一文带你快速了解登录校验相关技术,如JWT令牌,Filter,Interceptor

本篇将带你快速了解与登录校验相关的技术,如JWT令牌,Filter过滤器,Interceptor拦截器等。

d22800ec781fcbf985293cd1913642ee.jpeg

一、JWT令牌

1、概述

JWT(JSON Web Token) ,官网:https://jwt.io/

定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。

组成:

ceef36e32d476c447c64efcccf82536d.png

1)第一部分:

Header(头),记录令牌类型、签名算法等。例如: {"alg":"HS256" "type":"JWT"}

2)第二部分

Payload(有效载荷),携带一些自定义信息、默认信息等。例如: {"id":"1","username":"Tom"}

3)第三部分

Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。

2、生成JWT

1)引入JWT依赖

在pom.xml文件中添加如下依赖

<!-- JWT令牌依赖-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

2)在 springboot整合单元测试的类中,编写测试方法进行测试。

注:在测试时可以将 @SpringBootTest注解注释掉,加快加载速度。

// 生成JWT令牌
    @Test
    public void testGenJWT(){
        Map<String, Object> claims = new HashMap<>();
        claims.put("id",1); // 往map集合里面添加数据
        claims.put("name","tom");

        String jwt = Jwts.builder() // 通过链式编程的方式添加里面的方法
                .signWith(SignatureAlgorithm.HS256,"itweb") // 设置签名算法
                .setClaims(claims) // 设置自定义内容(载荷),将数据封装到map集合中
                .setExpiration(new Date(System.currentTimeMillis()+3600*1000)) // 设置有效期为1h
                .compact();
        System.out.println(jwt);
    }

3)解决报错

运行测试方法,如果报java.lang.NoClassDefFoundError: javax/xml/bind/DatatypeConverter错误,是因为 jdk版本太高导致的。

解决办法:

方法一:降低 jdk版本,比如换 jdk8。

方法二:在maven中添加依赖,如下

因为javax.xml.bind在jdk8中有,但是在更高版本就没有了,所以我们加上就行。

<dependency>
    <groupId>javax.xml.bind</groupId>
    <artifactId>jaxb-api</artifactId>
    <version>2.3.1</version>
</dependency>

这里我们直接选添加依赖,再次运行后成功生成JWT令牌,如下

cb7a654723f4480e320e933f75d5ce92.png

eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcxMTUzMDc4N30.qYJw-hDAjKX1rS12cb6eucw9yAu5LtZeru4YJRPoPtM

可以直接将生成的 JWT令牌复制网站上解析,如官网或其他 base64解析平台 如: https://www.toolhelper.cn/EncodeDecode/Base64EncodeDecode

29982b0870dba337791801c12c62669d.png

3、解析JWT(校验)

1)在测试类中编写如下代码,填入要解析的JWT

// 解析 JWT
    @Test
    public void testParseJwt(){
        Claims claims = Jwts.parser()
                .setSigningKey("itweb") // 指定签名秘钥
                .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcxMTUzMDc4N30.qYJw-hDAjKX1rS12cb6eucw9yAu5LtZeru4YJRPoPtM")// 解析令牌
                .getBody(); // 获取第2部分内容
        System.out.println(claims);
    }

2)测试运行,解析成功,结果如下

70940ce7f4c03033923f4c0280b941c1.jpeg

3)两点注意

1、JWT校验时使用的签名秘钥,必须和生成JWT令牌时使用的秘钥是一致的。

2、如果JWT令牌解析校验时报错,则说明JWT令牌被篡改或失效了,即令牌非法。

二、Filter

1、概述

Filter过滤器,是Javaweb三大组件(Servlet、Filter、Listener)之一。过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。

过滤器一般完成一些通用的操作,如: 登录校验、统一编码处理、敏感字符处理等。

2、入门案例

1)定义Filter: 定义一个类,实现 Filter接口,并重写其所有方法。

2)配置Filter: Filter类上加 @WebFilter注解,配置拦截资源的路径。引导类上加 @ServletComponentScan开启Servlet组件支持。

0c3088365cf3c88f904af3ca42733d97.png

3、执行流程

1)流程

054d0eda65371647c1d05b220f489b59.jpeg

2)思考

d362f4752cb5f941fbe4e8f9c4b70231.jpeg

放行后访问对应资源,资源访问完成后,还会回到Filter中吗?

如果回到Filter中,是重新执行还是执行放行后的逻辑呢?

执行放行后逻辑

4、Filter拦截路径

6aa49830197cd5a878ac2902baf9e689.png

5、过滤器链

在一个web应用中,可以配置多个过滤器,这多个过滤器就形成了一个过滤器链,如下。

5334c543ebe9f4d3771057011dbcb95a.jpeg

执行顺序: 注解配置的Filter,优先级是按照过滤器类名(字符串)的自然排序。

6、登录校验Filter

6.1 步骤

e77342a05e63c319ad40d86eae12b865.jpeg

1)获取请求url。

2)判断请求url中是否包含login,如果包含,说明是登录操作,放行。

3)获取请求头中的令牌(token)。

4)判断令牌是否存在,如果不存在,返回错误结果(未登录)。

5)解析token,如果解析失败,返回错误结果(未登录)。

6)放行。

三、Interceptor

1、概述

1)Interceptor是一种动态拦截方法调用的机制,类似于过滤器。Spring框架中提供的,用来动态拦截控制器方法的执行。

2)作用: 拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码。

2、快速入门

1)定义拦截器,实现HandlerInterceptor接口,并重写其所有方法。

2)注册拦截器

8b7cb8f0803b1378a66b9533fc63288e.jpeg

3、详解

3.1 拦截路径

可以根据需要配置不同的拦截路径,设置哪些需要拦截,哪些不需要拦截。

e58de9359ab3f90e5ab5245403976e4c.jpeg

拦截路径的相关含义和举例如下

ca86f418cbf5bcf66c61624ee59e1bcd.jpeg

3.2 执行流程

1)拦截器的执行流程如下,箭头的方向即执行顺序

bb98a730c38d81de6db9610c08528fc4.jpeg

2)Filter与 Interceptor区别

接口规范不同: 过滤器需要实现Filter接口,而拦截器需要实现 HandlerInterceptor接口。

拦截范围不同: 过滤器Filter会拦截所有的资源,而Interceptor只会拦截Spring环境中的资源。

关于 Filter的登录校验,流程步骤和 6.1中Filter的一样,不再赘述。

四、全局异常处理器

1、思考

当在开发过程中遇到异常,该怎么处理呢?假如我们未对异常做出处理,异常就会在三层架构中由操作数据库的Mapper层开始往上抛,抛给业务逻辑层Service,再抛给Controller控制层,最后框架就会给我们返回一个json格式的数据,里面封装的就是错误的信息。

2、异常处理

使用全局异常处理器,如下

5bf56aa9f0db4a3130b7928f561db2f4.jpeg

@RestControllerAdvice = @ControllerAdvice + @ResponseBody

用到的两个注解:@RestControllerAdvice和 @ExceptionHandler

3ee010f089a2e2956d7881dd581d94be.png

8e094d4c2b46eb671d155d2f908c0894.gif

喜欢就点击上方关注我们吧!

be4be74a172ae974f597a338f7eeabe0.png

 
  • 19
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农后端

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值