登录认证校验(JWT令牌,过滤器Filter,拦截器lnterceptor,异常处理)

已于 2023-08-29 14:05:12 修改
阅读量1k 收藏
点赞数
文章标签: java 前端 数据库
于 2023-08-16 18:09:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61338849/article/details/132318653
版权

目录

登录功能

登录校验(重点) 

 会话技术

令牌技术

 JWT生成令牌

 JWT校验

场景:登录认证。

实现统一校验JWT令牌(登录成功标记):

过滤器Filter

​编辑

快速入门:

 详解(执行流程,拦截路径,过滤器链)

过滤器链

场景:登录校验filter

拦截器lnterceptor

 登录校验lnterceptor

异常处理

登录功能

 创建LoginController中:

@Slf4j
@RestController
public class LoginController {

    @Autowired
    private EmpService empService;

    @PostMapping("/login")
    public Result login(@RequestBody Emp emp){
        log.info("员工登录: {}", emp);
        Emp e = empService.login(emp);

        return e !=null?Result.success():Result.error("用户名或者密码错误");

}

 Emp login(Emp emp); 

 @Override
    public Emp login(Emp emp) {
        return empMapper.getByUsernameAndPassword(emp);
    } 

@Select("select * from emp where username = #{username} and password = #{password}")
    Emp getByUsernameAndPassword(Emp emp); 

登录校验(重点) 

 会话技术

会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。

会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据

会话跟踪方案:

1.客户端会话跟踪技术:Cookie

2.服务端会话跟踪技术:Session

令牌技术

JWT:定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。

Base64:是一种基于64个可打印字符(A-Z  a-z  0-9  +  /)来表示二进制数据的 编码方式。

 JWT生成令牌

1.在pom.xml中加入依赖

<dependency>    

<groupId>io.jsonwebtoken</groupId>    

<artifactId>jjwt</artifactId>    

<version>0.9.1</version>

</dependency>

2.在单元测试类定义一个测试方法,生成JWT令牌

//@SpringBootTest
class TliasWebManagementApplicationTests {

    /**
     * 生成JWT
     */
    @Test
    public void testGenJwt(){
        Map<String, Object> claims = new HashMap<>();
        claims.put("id",1);
        claims.put("name","tom");

        String jwt = Jwts.builder()
                .signWith(SignatureAlgorithm.HS256, "itheima")//签名算法
                .setClaims(claims) //自定义内容(载荷)
                .setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))//设置有效期为1h
                .compact();//字符串返回值
        System.out.println(jwt);
    }

 JWT校验

    /**
     * 解析JWT
     */
    @Test
    public void testParseJwt(){
        Claims claims = Jwts.parser()
                .setSigningKey("itheima")
                .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTY3MDQ2NDU0N30.yPLRyiusrlrmWeC4-dhInjFuAghPkmiHSRHd_DTKi9E")
                .getBody();//自定义内容
        System.out.println(claims);
    }
}

注意:JWT校验时使用的签名秘钥,必须和生成JWT令牌时使用的秘钥是配套的。

如果JWT令牌解析校验时报错,则说明 JWT令牌被篡改 或 失效了,令牌非法。

场景:登录认证。

令牌生成:登录成功后,生成令牌,然后返回给前端

令牌校验:在请求到达服务端后,对令牌进行统一拦截,校验。(后续每个请求,都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理)

登录-生成令牌

1.引入JWT令牌操作工具类。

2.登录完成后,调用工具类生成JWT令牌,并返回。

1.utils下导入JwtUtils工具类

LoginController下:(登录成功,生成令牌,下发令牌)

@Slf4j
@RestController
public class LoginController {

    @Autowired
    private EmpService empService;

    @PostMapping("/login")
    public Result login(@RequestBody Emp emp){
        log.info("员工登录: {}", emp);
        Emp e = empService.login(emp);

       

//登录成功,生成令牌,下发令牌
        if (e != null){
            Map<String, Object> claims = new HashMap<>();
            claims.put("id", e.getId());
            claims.put("name", e.getName());
            claims.put("username", e.getUsername());

            String jwt = JwtUtils.generateJwt(claims); //jwt包含了当前登录的员工信息
            return Result.success(jwt);
        }

       

