登录功能(cookie,session,jwt)

最新推荐文章于 2024-06-12 11:59:04 发布
最新推荐文章于 2024-06-12 11:59:04 发布
阅读量840 收藏 20
点赞数 13
分类专栏: 常见的业务场景 文章标签: java spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54239120/article/details/135423702
版权

登录功能

思路分析

登录服务端的核心逻辑就是:接收前端请求传递的用户名和密码 ,然后再根据用户名和密码查询用户信息,如果用户信息存在,则说明用户输入的用户名和密码正确。如果查询到的用户不存在,则说明用户输入的用户名和密码错误。

代码实现

LoginController

@RestController
public class LoginController {
​
    @Autowired
    private EmpService empService;
​
    @PostMapping("/login")
    public Result login(@RequestBody Emp emp){
        Emp e = empService.login(emp);
        return  e != null ? Result.success():Result.error("用户名或密码错误");
    }
}

EmpService

public interface EmpService {
​
    /**
     * 用户登录
     * @param emp
     * @return
     */
    public Emp login(Emp emp);
​
    //省略其他代码...
}

EmpServiceImpl

@Slf4j
@Service
public class EmpServiceImpl implements EmpService {
    @Autowired
    private EmpMapper empMapper;
​
    @Override
    public Emp login(Emp emp) {
        //调用dao层功能:登录
        Emp loginEmp = empMapper.getByUsernameAndPassword(emp);
​
        //返回查询结果给Controller
        return loginEmp;
    }   
    
    //省略其他代码...
}

EmpMapper

@Mapper
public interface EmpMapper {
​
    @Select("select id, username, password, name, gender, image, job, entrydate, dept_id, create_time, update_time " +
            "from emp " +
            "where username=#{username} and password =#{password}")
    public Emp getByUsernameAndPassword(Emp emp);
    
    //省略其他代码...
}

登录校验

为什么需要登录校验

我们已经完成了基础登录功能的开发与测试 但是我们发现没有登录仍然可以进入到其他页面。

而真正的登录功能应该是:登陆后才能访问其他页面,没登陆则跳转登陆页面进行登陆

思路分析

那么我们怎么实现呢?

  • 可以使用会话技术+拦截器来实现这个功能
  • 会话技术将用户登录信息保存方便后续判断用户是否登录
  • 而拦截器对所有除了登录页面之外的页面进行拦截,然后通过你使用的会话技术来判断用户是否登录,实现了登陆后才能访问其他页面(放行),没登陆则跳转登陆页面进行登陆(拦截)

三种会话技术

cookie(不常用)

设置的cookie,通过响应头Set-Cookie响应给浏览器,并且浏览器会将Cookie,存储在浏览器端。

  • 缺点:

    • 移动端APP(Android、IOS)中无法使用Cookie

    • 不安全,用户可以自己禁用Cookie

    • Cookie不能跨域

      • 现在的项目,大部分都是前后端分离的,前后端最终也会分开部署,前端部署在服务器 192.168.150.200 上,端口 80,后端部署在 192.168.150.100上,端口 8080,这个时候这个Cookie是不能使用的,因为Cookie无法跨域

session(传统方案)

介绍

Session,它是服务器端会话跟踪技术,所以它是存储在服务器端的。而 Session 的底层其实就是基于我们刚才所介绍的 Cookie 来实现的。

session的存储

服务器端在给浏览器响应数据的时候,它会将 Session 的 ID 通过 Cookie 响应给浏览器。其实在响应头当中增加了一个 Set-Cookie 响应头。这个 Set-Cookie的名字是固定的 JSESSIONID 代表的服务器端会话对象 Session 的 ID。浏览器会自动识别这个响应头,然后自动将Cookie存储在浏览器本地。

代码实现

<!--hutool-用来将对象转json-->
<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>5.7.17</version>
</dependency>
WebConfig:
@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Autowired
    private LoginCheckInterceptor loginCheckInterceptor;
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //添加loginCheckInterceptor拦截器,并且指定拦截所有路径除了login请求
        registry.addInterceptor(loginCheckInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/login");
    }
}

