淄博网站建设app开发,注册公司如何做网站,做的比较好的旅行网站,织梦网站优化目录 JWT令牌
简介
JWT生成
解析JWT
登陆后下发令牌
过滤器(Filter)
Filter快速入门
Filter拦截路径
过滤器链
登录校验Filter-流程
拦截器(Interceptor)
Interceptor 快速入门
拦截路径
登录校验流程 JWT令牌
简介
全称:JSON Web Token(https://iwt.io/) …目录 JWT令牌
简介
JWT生成
解析JWT
登陆后下发令牌
过滤器(Filter)
Filter快速入门
Filter拦截路径
过滤器链
登录校验Filter-流程
拦截器(Interceptor)
Interceptor 快速入门
拦截路径
登录校验流程 JWT令牌
简介
全称:JSON Web Token(https://iwt.io/) 定义了一种简洁的、自包含的格式用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在这些信息是可靠的。
组成: 第一部分:Header(头)记录令牌类型、签名算法等。例如:{alg:HS256,type:JWT} 第二部分:Payload(有效载荷)携带一些自定义信息、默认信息等。例如 {id:1username:Tom} 第三部分:Signature(签名)防止Token被篡改、确保安全性。将header、pavload并加入指定秘钥通过指定签名算法计算而来。 场景:登录认证 登录成功后生成令牌 后续每个请求都要携带JWT令牌系统在每次请求处理之前先校验令牌通过后再处理
JWT生成
在pom.xml 导入依赖
dependencygroupIdio.jsonwebtoken/groupIdartifactIdjjwt/artifactIdversion0.9.1/version/dependency
测试
//生成JWTTestpublic void testGenJwt(){MapString,Objectclaimsnew HashMap();claims.put(id,1);claims.put(name,Tom);String jwt Jwts.builder().setClaims(claims)//自定义内容.signWith(SignatureAlgorithm.HS256, itking)//签名算法.setExpiration(new Date(System.currentTimeMillis() 3600 * 1000))//设置有效期为一个小时.compact();System.out.println(jwt);} 返回生成的JWT令牌
解析JWT Testpublic void testParseJwt(){Claims claims Jwts.parser().setSigningKey(itking)//指定签名密钥.parseClaimsJws(eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiVG9tIiwiaWQiOjEsImV4cCI6MTcxODM2ODM3N30.iRwBkPs6CGuUrZpz1YBjh0QubkpEnY6ArxddkVlMclI)//解析令牌.getBody();System.out.println(claims);} JWT校验时使用的签名秘钥必须和生成IWT令牌时使用的秘钥是配套的
如果JWT令牌解析校验时报错则说明JWT令牌被篡改或失效了令牌非法
登陆后下发令牌
令牌生成:登录成功后生成JWT令牌并返回给前端 令牌校验:在请求到达服务端后对令牌进行统一拦截、校验
需要附加一个工具类JwtUtils类
package com.example.Utils;import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.Map;public class JwtUtils {private static String signKey itking;private static Long expire 43200000L;/*** 生成JWT令牌* param claims JWT第二部分负载 payload 中存储的内容* return*/public static String generateJwt(MapString, Object claims){String jwt Jwts.builder().addClaims(claims).signWith(SignatureAlgorithm.HS256, signKey).setExpiration(new Date(System.currentTimeMillis() expire)).compact();return jwt;}/*** 解析JWT令牌* param jwt JWT令牌* return JWT第二部分负载 payload 中存储的内容*/public static Claims parseJWT(String jwt){Claims claims Jwts.parser().setSigningKey(signKey).parseClaimsJws(jwt).getBody();return claims;}
}再更改一下LoginController
package com.example.Controller;import com.example.Pojo.Emp;
import com.example.Pojo.Result;
import com.example.Service.EmpService;
import com.example.Utils.JwtUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;import java.util.HashMap;
import java.util.Map;RestController
public class LoginController {Autowiredprivate EmpService empService;PostMapping(/login)public Result login(RequestBody Emp emp){Emp e empService.login(emp);//登陆成功生成令牌下发令牌if(e!null){MapString, Object claimsnew HashMap();claims.put(id,e.getId());claims.put(name,e.getName());claims.put(username,e.getUsername());String jwt JwtUtils.generateJwt(claims);return Result.success(jwt);}//登陆失败返回错误信息return Result.error(用户名或密码错误);}
