登录认证校验(JWT令牌,过滤器Filter,拦截器lnterceptor,异常处理)

已于 2023-08-29 14:05:12 修改
阅读量948 收藏
点赞数
文章标签: java 前端 数据库
于 2023-08-16 18:09:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61338849/article/details/132318653
版权

目录

登录功能

登录校验(重点) 

 会话技术

令牌技术

 JWT生成令牌

 JWT校验

场景:登录认证。

实现统一校验JWT令牌(登录成功标记):

过滤器Filter

​编辑

快速入门:

 详解(执行流程,拦截路径,过滤器链)

过滤器链

场景:登录校验filter

拦截器lnterceptor

 登录校验lnterceptor

异常处理

登录功能

 创建LoginController中:

@Slf4j
@RestController
public class LoginController {

    @Autowired
    private EmpService empService;

    @PostMapping("/login")
    public Result login(@RequestBody Emp emp){
        log.info("员工登录: {}", emp);
        Emp e = empService.login(emp);

        return e !=null?Result.success():Result.error("用户名或者密码错误");

}

 Emp login(Emp emp); 

 @Override
    public Emp login(Emp emp) {
        return empMapper.getByUsernameAndPassword(emp);
    } 

@Select("select * from emp where username = #{username} and password = #{password}")
    Emp getByUsernameAndPassword(Emp emp); 

登录校验(重点) 

 会话技术

会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。

会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据

会话跟踪方案:

1.客户端会话跟踪技术:Cookie

2.服务端会话跟踪技术:Session

令牌技术

JWT:定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。

Base64:是一种基于64个可打印字符(A-Z  a-z  0-9  +  /)来表示二进制数据的 编码方式。

 JWT生成令牌

1.在pom.xml中加入依赖

<dependency>    

<groupId>io.jsonwebtoken</groupId>    

<artifactId>jjwt</artifactId>    

<version>0.9.1</version>

</dependency>

2.在单元测试类定义一个测试方法,生成JWT令牌

//@SpringBootTest
class TliasWebManagementApplicationTests {

    /**
     * 生成JWT
     */
    @Test
    public void testGenJwt(){
        Map<String, Object> claims = new HashMap<>();
        claims.put("id",1);
        claims.put("name","tom");

        String jwt = Jwts.builder()
                .signWith(SignatureAlgorithm.HS256, "itheima")//签名算法
                .setClaims(claims) //自定义内容(载荷)
                .setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))//设置有效期为1h
                .compact();//字符串返回值
        System.out.println(jwt);
    }

 JWT校验

    /**
     * 解析JWT
     */
    @Test
    public void testParseJwt(){
        Claims claims = Jwts.parser()
                .setSigningKey("itheima")
                .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTY3MDQ2NDU0N30.yPLRyiusrlrmWeC4-dhInjFuAghPkmiHSRHd_DTKi9E")
                .getBody();//自定义内容
        System.out.println(claims);
    }
}

注意:JWT校验时使用的签名秘钥,必须和生成JWT令牌时使用的秘钥是配套的。

如果JWT令牌解析校验时报错,则说明 JWT令牌被篡改 或 失效了,令牌非法。

场景:登录认证。

令牌生成:登录成功后,生成令牌,然后返回给前端

令牌校验:在请求到达服务端后,对令牌进行统一拦截,校验。(后续每个请求,都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理)

登录-生成令牌

1.引入JWT令牌操作工具类。

2.登录完成后,调用工具类生成JWT令牌,并返回。

1.utils下导入JwtUtils工具类

LoginController下:(登录成功,生成令牌,下发令牌)

@Slf4j
@RestController
public class LoginController {

    @Autowired
    private EmpService empService;

    @PostMapping("/login")
    public Result login(@RequestBody Emp emp){
        log.info("员工登录: {}", emp);
        Emp e = empService.login(emp);

       

//登录成功,生成令牌,下发令牌
        if (e != null){
            Map<String, Object> claims = new HashMap<>();
            claims.put("id", e.getId());
            claims.put("name", e.getName());
            claims.put("username", e.getUsername());

            String jwt = JwtUtils.generateJwt(claims); //jwt包含了当前登录的员工信息
            return Result.success(jwt);
        }

       

//登录失败, 返回错误信息
        return Result.error("用户名或密码错误");
    }

}

实现统一校验JWT令牌(登录成功标记):

