@Component
public class LoginCheckInterceptor implements HandlerInterceptor {
@Override//目标资源方法运行前运行,返回true则放行
public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {
//获取请求url。
String url=req.getRequestURL().toString();
//判断请求url中是否包含login,如果包含,说明是登录操作,放行。
if(url.contains("login")){
return true;//放行
}
//获取请求头中的令牌(token)。
String jwt=req.getHeader("token");
//判断令牌是否存在,如果不存在,返回错误结果(未登录)。
if(!StringUtils.hasLength(jwt)){//如果字符串没有长度,说明为null
log.info("请求头中token为空");
Result error=Result.error("NOT_LOGIN");
String str= JSONObject.toJSONString(error);//手动将对象转换为JSON格式的数据
resp.getWriter().write(str);
return false;
}
//解析token,如果解析失败,返回错误结果(未登录)。
try{
JwtUtils.parseJWT(jwt);
} catch (Exception e){//jwt解析失败
e.printStackTrace();
Result error=Result.error("NOT_LOGIN");
String str=JSONObject.toJSONString(error);//手动将对象转换为JSON格式的数据
resp.getWriter().write(str);
return false;
}
//放行。
log.info("放行");
return true;
}
@Override//目标资源方法运行后运行
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
System.out.println("post");
}
@Override//视图渲染完毕后运行,最后运行
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
System.out.println("after");
}
}
-----------------------------------------------
异常处理:
@RestControllerAdvice
public class GlobalExceptionHandler {
@ExceptionHandler(Exception.class)//捕获所有异常
public Result ex(Exception ex){
ex.printStackTrace();
return Result.error("操作失败");
}
}