4.登录校验
4.1会话
--用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。
会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自同一个浏览器,以便在同一次会话的多次请求间共享数据--
-
cookie客服端会话跟踪技术(addCookie(name,value),getCookie方法)
优点:HTTP协议中支持的技术
缺点:移动端APP无法使用Cookie,不安全用户可以自己禁用Cookie,Cookie不能跨域。(跨域区分三个维度:协议,IP/域名,端口)
-
Session服务端会话跟踪技术(addAttribute(name,value),setAttribute(name,value),getAttribute(name)方法)
优点:存储在服务端,安全
缺点:服务器集群环境下无法使用Session+Cookie缺点
-
令牌技术
优点:支持PC端,移动端。解决集群环境下的认证问题。减轻服务端存储压力。
缺点:需要自己实现
4.2JWT令牌技术
--简洁、自包含的格式,用于在通信双方以JSON数据格式安全的传输信息。由于数字签名的存在,这些信息都是可靠的。
组成:
第一部分:Header(头),记录令牌类型、签名算法等。例如:["alg":"HS256","type":"WT")
第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如:"id"."1""username"."Tom"
第三部分: Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。
*第三部分字符的由来不是Base64编码方式生成的,而是前面指定的签名算法
应用场景-- 登录认证
① 用户登录成功后,服务端生成一个JWT令牌,并传输给前端。
②前端拿到JWT令牌之后会将其存储起来,之后前端的每一次请求都会将JWT令牌携带到服务端,服务端会对请求进行统一拦截,拦截之后先判断有没有把这个令牌带过来。
如果没有令牌就拒绝访问;若有令牌但是无效仍然拒绝访问;若有效则直接放心,并处理对应请求
*JWT校验时使用的签名秘钥,必须和生成JWT令牌时使用的秘钥是配套的(编码和解析时秘钥必须相同)
*如果JWT令牌解析校验时报错,则说明JWT令牌被篡改或失效,令牌非法
登录成功下发令牌令牌生成: 登录成功后,生成JWT令牌,返回给前端令牌校验,在请求到达服务端后,对令牌进行统一拦截、校验用户登录成功后,系统会自动下发JWT令牌,然后在后续的每次请求中,都需要在请求头header中携带到服务端,请求头的名称为token,值为登录时下发的JWT令牌
4.3Filter
--Filter过滤器,是javaWeb三大组件(Servlet、Filter、Listener)之一
- 过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能
① 想要访问服务器中的某些资源,必须先经过Filter过滤器。
② 再此处进行一些操作,完成之后进行放行,访问对应的资源
③ 资源访问完毕,最后再回到过滤器,然后再给浏览器响应对应的数据
- 过滤器一般完成一些通用的操作,比如:登录校验、统一编码处理、敏感字符处理等。
如果没有过滤器,我们需要在每一个接口中编写登录校验逻辑。
如果登录了,放行去访问对应的信息,如果没有登录,直接在Filter中返回错误信息,不再访问后面的请求
- 定义Filter:定义一个类,实现Filter接口,并重写其所有方法
但是开发中我们一般只实现doFilter这个方法,其他两个方式使用默认实现即可
- 配置Filter:Filter类上添加@WebFilter注解,配置拦截资源路径。引导类上添加@ServletComponentScan注解开启Servlet组件支持
执行流程:当我们的过滤器拦截到请求之后我们需要完成一个非常重要的操作,那就是放行
放行"就是让其去访问对应的web资源,访问完过滤器之后还会回到过滤器当中,执行"放行"语句后面的代码,执行完毕之后再给浏览器响应数据 。
拦截路径:在快速入门中配置的是 /*,代表拦截所有请求
| 拦截路径 | urlPatterns | 含义 |
|---|---|---|
| 拦截具体路径 | /login | 只访问/login路径时才会被拦截 |
| 目录拦截 | /emps/* | 访问/emps下的所有资源,都会被拦截 |
| 拦截所有 | /* | 访问所有资源,都会被拦截 |
过滤器链:一个web应用中,可以配置多个过滤器,多个过滤器形成了一个过滤器链。 过滤器链中的过滤器会一个一个的执行,第一个放行之后会执行第二个,依次推,最后一个过滤器执行完后会访问对应请求。
过滤器链中最后一个过滤器放行的话,会放行到web资源当中来访问web资源
访问完资源后,是倒着进行的,先执行最后一个过滤器,再倒数第二个....
