深入浅出登录校验

原创 已于 2025-07-01 19:57:34 修改 · 1.4k 阅读 · 33 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring

于 2024-10-12 20:33:03 首次发布

一,简介

保证数据安全,用户在访问网站里面的页面时,需要进行登录校验(会话跟踪)

相关技术有cookie和session,后者基于前者,但是有些弊端,比如cookies在移动端无效,无法跨域等问题,因此现在的主流技术是Jwt令牌技术,

jwt,定义一种简洁,自包含的格式,用于通信双方以Json数据格式安全的传输信息,由于签名存在,这些信息时可靠的

下图为jwt相关格式和含义

1.1,原理

由于Http协议访问是没有状态的,第一次访问和第二次访问互不影响,因此员工在对服务器进行操作的时候,服务器无法判断员工是否登录。 jwt令牌技术是用户在登录页面是,会对用户输入的用户名进行判断,如果存在就会下发令牌,可以进行后续页面操作,令牌也有一定时间,后端响应前端请求时,会携带jwt,前端接受并且保存在浏览器本地,前端进行查询等操作会把jwt保存在方法头中,用作查询凭证。后端会通过Jwt验证前端的每次请求,通过Filterintercepoter技术进行校验。

1.2,相关代码

public class JwtUtils {
    private static String signingKey = "itheima";
    private static Long expire = 43200000L;

    public static String generateJwt(Map<String,Object> claims){

        String jwt = Jwts.builder().signWith(SignatureAlgorithm.HS256, signingKey)//签名算法
                .setClaims(claims)//设置自定义内容
                .setExpiration(new Date(System.currentTimeMillis() + expire))//设置生效时间,从现在往后退一个小时
                .compact();//
       return jwt;
    }
    public static Claims ParseJwt(String jwt){
        Claims claims = Jwts.parser()
                .setSigningKey(signingKey)//和前面的令牌一样,
                .parseClaimsJws(jwt)
                .getBody();//生成返回值
return claims;
    }
}

二,Filter(过滤器)

2.1快速入门

1.实现Filter接口,主要实现doFilter方法

2.配置@WebFilter(urlpatterns="/*")   @ServletComponetScan(Filter不是springboot的组件,时servlet的)

实现代码

package com.example.tiaswebmanagement.filter;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;

@WebFilter(urlPatterns = "/*")//配置过滤器,拦截所有请求
public class DemoFilter implements Filter {


    @Override//初始化,只调用一次
    public void init(FilterConfig filterConfig) throws ServletException {
        Filter.super.init(filterConfig);
        System.out.println("初始化执行了");
    }

    @Override//过滤方法,每个请求都会调用,
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
       // System.out.println("拦截请求");
        filterChain.doFilter(servletRequest,servletResponse);


    }

    @Override//销毁方法,只调用一次
    public void destroy() {
     //   Filter.super.destroy();
        System.out.println("销毁方法执行了");
    }
}

2.2.过滤器链

一个web应用中,可以配置多个过滤器

先执行了ABCfilter过滤器,再执行DemoFilter,这个是按照首字母排序决定执行顺序

执行流程:请求--放行前逻辑--放行--资源--放行后逻辑

拦截路径:/login

/depts/*

2.3.登录校验流程

package com.example.tiaswebmanagement.filter;
import com.alibaba.fastjson.JSONObject;
import com.example.tiaswebmanagement.pojo.Result;
import com.example.tiaswebmanagement.utils.JwtUtils;
import com.github.pagehelper.util.StringUtil;
import io.jsonwebtoken.Jwt;
import lombok.extern.slf4j.Slf4j;
import netscape.javascript.JSObject;
import org.springframework.util.StringUtils;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    //1.获取url
       HttpServletRequest req=(HttpServletRequest) servletRequest;//用HttpServletRequest获取请求头
       HttpServletResponse resp=(HttpServletResponse) servletResponse;
        String url = req.getRequestURI().toString();
log.info("请求的url{}",url);
//2.判断请求中是否包含login,包含则放行
        if (url.contains("login")){
            log.info("登录操作 放行。。。。。");
            filterChain.doFilter(servletRequest,servletResponse);//放行
            return;//让代码不再继续向下执行
        }
//3.判断请求头中是否携带token令牌,如果携带则放行,否则拦截
        String jwt = req.getHeader("token");
        //4.判断是否为空,为空拦截,不为空则放行
        if (!StringUtils.hasLength(jwt)){
            log.info("请求头token 为空,返回未登录信息");
            Result error = Result.error("NOT_LOGIN");//响应未登录信息
            String s = JSONObject.toJSONString(error);//转化成Json类型数据,需要在Pom中加入依赖
            resp.getWriter().write(s);//获取输出流,响应给浏览器
return;
        }//5,解析token,如果失败就返回错误信息,如果成功就放行
        try {
            JwtUtils.ParseJwt(jwt);
        } catch (Exception e) {//解析失败
         e.printStackTrace();
            log.info("解析令牌失败,返回未登录信息");
            Result error = Result.error("NOT_LOGIN");//响应未登录信息
            String s = JSONObject.toJSONString(error);//转化成Json类型数据,需要在Pom中加入依赖
            resp.getWriter().write(s);//获取输出流,响应给浏览器
            return;
        }
//6.放行
        log.info("令牌合法,放行");
        filterChain.doFilter(servletRequest,servletResponse);
    }
}

