Cookie & Session & JWT认证 & Filter & Interceptor

已于 2024-04-13 01:13:52 修改
阅读量918 收藏 12
点赞数 19
文章标签: java spring spring boot
于 2024-04-10 17:41:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/aDreamerOutOfTheSky/article/details/137592474
版权

文章目录

前言

本文介绍了Cookie,Session,JWT,过滤器,拦截器的相关知识

一、Cookie和Session

	 浏览器请求头携带Cookie;
	服务器响应头Set-Cookie;
	进行会话跟踪。
	但是移动端APP,用户禁用,跨域情况下,Cookie失效。
	跨域:协议、IP/域名、端口不一样,前端请求时,出现跨域
	
	Session:
	浏览器请求头的Cookie中携带JSessionId;
	服务器响应头的Cookie中有JSessionId
	服务器集群需要处理Session共享的问题

二、JWT

1.三部分

分为以下三个部分,Header和PayLoad使用Base64编码
Header:存储令牌类型,加密算法。比如{“alg”: “HS256”, “type”: “JWT”}
PayLoad :Json格式的数据。比如:{“userId”: 1}
Signature: 签名,对Header,PayLoad根据加密算法进行加密

2.使用

pom.xml引入依赖:

		<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

JWT加解密单元测试:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.junit.jupiter.api.Test;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtTest {

    @Test
    public void testBuildJwt(){

        Map<String, Object> claims = new HashMap<>();
        claims.put("username", "zhangsan");
        claims.put("job", "developer");
        String compact = Jwts.builder()
                //设置有效载荷
                .setClaims(claims)
                //设置签名
                .signWith(SignatureAlgorithm.HS256, "123456")
                .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 7))
                .compact();
        System.out.println(compact);
    }

    @Test
    public void testParseJwt(){

        Claims body = Jwts.parser()
                .setSigningKey("123456")
                .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJqb2IiOiJkZXZlbG9wZXIiLCJleHAiOjE3MTMzMjE0MjQsInVzZXJuYW1lIjoiemhhbmdzYW4ifQ.R9H8nncSCooaffujgxlCk3vuikkE-sH9j8ATGWQu-y8")
                .getBody();
        System.out.println(body);

    }

}

3.另外一种使用

3.1引入依赖

        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>4.4.0</version>
        </dependency>

3.1 定义工具类

定义配置文件类,这里定义配置文件中,前缀为jwt,变量名称成secret的变量。
配置文件中配置:jwt.secret=xxx

package com.web.springbootall.property;

import lombok.Data;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

@Component
@ConfigurationProperties(prefix = "jwt")
@Data
public class JwtSecretProperty {

    private String secret;

}

定义工具类

package com.web.springbootall.util;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.web.springbootall.property.JwtSecretProperty;
//import io.jsonwebtoken.Claims;
//import io.jsonwebtoken.Jwts;
//import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.Map;

@Component
public class JwtUtil {

    @Autowired
    private JwtSecretProperty jwtSecretProperty;

    public String generate(Map<String, Object> claims) {

        return JWT.create().withClaim("user", claims).withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 3600))
                .sign(Algorithm.HMAC256(jwtSecretProperty.getSecret()));
//        return Jwts.builder().setClaims(claims).signWith(SignatureAlgorithm.HS512, jwtSecretProperty.getSecret())
//                .setExpiration(new Date(System.currentTimeMillis() + 1000 * 3600)).compact();
    }

    public Claim parse(String token) {
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(jwtSecretProperty.getSecret())).build();
        return jwtVerifier.verify(token).getClaim("user");
//        return Jwts.parser().setSigningKey(jwtSecretProperty.getSecret()).parseClaimsJws(token).getBody();
    }

}

三、Filter过滤器

3.1 实现Filter接口,并且增加@WebFilter注解

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;

@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Filter.super.init(filterConfig);
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        // 过滤器的业务逻辑
        System.out.println("DemoFilter doFilter");
        // 放行
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {
        Filter.super.destroy();
    }
}

3.2 启动类上增加注解

@ServletComponentScan

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;

@ServletComponentScan
@SpringBootApplication
public class TliasWebManagementApplication {

    public static void main(String[] args) {
        SpringApplication.run(TliasWebManagementApplication.class, args);
    }

}

3.3Filter过滤实现登陆校验

引入JSON依赖:

     <dependency>
         <groupId>com.alibaba</groupId>
         <artifactId>fastjson</artifactId>
         <version>2.0.28</version>
     </dependency>

过滤器实现登陆验证:

import com.alibaba.fastjson.JSON;
import com.qinjie.tliaswebmanagement.domain.Result;
import com.qinjie.tliaswebmanagement.util.JwtUtil;
import io.jsonwebtoken.Claims;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

