【学习总结|DAY032】后端Web实战:登录认证

在 Web 后端开发中,登录认证是保障系统安全和用户数据隐私的关键环节。本文将结合实际开发案例,深入探讨登录功能与登录校验的实现思路和技术细节,希望能帮助读者更好地掌握这一重要知识点。

一、登录功能实现

1.1 思路分析

登录功能的核心在于验证用户输入的用户名和密码是否正确。当用户名和密码都匹配时,判定登录成功;反之则登录失败。从技术角度看,登录功能本质上是依据用户名和密码查询员工信息。例如,在 Tlias 智能学习辅助系统中,用户输入用户名和密码,系统在数据库中查找对应员工记录,以此确定登录结果。

1.2 接口设计

  • 请求路径/login
  • 请求方式POST
  • 请求参数:以application/json格式传递,包含必填的username(用户名,字符串类型)和password(密码,字符串类型)。请求数据样例:
{"username": "jinyong","password":"123456"
}
  • 响应数据:同样采用application/json格式,包含必须的code(响应码,1 表示成功,0 表示失败)、非必须的msg(提示信息,字符串类型)以及必须的data(返回数据对象)。data对象包含员工 ID(id,数字类型)、用户名(username,字符串类型)、姓名(name,字符串类型)和令牌(token,字符串类型)。响应数据样例:
{"code":1,"msg":"success","data":{"id":2,"username": "songjiang","name":"宋江","token": "eyJhbGci0iJIUzI1NiJ9.eyJpZCI65hbWUi0iJzb2CJJeHAi0jE20Tg3MDE3NjJ9..."}
}

1.3 代码实现

在 Java 开发中,以 Spring Boot 和 MyBatis 框架为例,在业务逻辑层实现登录功能:

@Service
public class EmpService {@Autowiredprivate EmpMapper empMapper;public LoginInfo login(Emp emp) {// 调用mapper,根据用户名密码查询员工信息Emp e = empMapper.login(emp.getUsername(), emp.getPassword());// 如果员工存在,组装登录成功信息if (e != null){Map<String, Object> claims = new HashMap<>();claims.put("id", e.getId());claims.put("username", e.getUsername());return new LoginInfo(e.getId(), e.getUsername(), e.getName(), JwtUtils.generateJwt(claims));}return null;}
}

上述代码中,EmpMapper负责数据库查询操作,JwtUtils.generateJwt(claims)用于生成 JWT 令牌。

二、登录校验技术

在测试登录功能时,常出现未登录也能访问服务端功能接口的问题。为解决该问题,需引入登录校验机制,确保只有登录成功的用户才能访问后台系统数据。实现登录校验主要涉及会话技术、JWT 令牌、过滤器(Filter)和拦截器(Interceptor)。

2.1 会话技术

会话指用户从打开浏览器访问 Web 服务器资源到断开连接的过程,期间包含多次请求和响应。会话跟踪用于识别多次请求是否来自同一浏览器,以实现同一会话内多次请求间的数据共享。常见的会话跟踪方案有:

  • Cookie(客户端会话跟踪技术):利用 HTTP 协议中的Set-Cookie响应头和Cookie请求头传递数据。优点是 HTTP 协议原生支持;缺点是移动端 APP 无法使用,安全性低(用户可禁用)且不能跨域。
  • Session(服务端会话跟踪技术):底层基于 Cookie,通过JSESSIONID标识会话。优点是数据存储在服务端,相对安全;缺点是服务器集群环境下无法直接使用,且存在 Cookie 的固有缺点。
  • 令牌技术:支持 PC 端和移动端,能解决集群环境下的认证问题,减轻服务器存储压力,但需要自行实现。

2.2 JWT 令牌

  • 介绍:JSON Web Token(JWT)是一种简洁、自包含的格式,用于在通信双方以 JSON 数据格式安全传输信息。它由三部分组成:
    • Header(头):记录令牌类型、签名算法等,如{"alg":"HS256","type":"JWT"}
    • Payload (有效载荷):携带自定义信息和默认信息,如{"id":"1","username":"Tom"}
    • Signature (签名):通过将headerpayload和指定秘钥,利用指定签名算法计算生成,用于防止 Token 被篡改,确保安全性。
  • 生成 / 解析:在 Java 项目中,引入jjwt依赖后,可借助官方工具类Jwts生成和解析 JWT 令牌。
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version>
</dependency>