}测试 过滤器(Filter) 概念:Filter 过滤器是JavaWeb 三大组件(Servlet、Filter、Listener)之一 过滤器可以把对资源的请求拦截下来从而实现一些特殊的功能。 过滤器一般完成一些通用的操作比如:登录校验、统一编码处理、敏感字符处理等 Filter快速入门
定义Filter:定义一个类实现 Filter接口并重写其所有方法。 配置Filter: filter类上加 Webfilter 注解配置拦截资源的路径。引导类上加 ServletComponentScan 开启Servlet组件支持
初始化与销毁已经默认实现了 DemoFilter类
package com.example.Filter;import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;import java.io.IOException;WebFilter(urlPatterns /*)
public class DemoFilter implements Filter {//初始化方法只调用一次Overridepublic void init(FilterConfig filterConfig) throws ServletException {System.out.println(init初始化方法执行了);}//拦截到请求之后调用会调用多次Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {System.out.println(拦截到请求);//放行filterChain.doFilter(servletRequest,servletResponse);}//销毁方法只调用一次Overridepublic void destroy() {System.out.println(destroy销毁方法执行了);}
}还要在启动类加上ServletComponentScan
package com.example;import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;ServletComponentScan//开启了对servlet组件的支持
SpringBootApplication
public class TliasWebManagementApplication {public static void main(String[] args) {SpringApplication.run(TliasWebManagementApplication.class, args);}}放行后访问对应资源资源访问完成后还会回到Filter中吗?
会
如果回到Filter中是重新执行还是执行放行后的逻辑呢?
执行放行后逻辑
Filter拦截路径 Filter 可以根据需求配置不同的拦截资源路径
拦截路径urlPatterns值 含义拦截具体路径 /login只有访问 /login 路径时才会被拦截目录拦截 /emps/*访问/emps下的所有资源都会被拦截拦截所有路径 /*访问所有资源都会被拦截
过滤器链
介绍:一个web应用中可以配置多个过滤器这多个过滤器就形成了一个过滤器链
顺序:注解配置的Filter优先级是按照过滤器类名(字符串)的自然排序。 所有的请求拦截到了之后都需要校验令牌吗? 有一个例外登录请求 拦截到请求后什么情况下才可以放行执行业务操作? 有令牌且令牌校验通过(合法);否则都返回未登录错误结果 登录校验Filter-流程
获取请求url。判断请求url中是否包含login如果包含说明是登录操作放行获取请求头中的令牌(token)判断令牌是否存在如果不存在返回错误结果(未登录)解析token如果解析失败返回错误结果(未登录)放行。
package com.example.Filter;import com.alibaba.fastjson.JSONObject;
import com.example.Pojo.Result;
import com.example.Utils.JwtUtils;
import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;import java.io.IOException;Slf4j
WebFilter(urlPatterns /*)
public class LoginFilter implements Filter {Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {HttpServletRequest req (HttpServletRequest) servletRequest;HttpServletResponse resp (HttpServletResponse) servletResponse;//1获取请求url。String urlreq.getRequestURI().toString();log.info(请求的url{},url);//2判断请求url中是否包含login如果包含说明是登录操作放行if(url.contains(login)){log.info(登陆操作放行);filterChain.doFilter(servletRequest,servletResponse);return;}//3获取请求头中的令牌(token)String jwtreq.getHeader(token);//4判断令牌是否存在如果不存在返回错误结果(未登录)if(!StringUtils.hasLength(jwt)){log.info(请求头token为空返回未登陆信息);Result error Result.error(NOT_LOGIN);String notLogin JSONObject.toJSONString(error);resp.getWriter().write(notLogin);return;}//5解析token如果解析失败返回错误结果(未登录)try {JwtUtils.parseJWT(jwt);} catch (Exception e) {e.printStackTrace();log.info(解析令牌失败返回未登录信息);Result error Result.error(NOT_LOGIN);String notLogin JSONObject.toJSONString(error);resp.getWriter().write(notLogin);return;}//6放行log.info(令牌合法,放行);filterChain.doFilter(servletRequest,servletResponse);}
