登录功能-鉴权-session

已于 2023-06-22 11:14:20 修改
阅读量561 收藏 1
点赞数
分类专栏: Springboot 文章标签: java
于 2022-12-07 23:08:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33879443/article/details/128228337
版权

1.通过拦截器的方式

用户登录时保存我们的账号id和账号type在session中,然后通过过滤器,拦截我们的每一次请求,检查请求的session中是否存在账号id和账号type

登录接口,登录成功后保存session

 //用session保存用户名,并返回登陆成功
 request.getSession().setAttribute("id", userinfo.getId());
 request.getSession().setAttribute("type", type);

拦截器代码:

@WebFilter(filterName = "loginCheckFilter", urlPatterns = "/*")
@Slf4j
public class LoginCheckFilter implements Filter {

    @Autowired
    private TCompanyService companyService;
    @Autowired
    private TUserinfoService userinfoService;
    //路径匹配器,支持通配符
    public static final AntPathMatcher PATH_MATCHER = new AntPathMatcher();

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;

        //1、获取本次请求的URI
        String requestURI = request.getRequestURI();// /backend/index.html
        log.info("拦截到请求:{}", requestURI);

        //定义不需要处理的请求路径
        String[] urls = new String[]{
                "/userinfo/phoneCode/**",
                "/util/**",//登陆,下载,登出请求
                "/Tutil/**",//静态资源页面
                "/Tuser/**",//静态资源页面
                "/Tcompany/**",//静态资源页面
                "/doc.html",
                "/webjars/**",
                "/swagger-resources",
                "/v2/api-docs"

        };

        //2、判断本次请求是否需要处理
        boolean check = check(urls, requestURI);

        //3、如果不需要处理,则直接放行
        if (check) {
            log.info("本次请求{}不需要处理", requestURI);
            filterChain.doFilter(request, response);
            return;
        }

        //判断登录状态,如果已登录,则直接放行
        if (request.getSession().getAttribute("id") != null) {
            int id = (int) request.getSession().getAttribute("id");
            int type = (int) request.getSession().getAttribute("type");

            if (type == 1) {
                log.info("用户已登录,------管理员");
            }
            if ((type == 2)) {

                log.info("用户已登录,-----企业用户");
            }
            if ((type == 3)) {

                log.info("用户已登录,------普通用户");
            }
            filterChain.doFilter(request, response);
            return;
        }


        log.info("用户未登录");
        return;

    }

    /**
     * 路径匹配,检查本次请求是否需要放行
     *
     * @param urls
     * @param requestURI
     * @return
     */
    public boolean check(String[] urls, String requestURI) {
        for (String url : urls) {
            boolean match = PATH_MATCHER.match(url, requestURI);
            if (match) {
                return true;
            }
        }
        return false;
    }

用户登录时生成token中,然后通过过滤器,拦截我们的每一次请求,检查请求的token是否正确

2通过注解+AOP的方式

先自定义一个注解用来作为我们AOP的切入点(pointcut),然后给我们的切面类定义一个验证token的方法(即当使用了注解的类或者方法,就会执行我们的aop切面方法)

自定义注解:

@Documented
@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserTokenAware {

}

切面类:

@Component
@Aspect
public class UserTokenAwareAspect {

    @Pointcut(value = "@within(com.x7sy.microservice.small.account.mgmt.annotation.UserTokenAware)")
    public void pointCut() {
        // do nothing
    }

    @Before(value = "pointCut()")
    public void beforeProcess() {
     //验证token代码
    }
}

然后再我们的方法上加上注解@UserTokenAware 就可以进行token验证了

3.token鉴权

4.session和token的区别

1、session只是一种会话,token是接口层面的一种校验机制
2、token在多个会话中可以使用
3、token可以跨平台,跨域实现
4、session一般是存储在内存中,每个用户通过认证后,会存储到内存中,当用户量增大,服务器的压力会增大
5、session 不能扩展性,比如搭建了多个服务器,虽然每个服务器执行同样的逻辑,但是session数据是保存在内存中,不能共享的,到另外一台服务器上面时,会判定该用户未登录过
 