生成令牌示例:

@Test
public void testGenJwt() {Map<String, Object> claims = new HashMap<>();claims.put("id", 10);claims.put("username", "itheima");String jwt = Jwts.builder().signWith(SignatureAlgorithm.HS256, "SVRIRUlNQQ==").addClaims(claims).setExpiration(new Date(System.currentTimeMillis() + 12*3600*1000)).compact();System.out.println(jwt);
}

解析令牌示例:

@Test
public void testParseJwt() throws Exception {String jwtToken = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9...";Claims claims = Jwts.parser().setSigningKey("SVRIRUlNQQ==").parseClaimsJws(jwtToken).getBody();System.out.println(claims);
}

2.3 过滤器(Filter)

  • 概念:Filter 是 JavaWeb 三大组件之一,能拦截对资源的请求,实现通用操作,如登录校验、统一编码处理等。
  • 快速入门
    • 定义 Filter:创建类实现Filter接口,并重写其initdoFilterdestroy方法。
@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter {// 初始化方法,服务器启动时调用一次public void init(FilterConfig filterConfig) throws ServletException {System.out.println("init ...");}// 拦截到请求时调用,可多次调用public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws Exception{System.out.println("拦截到了请求...");chain.doFilter(servletRequest, servletResponse);}// 销毁方法,服务器关闭时调用一次public void destroy() {System.out.println("destroy ... ");}
}

  • 配置 Filter:在 Filter 类上使用@WebFilter注解配置拦截路径,在引导类上加@ServletComponentScan开启 Servlet 组件支持。
@ServletComponentScan
@SpringBootApplication
public class TliasManagementApplication {
}

  • 令牌校验 Filter
    • 流程:获取请求 URL,判断是否为登录请求(包含login),若是则放行;否则获取请求头中的令牌,判断令牌是否存在,若不存在或解析失败则响应 401,解析成功则放行。
@WebFilter(urlPatterns = "/*")
public class JwtFilter implements Filter {@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {HttpServletRequest httpRequest = (HttpServletRequest) request;String requestURI = httpRequest.getRequestURI();if (requestURI.contains("login")) {chain.doFilter(request, response);return;}String token = httpRequest.getHeader("token");if (token == null) {HttpServletResponse httpResponse = (HttpServletResponse) response;httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);return;}try {Claims claims = Jwts.parser().setSigningKey("SVRIRUlNQQ==").parseClaimsJws(token).getBody();chain.doFilter(request, response);} catch (Exception e) {HttpServletResponse httpResponse = (HttpServletResponse) response;httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);}}// init和destroy方法省略
}

  • 执行流程:放行前逻辑 -> 放行 -> 访问资源 -> 放行后逻辑。
  • 拦截路径/*表示拦截所有资源;/emps/*表示拦截/emps目录下的所有资源。
  • 过滤器链:一个 Web 应用中可配置多个过滤器形成过滤器链,注解配置的 Filter 优先级按类名字符串自然排序。

2.4 拦截器(Interceptor)

  • 概念:拦截器是 Spring 框架提供的动态拦截控制器方法执行的机制,可在方法调用前后执行预设代码。
  • 快速入门
    • 定义拦截器:实现HandlerInterceptor接口,重写preHandle(目标资源方法执行前执行,返回true放行,false不放行)、postHandle(目标资源方法执行后执行)和afterCompletion(视图渲染完毕后执行)方法。
@Component
public class DemoInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {return true;}@Overridepublic void postHandle(HttpServletRequest req, HttpServletResponse resp, Object handler, ModelAndView mv) throws Exception {System.out.println("preHandle...");}@Overridepublic void afterCompletion(HttpServletRequest req, HttpServletResponse resp, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion...");}
}

  • 注册拦截器:定义配置类实现WebMvcConfigurer接口,注册拦截器。
@Configuration
public class WebConfig implements WebMvcConfigurer {@Autowiredprivate DemoInterceptor demoInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(demoInterceptor).addPathPatterns("/**");}
}

