JavaWeb——后端之登录功能

最新推荐文章于 2024-05-26 16:19:47 发布
最新推荐文章于 2024-05-26 16:19:47 发布
阅读量2.6k 收藏 36
点赞数 39
分类专栏: # JavaWeb 文章标签: java 后端 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44689664/article/details/135463189
版权

6. 登录功能

6.1 登录认证

只进行用户名和密码是否存在的操作

@Slf4j
@RestController
public class LoginController {
    @Autowired
    public EmpService empService;

    @PostMapping("/login")
    public Result login(@RequestBody Emp emp) {
        log.info("{}员工登录", emp);
        Emp e = empService.login(emp);
        return e != null? Result.success(): Result.error("用户名或密码错误");
    }
}

Emp login(Emp emp);

@Override
public Emp login(Emp emp) {
    Emp e = empMapper.getByUsernameAndPassword(emp);
    return e;
}

@Select("select * from emp where username = #{username} and password = #{password}")
Emp getByUsernameAndPassword(Emp emp);

问题:在未登录的情况下,也可以直接访问部门管理、员工管理等功能

6.2 登录校验

请求来的时候线进行登录校验,校验通过的话,执行业务;不通过就跳转到登录界面

在这里插入图片描述

1)会话技术

会话: 浏览器和服务器ide一次连接,一次会话中可以包含多次请求和响应

会话跟踪: 服务器需要识别多次请求是否来自同一浏览器,以便在同一次会话的多次请求间共享数据

会话跟踪方案:

  • 客户端会话跟踪技术:Cookie
  • 服务端会话跟踪技术:Session
  • 令牌技术

Cookie:

①特点

  • 浏览器第一次发送请求给服务器的时候,服务器自动将Cookie返回给浏览器
  • 浏览器自动将收到的Cookie存储在本地
  • 浏览器向服务器发送请求的时候,自动携带Cookie

②优点

HTTP协议中支持的技术,浏览器自动进行

在这里插入图片描述

③缺点

  • 移动端APP无法使用Cookie
  • 不安全,用户可以自己禁用Cookie(在浏览器的设置里面)
  • Cookie不能跨域(协议、IP/域名、端口)

Session:

①特点

  • 基于Cookie

②优点

  • 存储在服务器端,安全

    在这里插入图片描述

③缺点

  • 服务器集群环境下无法直接使用Session
  • Cookie的缺点

令牌技术:

①特点

字符串的形式,可以存储在任何容器中,不只是可以存储在Cookie中

②优点

  • 支持PC端、移动端
  • 解决集群环境下的认证问题
  • 减轻服务器端存储压力

在这里插入图片描述

③缺点

  • 需要自己实现

2)JWT令牌

全称:JSON Web Token(https://jwt.io/)

定义了一种**简洁(就是字符串)**的、**自包含(可以在其中包括用户名等需要的字符串)**的格式,用于在通信双方以json数据格式安全地传输信息。由于数字签名的存在,这些信息是可靠的

组成:

第一部分:Header(头),记录令牌类型、签名算法等;采用Base64编码

第二部分:Payload(有效荷载),携带一些自定义信息、默认信息等;采用Base64编码

第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload融入,并加入指定密钥,通过指定前面算法计算而来

例:

在这里插入图片描述

案例:

添加依赖

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

    // 生成JWTT
    @Test
    public void testGenJwt() {
        Map<String, Object> claims = new HashMap<>();
        claims.put("id", 1);
        claims.put("name", "tom");

        String jwt = Jwts.builder()
                .signWith(SignatureAlgorithm.HS256, "itheima")  // 签名算法和密钥
                .setClaims(claims)  // 自定义内容
                .setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))  // 设置有效期为1h
                .compact();
        System.out.println(jwt);
    }

    // 解析JWT
    @Test
    public void testParseJwt() {
        Claims claims = Jwts.parser()
                .setSigningKey("itheima")  // 密钥
                .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcwNDY5Njg1NH0.MzTlN_jrVSa7UJtTFoXw4xQ9-t4R7JHUmHeom5KQ2ss")
                .getBody();
        System.out.println(claims);
    }

错误

java.lang.NoClassDefFoundError: javax/xml/bind/DatatypeConverter

解决:

引入依赖

        <dependency>
            <groupId>javax.xml.bind</groupId>
            <artifactId>jaxb-api</artifactId>
            <version>2.3.1</version>
        </dependency>

登录-生成令牌

@Slf4j
@RestController
public class LoginController {
    @Autowired
    public EmpService empService;

    @PostMapping("/login")
    public Result login(@RequestBody Emp emp) {
        log.info("{}员工登录", emp);
        Emp e = empService.login(emp);
        // 登录成功,生成令牌,下发令牌
        if (e != null) {
            Map<String, Object> claims = new HashMap<>();
            claims.put("id", e.getId());
            claims.put("name", e.getName());
            claims.put("username", e.getUsername());
            String jwt = JwtUtils.generateJwt(claims);  // jwt包含了当前登录的员工信息
            return Result.success(jwt);
        }
        // 登录失败,返回错误信息
        return Result.error("用户名或密码错误");
    }
}

3)过滤器Filter

概念: 过滤器是JavaWeb三大组件(Servlet、Filter、Listener)之一

功能: 把对资源的请求拦截下来,从而实现一些特殊功能,例如:登录校验、统一编码处理、敏感字符处理等

实现:

  • 实现Filter接口
  • @WebFilter(urlPatterns=“/*”)
  • @ServletComponentScan——让启动类知道
@WebFilter(urlPatterns = "/*")  // 拦截所有请求
public class DemoFilter implements Filter {

    @Override  // 初始化方法,只调用一次
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("init初始化方法执行了");
    }

    @Override  // 拦截到请求之后调用
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("拦截到了请求");
        // 放行
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override  // 销毁方法,只调用一次
    public void destroy() {
        System.out.println("destroy销毁方法执行了");
    }
}

执行流程:

在这里插入图片描述

拦截路径:

在这里插入图片描述

过滤器链:

一个web应用有中,可以配置多个过滤器,多个过滤器就形成了一个过滤器链

顺序——注解配置的Filter,优先级是按照过滤器类名(字符串)的自然排序

在这里插入图片描述

@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        // Tomcat传入的是request实际上是HTTPrequest,要进行强制类型转换
        HttpServletRequest req = (HttpServletRequest) servletRequest;
        HttpServletResponse resp = (HttpServletResponse) servletResponse;
        // 1. 获取请求url
        String url = req.getRequestURL().toString();
        log.info("请求的url:{}", url);

        // 2. 判断请求url中是否包含login,如果包含,说明是登录操作,放行
        if (url.contains("login")) {
            log.info("放行");
            filterChain.doFilter(servletRequest, servletResponse);
            return;
        }
        // 3. 获取请求头中的令牌(token)
        String jwt = req.getHeader("token");
        // 4. 判断令牌是否存在,如果不存在,返回错误结果(未登录)
        if (!StringUtils.hasLength(jwt)) {
            log.info("请求头token为空,返回未登录的信息");
            Result erro = Result.error("NOT_LOGIN");
            // 手动将Result对象转化为json格式——alibaba,fastJSON
            String notLogin = JSONObject.toJSONString(erro);
            resp.getWriter().write(notLogin);
            return;
        }
        // 5. 解析token,如果解析失败,返回错误结果(未登录)
        try {
            JwtUtils.parseJWT(jwt);
        } catch (Exception e) {
            e.printStackTrace();
            log.info("令牌解析失败,返回未登录错误信息");
            Result erro = Result.error("NOT_LOGIN");
            // 手动将Result对象转化为json格式——alibaba,fastJSON
            String notLogin = JSONObject.toJSONString(erro);
            resp.getWriter().write(notLogin);
            return;
        }
        // 6. 放行
        log.info("合法,放行");
        filterChain.doFilter(servletRequest, servletResponse);
    }
}

4)拦截器Interceptor

概念: 是一种动态拦截方法调用的机制,类似过滤器。Spring框架中提供的,用来动态拦截控制器方法的执行

作用: 拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码

@Component
public class LoginCheckInterceptor implements HandlerInterceptor {
    @Override  // 目标资源方法运行前运行,返回true:放行,返回false:不放行
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("preHandle ...");
        return true;
    }

    @Override  //目标资源方法运行后运行
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("postHandle ...");
    }