三,拦截器Interceptor

3.1.概念

是一种拦截方法用的机制,类似过滤器,Spring框架提供,作用:拦截请求,在指定方法调用后,根据业务预先设定的代码

3.2.快速入门

(1),定义拦截器,实现HandlerInterceptor接口,重写所有方法

(2),注册拦截器

package com.example.tiaswebmanagement.interceptor;

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@Component
public class LoginCheckInterceptor implements HandlerInterceptor {

    @Override//在请求处理之前调用,只有返回true才会继续向下执行,false取消当前请求
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("preHandle运行");
        return false;
    }

    @Override//在请求处理之后进行调用,但是在视图被渲染之前(Controller方法调用之后)
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

        System.out.println("postHandle运行");

    }

    @Override//在整个请求结束之后被调用,也就是在DispatcherServlet 渲染了对应的视图之后执行(主要是用于进行资源清理工作)
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("afterCompletion运行");
        HandlerInterceptor.super.afterCompletion(request, response, handler, ex);
    }
}
//

注册拦截器

package com.example.tiaswebmanagement.config;
//注册拦截器
import com.example.tiaswebmanagement.interceptor.LoginCheckInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration//配置类
public class WebConfig implements WebMvcConfigurer {
    @Autowired
    private  LoginCheckInterceptor loginCheckInterceptor;
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**");//添加拦截器,拦截所有资源;.excludePathPatterns()不需要拦截的资源
    }
}

