基础登录功能
LoginController 类
@RestController //用于处理 HTTP 请求
@Slf4j //记录日志
@RequestMapping("/login")
public class LoginController {
@Autowired
private EmpService empService;
@PostMapping
public Result login(@RequestBody Emp emp){
log.info("登录认证:{}",emp);
Emp e = empService.login(emp);
return e != null?Result.success():Result.error("用户名或密码错误");
}
}
service实现类
//登录验证
@Override
public Emp login(Emp emp) {
Emp login = empMapper.getByUsernameAndPassword(emp);
return login;
}
在mapper接口中执行查询操作
//登录
@Select("select * from emp where username = #{username} and password = #{password}")
Emp getByUsernameAndPassword(Emp emp);
错误测试
正确测试
登录校验
联调测试
问题:在未登录情况下,我们也可以直接访问部门管理、员工管理等功能
登录标记
用户登录成功之后,每一次请求中,都可以获取到该标记
会话技术
会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。在
一次会话中可以包含多次请求和响应
会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在
同一次会话的多次请求间共享数据。
会话跟踪方案对比
主流方案
JWT令牌
简介
全称: JSON Web Token (https://jwt.io/)
定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。
组成:
第一部分:Header(头),记录令牌类型、签名算法等。例如:["alg":"HS256","type":"WT"]
第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如:“id"."1""username":"Tom”
第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定密
钥,通过指定签名算法计算而来。
场景:登录认证
登录成功后,生成令牌
后续每个请求,都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理
JWT-生成
在pom.xml中导入配置文件
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
//生成JWT
@Test
public void testGenJwt(){
Map<String, Object> claims = new HashMap<>();
claims.put("id",1);
claims.put("name","tom");
//链式编程
String jwt = Jwts.builder()
.signWith(HS256, "huluya") //签名算法
.setClaims(claims) //自定义部分(载荷)
.setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000)) //设置JWT令牌的有效期为一个小时
.compact();
System.out.println(jwt);
}
JWT-校验
//解析JWT
@Test
public void testParseJwt(){
Claims claims = Jwts.parser()
.setSigningKey("huluya")
.parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcyNDQwNTQzM30.9eYpbPWTyNXeHa7XwlCCCb9S8Rw2fDtbdBcPYkAHYzA")
.getBody();
System.out.println(claims);
}
注意事项
JWT校验时使用的签名秘钥,必须和生成WT令牌时使用的秘钥是配套的。
如果JWT令牌解析校验时报错,则说明JWT令牌被篡改或失效了,令牌非法
登录-生成令牌
步骤
引入JWT令牌操作工具类
package com.example.utils;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.Map;
public class JwtUtils {
private static String signKey = "huluya";
private static Long expire = 43200000L; //过期时间:12h
/**
* 生成JWT令牌
* @param claims JWT第二部分负载 payload 中存储的内容
* @return
*/
public static String generateJwt(Map<String, Object> claims){
String jwt = Jwts.builder()
.addClaims(claims)
.signWith(SignatureAlgorithm.HS256, signKey)
.setExpiration(new Date(System.currentTimeMillis() + expire))
.compact();
return jwt;
}
/**
* 解析JWT令牌
* @param jwt JWT令牌
* @return JWT第二部分负载 payload 中存储的内容
*/
public static Claims parseJWT(String jwt){
Claims claims = Jwts.parser()
.setSigningKey(signKey)
.parseClaimsJws(jwt)
.getBody();
return claims;
}
}
登录完成后,调用工具类生成JWT令牌,并返回
@RestController //用于处理 HTTP 请求
@Slf4j //记录日志
@RequestMapping("/login")
public class LoginController {
@Autowired
private EmpService empService;
@PostMapping
public Result login(@RequestBody Emp emp){
log.info("登录认证:{}",emp);
Emp e = empService.login(emp);
//登录成功,生成令牌,下发令牌
if (e != null){
Map<String, Object> claims = new HashMap<>();
claims.put("id",e.getId());
claims.put("name",e.getName());
claims.put("username",e.getUsername());
String jwt = JwtUtils.generateJwt(claims); //jwt包含了当前登录的员工信息
return Result.success(jwt);
}
//登录失败,返回错误信息
return Result.error("用户名或密码错误");
}
}
过滤器Filter
概述
概念: Filter 过滤器,是JavaWeb三大组件(Servlet、Filter、Listener)之一
过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能
过滤器一般完成一些通用的操作,比如:登录校验、统一编码处理、敏感字符处理等
步骤 Filter快速入门
1.定义Filter: 定义一个类,实现 Filter 接口,并重写其所有方法
