终于来到登录接口了!!!

已于 2024-07-30 16:46:38 修改
阅读量649 收藏 11
点赞数 25
分类专栏: SpringBoot 文章标签: json spring boot
于 2024-07-30 15:31:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74474809/article/details/140795365
版权

跟着黑马程序员视频学习springboot3+vue3的学习笔记

登录的主逻辑开发

查询请求中的用户名和密码是否在数据库里(是否存在)

查询操作在注册时已经有了,所以我们只需要在UserController类里加上登录的API和处理逻辑就可以了

@PostMapping("/login")
    public Result<String> login(@Pattern(regexp="^\\S{5,16}$") String username,@Pattern(regexp="^\\S{5,16}$") String password){
        //根据用户名查询用户名
        User loginUser = userService.findByUserName(username);
        //判断用户是否存在
        if(loginUser==null){
            return Result.error("用户名不存在");
        }

        //判断密码是否正确 loginuser对象中密码是密文
        if(Md5Util.getMD5String(password).equals(loginUser.getPassword())){
            //登录成功
            return Result.success("jwt token 令牌..");

        }
        return Result.error("密码错误");
    }

结果

登录认证

在一个项目中,有很多controller,如果用户没有登录,是不可以查询到其他的controller接口的,这时其他接口在进行查询之前需要对用户的登录状态进行检查,这个就叫登录认证。

那我们如何实现登录认证呢?这就需要借助令牌的技术

浏览器访问登录接口,登录成功后,需要在后台生成一个令牌,并且把令牌响应给浏览器;浏览器再去访问其他接口的时候就需要把这个令牌给携带上,其他接口看到浏览器是携带令牌的并且令牌是合法有效的,就正常提供服务,否则就不提供。

令牌详解

令牌起到身份识别的作用,它就是一段字符串

令牌要求:

  • 承载业务数据, 减少后续请求查询数据库的次数

  • 需要具备防伪功能

使用JWT令牌规范

  • 全称:JSON Web Token(JSON Web Tokens - jwt.io)

  • 定义了一种简洁的,自包含的格式,用于通信双方以json数据格式安全的传输信息

以下就是Token令牌

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.JTdCJTIybmFtZSUyMiUzQSUyMlRvbSUyMiUyQyUyMmlhdCUyMiUzQTE1MTYyMzkwMjIlN0Q=.SflKxwRJSMeKKF2QT4fwpMeJf...

里面的两个“.”把Token令牌分成了三部分

  • Token组成:

    • 第一部分:Header(头) , 记录令牌类型,签名算法等 {“alg”:"HS256", "type": "JWT"} alg:加密算法,防篡改

    • 第二部分:Payload(有效载荷),携带一些自定义信息,默认信息等。这部分一定不要存放私密的数据,比如登录密码。 {“id”:"1" , "username": "Tom" }

    • 第三部分:Signature(数字签名),防止Token被篡改,确保安全性。借助header,payload部分并且加入指定密钥,通过指定签名算法计算而来。{header,payload,secret}

借助Base64编码方式把任意数据转换成64个可打印字符,所以JS字符串是通过Base64编码转换成token令牌中展示的那一段字符

JWT解析Token令牌时,会通过解密第三部分数字签名从而得到头部和载荷;再拿着解密得到的内容和用户传递的内容进行比对,不一样的话就说明数据被篡改过,不让其访问。

如何生成令牌

使用生成令牌的工具

在pom.xml文件中引人java-jwt坐标和单元测试的坐标

在src/test/java/org.exampletest下新建一个测试类JwtTest

这段代码不需要记忆,工具类里面有。但是我还不会呢,我就是跟着视频敲

package org.exampletest;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.junit.jupiter.api.Test;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

import static com.mysql.cj.protocol.ExportControlled.sign;

public class JwtTest {
    @Test
    public void testGen(){
        Map<String, Object> claims = new HashMap<>();
        claims.put("id","1");
        claims.put("username","张三");
       //生成jwt的代码
        String token=JWT.create()
                .withClaim("user",claims)//添加载荷
                .withExpiresAt(new Date(System.currentTimeMillis()+1000*60*60*24))//添加过期时间
                .sign(Algorithm.HMAC256("secret"));//指定算法,配置密钥,这个密钥一定不能泄露出去,否则不能起到防篡改的作用
        System.out.println(token);
    }
}