@WebFilter(urlPatterns = "/*")
@Slf4j
public class LoginFilter implements Filter {

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Filter.super.init(filterConfig);
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        //如果不是登陆接口,并且token不对,则拦截,退出
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        if (!request.getRequestURI().equals("/login")){
            String token = request.getHeader("token");
            Claims claims = null;
            try {
                claims = jwtUtil.parse(token);
            } catch (Exception e) {
                log.error("令牌解析失败,token:{}", token, e);
            }
            if (token == null || claims == null){
                Result notLogin = Result.fail("NOT_LOGIN");
                String notLoginString = JSON.toJSONString(notLogin);
                servletResponse.getWriter().write(notLoginString);
                return;
            }
        }
        // 放行
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {
        Filter.super.destroy();
    }
}

3.4拦截器实现登陆校验

定义Spring管理(@Component)的类,实现HandlerInterceptor接口的preHandle方法,返回true放行

import com.alibaba.fastjson.JSON;
import com.qinjie.tliaswebmanagement.domain.Result;
import com.qinjie.tliaswebmanagement.util.JwtUtil;
import io.jsonwebtoken.Claims;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
@Slf4j
public class LoginInterceptor implements HandlerInterceptor {

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (!request.getRequestURI().equals("/login")){
            String token = request.getHeader("token");
            Claims claims = null;
            boolean hasToken = StringUtils.hasLength(token);
            try {
                if (hasToken) {
                    claims = jwtUtil.parse(token);
                }
            } catch (Exception e) {
                log.error("令牌解析失败,token:{}", token, e);
            }
            if (!hasToken || claims == null){
                Result notLogin = Result.fail("NOT_LOGIN");
                String notLoginString = JSON.toJSONString(notLogin);
                response.getWriter().write(notLoginString);
                return false;
            }
        }
        return true;
    }

}

定义MVC配置类(@Configuration),实现WebMvcConfigurer接口的addInterceptors方法,将拦截器加入其中(addInterceptor),设定拦截路径addPathPatterns,放行路径excludePathPatterns。比如下面将/login放行

import com.qinjie.tliaswebmanagement.interceptor.LoginInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private LoginInterceptor loginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/login", "/css/**", "/js/**", "/fonts/**", "/images/**");
    }
}

过滤器在DispatcherServlet前执行,可以拦截所有资源;
拦截器在DispatcherServlet后执行,仅拦截Spring的资源。

总结

过滤器和拦截器可以用来做登陆校验,登陆过才放行请求到接口,而不需要所有接口都加上校验逻辑。
出现报错:
Handler dispatch failed: java.lang.NoClassDefFoundError: javax/xml/bind/DatatypeConverter
添加JWT相关的依赖:

	 	<dependency>
            <groupId>javax.xml.bind</groupId>
            <artifactId>jaxb-api</artifactId>
            <version>2.3.1</version>
        </dependency>
SpringBoot集成shiro+redis+jwt实现无状态授权验证
liangshitian的博客
01-03 3万+
前言 1.放弃Cookie,Session,使用JWT进行鉴权,完全实现无状态鉴权。 2.JWT密钥支持过期时间;jwt作为创建验证token工具,并选择一种验证方式与算法。 3.使用redis做缓存处理,缓存token等等登录信息,以实现单点登录与超时登录功能。 4.密码加密(采用AES-128 + Base64的方式)。 5.根据RefreshToken自动刷新AccessToken...
CookieSessionJWT令牌技术、JwtUtils工具类
2301_77358195的博客
03-26 1585
这篇文章将带你彻底理解会话跟踪方案的三种技术,分别是CookieSession、令牌技术, 揭示它们的原理以及对各个技术进行通俗化,让你更好的了解,它们的交互过程 ! ! !
CookieSession、Token、JWT详细介绍
AN_NI_112的博客
07-02 1369
CookieSession、Token详细介绍
JAVA】】深入浅出了解cookiesessionjwt
最新发布
小敢心的博客
03-18 694
本文章主要介绍cookiesessionjwt,帮你快速了解它们的原理区别,适合新手初步快速了解这部分的基础概念知识。Cookie 是由服务端生成并发送给客户端的一小段数据(键值对),由客户端(如浏览器)保存,并在后续请求中自动携带回服务端。Session 是服务端存储的用户会话数据(如登录状态、购物车内容),通常通过一个 Session ID 标识客户端身份,而 Session ID 一般通过 Cookie 传递。
CookieSessionJWT
weixin_61933613的博客
02-29 912
JSON Web Tokens(缩写 JWT)是目前最流行的跨域认证解决方案[1],解决了Session验证资源消耗扩展性差的缺点。其官网是:首先,JWT的组成包括三个部分 :Header部分:主要包括alg属性typ属性。alg表示签名算法(algorithm),默认是HMAC SHA256(写成HS56);typ表示令牌(token)类型(type),JWT令牌统一写为JWT。),此处为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9。
一文搞懂CookieSession、Token、Jwt以及实战
m0_48069349的博客
04-04 794
汇总:Cookie Session 是传统的基于服务器的会话管理机制,而 Token JWT 则是更为灵活安全的身份验证授权机制,适用于分布式系统前后端分离的应用场景。浏览器存储此Cookie,并在随后的请求中将其发送回服务器,允许服务器识别用户并在多个页面加载中保持他们的登录状态。跨站请求伪造(CSRF)是一种攻击,攻击者可以利用用户已经认证的身份在用户不知情的情况下执行非预期的操作。JWT可用于认证授权用户,它们是自包含的,意味着验证它们所需的所有信息都包含在令牌本身中。
CookieSessionJWT的详解
miaozy
04-10 1651
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器浏览器的会话跟踪,就需要使用 c...
登录校验(会话跟踪(CookieSessionJWT令牌)、统一拦截技术(过滤器Filter、拦截器Interceptor)、全局异常拦截)
m0_63839619的博客
07-20 883
什么是会话?在我们日常生活当中,会话指的就是谈话、交谈。在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话。在用户打开浏览器第一次访问服务器的时候,这个会话就建立了,直到有任何一方断开连接,此时会话就结束了。在一次会话当中,是可以包含多次请求响应的。同一个浏览器在未关闭之前请求了多次服务器,这多次请求是属于同一个会话。什么是会话跟踪?一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。为什么要共享数据呢?
小程序(二)shiro+jwt登录认证
weixin_38380811的博客
02-16 1806
小程序(二)shiro+jwt
Java代码审计&amp;鉴权漏洞&amp;Interceptor&amp;Filter&amp;Shiro&amp;JWT_java鉴权漏洞
m0_63174618的博客
04-07 870
Newbee-mall 项目是一套电商系统,包括 newbee-mall 商城系统及 newbee-mall-admin 商城后台管理系统,基于 Spring Boot 2.X 及相关技术栈开发。前台商城系统包含首页门户、商品分类、新品上线、首页轮播、商品推荐、商品搜索、商品展示、购物车、订单结算、订单流程、个人订单管理、会员中心、帮助中心等模块。后台管理系统包含数据面板、轮播图管理、商品管理、订单管理、会员管理、分类管理、设置等模块。
登录校验,会话技术,CookieSessionJWT令牌,统一拦截技术,过滤器FIlter,拦截器Interceptor,全局异常处理器
暖阳爱学计算机的博客
05-23 231
会话:在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话。需要注意的是:会话是浏览器关联的,当有三个浏览器客户端服务器建立了连接时,就会有三个会话。同一个浏览器在未关闭之前请求了多次服务器,这多次请求是属于同一个会话。会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。使用会话跟踪技术就是要完成在同一个会话中,多个请求之间进行共享数据。
JWTCookieSession
m0_61504888的博客
09-23 184
Cookie 定义:是由服务器端生成,发送给浏览器,浏览器会将cookie中key/value保存到某个目录下的文本文件内,下次请求同一网站时将自动发送该cookie给浏览器 特点: 1、是以键值队的格式存储数据的 2、不同域名之间的cookie是不能互相访问的 3、当浏览器请求某网站时,会将所关联的cookie发送给浏览器 Session 应用:对于一些相对于很敏感的信息,一般是由session保存在服务器端进行状态保持 Django项目默认...
鉴权之cookiesessionJWT
wxiao_xiao_miao的博客
09-26 1209
鉴权:判断某用户是否有权访问服务器上的资源。 用户中心这个页面需要用户登录之后才能访问; 某个接口需要token才能访问; http是无状态的: 早期的web只需要提供信息给访问者就行了,不需要记录状态。浏览器服务器不能凭借HTTP协议的来辨别请求的上下文。(服务器不能分辨浏览器发出的请求是不是之前已经请求过。 ) 鉴权基本实现思路: 身份信息保存在服务器。(办理消费卡,顾客来了报卡号,在系统上查询) 身份信息保存在客户端。(办理消费卡,顾客来了直接在卡上盖戳) 1.coo.