登录校验过滤器:
备注说明:
用户登录成功后,系统会自动下发JWT令牌,然后在后续的每次请求中,都需要在请求头header中携带到服务端,请求头的名称为token,值为登录时下发的JWT令牌。
如果检测到用户未登录,则会返回如下固定错误信息。
实现思路:
-
获取请求url
-
判断请求url中是否包含login,如果包含,说明是登录操作,放行
-
获取请求头中的令牌(token)
-
判断令牌是否存在,如果不存在,返回错误结果(未登录)
-
解析token,如果解析失败,返回错误结果(未登录)
-
放行
代码实现:在过滤器当中为什么要把ServletRequest类型强转成HttpServletRequest类型?
在Java中,ServletRequest是一个接口,它是由Servlet容器提供的。HttpServletRequest接口则是ServletRequest接口的子接口,它包含了一些用于HTTP协议的方法和属性。在Java Web应用程序中,Servlet容器实现了ServletRequest和HttpServletRequest接口,并使用HttpServletRequest实现了HTTP协议相关的逻辑。
在开发Web应用程序时,Servlet容器将在每个客户端请求到达时创建一个ServletRequest对象并将其传递给请求处理器。由于具体的实现是由Servlet容器提供的并且通常是HttpServletRequest,因此在编写Servlet处理器时,我们通常将ServletRequest对象强制转换成HttpServletRequest对象,以便能够调用提供的HTTP协议相关方法。
因此,在过滤器中,如果我们需要使用HttpServletRequest接口中特定的HTTP协议相关方法,我们需要将ServletRequest对象强制转换成HttpServletRequest对象。这样我们才能够在处理ServletRequest对象时,使用HttpServletRequest中更多的方法和属性。
4.4Interceptor - 拦截器
--是一种动态拦截方法调用调用机制,类似过滤器。Spring框架中提供的,用来动态拦截控制器方法的执行(拦截请求的)
作用: 拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码
拦截路径:
addPathPatterns 指定拦截哪些路径
excludePathPatterns 执行不拦截哪些不经
/*:一级路径-能匹配/depts,/emps,/login,不能匹配/depts/1/**:任意级路径-能匹配/depts/1,/depts,/depts/1/2/depts/* :/depts下一级路径-能匹配/depts/1,不能匹配/depts,/depts/1/2,/depts/depts/**:/depts下的任意路径-能匹配/depts,/depts/1,/depts,/depts/1/2
执行流程:① 当浏览器向Web服务器发送请求时,我们所设定的过滤器会拦截到这一请求。
② 过滤器先执行放行前逻辑,在此处决定是否放行
③ 放行之后进入到Spring环境中,进入DispatcherServlet
在请求响应时说道,tomcat服务器并不识别我们所编写的controller程序,但是他是识别Servlet程序的,因为tomcat是一个Servlet程序。
而在SpringWeb当中提供了一个非常核心的Servlet,我们叫做DispatcherServlet前端核心控制器,所以请求会先进入到DispatcherServlet,请求由DispatcherServlet再传给Controller
如果设置了拦截器的话,DispatcherServlet在传给Controller之前需要先被拦截器拦截住
④ 拦截器拦截到,先进行preHandle,决定是否放行,如果放行便访问Controller层方法
⑤Controller层方法完成之后,再执行postHandler方法已经afterCompletion方法
⑥返回给DispatcherServlet
⑦最终执行放行后逻辑
⑧最终给浏览器响应数据
过滤器与拦截器的区别:
-
接口规范不同:过滤器实现Filter接口,而拦截器需要实现HandlerInterceptor接口
-
拦截范围不同 :过滤器Filter会拦截所有资源,而Interceptor只会拦截Spring环境中的资源,过滤器拦截范围更大
登录校验拦截器实现思路:与过滤器思路一模一样
-
获取请求url
-
判断请求url中是否包含login,如果包含,说明是登录操作,放行
-
获取请求头中的令牌(token)
-
判断令牌是否存在,如果不存在,返回错误结果(未登录)
-
解析token,如果解析失败,返回错误结果(未登录)
-
放行