晚霞虽美不如你
关注
专栏目录
项目功能(二):用户鉴权登录功能的实现
请叫我皮皮虾的博客
08-21 1633
用户鉴权登录功能的实现 1、USER 实现代码如下: static void do_user(session_t *sess) { //USER naruto struct passwd *pw = getpwnam(sess->arg); if(pw == NULL) { //用户不存在 //writen(sess->ctrl_fd, "530 ...
【V3 Admin Vite】教程三:掌握登录模块(涉及 API、Axios、Pinia、路由守卫、鉴权
weixin_44261557的博客
07-12 546
本系列文章是为了帮助没有直接上手(或上手比较困难)做项目能力的初级前端开发工程师采用开源模板来编写业务代码。V3 Admin Vite 中文文档,因为本系列教程节奏偏慢。B 站(群友好心录制)
登录鉴权
weixin_45429461的博客
12-22 4110
注册登录鉴权 1.1.用户注册 前台需要给我们传递用户名、密码、手机号、手机验证码。验证用户前台传过来的数据是否符合规范,我们使用的Hibernate Validator框架实现的服务端表单校验。短信验证码这块,我们采用的阿里的大于短信接口来做的,我们单独搭建了一个短信微服务,发送的短信请求通过MQ消息由短信微服务消费,进行短信发送。密码我们使用的是Spring提供的BCryptPasswordEncoder加密算法,分成加密和验证两个过程: 加密:算法会对明文密码使用UUID随机生成一个salt,使用
服务端鉴权Session/Cookie
起风了
11-08 535
文章目录CookieSessionKoa中实现Sessionredis存储session Cookie cookie原理 服务端在Header Set-Cookie,然后客户端会自动存取下来(cookie中可以看到) 下次请求,请求头会携带cookie传给后端 const http = require('http') http .createServer((req,res)=>{ if(req.url === '/favicon.ico'){ res.e
如何实现用户登录鉴权?两种方式手把手教会你!
weixin_57569942的博客
08-10 2032
利用Session和Jwt生辰的token实现用户登录鉴权
【用户登录】模块之登录认证+鉴权业务逻辑
林隐的博客
10-28 349
【用户登录】模块之登录认证+鉴权业务逻辑
Java Web实战详细教程(二十一)Session鉴权实战
Java朱老师博客
12-13 1200
        上一篇文章,我们讲过了Cookie,知道Cookie是服务器响应到浏览器的一段字符串,并可以伴随后续的请求传递到浏览器。         根据Cookie的以上特性,服务器可以生成一段不重复的字符串,从而记录请求时哪个浏览器发送来的。如下图所示:        &n
登录鉴权的各种方式及区别
qq_43128157的博客
05-19 3175
登录鉴权的几种方式,cookie、session、token、JWT等的区别与联系
BS系统的登录鉴权流程演变(高级必备)
最新发布
leader_song的博客
03-26 1233
用户登录是使用指定用户名和密码登录到系统,以对用户的私密数据进行访问和操作。在一个有登录鉴权的BS系统中,通常用户访问数据时,后端拦截请求,对用户进行鉴权,以验证用户身份和权限。用户名、密码等身份信息只需要在登录时输入一次,然后通过前后端的配合,在之后的每次访问都不用再输入了,通常的方案是将身份标识存在cookie中。
session的工作原理,及session实现登录验证示例
世上哪有什么岁月静好,不过是有人替你负重前行
07-28 3853
服务器创建 Session: 服务器接收到请求后,如果该请求没有携带有效的 Session 标识(如 Session ID),服务器会为该用户创建一个新的 SessionSession 超时: 通常情况下,Session 有一个超时时间,即当用户在一段时间内没有发起新的请求时,服务器会自动删除该用户的 Session 数据,以释放服务器资源。服务器检索 Session 数据: 当服务器接收到客户端的请求时,会根据请求中的 Session ID 来检索对应的 Session 数据。
Web应用登录验证的几种方式
Zero摄氏度的博客
08-25 4807
1、HTTP 是无状态的,为了维持前后请求,需要前端存储标记-----cookie 2、cookie 是一种完善的标记方式,通过 HTTP 头或 js 操作,有对应的安全策略,是大多数状态管理方案的基石 3、session 是一种状态管理方案,前端通过 cookie 存储 id,后端存储数据,但后端要处理分布式问题 4、token 是另一种状态管理方案,token 的编码技术,通常基于 base64,或增加加密算法防篡改;jwt 是一种成熟的编码方案,并且JWT实现了无状态登录,相较于传统的有状态登录
最简单的基于session判断用户登录用户权限
yinyiniao(Leo)'s blog
11-06 3194
用户名:密 码: <?session_start();$_SESSION["user"]=$_POST[user];$_SESSION["password"]=$_POST[pwd];if($_SESSION[user]==""){ echo "<!--alert(用户名不能为空!);// -->";}if($_SESSIO
java通过session判断该用户是否具有该功能的操作权限_权限绕过基础挖掘方法
weixin_33586594的博客
12-15 1091
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。No.1简介越权漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得或者未获得低权...
session)实现从登录界面获取用户名的几种方法
跌跌撞撞的小白
09-27 5530
背景介绍 在javaWeb开发中使用tomcat服务器进行项目在局域网内进行部署 使用平台、工具 JDK:jdk 11.0.6 IDEA版本:2020.1 Tomcat:tomcat 9.0.50 1、创建login.html文件 这里仅展示简单的文本框 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>登录界面</title>
项目中的用户鉴权是如何实现的?
前端与计算机相关知识的分享,博主的qq523235674
11-07 1249
主流的前后端分离项目中用户鉴权最常用的是目前最流行的跨域认证解决方案---JWT(JSON WEB TOKEN)
登录鉴权方案中,session、token、cookie三者的区别及选择
Tec Log
08-16 3478
目前web常用的登录鉴权方案主要有3种,分别是session、token、cookie,每种方案都有其特定应用场景和局限性,本文主要针对几种方案的使用特点简单做一个对比分析。阅读本文,首先需要对以上三者的概念和基本原理有基础了解,如不然,建议先详细了解一下上述三种方案的实现原理。另除了上述三种方案外,localStroage作为前端的存储方式之一,实际可以简单理解为一个小型前端key-value数据库,由于不直接参与前后端交互且不影响登录鉴权,不在本文讨论范围内。...
接口鉴权cookie、session 和 token
测试入坑之路
12-25 569
https://www.bilibili.com/video/av81777533/
vue搭配element获取token登录校验
weixin_45631430的博客
01-06 2576
Vue项目登录页面获取token验证 实现思路 1、第一次登录的时候,前端调后端的登陆接口,发送用户名和密码 2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token 3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面 4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页...
登录鉴权方案设计
Java笔记虾
06-25 3618
点击上方“后端技术精选”,选择“置顶公众号”技术文章第一时间送达!作者:jmcuicnblogs.com/jmcui/p/10966910.html技术经验交流:点击入群...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晚霞虽美不如你

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值