Token的验证

在JwtTest类中添加一个验证方法

如果篡改了头部和载荷部分的数据,验证失败

如果密钥改了,验证失败

token过期了,验证失败

正式进入登录认证代码的书写

  • 添加JWT工具类

直接使用黑马程序员给我们准备好的工具类

  1. 黑马程序员教程资源下载指南 - 哔哩哔哩 (bilibili.com)搜索springboot3+vue3即可

  2. 黑马程序员领取资料的百度网盘https://pan.baidu.com/s/1w9nn_IRGcqYm1npllasjoQ&pwd=9988

  3. 不想下载的,我把代码粘过来了,如下

  4. package org.exampletest.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;

import java.util.Date;
import java.util.Map;

public class JwtUtil {

    private static final String KEY = "itheima";
	
	//接收业务数据,生成token并返回
    public static String genToken(Map<String, Object> claims) {
        return JWT.create()
                .withClaim("claims", claims)
                .withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 12))
                .sign(Algorithm.HMAC256(KEY));
    }

	//接收token,验证token,并返回业务数据
    public static Map<String, Object> parseToken(String token) {
        return JWT.require(Algorithm.HMAC256(KEY))
                .build()
                .verify(token)
                .getClaim("claims")
                .asMap();
    }

}

  • 修改UserController里的登录逻辑代码实现生成令牌
   @PostMapping("/login")
    public Result<String> login(@Pattern(regexp="^\\S{5,16}$") String username,@Pattern(regexp="^\\S{5,16}$") String password){
        //根据用户名查询用户名
        User loginUser = userService.findByUserName(username);
        //判断用户是否存在
        if(loginUser==null){
            return Result.error("用户名不存在");
        }
        //判断密码是否正确 loginuser对象中密码是密文
        if(Md5Util.getMD5String(password).equals(loginUser.getPassword())){
            //登录成功
            Map<String,Object>claims = new HashMap<>();
            claims.put("id",loginUser.getId());
            claims.put("username",loginUser.getUsername());
            String token=JwtUtil.genToken(claims);
            return Result.success(token);
        }
        return Result.error("密码错误");
    }

令牌生成成功

  • 在其他接口实验令牌验证

 浏览器携带token再去访问其他接口,那么这个token是以什么方式携带过来的呢?以请求体还是请求头呢?

翻阅接口文档才知道

 由接口文档得出,token是请求头携带过来的,所以list方法的参数是token,参数前还要加上

@RequestHeader(name="Authorization")

在ArtitleController中修改代码为:

package org.exampletest.controller;

import jakarta.servlet.http.HttpServletResponse;
import org.exampletest.pojo.Result;
import org.exampletest.utils.JwtUtil;
import org.springframework.web.bind.annotation.RequestHeader;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.Map;

@RestController
@RequestMapping("/article")
public class ArticleController {
    @RequestMapping("/list")
    public Result<String> list(@RequestHeader(name="Authorization") String token, HttpServletResponse response){
        //验证token
        try {
            Map<String,Object>claims= JwtUtil.parseToken(token);
            return Result.success("所有的文章数据......");
    }
        }catch (Exception e){
            //http响应状态码为401
            response.setStatus(401);
            return Result.error("未登录");
        }
       
}

重新运行,发送请求

失败:

 把登录成功的请求头加上:访问成功了

验证成功。 

大家会想到项目中会有很多很多controller,有非常多的接口需要令牌的校验,每个接口都写一个令牌校验的代码显然是不现实的。多个接口都有同样的技术需要完成,可以用拦截器实现。给程序注册一个拦截器,让所有的请求都经过拦截器,在拦截器里统一完成验证,验证通过才让浏览器访问接口,验证不通过就不给访问。

完了。。。。看到拦截器这里又不懂了。。。。没关系,先继续往下学,不会的先跳过,大概把这个登录认证内容,流程了解清楚后,再回过头来看拦截器的具体内容

拦截器(Interceptor)是Spring框架中用于拦截请求和响应的组件。在Spring MVC中,拦截器可以在请求处理之前、处理之后或响应发送之前执行自定义逻辑。拦截器通常用于实现诸如权限校验、日志记录、事务管理等跨多个请求的通用功能。