  • 令牌校验拦截器:与令牌校验 Filter 流程类似,获取请求 URL 判断是否为登录请求,获取并校验令牌。
@Component
public class JwtInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String requestURI = request.getRequestURI();if (requestURI.contains("login")) {return true;}String token = request.getHeader("token");if (token == null) {response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);return false;}try {Claims claims = Jwts.parser().setSigningKey("SVRIRUlNQQ==").parseClaimsJws(token).getBody();return true;} catch (Exception e) {response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);return false;}}// postHandle和afterCompletion方法省略
}

  • 拦截路径/*只能拦截一级路径;/**能拦截任意级路径。
  • 执行流程:与过滤器不同,拦截器只拦截 Spring 环境中的资源,且在控制器方法前后执行不同逻辑。

通过上述登录功能和登录校验技术的详细介绍,希望读者对 Web 后端开发中的登录认证机制有更深入的理解和掌握,在实际项目中能够灵活运用这些技术,构建安全可靠的 Web 应用。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/67438.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

html全局遮罩,通过websocket来实现实时发布公告

1.index.html代码示例 <div id"websocket" style"display:none;position: absolute;color:red;background-color: black;width: 100%;height: 100%;z-index: 100; opacity: 0.9; padding-top: 30%;padding-left: 30%; padding-border:1px; "onclick&q…

sqlmap使用手册

sqlmap使用手册 一、sqlmap简介二、sqlmap常用命令三、sqlmap使用示例四、注意事项sqlmap使用手册 sqlmap是一个开源的渗透测试工具,主要用于自动检测和利用SQL注入漏洞来接管数据库服务器。以下是对sqlmap的详细介绍和使用指南: 一、sqlmap简介 sqlmap具有强大的检测引擎和…

高通8255 Android STR 启动失败要因分析调查

目录 背景&#xff1a; 调查过程&#xff1a; 步骤1&#xff1a; slog2info | grep vmm_service 步骤2&#xff1a; slog2info | grep qvm 总结&#xff1a; 解决方案 背景&#xff1a; 调试高通8255 STR的STR过程中发现Android和QNX进入STR状态后&#xff0c;脱出STR时…

Linux UDP 编程详解

一、引言 在网络编程领域&#xff0c;UDP&#xff08;User Datagram Protocol&#xff0c;用户数据报协议&#xff09;作为一种轻量级的传输层协议&#xff0c;具有独特的优势和适用场景。与 TCP&#xff08;Transmission Control Protocol&#xff0c;传输控制协议&#xff0…

数据增强方法及其工具

数据增强&#xff08;Data Augmentation&#xff09;是指在训练深度学习模型时&#xff0c;通过对现有数据进行一系列变换&#xff0c;从而生成新的样本。数据增强有助于增加数据的多样性&#xff0c;减少过拟合&#xff0c;提升模型的泛化能力&#xff0c;尤其是在数据量有限的…

整数在计算机眼中是什么样子的呢?

整数类型 在现实世界中&#xff0c;整数是无穷的。但在计算机中&#xff0c;由于内存资源的有限性&#xff0c;我们只能表示有限范围的整数。 1. 整数类型的分类 在编程语言(如Java)中&#xff0c;整数类型主要分为以下几种&#xff1a; byte: 1个字节&#xff0c;范围[-12…

【Pandas】pandas Series apply

Pandas2.2 Series Function application, GroupBy & window 方法描述Series.apply()用于将一个函数应用到 Series 的每个元素或整个 Series pandas.Series.apply pandas.Series.apply 是 Pandas 库中 Series 对象的一个方法&#xff0c;用于将一个函数应用到 Series 的…

SDL2:arm64下编译使用 -- SDL2多媒体库使用音频实例

SDL2&#xff1a;Android-arm64端编译使用 2. SDL2&#xff1a;Android-arm64端编译使用2.1 安装和配置NDK2.2 下载编译SDL22.3 SDL2使用示例&#xff1a;Audio2.4 Android设备运行 2. SDL2&#xff1a;Android-arm64端编译使用 在Linux系统上使用Android NDK编译和使用arm64下…