简单的鉴权登录-java后端实现部分(JWT令牌+拦截器Interceptor)
WWX19990724的博客
04-11 3315
拦截器的主要是基于Java的反射机制,属于面向切面编程(AOP)的一种运用,就是在Service或者一个方法前调用一个方法,或者在方法后调用一个方法,甚至在抛出异常的时候做业务逻辑的操作。拦截器的作用类似于Servlet中的Filter,都可以用于对处理器进行预处理后处理。在Spring MVC 与Spring Boot 中使用拦截器一般是实现接口。拦截器的作用:拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码。
Cookie Session Jwt
rjlmylover_zyw的博客
02-14 439
文章目录cookiesessioncookie session区别jwt cookie 是存在于浏览器的一个凭证 当浏览器第一次访问服务器 , 会在服务器创建一个cookie 再返回浏览器 cookie里面有用户的所有信息 当用户再次访问服务器时 , 携带着cookie(一个凭证) 服务器根据携带的cookie信息不同分别不同用户 session 浏览器访问服务器的时候 , 服务器创建一个session , 同时生成一个特殊的cookie , (name为JSESSIONID的固定值,value为
sessioncookiejwt
qq_32037561的博客
08-04 283
session,cookie,jwt
CookieSessionJWT
God_Hearing的博客
10-05 377
cookie cookie是保存在本地浏览器的一个明文的用户信息 session session是保存在服务器端的一个键值对类似字典的数据 他的主要作用就是加密保存登录状态会话 登陆时验证用户名密码,如果正确,就会返回session的key,以后,浏览器端直接携带key访问,无需验证用户名密码 session缺点: 1.这种模式最大的问题是,没有分布式架构,无法支持横向扩展。 2.如果使用一个服务器,该模式完全没有问题。 3.但是,如果它是服务器群集或面向服务的跨域体系结构的话,则
Cookie,SessionJWT
林北
10-19 1134
Cookie,SessionJWT ​ HTTP是无状态的协议,每次客户端服务端会话完成时,服务端不会保存任何会话信息:每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,因此也无法知道上一次的请求发送者这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。 Cookie Cookie是存储在客户端的一小块数据,也就
cookiesessionjwt
飞鸟慕鱼的博客
09-18 180
cookie 1.cookie就是键值对 2.cookie保存在客户端 3.服务端可以对cookie进行操作,添加、删除、查询 4.cookie是一种技术,是客户端服务端交流信息的一种渠道,一种手段,一种方式。 5.在cookie中保存一些简单的信息,用户时谁 6.安全性不高,任何人都能查看 7.每次浏览器访问的时候,都会发送cookie信息 8.cookie不能存储用户的密码,...
esp32S3作为sta模式设置静态IP
09-19
ESP32-S3在STA模式下设置静态IP通常涉及到配置网络接口的接口配置结构体,比如`esp_netif_t`。以下是一个基本步骤: 1. 首先,你需要在你的应用程序初始化阶段包含必要的头文件,如`esp_wifi.h``esp_netif.h`。 ```c #include &quot;esp_wifi.h&quot; #include &quot;esp_netif.h&quot; ``` 2. 定义你的静态IP、子网掩码、默认网关DNS服务器地址。例如: ```c static const char* ssid = &quot;your_SSID&quot;; static const char* password = &quot;your_PASSWORD&quot;; static ip4_addr_t static_ip = { IP4_ADDR(192, 168, 1, 100) }; // 你的静态IP static ip4_addr_t subnet_mask = { IP4_ADDR(255, 255, 255, 0) }; static ip4_addr_t gateway = { IP4_ADDR(192, 168, 1, 1) }; static ip4_addr_t dns_server = { IP4_ADDR(8, 8, 8, 8)}; // 示例DNS服务器地址 ``` 3. 初始化WiFi模块,并连接到指定的SSID: ```c esp_err_t ret = esp_wifi_init(); if (ret == ESP_OK) { wifi_config_t wifi_config = { .sta = { .ssid = ssid, .password = password, .bssid_set = false, // 如果你知道AP的BSSID可以设置为true }, }; ret = esp_wifi_set_mode(WIFI_MODE_STA); if (ret == ESP_OK) { ret = esp_wifi_start(); if (ret == ESP_OK) { // 等待WiFi连接成功 while (!esp_wifi_get_connect_status() == WIFI_STATUS_CONNECTED) { vTaskDelay(pdMS_TO_TICKS(500)); } } } // 连接成功后再配置静态IP } ``` 4. 创建并配置静态IP网络接口: ```c esp_netif_create StaIf, NULL, &amp;espnetif sta_if; if (esp_netif_create_data斯塔If(&amp;sta_if)) { esp_netif_set_ip4(&amp;sta_if, &amp;static_ip, &amp;subnet_mask, &amp;gateway); esp_netif_set_dhcp_client_data(&amp;sta_if, NULL); // 关闭DHCP服务,使用静态IP esp_netif_set_dns_server_num(&amp;sta_if, 1, &amp;dns_server); esp_netif_start(&amp;sta_if); } // 然后你可以开始发送接收数据包了 ``` 记得检查错误代码`esp_err_t`,处理可能出现的问题。此外,如果ESP32-S3需要访问互联网,你还可能需要配置路由器的端口转发规则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值