苍穹外卖知识点总结
1.登录系统—–使用jwt登录,后面下来仔细学习这个登录方式
1.1、认证流程
1.前端通过Web表单将自己的用户名和密码发送到后端的接口。该过程一般是HTTP的POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。
2.后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。
3.后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在localStorage(浏览器本地缓存)或sessionStorage(session缓存)上,退出登录时前端删除保存的JWT即可。
4.前端在每次请求时将JWT放入HTTP的Header中的Authorization位。(解决XSS和XSRF问题)HEADER
后端检查是否存在,如存在验证JWT的有效性。例如,检查签名是否正确﹔检查Token是否过期;检查Token的接收方是否是自己(可选)
5.验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。
1.2、JWT的优点
1.简洁(Compact):可以通过URL,POST参数或者在HTTP header发送,数据量小,传输速度也很快;
2.自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库;
3.Token是以JSON加密的形式保存在客户端,所以JWT是跨语言的,原则上任何web形式都支持。
4.不需要在服务端保存会话信息,特别适用于分布式微服务。
1.3、JWT结构
令牌token,是一个String字符串,由3部分组成,中间用点隔开
令牌组成:
- 标头(Header)
- 有效载荷(Payload)
- 签名(Signature)
token格式:head.payload.singurater 如:xxxxx.yyyy.zzzz
- Header:有令牌的类型和所使用的签名算法,如HMAC、SHA256、RSA;使用Base64编码组成;(Base64是一种编码,不是一种加密过程,可以被翻译成原来的样子)
{
"alg" : "HS256",
"type" : "JWT"
}
-
Payload :有效负载,包含声明;声明是有关实体(通常是用户)和其他数据的声明,不放用户敏感的信息,如密码。同样使用Base64编码
{ "sub" : "123", "name" : "John Do", "admin" : true } -
Signature :前面两部分都使用Base64进行编码,前端可以解开知道里面的信息。Signature需要使用编码后的header和payload,加上我们提供的一个密钥,使用header中指定的签名算法(HS256)进行签名。签名的作用是保证JWT没有被篡改过
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret);**签名目的:**签名的过程实际上是对头部以及负载内容进行签名,防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。
信息安全问题: Base64是一种编码,是可逆的,适合传递一些非敏感信息;JWT中不应该在负载中加入敏感的数据。如传输用户的ID被知道也是安全的,如密码不能放在JWT中;JWT常用于设计用户认证、授权系统、web的单点登录。
1.4、JWT使用
-
引入依赖
<!--引入JWT--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.10.0</version> </dependency> -
生成token
//登录成功后,生成jwt令牌 Map<String, Object> claims = new HashMap<>(); claims.put(JwtClaimsConstant.EMP_ID, employee.getId()); String token = JwtUtil.createJWT( jwtProperties.getAdminSecretKey(), jwtProperties.getAdminTtl(), claims); -
根据令牌和签名解析数据
EmployeeLoginVO employeeLoginVO = EmployeeLoginVO.builder() .id(employee.getId()) .userName(employee.getUsername()) .name(employee.getName()) .token(token) .build(); -
校验jwt
/** * 校验jwt * * @param request * @param response * @param handler * @return * @throws Exception */ public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { //判断当前拦截到的是Controller的方法还是其他资源 if (!(handler instanceof HandlerMethod)) { //当前拦截到的不是动态方法,直接放行 return true; } //1、从请求头中获取令牌 String token = request.getHeader(jwtProperties.getAdminTokenName()); //2、校验令牌 try { log.info("jwt校验:{}", token); Claims claims = JwtUtil.parseJWT(jwtProperties.getAdminSecretKey(), token); Long empId = Long.valueOf(claims.get(JwtClaimsConstant.EMP_ID).toString()); log.info("当前员工id:{}", empId); BaseContext.setCurrentId(empId); //3、通过,放行 return true; } catch (Exception ex) { //4、不通过,响应401状态码 response.setStatus(401); return false; } }
