springboot-web_登录认证

登录功能

代码实现

loginController

  @PostMapping("/login")
    public Result login(@RequestBody Emp emp){
        Emp login = empService.login(emp);
        return Result.success(login);
    }

EmpService

  	/**
     * 登录
     * @param emp
     * @return
     */
    Emp login(Emp emp);

EmpMapper

/**
     * 登录
     * @param emp
     * @return
     */
    @Select("select * from emp where username = #{username} and password = #{password}")
    Emp getBylogin(Emp emp);

登录校验

解决问题：在未登录情况下，我们可以直接访问部门管理、员工管理等功能

会话技术

会话：用户打开浏览器，访问web服务器的资源，会话建立，直到有一方断开连接，会话结束。再一次会话中可以多次请求和响应。

会话跟踪：一种维护浏览器状态的方法，服务器需要识别多次请求是否来自于同一浏览器，以便在同一次会话的多次请求间共享数据

会话跟踪方案：

• 客户端会话跟踪技术：Cookie
• 服务端会话跟踪技术：Session
• 令牌技术

方案一：cookie

• 优点：http协议中支持的技术
• 缺点：
  • 移动端APP无法使用coolie
  • 不安全，用户可以自己禁用cookie、
  • cookie不能跨域
• 注意：跨域区分三个维度：协议、IP/域名、端口

方案二：Session

• 优点：存储在服务端，安全
• 缺点：
  • 服务器集群环境下无法直接使用session
  • cookie的缺点

方案三：令牌技术

• 优点：
  • 支持PC端、移动端
  • 解决集群环境下的认证问题
  • 减轻服务器端存储压力
• 缺点：需要自己实现

JWT令牌

简介

• 全称：JSON Web Token (https://jwt.io)
• 定义了一种简洁的、自包含的格式，用于在通信双方一JSON数据格式安全的传输信息，由于数字签名的存在，这些信息是可靠的
• 组成：
  • 第一部分：Header（头），记录令牌类型、签名算法等。
  • 第二部分：Payload(有效载荷)，携带一些自定义信息、默认信息等。
  • 第三部分：SIgnature（签名），防止token被篡改、确保安全性、将header、payload，并加入指定秘钥，通过指定签名算法计算而来

JWT

• 场景：登录认证

1. 登录成功后，生成令牌
2. 后续每个请求，都要携带JWT令牌，系统在每次请求处理之前，先校验令牌，通过后，在处理

pom.xml

<dependency>
	<groupId>io.jsonwebtoken</groupId>
	<artifactId>jjwt</artifactId>
	<version>0.9.1</version>
</dependency>

JWT--生成

@Test
public void genJwt(){
	Map<String,Object> claims = new HashMap<>();
	claims.put(“id”,1);
	claims.put(“username”,“Tom”);
	String jwt = Jwts.builder()
	.setClaims(claims) //自定义内容(载荷)
	.signWith(SignatureAlgorithm.HS256, “itheima”) //签名算法
	.setExpiration(new Date(System.currentTimeMillis() + 12*3600*1000)) //有效期            			.compact();
	System.out.println(jwt);
}

JWT--校验

@Test
public void parseJwt(){
	Claims claims = Jwts.parser()
		.setSigningKey(“itheima”) //指定签名秘钥 .parseClaimsJws(“eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwiZXhwIjoxNjU5OTk1NTE3LCJ1c2VybmFtZSI6IlRvbSJ9.EUTfeqPkGslekdKBezcWCe7a7xbcIIwB1MXlIccTMwo”) //解析令牌
		.getBody();
		System.out.println(claims);
}

• 注意事项：
  • JWT校验时使用的签名秘钥，必须和生成JWT令牌时使用的秘钥是配套的
  • 如果JWT令牌解析校验时报错，则说明JWT令牌被篡改或失效了，令牌非法

过滤器Filter

过滤器

• 概念：filter过滤器，是javaweb三大组件（servlet、filter、listener）之一
• 过滤器可以把对资源的请求拦截下来，从而实现一些特殊的功能
• 过滤器一般完成一些通用的操作，比如：登录校验、统一编码处理、敏感字符处理等

快速入门

1. 定义filter：定义一个类，实现filter接口，并重写其中所有的方法。
2. 配置filter：filter类加上@webFilter注解，配置拦截资源的路径，引导类上架@ServletComponentScan。开启Servlet组件支

Filter

package com.itheima.Filter;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;

/**
 * @ClassName WebFilter
 * @Description TODO
 * @Author 罗佩帆
 * @Date 2023/5/20 19:47
 * @Version 1.0
 */