LoginCheckInterceptor:
@Slf4j
@Component
public class LoginCheckInterceptor implements HandlerInterceptor {



//    使用session会话技术
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Emp emp =  (Emp)request.getAttribute("emp");//获取session中的用户数据
        //判断session中用户是否存在

        if(emp == null){//如果没登陆就进行拦截
            //向前端响应错误信息
            //设置响应头(告知浏览器:响应的数据类型为json、响应的数据编码表为utf-8)
            response.setContentType("application/json;charset=utf-8");
            //封装Result返回给前端,统一错误信息
            Result result = Result.error("NOT_LOGIN");
                   String json = JSONUtil.toJsonStr(result);
            response.getWriter().write(json);
            return false;
        }

        return true;
    }



}

 LoginController:
@Slf4j
@RestController
public class LoginController {

    @Autowired
    private EmpService empService;
     

    //session会话技术
    @PostMapping("/login")
    public Result login(@RequestBody Emp emp, HttpSession session){

        Emp e = empService.login(emp);
        //用户登录校验
        if(e == null){//账号密码错误,原因:数据库查不到数据返回null
            return Result.error("用户名或密码错误");
        }

        //账号密码都正确
        //保存session方便后续别的业务校验用户是否登录过
        session.setAttribute("emp",e);

        return Result.success();
    }
}

优缺点

  • 优点:Session是存储在服务端的,安全

  • 缺点:

    • 服务器集群环境下无法直接使用Session

      • 比如你有三个集群1,2,3,前端发请求进行论巡,先集群1然后保存用户信息,然后再发请求集群2,这个时候因为cookie和session不能在集群下使用做不到俩个集群直接的cookie和session共享

    • 移动端APP(Android、IOS)中无法使用Cookie

    • 用户可以自己禁用Cookie

    • Cookie不能跨域

解决这些问题可以使用jwt令牌

jwt(推荐)

这里的数据存储是存储在浏览器的localStorage中

  • 优点:

    • 支持PC端、移动端

    • 解决集群环境下的认证问题

    • 减轻服务器的存储压力(无需在服务器端存储)

介绍

JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割)

  • 第一部分:Header(头), 记录令牌类型、签名算法等。

    • 例如:{"alg":"HS256","type":"JWT"}

  • 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。

    • 例如:{"id":"1","username":"Tom"}

  • 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。

    签名的目的就是为了防jwt令牌被篡改,而正是因为jwt令牌最后一个部分数字签名的存在,所以整个jwt 令牌是非常安全可靠的。一旦jwt令牌当中任何一个部分、任何一个字符被篡改了,整个令牌在校验的时候都会失败,所以它是非常安全可靠的。

 思路分析

  1. 在浏览器发起请求来执行登录操作,此时会访问登录的接口,如果登录成功之后,我们需要生成一个jwt令牌,将生成的 jwt令牌返回给前端。

  2. 前端拿到jwt令牌之后,会将jwt令牌存储起来。在后续的每一次请求中都会将jwt令牌携带到服务端。

  3. 服务端统一拦截请求之后,先来判断一下这次请求有没有把令牌带过来,如果没有带过来,直接拒绝访问,如果带过来了,还要校验一下令牌是否是有效。如果有效,就直接放行进行请求的处理。

具体实现
<!-- JWT依赖-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>


<!--hutool-用来将对象和json之间进行转换-->
<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>5.7.17</version>
</dependency>

WebConfig:
@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Autowired
    private LoginCheckInterceptor loginCheckInterceptor;
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //添加loginCheckInterceptor拦截器,并且指定拦截所有路径除了login请求
        registry.addInterceptor(loginCheckInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/login");
    }
}

LoginCheckInterceptor:
@Slf4j
@Component
public class LoginCheckInterceptor implements HandlerInterceptor {