//登录失败, 返回错误信息
        return Result.error("用户名或密码错误");
    }

}

实现统一校验JWT令牌(登录成功标记):

过滤器Filter

Filter 过滤器,是 JavaWeb 三大组件(Servlet、Filter、Listener)之一。

过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。 

过滤器一般完成一些通用的操作,比如:登录校验、统一编码处理、敏感字符处理等。

快速入门:

1.定义Filter:定义一个类,实现 Filter 接口,并重写其所有方法。

2.配置Filter:Filter类上加 @WebFilter 注解,配置拦截资源的路径。启动类上加 @ServletComponentScan 开启Servlet组件支持。

filter包下的DemoFiler类:

@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter {
    @Override //初始化方法, web服务器启动,创建filter时调用,只调用一次
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("init 初始化方法执行了");
    }

    @Override //拦截到请求之后调用, 调用多次
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {  //拦截到请求时,调用该方法,可调用多次
        System.out.println("Demo 拦截到了请求...放行前逻辑");  
        //放行
        chain.doFilter(request,response);

        System.out.println("Demo 拦截到了请求...放行后逻辑");
    }

    @Override //销毁方法, 服务器关闭时调用,只调用一次
    public void destroy() {
        System.out.println("destroy 销毁方法执行了");
    }
}

 加注解:

 详解(执行流程,拦截路径,过滤器链)

请求 --> 放行前逻辑 --> 放行 --> 资源 --> 放行后逻辑

过滤器链

一个web应用中,可以配置多个过滤器,这多个过滤器就形成了一个过滤器链。

顺序:注解配置的Filter,执行优先级是按照过滤器类名(字符串)的自然排序确定

一个一个执行

 filter包下的DemoFiler类:

@WebFilter(urlPatterns = "/*")
public class XbcFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        System.out.println("Abc 拦截到了请求...放行前逻辑");
        //放行
        chain.doFilter(request,response);

        System.out.println("Abc 拦截到了请求...放行后逻辑");
    }
}

场景:登录校验filter

访问后台管理系统,先完成登录操作,先访问登录接口login,登录成功之后,在服务端生成一个JWT令牌,并且把JWT令牌返回给前端,前端将其记录下来,在后面请求中,将JWT令牌携带到服务端,要想访问对应功能,先得校验令牌有效性,直接过滤器实现,在过滤器校验令牌有效性

若无效,直接响应错误信息,不会放行去访问,如果存在有效,则会放行,访问对应web资源,执行对应业务操作, 

前端请求服务器,是在请求头当中将令牌携带到服务端的,请求头名字为token

 

在filter下

@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;

        //1.获取请求url。
        String url = req.getRequestURL().toString();
        log.info("请求的url: {}",url);

        //2.判断请求url中是否包含login,如果包含,说明是登录操作,放行。
        if(url.contains("login")){
            log.info("登录操作, 放行...");
            chain.doFilter(request,response);
            return;
        }

        //3.获取请求头中的令牌(token)。
        String jwt = req.getHeader("token");

        //4.判断令牌是否存在,如果不存在,返回错误结果(未登录)。
        if(!StringUtils.hasLength(jwt)){  //字符串为null或空串
            log.info("请求头token为空,返回未登录的信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换 对象--json --------> 阿里巴巴fastJSON
            String notLogin = JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);
            return;
        }

        //5.解析token,如果解析失败,返回错误结果(未登录)。
        try {
            JwtUtils.parseJWT(jwt);
        } catch (Exception e) {//jwt解析失败
            e.printStackTrace();
            log.info("解析令牌失败, 返回未登录错误信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换 对象--json --------> 阿里巴巴fastJSON
            String notLogin = JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);
            return;
        }

        //6.放行。
        log.info("令牌合法, 放行");
        chain.doFilter(request, response);

    }
}

 

 

 

拦截器lnterceptor

是一种动态拦截方法调用的机制,类似于过滤器。Spring框架中提供的,用来动态拦截控制器方法的执行

作用:拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码。

 

入门

1.定义拦截器,实现HandlerInterceptor接口,并重写其所有方法。

2.注册拦截器

interceptor下的LoginCheckInterceptor.java:(ctrl+o:重写方法)

 config下的WebConfig:(配置类) 