    @Override  // 视图渲染完毕后运行,最后才运行
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("afterCompletion ...");
    }
}

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    public LoginCheckInterceptor loginCheckInterceptor;

    // 重写方法,注册拦截器
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**");
    }
}

拦截路径:

在这里插入图片描述

执行流程:

在这里插入图片描述

Filter和Interceptor的区别:

  • 接口规范不同:过滤器需要实现Filter接口,而拦截器需要实现HandlerInterceptor接口
  • 拦截范围不同:过滤器Filter会拦截所有资源,而Interceptor只会拦截Spring环境中的资源

6.4 异常处理

方案一:在Controller的方法中进行try…catch处理

方案二:全局异常处理器

在这里插入图片描述

@RestControllerAdvice = @ControllerAdvice + @ResponseBody

小鱼0135
关注
  • 39
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web后端登录功能实现
Java慢热型混子选手
08-13 2756
Web后端登录功能实现 思路: 使用前端传入的用户名去查询该用户名是否存在 不存在,抛出异常并返回登录页面 存在,用该用户名查询出User数据 将前端传入的密码进行一次MD5加密 使用加密后的密码与User中的密码比较 如果密码不一致,抛出异常并返回到登录页面 密码一致,登录成功,将User保存到Session域中 代码实现 Controller层 /** * @Author: yzh * @Description: 用户登录功能 * @Param: [user
后台登录功能开发 -- 手把手教你做ssm+springboot入门后端项目黑马程序员瑞吉外卖(二)
2301_76328475的博客
04-14 320
此类是一个通用结果类,服务端响应的所有结果最终都会包装成此种类型返回给前端页面。
JavaWeb后端开发登录操作 登录功能 通用模板/SpringBoot整合
Theresa---Java后端
09-14 294
前端会传入两个参数:用户名和密码在用户表中查询用户名,并校对相应的密码(涉及查询操作)
基于springbot-vue前后端分离的注册登录功能
2401_84089460的博客
05-26 2010
由框架可以看出,开发方式都是由自底而向上开发,因为在调用包的相关的作用的时候,是由上层去调用下层,所以先开发下层可以测试出项目功能能够实现多少后端整体框架1、 数据持久层是的目的是在java对象与数据库之间建立映射,也就是说它的作用是将某一个Java类对应到数据库中的一张表。在我们的项目中,就将创建一个实体类User映射到数据库的user表,表中的每个字段对应于实体类的每个属性。而之前配置的JPA的作用就是帮助我们完成类到数据表的映射。
Web-后台登录
wyj_1216 House
08-15 1036
后台登录 时间:2018年8月14日 汇报人:王祎洁 题目 http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 解答 第一步,登录页面,查看源码,发现注入点,顿时傻眼 第二步,不要慌,看题,发现url的古怪 第三步,输入ffifdyop,提交通过,得到flag (虽说我也是看了师傅们的writeup才...
Java后端SpringBoot整合Mybatis实现登录注册功能(适合初学者)
炼丹笔记
09-27 7876
已开源,适合新手,SpringBoot整合Mybatis实现登录注册功能
JAVA登录注册页面实现前端与后台数据连接
11-08
JAVA登录注册页面实现前端与后台数据连接 登录成功则跳转至数据列表 登录不成功则弹出“登录失败提示框”
web前后端分离开发——后端SpringMVC java开发
06-04
web前后端分离开发,后端SpringMVC java开发内含spirngMVC代码以及java-json处理包 详细内容可以参考我的博客https://blog.csdn.net/weixin_38879056/article/details/90758420 以及配套的前端vue项目...
14_JavaWeb——Vue配套资源
05-09