 在启动类所在的包下新建一个interceptors包(拦截器包),在拦截器包下建立一个登录拦截器LoginInterceptor类

 LoginInterceptor是一个自定义的拦截器,它实现了HandlerInterceptor接口。该拦截器的核心功能是在请求处理之前验证用户的令牌(Token)。如果令牌验证成功,拦截器返回true,允许请求继续执行;如果验证失败,拦截器返回false,阻止请求继续处理,并设置响应状态码为401(未授权)。

package org.exampletest.interceptors;

import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.exampletest.pojo.Result;
import org.exampletest.utils.JwtUtil;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import java.util.Map;

@Component
public class LoginInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler){
        //令牌验证
        String token=request.getHeader("Authorization");
        //验证token
        try{
            Map<String, Object> claims= JwtUtil.parseToken(token);
            return true;
        }catch (Exception e){
            response.setStatus(401);
            //不放行
            return false;
        }
    }
}

在启动类所在的包下新建一个config包,config包下新建一个WebConfig类,用于注册拦截器

拦截器通过WebMvcConfigurer接口的addInterceptors方法进行配置。在WebConfig类中,LoginInterceptor被注入并注册到拦截器注册处。通过excludePathPatterns方法,可以指定不需要进行令牌验证的路径,例如登录和注册接口。这样配置后,只有非登录和注册的请求会经过LoginInterceptor的验证。拦截器的配置确保了只有经过验证的请求能够访问受保护的资源,从而提高了应用的安全性

package org.exampletest.config;

import org.exampletest.interceptors.LoginInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Configurable;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Autowired
    private LoginInterceptor loginInterceptor;
    @Override
    public void addInterceptors(InterceptorRegistry registry){
        //登录注册接口不拦截
        registry.addInterceptor(loginInterceptor).excludePathPatterns("/user/login","/user/register");

    }
}

 

 把ArticleController类中的令牌验证部分删掉

package org.exampletest.controller;

import jakarta.servlet.http.HttpServletResponse;
import org.exampletest.pojo.Result;
import org.exampletest.utils.JwtUtil;
import org.springframework.web.bind.annotation.RequestHeader;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.Map;

@RestController
@RequestMapping("/article")
public class ArticleController {
    @RequestMapping("/list")
    public Result<String> list(/*@RequestHeader(name="Authorization") String token, HttpServletResponse response*/){
//        //验证token
//        try {
//            Map<String,Object>claims= JwtUtil.parseToken(token);
//            return Result.success("所有的文章数据......");
//        }catch (Exception e){
//            //http响应状态码为401
//            response.setStatus(401);
//            return Result.error("未登录");
//        }
        return Result.success("所有的文章数据......");
    }
}

