JWT：

全称：JSON Web Token

定义了一种简洁的、自包含的格式，用于在通信双方以json数据格式安全的传输信息，由于数字签名的存在，这些信息是可靠的。

组成：

Header(头部)：（“alg":"HS256","type":"JWT"）签名算法和令牌类型

Base64：基于64个可打印字符（A-Z,a-z,0-9,+,/）来表示二进制数据的编码方式

Payload(有效载荷)：

携带一些自定义信息，默认信息

Signature(签名）:防止Token被篡改，确保安全性。

应用场景：登录认证

JWT令牌的生成和校验

首先引入依赖，

组织名：io.jsonwebtoken

依赖：jjwt

生成JWT用到Jwts.builder()

自带方法：

signWith(SignatureAlgorithm.HS256,"miyao")//签名算法

setClaims(claims)//自定义内容载荷

setExpiration(new Data(System.currentTimeMillis()+让JWT令牌有效的时间))

compact()

注：claim是一个Map类型的数据

解析JWT用到Jwts.parser()

方法：

setSigningKey("miyao")

parseClaimsJws("生成的JWT令牌")

getBody()

可以用Claim来接受第二部分的内容。

JWT校验时使用的签名密钥必须和生成JWT令牌使用的密钥配套。

JWT令牌跟踪会话

令牌生成：登录成功后生成JWT令牌并返回给前端。

将JWT令牌封装在result中返回

一个案例：

if(查询结果不为空){

 //可以用登录用户的信息构造一个claims

 String jwt = JwtUtils.generateJwt(claims);

 return Result.success（jwt）

}else{

return Result.error("用户名或密码错误")；

}

过滤器Filter：

javaweb三大组件之一（Servlet\Filter\Listener）

过滤器可以把对资源的请求全部都拦截下来

通用操作：登录校验、统一编码处理、敏感字符处理。

过滤器开发步骤：

1、定义一个类，实现Filter接口，并重写所有方法：（可以给filter单独开一个包）

init()  初始化方法，Web服务器启动后创建Filter调用，只调用一次

doFilter()  拦截请求时，调用该方法

                chain.doFilter(request,response);//放行

destroy()  销毁方法，服务器关闭时调用，只调用一次

2、配置Filter：

在Filter类上加@WebFilter注解，配置拦截资源的路径

@WebFilter（urlPattern = "/*"）

在springboot启动类上加@ServletComponentScan开启Servlet组件支持。

详细解释（执行流程、拦截路径、过滤器链）

执行流程：放行前逻辑、放行、放行后逻辑

（就是在chain.doFilter(request,response);前后执行的逻辑）

1. 放行前逻辑（before chain.doFilter(request, response)）：

   • 参数处理：对请求参数进行预处理或校验，如解析请求参数、验证参数合法性等。
   • 请求处理：对请求进行处理，如记录请求日志、修改请求信息等。
   • 鉴权逻辑：进行权限校验，确定请求的访问权限是否符合要求。
   • 数据加工：对数据进行预处理，如数据加密、解密等。
   • 异常处理：对可能发生的异常进行预处理，如捕获异常并记录日志。

2. 放行后逻辑（after chain.doFilter(request, response)）：

   • 响应处理：对响应进行处理，如记录响应日志、修改响应信息等。
   • 数据加工：对响应数据进行处理，如数据加密、解密等。
   • 统计信息：统计请求处理的相关信息，如请求处理时间、请求频率等。
   • 异常处理：对可能发生的异常进行后续处理，如捕获异常并返回错误信息。

拦截路径：Filter可以根据需求，配置不同的拦截资源路径：

可以进行目录拦截，比如@WebFilter（urlPattern = "/CSDN/*"）拦截该目录下的所有资源。

过滤器链：一个WEB应用中可以配置多个过滤器。

过滤器顺序与字符串类名顺序一致。

实际业务：登录校验

登录校验我们需要在过滤器中，完成如下几步。

doFilter的参数:ServletRequest request,ServletResponse response,FilterChain chain

首先要将ServletRequest request,ServletResponse response强转为HTTP类型

1、获取请求url

通过request的getRequestURL方法获取请求路径。

2、判断请求url中是否包含login，如果包含则说明是登录操作，放行

if(url.contains("login")){

        chain.doFilter(request,response);

        return;

}

3、获取请求头中的token

String jwt = req.getHeader("token");

4、判断令牌是否存在，如果不存在，返回错误结果（未登录）

使用StringUtil工具类的hasLength方法来判断token是否存在

如果不存在返回错误信息：

Result error = Result.error("NOT_LOGIN");

这里我们需要手动将error转换为JSON类型的数据再返回！//使用阿里巴巴的fastJSON

String notLogin = JSONObject.toJSONString(error);

resp.getWriter().write(notLogin);

return;

5、解析token，如果解析失败，返回错误结果（未登录）

使用try-catch语句，利用JwtUtil工具类进行解析6、

Spring框架提供的，用来动态拦截控制器方法的执行

拦截器Interceptor:

拦截器开发步骤：

1、定义拦截器，实现HandlerInterceptor接口，并重写方法(可以给interceptor单独开一个包)

boolen preHandle目标资源方法执行前执行，返回true，放行，返回false，不放行。

postHandle()目标资源方法执行后执行

afterHandle()视图渲染完毕后执行，最后执行

2、配置拦截器

设置一个配置类WebConfig重写WebMvcConfigurer接口,@Configuration

实现addInterceptors方法

registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**");

excludePathPatterns("/login")可以设置除了这个资源以外其他都拦截

拦截器拦截路径与执行流程：

实际业务：登录校验

与过滤器一致。将放行代码改为return true即可。