拦截器拦截路径

拦截器执行流程

3.3,两者区别

接口规范不同,过滤器通过Filter实现接口,拦截器通过HandlerInterceptor接口

拦截范围不同:过滤器会拦截所有资源,而后者只能拦截Spring环境中的资源

登录校验全解析:从原理到实践,保障系统安全
2401_87704405的博客
11-19 1085
● 全称: JSON Web Token (jwt.io/)(Token-令牌)● 定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。● 组成:◆ 第一部分:Header(头), 记录令牌类型、签名算法等。例如:的JSON数据格式那我们看到原始的数据格式是上面这样一个JSON格式的数据,它还要再进行一次编码(base64编码:是一种基于64个可打印的字符 来表示二进制数据的编码方式,注意不是加密!
一文带你快速了解登录校验相关技术,如JWT令牌,Filter,Interceptor
qq_56999608的博客
03-27 1713
本篇将带你快速了解与登录校验相关的技术,如JWT令牌,Filter过滤器,Interceptor拦截器等。一、JWT令牌1、概述JWT(JSON Web Token) ,官网:https://jwt.io/定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:1)第一部分:Header(头),记录令牌类型、签名算法等。例如: {...
注册登录校验
09-03
这是一个简洁易懂的用SSH2开发的注册登录校验程序,很高兴和大家分享!
【学习日记2023.5.8】之 springboot案例之登录功能(会话技术_JWT令牌_过滤器_拦截器)
qq_42575689的博客
05-09 667
会话技术、JWT令牌、过滤器、拦截器
登录校验
weiyangmeng的博客
04-17 427
package com.example.com.richang; import android.os.Bundle; import android.support.v7.app.AppCompatActivity; import android.text.TextUtils; import android.view.View; import android.widget.Button; impo
深入浅出Git权限校验
02-01
借助上次“掉坑”的经历,我对Git权限校验的两种方式重头进行了梳理,形成了这篇总结记录。 在本地计算机与GitHub(或GitLab)进行通信时,传输主要基于两种协议,HTTPS和SSH,对应的仓库地址就是HTTPS URLs和...
深入浅出CRC校验:从数学原理到单周期硬件实现 (4)硬件实现代码
最新发布
09-15
为了实现高效率的硬件CRC校验,设计者往往需要深入理解FPGA或ASIC的工作原理,以及硬件描述语言的特性。通过高度优化的数据通路设计和并行处理策略,可以在保证校验准确性的同时,达到硬件级的高速处理能力。 在...
CRC校验详解,深入浅出
10-30
接收方接收到数据后,同样按照相同的算法计算校验码,如果接收到的校验码与计算出的校验码一致,那么就认为数据传输无误;反之,则可能存在错误。 CRC校验的核心在于一个称为生成多项式的数学对象。这个生成多项式...
深入浅出Modbus校验位】:初学者的必备指南
[【深入浅出Modbus校验位】:初学者的必备指南](https://plc247.com/wp-content/uploads/2023/03/samkoon-hmi-modbus-rtu-delta-ms300-tutorial.jpg) # 摘要 本文深入探讨了Modbus协议及其校验机制的核心要素,包括...
深入浅出CRC校验:从数学原理到单周期硬件实现 (1) 初始CRC校验
GateWorld的博客
09-10 707
CRC校验是保障数据完整性的关键技术,它能高效检测传输或存储过程中的数据错误。相比奇偶校验校验和,CRC能发现更多类型的错误,包括单位、双位和突发错误。这项技术广泛应用于网络通信、存储系统、压缩文件和外部接口中。接下来的系列文章将深入解析CRC的数学原理、硬件实现和实战应用,包括分享单周期CRC-32的Verilog实现代码。CRC虽不为人知,却在数字世界中默默守护着每一比特数据的安全。
7.登录校验
qq_43626215的博客
03-15 228
1.在until下添加JWTUtils.java package com.xiaoguan.untils; import com.xiaoguan.model.entity.User; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; /* * Jwt工具类 * 注意点: * 1.生成的token,是可
JavaWeb-登录校验
fdvvg的博客
04-20 1768
介绍了会话技术,介绍了cookie,session和令牌三种会话跟踪方案,和过滤器,拦截器的使用
登录校验的实现
weixin_42839080的博客
11-07 6152
在前端领域,一个避不开的话题就是登录验证的实现,本文将通过3种方式来实现登录验证: 一 php+js实现登录验证 开发时,前后端分离提供的接口如下: ## 用户登录的接口 type : post url : api/doLogin.php data : password email 响应体: ok 或则 fail ## 判断登录成功的接口 type : get url...
token登录校验
weixin_71001270的博客
03-07 1135
1、
登录校验的相关知识点
weixin_61605998的博客
08-29 374
登录校验所需要的相关知识点讲解以及相关例子的实现分析:会话技术、JWT令牌、过滤器Filter、拦截器interceptor
后台登陆校验
qq_36005199的博客
06-11 1041
这个问题很深刻啊,假如你还没登陆,就从购物网站提交订单,这个时候购物网站会提醒你:亲,你还没有登陆!这个时候我们需要做的就是这么个功能,我们怎么实现这个代码呢!我以SSH为例啊。首先我们得写一个校验类去检验session中是否有用户的信息,我一般是把用户信息保存到session,这样方便后面调用。这里其实有两种方法,一种就是直接在需要用到用户信息的类中,从session中取数据,进而进行一定的逻辑...
js注册登录校验
BryantLmm的博客
12-07 953
先上代码。<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>Form表单提交</title> <script type="text/javascript"> var flag1=false; var flag2=false; function display(obj){
面试-----分布式应用的登录校验解决方案有哪几种
qq_37347128的博客
08-28 428
==分布式应用的登录校验解决方案有哪几种== 方案一: 真实的应用不可能单节点部署,所以就有个多节点登录session共享的问题需要解决 tomcat支持session共享,但是有广播风暴;用户量大的时候,占用资源就严重,不推荐 方案二: 使用redis存储token: 服务端使用UUID生成随机64位或者128位token,放入redis中,然后返回给客户端并存储在cookie中 + 用户每次访问都携带此token,服务端去redi...
深入浅出嵌入式通信中的CRC校验方法
资源摘要信息:"嵌入式通信CRC检验程序和助手" 本文旨在介绍和解析嵌入式系统中常用的CRC(循环冗余校验)检验程序的设计与...通过深入理解CRC校验的原理和实现方法,开发者可以显著提升嵌入式设备的性能和用户体验。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值