过滤器Filter

Filter 过滤器,是 JavaWeb 三大组件(Servlet、Filter、Listener)之一。

过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。 

过滤器一般完成一些通用的操作,比如:登录校验、统一编码处理、敏感字符处理等。

快速入门:

1.定义Filter:定义一个类,实现 Filter 接口,并重写其所有方法。

2.配置Filter:Filter类上加 @WebFilter 注解,配置拦截资源的路径。启动类上加 @ServletComponentScan 开启Servlet组件支持。

filter包下的DemoFiler类:

@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter {
    @Override //初始化方法, web服务器启动,创建filter时调用,只调用一次
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("init 初始化方法执行了");
    }

    @Override //拦截到请求之后调用, 调用多次
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {  //拦截到请求时,调用该方法,可调用多次
        System.out.println("Demo 拦截到了请求...放行前逻辑");  
        //放行
        chain.doFilter(request,response);

        System.out.println("Demo 拦截到了请求...放行后逻辑");
    }

    @Override //销毁方法, 服务器关闭时调用,只调用一次
    public void destroy() {
        System.out.println("destroy 销毁方法执行了");
    }
}

 加注解:

 详解(执行流程,拦截路径,过滤器链)

请求 --> 放行前逻辑 --> 放行 --> 资源 --> 放行后逻辑

过滤器链

一个web应用中,可以配置多个过滤器,这多个过滤器就形成了一个过滤器链。

顺序:注解配置的Filter,执行优先级是按照过滤器类名(字符串)的自然排序确定

一个一个执行

 filter包下的DemoFiler类:

@WebFilter(urlPatterns = "/*")
public class XbcFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        System.out.println("Abc 拦截到了请求...放行前逻辑");
        //放行
        chain.doFilter(request,response);

        System.out.println("Abc 拦截到了请求...放行后逻辑");
    }
}

场景:登录校验filter

访问后台管理系统,先完成登录操作,先访问登录接口login,登录成功之后,在服务端生成一个JWT令牌,并且把JWT令牌返回给前端,前端将其记录下来,在后面请求中,将JWT令牌携带到服务端,要想访问对应功能,先得校验令牌有效性,直接过滤器实现,在过滤器校验令牌有效性

若无效,直接响应错误信息,不会放行去访问,如果存在有效,则会放行,访问对应web资源,执行对应业务操作, 

前端请求服务器,是在请求头当中将令牌携带到服务端的,请求头名字为token

 

在filter下

@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;

        //1.获取请求url。
        String url = req.getRequestURL().toString();
        log.info("请求的url: {}",url);

        //2.判断请求url中是否包含login,如果包含,说明是登录操作,放行。
        if(url.contains("login")){
            log.info("登录操作, 放行...");
            chain.doFilter(request,response);
            return;
        }

        //3.获取请求头中的令牌(token)。
        String jwt = req.getHeader("token");

        //4.判断令牌是否存在,如果不存在,返回错误结果(未登录)。
        if(!StringUtils.hasLength(jwt)){  //字符串为null或空串
            log.info("请求头token为空,返回未登录的信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换 对象--json --------> 阿里巴巴fastJSON
            String notLogin = JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);
            return;
        }

        //5.解析token,如果解析失败,返回错误结果(未登录)。
        try {
            JwtUtils.parseJWT(jwt);
        } catch (Exception e) {//jwt解析失败
            e.printStackTrace();
            log.info("解析令牌失败, 返回未登录错误信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换 对象--json --------> 阿里巴巴fastJSON
            String notLogin = JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);
            return;
        }

        //6.放行。
        log.info("令牌合法, 放行");
        chain.doFilter(request, response);

    }
}

 

 

 

拦截器lnterceptor

是一种动态拦截方法调用的机制,类似于过滤器。Spring框架中提供的,用来动态拦截控制器方法的执行

作用:拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码。

 

入门

1.定义拦截器,实现HandlerInterceptor接口,并重写其所有方法。

2.注册拦截器

interceptor下的LoginCheckInterceptor.java:(ctrl+o:重写方法)

 config下的WebConfig:(配置类) 

 详解(拦截路径,执行流程)

 