}拦截器(Interceptor)
概念:是一种动态拦截方法调用的机制类似于过滤器。Spring框架中提供的用来动态拦截控制器方法的执行
作用:拦截请求在指定的方法调用前后根据业务需要执行预先设定的代码。
Interceptor 快速入门
1.定义拦截器实现HandlerInterceptor接口并重写其所有方法 2.注册拦截器
先创建一个包类 然后实现这个接口 再按ctrlo重写里面的方法 package com.example.Interceptor;import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;Component
public class LoginCheckInterceptor implements HandlerInterceptor {Override//目标资源方法运行前运行返回true:放行放回false不放行public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {System.out.println(preHandle运行了);return true;}Override//标资源方法运行后运行public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println(postHandle运行了);}Override//视图渲染完毕后运行最后运行public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println(afterCompletion运行了);}
}再写个配置类
package com.example.Config;import com.example.Interceptor.LoginCheckInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;Configuration//配置类
public class WebConfig implements WebMvcConfigurer {Autowiredprivate LoginCheckInterceptor loginCheckInterceptor;Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(loginCheckInterceptor).addPathPatterns(/**);}
}拦截路径 拦截路径含义举例/*一级路径能匹配/depts/emps/login不能匹配/depts/1/**任意级路径能匹配/depts/depts/1/depts/1/2/depts/*/depts下的一级路径能匹配/depts/1不能匹配/depts/1/2/depts/depts/**/depts下的任意级路径能匹配/depts/depts/1/depts/1/2不能匹配/emps/1 Filter 与Interceptor
接口规范不同:过滤器需要实现Filter接口而拦截器需要实现HandlerInterceptor接口。 拦截范围不同:过滤器Filter会拦截所有的资源而Interceptor只会拦截Spring环境中的资源。
登录校验流程
这个与Filter差不多
package com.example.Interceptor;import com.alibaba.fastjson.JSONObject;
import com.example.Pojo.Result;
import com.example.Utils.JwtUtils;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;Slf4j
Component
public class LoginCheckInterceptor implements HandlerInterceptor {Override//目标资源方法运行前运行返回true:放行放回false不放行public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String urlrequest.getRequestURI().toString();log.info(请求的url{},url);//2判断请求url中是否包含login如果包含说明是登录操作放行if(url.contains(login)){log.info(登陆操作放行);return true;}//3获取请求头中的令牌(token)String jwtrequest.getHeader(token);//4判断令牌是否存在如果不存在返回错误结果(未登录)if(!StringUtils.hasLength(jwt)){log.info(请求头token为空返回未登陆信息);Result error Result.error(NOT_LOGIN);String notLogin JSONObject.toJSONString(error);response.getWriter().write(notLogin);return false;}//5解析token如果解析失败返回错误结果(未登录)try {JwtUtils.parseJWT(jwt);} catch (Exception e) {e.printStackTrace();log.info(解析令牌失败返回未登录信息);Result error Result.error(NOT_LOGIN);String notLogin JSONObject.toJSONString(error);response.getWriter().write(notLogin);return false;}//6放行log.info(令牌合法,放行);return true;}Override//标资源方法运行后运行public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println(postHandle运行了);}Override//视图渲染完毕后运行最后运行public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println(afterCompletion运行了);}
}努力遇见更好的自己
