一文带你快速了解登录校验相关技术，如JWT令牌，Filter，Interceptor

本篇将带你快速了解与登录校验相关的技术，如JWT令牌，Filter过滤器，Interceptor拦截器等。

一、JWT令牌

1、概述

JWT(JSON Web Token) ，官网：https://jwt.io/

定义了一种简洁的、自包含的格式，用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在，这些信息是可靠的。

组成:

1）第一部分:

Header(头)，记录令牌类型、签名算法等。例如: {"alg":"HS256" "type":"JWT"}

2）第二部分

Payload(有效载荷)，携带一些自定义信息、默认信息等。例如: {"id":"1","username":"Tom"}

3）第三部分

Signature(签名)，防止Token被篡改、确保安全性。将header、payload，并加入指定秘钥，通过指定签名算法计算而来。

2、生成JWT

1）引入JWT依赖

在pom.xml文件中添加如下依赖

<!-- JWT令牌依赖-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

2）在 springboot整合单元测试的类中，编写测试方法进行测试。

注：在测试时可以将 @SpringBootTest注解注释掉，加快加载速度。

// 生成JWT令牌
    @Test
    public void testGenJWT(){
        Map<String, Object> claims = new HashMap<>();
        claims.put("id",1); // 往map集合里面添加数据
        claims.put("name","tom");

        String jwt = Jwts.builder() // 通过链式编程的方式添加里面的方法
                .signWith(SignatureAlgorithm.HS256,"itweb") // 设置签名算法
                .setClaims(claims) // 设置自定义内容(载荷)，将数据封装到map集合中
                .setExpiration(new Date(System.currentTimeMillis()+3600*1000)) // 设置有效期为1h
                .compact();
        System.out.println(jwt);
    }

3）解决报错

运行测试方法，如果报java.lang.NoClassDefFoundError: javax/xml/bind/DatatypeConverter错误，是因为 jdk版本太高导致的。

解决办法:

方法一：降低 jdk版本，比如换 jdk8。

方法二：在maven中添加依赖，如下

因为javax.xml.bind在jdk8中有，但是在更高版本就没有了，所以我们加上就行。

<dependency>
    <groupId>javax.xml.bind</groupId>
    <artifactId>jaxb-api</artifactId>
    <version>2.3.1</version>
</dependency>

这里我们直接选添加依赖，再次运行后成功生成JWT令牌，如下

eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcxMTUzMDc4N30.qYJw-hDAjKX1rS12cb6eucw9yAu5LtZeru4YJRPoPtM

可以直接将生成的 JWT令牌复制网站上解析，如官网或其他 base64解析平台 如: https://www.toolhelper.cn/EncodeDecode/Base64EncodeDecode

3、解析JWT（校验）

1）在测试类中编写如下代码，填入要解析的JWT

// 解析 JWT
    @Test
    public void testParseJwt(){
        Claims claims = Jwts.parser()
                .setSigningKey("itweb") // 指定签名秘钥
                .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcxMTUzMDc4N30.qYJw-hDAjKX1rS12cb6eucw9yAu5LtZeru4YJRPoPtM")// 解析令牌
                .getBody(); // 获取第2部分内容
        System.out.println(claims);
    }

2）测试运行，解析成功，结果如下

3）两点注意

1、JWT校验时使用的签名秘钥，必须和生成JWT令牌时使用的秘钥是一致的。

2、如果JWT令牌解析校验时报错，则说明JWT令牌被篡改或失效了，即令牌非法。

二、Filter

1、概述

Filter过滤器，是Javaweb三大组件(Servlet、Filter、Listener)之一。过滤器可以把对资源的请求拦截下来，从而实现一些特殊的功能。

过滤器一般完成一些通用的操作，如: 登录校验、统一编码处理、敏感字符处理等。

2、入门案例

1）定义Filter: 定义一个类，实现 Filter接口，并重写其所有方法。

2）配置Filter: Filter类上加 @WebFilter注解，配置拦截资源的路径。引导类上加 @ServletComponentScan开启Servlet组件支持。

3、执行流程

1）流程

2）思考

放行后访问对应资源，资源访问完成后，还会回到Filter中吗?

会

如果回到Filter中，是重新执行还是执行放行后的逻辑呢?

执行放行后逻辑

4、Filter拦截路径

5、过滤器链

在一个web应用中，可以配置多个过滤器，这多个过滤器就形成了一个过滤器链，如下。

执行顺序: 注解配置的Filter，优先级是按照过滤器类名（字符串）的自然排序。

6、登录校验Filter

6.1 步骤

1）获取请求url。

2）判断请求url中是否包含login，如果包含，说明是登录操作，放行。

3）获取请求头中的令牌(token)。

4）判断令牌是否存在，如果不存在，返回错误结果（未登录）。

5）解析token，如果解析失败，返回错误结果（未登录）。

6）放行。

三、Interceptor

1、概述

1）Interceptor是一种动态拦截方法调用的机制，类似于过滤器。Spring框架中提供的，用来动态拦截控制器方法的执行。

2）作用: 拦截请求，在指定的方法调用前后，根据业务需要执行预先设定的代码。

2、快速入门

1）定义拦截器，实现HandlerInterceptor接口，并重写其所有方法。

2）注册拦截器

3、详解

3.1 拦截路径

可以根据需要配置不同的拦截路径，设置哪些需要拦截，哪些不需要拦截。

拦截路径的相关含义和举例如下

3.2 执行流程

1）拦截器的执行流程如下，箭头的方向即执行顺序

2）Filter与 Interceptor区别

接口规范不同: 过滤器需要实现Filter接口，而拦截器需要实现 HandlerInterceptor接口。

拦截范围不同: 过滤器Filter会拦截所有的资源，而Interceptor只会拦截Spring环境中的资源。

关于 Filter的登录校验，流程步骤和 6.1中Filter的一样，不再赘述。

四、全局异常处理器

1、思考

当在开发过程中遇到异常，该怎么处理呢？假如我们未对异常做出处理，异常就会在三层架构中由操作数据库的Mapper层开始往上抛，抛给业务逻辑层Service，再抛给Controller控制层，最后框架就会给我们返回一个json格式的数据，里面封装的就是错误的信息。

2、异常处理

使用全局异常处理器，如下

@RestControllerAdvice = @ControllerAdvice + @ResponseBody

用到的两个注解：@RestControllerAdvice和 @ExceptionHandler

喜欢就点击上方关注我们吧！