 
    //使用jwt令牌技术
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//        获取请求头中的令牌(token)
        String token = request.getHeader("token");
        //判断token是否存在
        if(!StringUtils.hasLength(token)){//token不存在
            log.info("token不存在");
            //向前端响应错误信息
            //设置响应头(告知浏览器:响应的数据类型为json、响应的数据编码表为utf-8)
            response.setContentType("application/json;charset=utf-8");
            //封装Result返回给前端,统一错误信息
            Result result = Result.error("NOT_LOGIN");
            String json = JSONUtil.toJsonStr(result);
            response.getWriter().write(json);
            return false;
        }


        try {
            //解析jwt是会失败的,失败汇报出异常,这里进行处理
            JwtUtils.parseJWT(token);
        } catch (Exception e) {
            log.info("令牌解析失败!");
            //向前端响应错误信息
            //设置响应头(告知浏览器:响应的数据类型为json、响应的数据编码表为utf-8)
            response.setContentType("application/json;charset=utf-8");
            //封装Result返回给前端,统一错误信息
            Result result = Result.error("NOT_LOGIN");
            String json = JSONUtil.toJsonStr(result);
            response.getWriter().write(json);
            return false;
        }


        return true;
    }


}

LoginController:
@Slf4j
@RestController
public class LoginController {

    @Autowired
    private EmpService empService;
     

    //jwt令牌实现
    @PostMapping("/login")
    public Result login(@RequestBody Emp emp){

        Emp e = empService.login(emp);
        //用户登录校验
        if(e == null){//账号密码错误,原因:数据库查不到数据返回null
            return Result.error("用户名或密码错误");
        }

        //账号密码都正确
        //构建jwt令牌
        Map<String, Object> claims = BeanUtil.beanToMap(e);
        String jwt = JwtUtils.generateJwt(claims);
        log.info("登录生成的token令牌为:"+jwt);
        return Result.success(jwt);
    }
}