2.配置Filter: Filter类上加 @WebFilter 注解,配置拦截资源的路径。引导类上加
@ServletComponentScan 开启Servlet组件支持。
package com.example.filter;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;
@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter {
@Override //初始化方法, 只调用一次
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("init 初始化方法执行了");
}
@Override //拦截到请求之后调用, 调用多次
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
System.out.println("Demo 拦截到了请求...放行前逻辑");
//放行
chain.doFilter(request,response);
System.out.println("Demo 拦截到了请求...放行后逻辑");
}
@Override //销毁方法, 只调用一次
public void destroy() {
System.out.println("destroy 销毁方法执行了");
}
}
启动类加上@ServletComponentScan 开启Servlet组件支持
package com.example;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;
@ServletComponentScan //开启了对Service组件的支持
@SpringBootApplication
public class SpingbootMybatis3Application {
public static void main(String[] args) {
SpringApplication.run(SpingbootMybatis3Application.class, args);
}
}
Filter执行流程
1.放行代码打上断点
2.在postman发送测试请求
3.在登录请求处理类执行下一步
4.由此可见登录通过 返回数据
5. 回到DemoFilter类,给语句打上断点,执行下一步
放行后访问对应资源,资源访问完成后,还会回到Filter中吗? ------会
如果回到Filter中,是重新执行还是执行放行后的逻辑呢?------执行放行后逻辑
Filter拦截路径
Filter可以根据需求,配置不同的拦截资源路径
@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter {
过滤器链
介绍:一个web应用中,可以配置多个过滤器,这多个过滤器就形成了一个过滤器链
顺序:注解配置的Filter,优先级是按照过滤器类名(字符串)的自然排序
例如:
在该过滤器链中,ADemo2Filter类先执行
小结
1.执行流程
请求-->放行前逻辑 --> 放行--> 资源--> 放行后逻辑
2.拦截路径
/login
/depts/*
/*
3.过滤器链
一个web应用中,配置了多个过滤器,就形成了一个过滤器链
登录校验Filter
所有的请求,拦截到了之后,都需要校验令牌吗?
有一个例外,登录请求
拦截到请求后,什么情况下才可以放行,执行业务操作?
有令牌,且令牌校验通过 (合法);否则都返回未登录错误结果
登录校验Filter-流程
步骤
获取请求url
判断请求url中是否包含login,如果包含,说明是登录操作,放行
获取请求头中的令牌 (token)
判断令牌是否存在,如果不存在,返回错误结果 (未登录)
解析token,如果解析失败,返回错误结果 (未登录)
放行
示例代码
package com.example.filter;
import com.alibaba.fastjson.JSONObject;
import com.example.pojo.Result;
import com.example.utils.JwtUtils;
import com.github.pagehelper.util.StringUtil;
import lombok.extern.slf4j.Slf4j;
import org.apache.http.impl.bootstrap.HttpServer;
import org.springframework.util.StringUtils;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
/**
* @author hyk~
*/
@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request; //获取请求参数
HttpServletResponse resp = (HttpServletResponse) response; //响应结果
//1.获取请求url
String url = req.getRequestURL().toString();
log.info("请求的url:{}",url);
//2.判断请求url中是否包含login,如果包含,说明是登录操作,放行
//contains:该值指示指定的子字符串是否出现在此字符串中
if (url.contains("login")){
log.info("登录操作,放行...");
chain.doFilter(request,response);
//登录操作 放行 不足要执行下面的代码 return关闭方法
return;
}
//3.获取请求头中的令牌 (token)
String jwt = req.getHeader("token");
//4.判断令牌是否存在,如果不存在,返回错误结果 (未登录)
//StringUtils.hasLength:用于检查字符串是否不为null且长度大于0
if (!StringUtils.hasLength(jwt)){ //字符串没有长度返回false 加上!为true 执行if中的代码
log.info("请求头token为空,返回未登录的信息");
Result error = Result.error("NOT_LOGIN");
//手动转换 对象 ----> json 阿里巴巴fastJSON工具包
String jsonString = JSONObject.toJSONString(error);
resp.getWriter().write(jsonString);
return;
}
//5.解析token,如果解析失败,返回错误结果 (未登录)
try {
JwtUtils.parseJWT(jwt);
} catch (Exception e) { //jwt解析失败
e.printStackTrace();
log.info("解析令牌失败,返回未登录错误信息");
Result error = Result.error("NOT_LOGIN");
//手动转换 对象 ----> json 阿里巴巴fastJSON工具包
String jsonString = JSONObject.toJSONString(error);
resp.getWriter().write(jsonString);
return;
}
//6.放行
log.info("令牌合法,放行");
chain.doFilter(request,response);
}
}
测试
登录
1.打开测试工具,进行登录请求测试
2.确认为登录操作,放行后结束方法
部门页面
1.在测试工具中请求
2.不是登录操作,继续向下执行
3.确认令牌是否合法,合法放行,不合法则返回错误信息
拦截器Interceptor
概述
概念:是一种动态拦截方法调用的机制,类似于过滤器。Spring框架中提供的,用来动态拦截控制器方法的执行
作用:拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码
Interceptor 快速入门
步骤
1.定义拦截器,实现 接口,并重写其所有方法