@WebFilter(urlPatterns = "/*")
public class filterDome implements Filter {

    /**
     * 初始化方法，Web服务器启动，创建Filter时调用，只调用一次
     * @param filterConfig
     * @throws ServletException
     */
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Filter.super.init(filterConfig);
    }

    /**
     * //拦截到请求时，调用该方法，可调用多次
     * @param servletRequest
     * @param servletResponse
     * @param filterChain
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("拦截方法执行，拦截到请求...");
        filterChain.doFilter(servletRequest,servletResponse);
    }

    /**
     * 销毁方法，服务器关闭时调用，只调用一次
     */
    @Override
    public void destroy() {
        Filter.super.destroy();
    }
}

详解（执行流程、拦截路径、过滤器链）

执行流程

1. 请求
2. 放行前逻辑
3. 放行
4. 资源
5. 放行后逻辑

Filter拦截路径

• Filter可以根据需求，配置不同的拦截资源路径：
  | 拦截路径 | URLPatterns值 | 含义 |
  | ------------ | ------------ | ------------ |
  |拦截具体路径 | /login | 只有访问/login路径时，才会别拦截 |
  | 目录拦截 | /emps/* | 访问/emps下的所有资源，都会被拦截 |
  | 拦截所有 | /* | 访问所有资源，都会被拦截 |

过滤器链

• 一个web应用中，可以配置多个过滤器，这么多个过滤器就形成了一个过滤器链

登录校验--Filter

思考：

• 所有的请求，拦截到之后，都需要校验令牌吗？
  • 有一个例外，登录请求
• 拦截到请求后，什么情况下才可以放行，执行业务逻辑操作？
  • 有令牌，且令牌校验通过（合法）；否则都返回未登录错误结果

登录校验Filter--流程

• 获取请求URL
• 判断请求URL中是否包含login，如果包含，说明是登录操作，放行。
• 获取请求头中的令牌（token）
• 判断令牌是否存在，如果不存在，返回错误结果（未登录）
• 解析token，如果解析失败，返回错误结果（未登录）
• 放行
  

拦截器Interceptor

概念：

• 是一种动态拦截方法调用的机制，类似于过滤去，spring框架中提供的，用来动态拦截控制器方法的执行
• 作用
  • 拦截请求，在指定的方法调用前后，根据业务需要执行预先设定的代码

Interceptor快速入门

1. 定义拦截器，实现HandlerInterceptor接口，并重写其所有方法

LoginInterceptor

package com.itheima.Filter;

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
 * @ClassName LoginInterceptor
 * @Description TODO
 * @Author 罗佩帆
 * @Date 2023/5/20 20:22
 * @Version 1.0
 */
@Component
public class LoginInterceptor implements HandlerInterceptor {
    //目标资源方法执行前执行，放回true：放行，返回false：不放行
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("preHandle....");
        return HandlerInterceptor.super.preHandle(request, response, handler);
    }

    //目标资源方法执行后执行
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("postHandle....");
        HandlerInterceptor.super.postHandle(request, response, handler, modelAndView);
    }

    //视图渲染完毕后执行，最后执行
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("afterCompletion....");
        HandlerInterceptor.super.afterCompletion(request, response, handler, ex);
    }
}

2. 注册拦截器

webConfig

package com.itheima.Config;

import com.itheima.Filter.LoginInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @ClassName webConfig
 * @Description TODO
 * @Author 罗佩帆
 * @Date 2023/5/20 20:28
 * @Version 1.0
 */

@Configuration
public class webConfig implements WebMvcConfigurer {

    @Autowired
    private LoginInterceptor loginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        /**
         * addInterceptor(loginInterceptor):添加拦截器
         * addPathPatterns("/**"):是指要拦截的路径--> /**:是拦截所有路径
         * excludePathPatterns(""):是指放行的路径
         */
        registry.addInterceptor(loginInterceptor).addPathPatterns("/**").excludePathPatterns("/login");
    }
}

详解（拦截路径、执行流程）

拦截器-拦截路径

• 拦截器可以根据需求，配置不同的拦截路径
  
  

拦截器-执行流程

登录校验-Interceptor

登录校验Interceptor

1. 获取请求URL
2. 判断请求URL中是否包含login，如果包含，说明是登录操作，放行
3. 获取请求头中的令牌（token）
4. 判断令牌是否存下，如果不存在，返回错误结果（未登录）
5. 解析token，如果解析失败，返回错误结果（未登录）
6. 放行

var code = "caca0ae0-8999-4497-9493-f844a3523cf6"