在本资源包“14_JavaWeb——Vue配套资源”中,主要涵盖了使用Vue.js框架在JavaWeb项目中实现前端交互的功能。Vue.js是一个轻量级的JavaScript库,旨在简化前端开发,提供强大的数据绑定和组件化能力。下面将详细阐述...
Java实验报告——用户登录系统
02-21
Java实验报告——用户登录系统】的实验主要围绕Java异常处理机制展开,旨在让学生深入理解和掌握Java中的异常处理。在用户登录系统这个实际场景中,实验者需要运用异常处理来确保程序的健壮性。 首先,实验的核心...
JavaWeb项目——工时管理
04-16
在本JavaWeb项目中,"工时管理"是一个基于JSP、Servlet和jdbc...以上就是"JavaWeb项目——工时管理"所涵盖的主要技术点和知识体系。这些技术的应用使得系统能够高效、稳定地运行,为用户提供方便的工时追踪和管理功能。
简单的Java登陆,前后端代码。
08-03
Java Web项目,简单的登陆功能代码,前后端都有,欢迎下载!
javaWeb登录小程序(后端入门)
12-10
通过登录小程序,全面让小朋友了解整个javaWeb的流程,让新来小伙伴入个门,里面包含了mvc,jsp,jspl,数据库操作等相关知识。
javaWeb前后台交互(只有登录功能
07-06
javaWeb前后台交互,里面只有登录一个功能,主要是MVC模式下前后台连接。针对刚刚学习完JSP+Mysql+Servlet,想连接前后台人群。大神请绕道。
后台登录页面及功能
11-13
纯手写的后台登录页面及ajax获取登录提交功能。下载后可自行修改css,js等文件。
javaweb大作业——简单的学生成绩管理系统
10-21
1. **用户登录与权限管理**:系统应提供用户登录功能,区分不同角色(如管理员、教师、学生),并根据角色分配不同的操作权限。 2. **成绩录入**:管理员或教师可以输入学生的姓名、学号和各科成绩,系统需验证输入...
登录系统的后端代码实现
UI20010520的博客
04-26 1786
我们可以使用 Spring Data JPA 实现对MySQL数据库的操作,查询用户信息并验证账号密码是否正确。其中 JwtUtil 和 UserRepository 代码可以参考下面的代码实现。这就是一个基于JavaSpring Boot框架的登录系统的代码实现
Java后端的登录、注册接口是怎么实现
m0_63064861的博客
12-08 2441
Java后端的登录接口的实现方式有很多种,这里介绍其中一种常见的方式。:用户输入用户名和密码,前端将用户提交的用户名和密码发送到后端进行验证。如果验证通过,后端会生成一个session id,然后将session id 以及其他用户信息存储在服务端的session中。同时,后端会将session id 返回给前端,前端将session id 存储在cookie中。
用户登录模块Java后端实现
qq_41847894的博客
07-19 1910
🍠先随机生成当前页面暂时的用户id→cookie🍠随机生成验证码→redis🍠输入账号密码验证码,账号密码正确后,比较redis中的验证码与输入的code🍠验证码正确,登录成功,生成登录凭证ticket→redis/cookie...
JavaWeb期末大作业——网站用户登录功能实现
最新发布
06-25
JavaWeb中,实现网站用户登录功能通常涉及到以下几个关键步骤: 1. **前端页面设计**:创建登录界面,包括用户名输入框(username)、密码输入框(password),以及登录按钮。可以使用HTML、CSS和JavaScript进行前端开发。 2. **后端服务器处理**:后端使用Java和Servlet或Spring MVC框架接收用户的登录请求。通常会涉及以下步骤: - 用户名和密码的验证:检查输入的用户名和密码是否匹配数据库中的记录。你可以使用JDBC连接数据库查询用户信息,也可以使用ORM框架如Hibernate或MyBatis。 - 使用Session或Cookie管理用户状态:如果验证通过,为用户创建一个Session,存储用户标识(通常是登录凭据的哈希值)或其他重要信息,这样后续请求可以识别用户。 3. **安全性考虑**:确保密码安全,一般会采用哈希+盐的方式加密存储,登录时对比哈希值。同时,防止SQL注入和XSS攻击。 4. **错误处理和反馈**:对输入错误或验证失败的情况,返回合适的错误消息给前端,并可能显示错误提示。 5. **登录/登出功能**:除了登录,还需要提供登出功能,清除Session或Cookie,结束用户会话。 6. **登录日志记录**:为了审计和安全,应该记录用户的登录尝试和结果。 相关问题: 1. 如何在JavaWeb中防止跨站脚本攻击(XSS)? 2. 什么是Session和Cookie的区别,它们在用户登录中的作用是什么? 3. 如何在Java中使用Spring Security来增强登录系统的安全性?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值