 Filter与interceptor

区别:接口规范不同:过滤器需要实现Filter接口,而拦截器需要实现HandlerInterceptor接口。

拦截范围不同:过滤器Filter会拦截所有的资源,而Interceptor只会拦截Spring环境中的资源。

 登录校验lnterceptor

package com.itheima.interceptor;

import com.alibaba.fastjson.JSONObject;
import com.itheima.pojo.Result;
import com.itheima.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Slf4j
@Component
public class LoginCheckInterceptor implements HandlerInterceptor {
    @Override //目标资源方法运行前运行, 返回true: 放行, 放回false, 不放行
    public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {
        //1.获取请求url。
        String url = req.getRequestURL().toString();
        log.info("请求的url: {}",url);

        //2.判断请求url中是否包含login,如果包含,说明是登录操作,放行。
        if(url.contains("login")){
            log.info("登录操作, 放行...");
            return true;
        }

        //3.获取请求头中的令牌(token)。
        String jwt = req.getHeader("token");

        //4.判断令牌是否存在,如果不存在,返回错误结果(未登录)。
        if(!StringUtils.hasLength(jwt)){
            log.info("请求头token为空,返回未登录的信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换 对象--json --------> 阿里巴巴fastJSON
            String notLogin = JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);
            return false;
        }

        //5.解析token,如果解析失败,返回错误结果(未登录)。
        try {
            JwtUtils.parseJWT(jwt);
        } catch (Exception e) {//jwt解析失败
            e.printStackTrace();
            log.info("解析令牌失败, 返回未登录错误信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换 对象--json --------> 阿里巴巴fastJSON
            String notLogin = JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);
            return false;
        }

        //6.放行。
        log.info("令牌合法, 放行");
        return true;
    }

    @Override //目标资源方法运行后运行
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("postHandle ...");
    }

    @Override //视图渲染完毕后运行, 最后运行
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("afterCompletion...");
    }
}

异常处理

全局异常处理器

exception包下的GlobalExceptionHandler:

 注解:

Mr.lel
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT进行请求头校验
m0_71777195的博客
09-09 195
最后,将认证对象设置到当前的安全上下文中,这样就代表验证完成了。默认提供的过滤器链是一组预定义的过滤器,用于处理各种安全相关的任务,比如身份验证、授权、会话管理等。是登录进去,但没有权限访问一些页面的处理器,其他没有什么要注意的,也可以把这些处理器写成一个,那样就清爽多了,但我懒,代码就不贴了。这里就是先获取请求头内令牌的内容,再调用工具类的方法对令牌进行解析,方法内部校验令牌的合法与解析,将jwt令牌转化成。第二个参数是凭证,就是密码之类的,我们不需要,所以传null。配置类,我们将他引入,
JWT登录校验
在这个地方会介绍一些前端和后端的开发内容,暂时以JavaEE和Vue为主。
06-06 799
springboot,登录jwtjwt解析,token拦截器Interceptor
一文带你快速了解登录校验相关技术,如JWT令牌Filter,Interceptor
qq_56999608的博客
03-27 1216
本篇将带你快速了解与登录校验相关的技术,如JWT令牌Filter过滤器,Interceptor拦截器等。一、JWT令牌1、概述JWT(JSON Web Token) ,官网:https://jwt.io/定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:1)第一部分:Header(头),记录令牌类型、签名算法等。例如: {...
JWT校验
Monster
03-08 2129
1. 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 通俗说:\color{#FF3030}{通俗说:}通俗说: 在数据传输过程中还可
Spring Security基于jwt实现权限校验
Instanceztt的博客
12-01 1414
在中我实现了基于jwt实现的认证,本文在此基础上继续实现权限认证二 代码实现用户认证成功生成jwt将权限信息加载到jwt中..................................................................................................定义和用于认证成功从jwt中解析jwt中的权限信息.....................................jwt校验成功后解析jwt并加载到安全上下文中.........
简单的鉴权登录-java后端实现部分(JWT令牌+拦截器Interceptor)
WWX19990724的博客
04-11 2797
拦截器的主要是基于Java的反射机制,属于面向切面编程(AOP)的一种运用,就是在Service或者一个方法前调用一个方法,或者在方法后调用一个方法,甚至在抛出异常候做业务逻辑的操作。拦截器的作用类似于Servlet中的Filter,都可以用于对处理器进行预处理和后处理。在Spring MVC 与Spring Boot 中使用拦截器一般是实现接口。拦截器的作用:拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码。
jwt进行token校验 -详细版
weixin_46649054的博客
05-28 7439
jwt的一些介绍 简单使用描述, 代码中使用演示 添加JWT的依赖 以及项目依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependenc
result接口jar包.rar
09-12
里面包括开发result需要的接口jar包,和接口开发是对数据的判断。
用户登录实现(拦截器,JWT令牌)
05-28
用户登录实现(拦截器,JWT令牌)
19 JWT 过滤器.mp4
05-15
19 JWT 过滤器.mp4
Springboot前后端分离,JWT+Security+Redis实现登录拦截及权限认证,包含全局异常处理以及统一返回风格
12-25
Springboot前后端分离,JWT+Security+Redis实现登录拦截及权限认证,包含全局异常处理以及统一返回风格
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
JAVA实现登录校验JWT令牌实现)
最新发布
05-06
JWT令牌工具类
后端页面登录功能(拦截器+JWT令牌技术)
NewTonyStark的博客
05-28 572
*** 配置类,注册web层相关组件*/@Slf4j//管理端拦截器@Autowired//用户端拦截器@Autowired/*** 注册自定义拦截器*/log.info("开始注册自定义拦截器...");
记一个jwt拦截的错误 为什么拦截会失效呢?
机智的爆爆哥
07-10 726
看代码 @Configuration public class ShiroConfig { @Bean public DefaultWebSecurityManager securityManager(ShiroRealmConfig shiroRealmConfig) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 将对于的realm设置进
.Net Core6.0 WebAPI项目框架搭建五:JWT权限验证
yigu4011的博客
05-19 3807
在SetUp文件夹里面新建注册方法AuthorizationSetup.cs。这里就不过多的阐述了,直接上代码。在HomeController中新建Login接口来获取Token。在appsettings.json中配置jwt参数的值。上面我们是用的Admin的权限,所以会提示403错误。在program.cs里面注册服务,开启服务。SecretKey必须大于16个字符。新建JwtHelper.cs帮助类。解析出来的role是Admin。
[Vue]之Jwt的入门和Jwt工具类的使用及Jwt集成spa项目
m0_73192864的博客
10-13 993
[Vue]之Jwt的入门和Jwt工具类的使用及Jwt集成spa项目
前端携带token访问,后端JWT过滤器检测到token为空
m0_47943986的博客
03-28 1184
前端配置文件 service.js,token存放的键值为 X-Access-Token。将前端和后端的token存取位置保持一致,即可。后端 JWT过滤器,获取token的键值是 token
SpringSecurity结合Jwt实现定制化认证过滤器的详细步骤
qq_45105989的博客
11-03 1161
实现定制化认证过滤器只是认证,而授权还是交给Security框架实现。Payload本质上是一个Map集合,上面的命名表示Map集合默认键名,我们通过put()来定义参数。
java jwt登录拦截器
08-31
Java 中使用 JWT 实现登录拦截器的步骤如下: 1. 首先,你需要引入所需的依赖。可以使用 Maven 或 Gradle 来管理依赖项,以下是使用 Maven 的示例: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 2. 创建一个 JWTUtil 工具类,用于生成和解析 JWT。可以使用 jjwt 库来实现这些功能。以下是一个示例: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public class JWTUtil { private static final long EXPIRATION_TIME = 864_000_000; // 10 days private static final String SECRET_KEY = "yourSecretKey"; public static String generateToken(String username) { Date now = new Date(); Date expiryDate = new Date(now.getTime() + EXPIRATION_TIME); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expiryDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public static String getUsernameFromToken(String token) { Claims claims = Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody(); return claims.getSubject(); } } ``` 3. 创建一个自定义的登录拦截器类,用于验证 JWT。可以实现 `HandlerInterceptor` 接口,并在 `preHandle()` 方法中进行登录验证。以下是一个示例: ```java import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class JwtInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String token = request.getHeader("Authorization"); if (token != null && token.startsWith("Bearer ")) { token = token.substring(7); String username = JWTUtil.getUsernameFromToken(token); // 进行用户验证逻辑 return true; // 放行请求 } response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); return false; // 拦截请求 } } ``` 4. 在 Spring Boot 中配置拦截器。在你的配置类中,使用 `addInterceptors()` 方法将拦截器添加到应用程序中。以下是一个示例: ```java import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new JwtInterceptor()) .addPathPatterns("/api/**") // 拦截指定路径的请求 .excludePathPatterns("/api/login"); // 排除登录接口 } } ``` 以上是使用 JWT 实现登录拦截器的基本步骤。你可以根据自己的实际需求进行相应的调整和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值