到这里登录部分的接口就实现了 

方方怪
关注
  • 25
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AirBnB_clone:欢迎来到AirBnB克隆项目! (霍尔伯顿住宿加早餐旅馆)
02-12
1. **Flask框架**:AirBnB_clone项目的核心是使用Flask,这是一个轻量级的Python Web服务器网关接口(WSGI)应用框架。Flask提供了基本的路由、模板渲染和HTTP请求处理功能,适合快速搭建小型Web应用。 2. **数据库...
spring跳转到jsp和接口共同存在
05-11
例如,一个登录功能,用户通过表单提交时可以跳转到JSP页面显示结果,而API则提供无状态的JSON响应。 - 对于返回JSP的情况,使用`ModelAndView`或者`RedirectAttributes`跳转到指定的JSP页面。 - 对于API接口,...
欢迎来到wasm-packdocs!
小Y的博客
07-18 2660
该工具旨在成为构建和使用生锈的WebAssembly的一站式商店,您希望在浏览器中或使用Node.js与JavaScript互操作。wasm-pack帮助您构建生锈的WebAssembly包,您可以将其发布到npm注册表,或者与您已经使用的工作流中的任何javascript包一起使用,例如webpack 或greenkeeper。 该项目是rust-wasm团队的一部分。您可以通过访问该回购找到更...
Ajax入门!!!!!
wmuj_的博客
05-05 815
请求方法是一些固定单词的英文,例如:GET,POST,PUT,DELETE,PATCH(这些都是http协议规定的),每个单词对应一种对服务器资源要执行的操作。浏览器网页中,使用 AJAX技术(XHR对象)发起获取省份列表数据的请求,服务器代码响应准备好的省份列表数据给前端,前端拿到数据数组以后,展示到网页。统一资源定位符,简称网址,用于定位网络中的资源(资源指的是:网页,图片,数据,视频,音频等等)标记服务器在互联网当中的方位,网络中有很多服务器,你想访问哪一台,就需要知道它的域名才可以。
Nacos系列:欢迎来到Nacos的世界!
专注分享Java后端技术,分享有利于身心健康!
02-23 1953
什么是Nacos? Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。 Nacos可以做什么? 1、动态配置服务:支持以中心化、外部化和动态化的方式管理所有环境的配置。动态配置消除了配置变更时重新部署应用和服务的需要。配置中心化管理让实现无状态服务更简单,也让按需弹性扩展服务更容易。 2、服务发现及管理:支持DNS-Based和RPC-Based(D...
Python项目实战之欢迎来到美多商城!学习目录导航
zz77244920的博客
05-19 1309
1. 项目准备 1.1. 项目介绍 1.1.1. 项目需求分析 1.1.2. 项目架构设计 1.2. 工程创建和配置 1.2.1. 创建工程 1.2.2. 配置开发环境 1.2.3. 配置Jinja2模板引擎 1.2.4. 配置MySQL数据库 1.2.5. 配置Redis数据库 1.2.6. 配置工程日志 1.2.7. 配置前端静态文件 2. 用户注册 2.1. 展示用户注册页面 2.1.1. 创建用户模块子应用 2.1.2. 追加导包路径 2.1.3. 展示用户注册页面 2.2. 用户模型类 2.2.1
Flutter 历时5天,我终于做出它!!!(炫酷的引导页、登录界面)
txaz6的博客
09-30 1554
小知识,大挑战!本文正在参与“程序员必备小知识”创作活动。 前言:五天前,我发布了很多登录界面的UI,并发起投票:https://juejin.cn/post/7010922696988966919 从那天开始我就找了ui小姐姐,使用一杯送到手中的奶茶,换取了小姐姐的切图。然后我在两天的工作之余,我开始使用Flutter实现,可是,这张设计图在很多android手机的表现并不好,作为一个良心up????,那我必须不能把它给大家 做了一半,发现效果不好,我都封装好了,就想着大家下载改一改就可以商用 然后我又
OAuth 2 实现单点登录,通俗易懂!
程序员闪充宝
05-01 5877
大家好,我是宝哥!单点登录是多域名企业站点流行的登录方式。本文以现实生活场景辅助理解,力争彻底理清 OAuth2.0 实现单点登录的原理流程。同时总结了权限控制的实现方案,及其在微服务架构中的应用。什么是单点登录多点登录传统的多点登录系统中,每个站点都实现了本站专用的帐号数据库和登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。如下图,有两个术语含义如下:认证...
Java后端的登录、注册接口是怎么实现的
m0_63064861的博客
12-08 2488
Java后端的登录接口的实现方式有很多种,这里介绍其中一种常见的方式。:用户输入用户名和密码,前端将用户提交的用户名和密码发送到后端进行验证。如果验证通过,后端会生成一个session id,然后将session id 以及其他用户信息存储在服务端的session中。同时,后端会将session id 返回给前端,前端将session id 存储在cookie中。
前端轻松拿捏!最简全栈登录认证和权限设计!
最新发布
前端原创分享,常年坚持记录和分享,全网阅读量超百万
07-19 1069