-
2.Swagger的使用方式
2.1、导入依赖{maven坐标}
knife4j是为java MVC框架集成Swagger生成的Api文档的增强解决方案
<dependency>
<groupId>com.github.xiaoymin</groupId>
<artifactId>knife4j-spring-boot-starter</artifactId>
<version>3.0.2</version>
</dependency>
2.2、在配置类中加入knife4j相关配置
/**
* 通过knife4j生成接口文档
* @return
*/
@Bean
public Docket docket() {
ApiInfo apiInfo = new ApiInfoBuilder()
.title("苍穹外卖项目接口文档")
.version("2.0")
.description("苍穹外卖项目接口文档")
.build();
Docket docket = new Docket(DocumentationType.SWAGGER_2)
.apiInfo(apiInfo)
.select()
.apis(RequestHandlerSelectors.basePackage("com.sky.controller"))
.paths(PathSelectors.any())
.build();
return docket;
}
2.3、设置静态资源映射,否则接口文档页面无法访问
/**
* 设置静态资源映射
* @param registry
*/
protected void addResourceHandlers(ResourceHandlerRegistry registry) {
registry.addResourceHandler("/doc.html")
.addResourceLocations("classpath:/META-INF/resources/");
registry.addResourceHandler("/webjars/**")
.addResourceLocations("classpath:/META-INF/resources/webjars/");
}
项目之后,在浏览器访问网址localhost:8080/doc.html
2.4、常用注解
| 注解 | 说明 |
|---|---|
| @Api | 作用在类上面,大多数在controller,表示对类的说明 |
| @ApiModel | 作用在类上面,例如entity、DTO、VO |
| @ApiModelProperty | 作用在属性上,描述属性信息 |
| @ApiOperation | 作用在方法上(后端接口)、例如controller的方法、说明方法的作用 |
这些注解的各个参数可以在网上搜一下,了解即可,不重要
3.mybatis的分页查询插件
1.首先导入这个插件依赖
<dependency>
<groupId>com.github.pagehelper</groupId>
<artifactId>pagehelper-spring-boot-starter</artifactId>
<version>${pagehelper}</version>
</dependency>
2.使用PageHelper的startPage() 这个方法,需要两个参数,一个页码,一个页码数,他会在我们的sql语句的
最后补全limit语句,不需要我们注解再去拼接limit
/**
* 员工分页查询
*/
public PageResult page(EmployeePageQueryDTO employeePageQueryDTO) { PageHelper.startPage(employeePageQueryDTO.getPage() ,employeePageQueryDTO.getPageSize());
Page<Employee> page = employeeMapper.pageQuery(employeePageQueryDTO);
return new PageResult(page.getTotal(),page.getResult());
}
3.对应的sql语句——在mapper映射文件
<select id="pageQuery" resultType="com.sky.entity.Employee">
select * from employee
<where>
<if test="name != null and name != ''">
and name Like concat('%',#{name},'%')
</if>
</where>
order by create_time desc
</select>
4.前后端日期格式联调
1.使用@JsonFormat(pattern = “yyyy-MM-dd HH:mm:ss”)这个注解为日期属性加入日期转换
2.使用springMVC提供的消息转换器
/** * 扩展springMVC的消息转换器 * @param converters */ protected void extendMessageConverters(List<HttpMessageConverter<?>> converters) { //创建一个消息转换器对象 MappingJackson2HttpMessageConverter converter = new MappingJackson2HttpMessageConverter(); //需要为消息转换器设置一个对象转换器,对象转换器可以将java对象序列化为json数据 converter.setObjectMapper(new JacksonObjectMapper()); //将自己的消息转换器加入到容器中 converters.add(0,converter);//0这个参数表示将这个消息转换器放置到第一个位置---因为springMVC的消息转换器是一个list集合,里面有很多转换器,优先使用前面的转换器 }
732
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