package com.example.interceptor;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
* @author hyk~
*/
@Component //交给IOC容器管理
public class LoginCheckInterceptor implements HandlerInterceptor {
@Override //目标资源方法运行前运行,返回true:放行 false:不放行
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
System.out.println("preHandle...");
return true;
}
@Override //目标资源方法运行后运行
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
System.out.println("postHandle...");
}
@Override //视图渲染完毕后运行 最后运行
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
System.out.println("afterCompletion...");
}
}
2.注册拦截器
package com.example.config;
import com.example.interceptor.LoginCheckInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
/**
* @author hyk~
*/
@Configuration //配置类
public class WebConfig implements WebMvcConfigurer {
@Autowired
private LoginCheckInterceptor loginCheckInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**");
}
}
拦截器-拦截路径
拦截器可以根据需求,配置不同的拦截路径
//addPathPatterns("/**") 需要拦截的资源
//excludePathPatterns("/login") 不需要拦截的资源
registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**").excludePathPatterns("/login");
拦截器-执行流程
测试
Filter 与 Interceptor
接口规范不同: 过滤器需要实现Filter接口,而拦截器需要实现Handlerlnterceptor接口。
拦截范围不同:过滤器Filter会拦截所有的资源,而interceptor只会拦截Spring环境中的资源
登录校验Interceptor
步骤
获取请求url
判断请求url中是否包含login,如果包含,说明是登录操作,放行获取请求头中的令牌 (token)
判断令牌是否存在,如果不存在,返回错误结果(未登录)
解析token,如果解析失败,返回错误结果 (未登录)
放行
代码实现
package com.example.interceptor;
import com.alibaba.fastjson.JSONObject;
import com.example.pojo.Result;
import com.example.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
* @author hyk~
*/
@Slf4j
@Component //交给IOC容器管理
public class LoginCheckInterceptor implements HandlerInterceptor {
@Override //目标资源方法运行前运行,返回true:放行 false:不放行
public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {
//1.获取请求url
String url = req.getRequestURL().toString();
log.info("请求的url:{}",url);
//2.判断请求url中是否包含login,如果包含,说明是登录操作,放行
//contains:该值指示指定的子字符串是否出现在此字符串中
if (url.contains("login")){
log.info("登录操作,放行...");
return true;
}
//3.获取请求头中的令牌 (token)
String jwt = req.getHeader("token");
//4.判断令牌是否存在,如果不存在,返回错误结果 (未登录)
//StringUtils.hasLength:用于检查字符串是否不为null且长度大于0
if (!StringUtils.hasLength(jwt)){ //字符串没有长度返回false 加上!为true 执行if中的代码
log.info("请求头token为空,返回未登录的信息");
Result error = Result.error("NOT_LOGIN");
//手动转换 对象 ----> json 阿里巴巴fastJSON工具包
String jsonString = JSONObject.toJSONString(error);
resp.getWriter().write(jsonString);
return false;
}
//5.解析token,如果解析失败,返回错误结果 (未登录)
try {
JwtUtils.parseJWT(jwt);
} catch (Exception e) { //jwt解析失败
e.printStackTrace();
log.info("解析令牌失败,返回未登录错误信息");
Result error = Result.error("NOT_LOGIN");
//手动转换 对象 ----> json 阿里巴巴fastJSON工具包
String jsonString = JSONObject.toJSONString(error);
resp.getWriter().write(jsonString);
return false;
}
//6.放行
log.info("令牌合法,放行");
return true;
}
@Override //目标资源方法运行后运行
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
System.out.println("postHandle...");
}
@Override //视图渲染完毕后运行 最后运行
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
System.out.println("afterCompletion...");
}
}
异常处理
出现异常,该如何处理?(在部门管理界面,添加重复名字的部门,会在控制台输出报错信息,因为部门name是要求唯一的)
方案一: 在Controller的方法中进行try...catch处理 代码臃肿,不推荐
方案二:全局异常处理器 推荐
全局异常处理器
代码实现
package com.example.exception;
import com.example.pojo.Result;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.bind.annotation.RestControllerAdvice;
/**
* @author hyk~
* 全局异常处理器
*/
@RestControllerAdvice
public class GlobalExceptionHandler {
@ExceptionHandler(Exception.class) //捕获所以的异常
public Result ex(Exception exception){
exception.printStackTrace();
return Result.error("对不起,操作失败,请联系管理员");
}
}
测试
1.全局异常处理器
@RestControllerAdxice
@ExceptionHandler