Day50(50)-F:\硕士阶段\Java\课程代码\后端\web-ai-code\web-ai-project02\tlias-web-management
登录设置-Filter
package com.itheima.filter;
import com.itheima.utils.JwtUtils;
import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import java.io.IOException;
@Slf4j
@WebFilter(urlPatterns = "/*")
public class TokenFilter implements Filter {
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
//1.获取请求路径
String requestURI = request.getRequestURI();
//2.判断是否登录请求,如果路径中包含/login,说明是登录操作,放行
if (requestURI.contains("/login")){
log.info("登录请求,放行");
filterChain.doFilter(request,response);
return;
}
//3.获取请求头子的token
String token = request.getHeader("token");
//4.判断token是否存在,如果不存在,说明用户没有登录,返回错误信息(响应401状态码)
if(token==null||token.isEmpty()){
log.info("令牌为空,响应401");
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
return;
}
//5.如果token存在,校验令牌,如果校验失败 - >返回错误信息(响应401状态码)
try {
JwtUtils.parseToken(token);//校验令牌
} catch (Exception e) {
log.info("令牌非法");
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
return;
}
//6.校验通过,放行
log.info("令牌合法,放行");
filterChain.doFilter(request,response);
}
}
用户退出登录时,前端通常会将 JWT 令牌发送给后端,由后端将该令牌加入黑名单,这是实现 JWT 主动失效的主流实践。但具体的令牌传递方式、后端处理逻辑有细节讲究,同时也存在一些优化方案,下面详细拆解这个过程。
常用逻辑:
客户端必须清除本地令牌:即使后端将令牌加入黑名单,前端也需立即清除本地存储的 JWT(如 LocalStorage/Cookie),避免后续请求重复携带无效令牌。
/emps/*的话emps后续也可以没有内容
过滤器默认逻辑顺序:按字符串自然排序:AAA建材
package com.itheima.filter;
import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;
import lombok.extern.slf4j.Slf4j;
import java.io.IOException;
@WebFilter(urlPatterns = "/*")//拦截所有请求
@Slf4j
public class DemoFilter implements Filter {
//拦截到请求之后执行,多次
@Override
//FilterChain 是服务器端(Java Servlet 容器,如 Tomcat)在处理请求时创建的内部对象
//和 ServletRequest 类似,ServletResponse(及其子接口 HttpServletResponse)也不是前端传递给后端的对象,
// 而是后端 Servlet 容器(如 Tomcat)为处理单次请求创建的服务器端响应封装对象。前端最终收到的 HTTP 响应,正是基于这个对象的配置和数据生成的。
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
log.info("拦截到了请求...");
//放行
filterChain.doFilter(servletRequest,servletResponse);
}
//初始化方法,在Web服务器启动的时候执行,只执行一次
@Override
public void init(FilterConfig filterConfig) throws ServletException {
log.info("init初始化方法...");
}
//销毁方法,Web服务器关闭的时候执行,只执行一次
@Override
public void destroy() {
log.info("destroy销毁的方法...");
}
}
生成令牌在由LoginController控制的empservice方法中,如果查询到才会给令牌,校验是在总控制器Application中解决
package com.itheima;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;
@ServletComponentScan//开启了Spring对Servlet组件的支持
@SpringBootApplication
public class TliasWebManagementApplication {
public static void main(String[] args) {
SpringApplication.run(TliasWebManagementApplication.class, args);
}
}
@ServletComponentScan//开启了Spring对Servlet组件的支持
浙公网安备 33010602011771号