你或许作为前端的课代表,开发了很多高级的登录功能,比如扫码登录、手机号一键登录、第三方授权登录、生物认证登录等,对 OAuth、JWT、双 Token 等关键词也能脱口而出,但是你可能还从未以一个全栈的身份完整地开发过一个登录功能。没关系,本文的目的就是解决你的这份忧虑,从一个极简的全栈登录认证功能入手,打破这个枷锁!前几篇文章提到过,在博客系统中,我们需要后台管理功能去维护我们的文章、留言评论等内容。既然是这样,后台管理的安全问题也得考虑,登录和权限设计是非常有必要的。
vue-admin-template 修改登录接口
Yuudachi的博客
09-24 9016
准备工作 修改 vue.config.js proxy: { // change xxx-api/login => mock/login // detail: https://cli.vuejs.org/config/#devserver-proxy // 为了不影响其他请求的使用,可以将这里注释掉 /* [process.env.VUE_APP_BASE_API]: { target: `http://localhost:9000`,
拜托,大厂做项目可不简单!
热门推荐
努力做最接地气的编程干货分享,感谢关注
07-16 1万+
揭秘一线大厂研发流程 大家好,我是鱼皮。 很多未工作过的小伙伴都很好奇:企业中做项目是怎样的流程?尤其是大厂那些百万用户的项目,和自己学编程时做项目到底有什么区别呢? 实话说,区别可大了! 自己开发项目那是单打独斗,自己掌握命运,不会拖垮队友;但企业中开发项目是开团打本,大家是一根绳上的蚂蚱,每个人都会影响整个项目。 我自己也在几家公司实习过,不得不说,大厂和其他公司的研发流程也有很大的区别。 因此,对于大多数同学,如果没有在大厂工作过,对很多研发环节可能都是一无所知的。 所以今天给大家揭秘一下大厂的.
用户登录和注销1
08-08
这个过滤器实现Filter接口,过滤所有非登录页面的请求,对登录请求放行。在web.xml中注册过滤器,并确保其配置在Struts之前,以确保过滤器生效。 通过以上步骤,我们就构建了一个基本的用户登录和注销系统,实现了...
java springboot项目(登录及注册功能)
04-24
你好,欢迎来到我的博客!今天我要和大家分享一下如何用Java SpringBoot框架搭建一个简单的项目,实现登录和注册的功能。这个项目使用了Maven作为管理工具,方便我们导入依赖和打包部署。下面我就来介绍一下项目的...
C#+Sqlite数据库多层登录实例
03-20
为了连接到SQLite数据库,我们需要使用System.Data.SQLite库,该库为.NET提供了SQLite数据库的接口。在C#代码中,我们可以创建一个SQLiteConnection对象,建立到SQLite数据库的连接,然后使用SQLiteCommand对象执行...
房屋管理系统(java+SQL server)
01-20
- **Java JDBC**:Java数据库连接(JDBC)是Java中用于与各种数据库进行交互的一套接口和类,它允许开发者执行SQL语句,处理结果集,实现数据的增删改查操作。 2. **SQL Server数据库**: - **数据存储**:SQL ...
java宠物店
05-31
每个功能模块,如登录界面、购物车、库存管理等,都可以看作是一个独立的对象,它们之间通过接口进行交互,实现了模块间的解耦合。 在登录功能中,通常会涉及到密码的加密存储,这是安全性的基本要求。Java提供了...
VideoGameAPI
03-07
VideoGameAPI 是一个专为游戏开发者设计的API接口,它允许开发者通过编程方式与游戏相关的数据和服务进行交互。这个API可能包含多种功能,如获取游戏信息、管理用户账户、处理游戏成就、排行榜以及进行交易等。在...
java的我行我素shopping
08-12
1. **用户管理**:可能使用Java集合框架(如ArrayList、HashMap)来存储用户信息,实现用户注册、登录、信息修改等功能,涉及到字符串操作、面向对象的设计以及数据库交互。 2. **商品管理**:商品信息可能会存储在...
html文件!自动生成
04-08
HTML(Hypertext Markup Language)是一种用于创建网页的标记语言。它由一系列的标签组成,这些标签用于定义网页的结构和内容。HTML文件是包含HTML代码的文本文件,通过浏览器解析和渲染,最终呈现为网页。 HTML文件通常以`.html`或`.htm`为扩展名。在HTML文件中,可以使用各种标签来定义标题、段落、链接、图像、表格等元素。每个标签都由尖括号`< >`包围,并且可以包含属性来进一步定义标签的行为和样式。 以下是一个简单的HTML文件示例: ```html <!DOCTYPE html> <html> <head> <title>我的第一个网页</title> </head> <body> <h1>欢迎来到我的网页!</h1> <p>这是一个段落。</p> <a href="https://www.example.com">点击这里访问示例网站</a> <img src="image.jpg" alt="图片描述"> </body> </html> ``` 在上面的示例中,`<!DOCTYPE html>`声明了文档类型为HTML5。`<html>`标签是HTML文档的根元素,包含了整个网页的内容。`<head>`标签用于定义文档的头部信息,如标题和引用的外部样式表。`<body>`标签用于定义文档的主体内容,包括标题、段落、链接和图像等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值