 详解(拦截路径,执行流程)

 

 Filter与interceptor

区别:接口规范不同:过滤器需要实现Filter接口,而拦截器需要实现HandlerInterceptor接口。

拦截范围不同:过滤器Filter会拦截所有的资源,而Interceptor只会拦截Spring环境中的资源。

 登录校验lnterceptor

package com.itheima.interceptor;

import com.alibaba.fastjson.JSONObject;
import com.itheima.pojo.Result;
import com.itheima.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Slf4j
@Component
public class LoginCheckInterceptor implements HandlerInterceptor {
    @Override //目标资源方法运行前运行, 返回true: 放行, 放回false, 不放行
    public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {
        //1.获取请求url。
        String url = req.getRequestURL().toString();
        log.info("请求的url: {}",url);

        //2.判断请求url中是否包含login,如果包含,说明是登录操作,放行。
        if(url.contains("login")){
            log.info("登录操作, 放行...");
            return true;
        }

        //3.获取请求头中的令牌(token)。
        String jwt = req.getHeader("token");

        //4.判断令牌是否存在,如果不存在,返回错误结果(未登录)。
        if(!StringUtils.hasLength(jwt)){
            log.info("请求头token为空,返回未登录的信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换 对象--json --------> 阿里巴巴fastJSON
            String notLogin = JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);
            return false;
        }

        //5.解析token,如果解析失败,返回错误结果(未登录)。
        try {
            JwtUtils.parseJWT(jwt);
        } catch (Exception e) {//jwt解析失败
            e.printStackTrace();
            log.info("解析令牌失败, 返回未登录错误信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换 对象--json --------> 阿里巴巴fastJSON
            String notLogin = JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);
            return false;
        }

        //6.放行。
        log.info("令牌合法, 放行");
        return true;
    }

    @Override //目标资源方法运行后运行
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("postHandle ...");
    }

    @Override //视图渲染完毕后运行, 最后运行
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("afterCompletion...");
    }
}

异常处理

全局异常处理器

exception包下的GlobalExceptionHandler:

 注解:

Mr.lel
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用户登录实现(拦截器,JWT令牌)
05-28
用户登录实现(拦截器,JWT令牌)
19 JWT 过滤器.mp4
05-15
19 JWT 过滤器.mp4
登录校验-Filter-入门
weixin_64939936的博客
08-26 194
在前面的文章中,我们已经实现了对于用户登陆成功后,生成并下发令牌返回前端等功能接口的实现,JWT令牌就是用户成功登录后的凭证,接下来我们实现如何统一校验JWT令牌,涉及的技术主要有两种过滤器Filter拦截器Interceptor。如果不适用Filter或者Interceptor则需要在后端代码中的每一个请求控制器类中进行JWT令牌校验操作,工作量繁琐且单一。过滤器FilterFilter过滤器JavaWeb三大组件(Servlet、Filter、Listener)之一。
JWT令牌过滤器Filter拦截器Interceptor
m0_46702681的博客
06-16 1199
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}
过滤器拦截器 - 登录校验登录认证JWT令牌技术)
weixin_51351637的博客
05-17 2435
会话:用户打开浏览器,访问web服务器资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。比如我们打开浏览器与Web服务器建立连接。首先访问login接口,再访问depts接口,最后访问emps接口。只要浏览器和服务器都没有关闭,那么这三次请求都是在一次会话中完成的。关闭服务器,所有的会话都会关闭关闭当前浏览器,当前会话结束会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。
登录校验JWT令牌技术,过滤器Filter拦截器(interceptor
烛照@123的博客
12-16 616
JWt令牌技术,过滤器拦截器,都是我们在开发中常用的技术。
登录验证Jwt令牌过滤器拦截器
qx020814的博客
04-22 538
jwt令牌有三个部分,第一部分是令牌名,然后数据名,最后加密数据。前两个使用了64个字母代替加密,第三个用算法对前两个就行加密,只有jwt解密算法才能解。后端用一个拦截器,login放过,直接验证登录,其他的路径就验证jwt令牌,没有或者不合法全部拦截下来,返回前端错误提示。登录成功后返回一个加密jwt前端保存到本地,每次使用add,del,sel,将数据放在请求头中传到后端。如果客户没登陆的情况下访问非login页面,就会强行跳转到登录页面。拦截器:(拦截器会有一个跨域问题,得设置一下)
javaweb】学习日记Day12 - tlias智能管理系统 - 登录校验 JWT令牌 过滤器 拦截器 全局异常处理
weixin_61639349的博客
10-28 711
tlias教学管理系统开发 完成了登录校验 JWT令牌 过滤器 拦截器 全局异常处理
第二十七天 SpringBootWeb(三)登录认证JWT令牌过滤器拦截器
HuanLe.的博客
04-02 1015
完善前一天 登录校验过滤器Filter 拦截器Interceptor) 全局异常处理
登录校验(会话跟踪(Cookie、Session、JWT令牌)、统一拦截技术(过滤器Filter拦截器Interceptor)、全局异常拦截)
m0_63839619的博客
07-20 614
什么是会话?在我们日常生活当中,会话指的就是谈话、交谈。在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话。在用户打开浏览器第一次访问服务器的候,这个会话就建立了,直到有任何一方断开连接,此会话就结束了。在一次会话当中,是可以包含多次请求和响应的。同一个浏览器在未关闭之前请求了多次服务器,这多次请求是属于同一个会话。什么是会话跟踪?一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。为什么要共享数据呢?
后端登录校验——Filter过滤器和Interceptor拦截器
m0_73991249的博客
07-09 1183
外部请求是一个乘客,买了一张高铁票要上高铁Filter就是高铁检票的N多个闸机,它就固定在那,你要进去大厅、进站台就得被它拦一次然后DispatcherServlet就是站台,你终于通过重重难关来到站台,等待高铁到来然后坐到座位Interceptor就是检票员,你终于准备要找到高铁座位,准备坐下,Interceptor检票员就动态随机的出现在你面前,要检查你的高铁票,发现你是逃票、站票就让你滚一边呆着,是坐票你就坐着。
阿里云oss文件上传+springboot配置文件yml+登录校验jwt令牌+过滤器 拦截器+异常处理+spring事务管理
2202_75352238的博客
03-17 943
jwt令牌本质就是一个字符串, 当我们用户第一次访问服务器的候,也就是开启会话的1候,我们登录账号,登录成功之后会在服务器产生一个jwt令牌,响应给浏览器存储在cokie或者其他存储空间中,接下来在后续的每一次的每一次请求都需要把令牌带到服务端进行校验,如果令牌有效就说明用户已经登陆,令牌无效说明用户未登录,我们在多次请求中共享数据就可以把共享的数据存储在令牌当中就可以。在拦截器当中,我们通常也是做一些通用性的操作,比如:我们可以通过拦截器来拦截前端发起的请 求,将登录校验的逻辑全部编写在拦截器当中。
微服务的登录校验(gateway过滤器or拦截器实现)
12-21
本文将探讨两种实现登录校验的方法:使用Gateway过滤器和Spring MVC拦截器,这两种方法都可以有效地解决权限管理和登录状态验证的问题。 **过滤器Filter)** 过滤器是基于Servlet规范的组件,它可以拦截所有请求...
Springboot前后端分离,JWT+Security+Redis实现登录拦截及权限认证,包含全局异常处理以及统一返回风格
12-25
在本项目中,我们将探讨如何利用Spring Boot、JWT(JSON Web Token)、Spring Security和Redis来实现一个高效的登录拦截和权限认证系统,同实现全局异常处理和统一的API返回风格。 1. **Spring Boot**:Spring ...
spring boot 拦截器拦截/Filter 过滤session案例
06-28
在本文中,我们将深入探讨如何在Spring Boot应用中使用拦截器(Interceptor)和过滤器Filter)来处理用户的登录session。这两个组件都是Spring框架的重要部分,它们在处理HTTP请求和响应发挥着关键作用。 首先...
golang 接口
m0_70982551的博客
07-24 960
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 517
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 655
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
生成一个jwt令牌拦截器
06-04
生成 JWT 的流程可以通过拦截器来实现,以下是一个简单的生成 JWT 令牌拦截器实现过程: 1. 创建一个 JWT 工具类,用于生成和解析 JWT 令牌。 2. 创建一个 JWT 拦截器类,该类需要实现 HandlerInterceptor 接口。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值