不热爱代码的程序员
关注
  • 13
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CookieSessionJWT的详解
miaozy
04-10 1305
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证和授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
sessioncookie以及jwt
zflhw的博客
04-05 429
https://img2020.cnblogs.com/blog/1515111/202004/1515111-20200405090920745-1422513552.png CookieSession HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;SessionCookie 的主要目的就是为了弥补 HTTP...
Cookie Session Token JWT简单理解
魔教中人
07-07 325
1、什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 2、什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源的权限 你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等.
Cookie,Session,JWT
伏城之外的博客
10-19 503
HTTP协议 HTTP协议是一种无状态的协议。 早期WEB为了推广,需要一种可以快速共享资源的网络传输协议,这种协议旨在从服务器快速推送资源给任意一个客户端,而不在乎访问者是谁,后面就发明了HTTP协议。HTTP协议的无状态性是指HTTP协议无法记录传输过程中访问者是谁。 但是,随着WEB的发展,各种致力于为私人用户提供特定服务的服务器开始出现,比如电商服务器,用户需要经过电商服务器的身份认证才能继续使用服务器的其他功能。而HTTP协议本身是无状态的,即HTTP协议本身无法记录访问者信息。 身份
Cookie,SessionJWT
林北
10-19 1042
Cookie,SessionJWT ​ HTTP是无状态的协议,每次客户端和服务端会话完成时,服务端不会保存任何会话信息:每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,因此也无法知道上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。 Cookie Cookie是存储在客户端的一小块数据,也就
鉴权之cookiesessionJWT
wxiao_xiao_miao的博客
09-26 1091
鉴权:判断某用户是否有权访问服务器上的资源。 用户中心这个页面需要用户登录之后才能访问; 某个接口需要token才能访问; http是无状态的: 早期的web只需要提供信息给访问者就行了,不需要记录状态。浏览器和服务器不能凭借HTTP协议的来辨别请求的上下文。(服务器不能分辨浏览器发出的请求是不是之前已经请求过。 ) 鉴权基本实现思路: 身份信息保存在服务器。(办理消费卡,顾客来了报卡号,在系统上查询) 身份信息保存在客户端。(办理消费卡,顾客来了直接在卡上盖戳) 1.coo.
CookieSession、Token、JWT详细介绍
AN_NI_112的博客
07-02 623
CookieSession、Token详细介绍
CookieSessionJWT的区别
m0_61470267的博客
07-16 755
首先,HTTP是一种无状态的协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史记录请求,这样会消耗大量的资源,每次操作都需要验证信息。SessionCookie的主要目的就是为了弥补HTTP的无状态特性。......
cookie session jwt token
qq_37907454的博客
07-13 257
优点:1.一般的web应用服务器都内置了对cookie+session的处理,不需要后端及前端开发人员理解交互逻辑,只需要简单地调用一个api即可完成认证,方便使用。2.服务端可以控制cookie+session机制的有效回话时间。缺点:1.传统的cookie+session一般都将认证信息存储在内存当中,当服务器重启时就会丢失信息,导致所有用户都需要重新登陆。
Cookie Session Jwt
rjlmylover_zyw的博客
02-14 307
文章目录cookiesessioncookiesession区别jwt cookie 是存在于浏览器的一个凭证 当浏览器第一次访问服务器 , 会在服务器创建一个cookie 再返回浏览器 cookie里面有用户的所有信息 当用户再次访问服务器时 , 携带着cookie(一个凭证) 服务器根据携带的cookie信息不同分别不同用户 session 浏览器访问服务器的时候 , 服务器创建一个session , 同时生成一个特殊的cookie , (name为JSESSIONID的固定值,value为
CookieSession、Token、JWT.xmind
01-30
CookieSession、Token、JWT.xmind
再一次,CookieSession、Token、JWT.xmind
02-05
再一次,CookieSession、Token、JWT.xmind
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
最通俗的关于Cookie, Session,Token和JWT的相关笔记和理解。在终章笔记中主要介绍一下JWT以及总结CookieJWT的区别与发展,包括JWT的定义,特点,重要属性,优缺点,作用和使用场景,CookieJWT场景,安全等的...
CookieSession、Token、JWT
07-21
CookieSession、Token、JWT 是常用于身份验证和状态管理的概念和技术。它们在Web应用程序中起到关键的作用。 CookieCookie 是服务器在客户端存储的小型数据文件。它通常用于在客户端存储用户的身份验证信息或...
Nodejs中的JWTSession的使用
01-20
最近的项目需要在node服务端做一个用户登录的校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWTSession 使用JWT JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,...
简单的项目部署脚本(转载)
u010230019的博客
06-09 654
有些项目团队喜欢使用docker启动java服务,那么我们同样可以将上述脚本稍做改造,来实现基于shell+docker的简单项目部署能力。可以将核心节点的错误或者失败内容通过webhook发送到对应的告警平台,比如钉钉、飞书机器人等。把~/.ssh/id_rsa.pub内容添加到远程仓库的ssh秘钥中。执行start.sh脚本打包部署。start.sh脚本内容。
Java——简单图书管理系统
m0_74100417的博客
06-09 1464
数据类型变量iffor数组方法类和对象封装继承多态抽象类和接口今天就是把上述知识点全部都用起来 图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理
修改菜品——后端Java
weixin_53717695的博客
06-09 468
修改菜品——后端Java
Javascript)AI数字人mp4转canvas播放并去除背景绿幕
最新发布
lx_nhs的博客
06-12 446
去除前:去除后: 3、可能会出现的报错 (1)视频路径跨域问题:解决:vue开启代理
cookie session token jwt
06-06
cookie:是一种存储在用户计算机上的小型文本文件,用于跟踪用户在网站上的活动和状态。 session:是一种在服务器端存储用户信息的机制,用于跟踪用户在网站上的活动和状态。 token:是一种用于身份验证和授权的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值