Ubuntu服务器折腾集

目录 Ubuntu 更改软件源Ubuntu 系统语言英文改中文windows 远程链接 Ubuntu 图形界面Windows 通过 openssh 连接 UbuntuUbuntu linux 文件权限Ubuntu 空闲硬盘挂载到 文件管理器的 other locationsUbuntu 开启 SMB 服务&#xff0c;并通过 windows 访问DockerseafileNextcloud…

可解释性机器学习

一、引言 随着机器学习&#xff08;ML&#xff09;在各个领域的广泛应用&#xff0c;模型的复杂度不断增加&#xff0c;如深度神经网络等黑盒模型逐渐成为主流。这些模型虽然具有很高的预测性能&#xff0c;但其内部的决策机制往往难以理解&#xff0c;导致模型的透明度和可解释…

PyTorch使用教程(8)-一文了解torchvision

一、什么是torchvision torchvision提供了丰富的功能&#xff0c;主要包括数据集、模型、转换工具和实用方法四大模块。数据集模块内置了多种广泛使用的图像和视频数据集&#xff0c;如ImageNet、CIFAR-10、MNIST等&#xff0c;方便开发者进行训练和评估。模型模块封装了大量经…

网络安全防护指南:筑牢网络安全防线(510)

一、网络安全的基本概念 &#xff08;一&#xff09;网络的定义 网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息收集、存储、传输、交换、处理的系统。在当今数字化时代&#xff0c;网络已经成为人们生活和工作中不可或缺的一部分。它连接了世…

关于vite+vue3+ts项目中env.d.ts 文件详解

env.d.ts 文件是 Vite 项目中用于定义全局类型声明的 TypeScript 文件。它帮助开发者向 TypeScript提供全局的类型提示&#xff0c;特别是在使用一些特定于 Vite 的功能时&#xff08;如 import.meta.env&#xff09;。以下是详细讲解及代码示例 文章目录 **1. env.d.ts 文件的…

CentOS 安装Redis

1. 安装 Redis 安装 EPEL 仓库&#xff08;对于 CentOS/RHEL 系统&#xff09;&#xff1a; 首先安装 EPEL 仓库&#xff0c;因为 Redis 存在于 EPEL 仓库中&#xff1a; yum install epel-release安装 Redis 数据库&#xff1a; yum install redis2. 修改 Redis 配置文件 …

Spring Boot 基础入门指南

Spring Boot 基础入门指南 引言 在当今快速发展的软件行业中&#xff0c;开发者们一直在寻找简化应用程序开发的方法。Spring Boot 应运而生&#xff0c;它旨在帮助开发者快速构建基于Spring框架的应用程序&#xff0c;同时尽可能减少配置工作。本文将带您了解Spring Boot的基…

1.17学习

crypto nssctf-[SWPUCTF 2021 新生赛]crypto8 不太认识这是什么编码&#xff0c;搜索一下发现是一个UUENCODE编码&#xff0c;用在线工具UUENCODE解码计算器—LZL在线工具解码就好 misc buuctf-文件中的秘密 下载附件打开后发现是一个图片&#xff0c;应该是一个图片隐写&…

Python爬虫学习前传 —— Python从安装到学会一站式服务

早上好啊&#xff0c;大佬们。我们的python基础内容的这一篇终于写好了&#xff0c;啪唧啪唧啪唧…… 说实话&#xff0c;这一篇确实写了很久&#xff0c;一方面是在忙其他几个专栏的内容&#xff0c;再加上生活学业上的事儿&#xff0c;确实精力有限&#xff0c;另一方面&…

LabVIEW时域近场天线测试

随着通信技术的飞速发展&#xff0c;特别是在5G及未来通信技术中&#xff0c;天线性能的测试需求日益增加。对于短脉冲天线和宽带天线的时域特性测试&#xff0c;传统的频域测试方法已无法满足其需求。时域测试方法在这些应用中具有明显优势&#xff0c;可以提供更快速和精准的…

LabVIEW 程序中的 R6025 错误

R6025错误 通常是 运行时库 错误&#xff0c;特别是与 C 运行时库 相关。这种错误通常会在程序运行时出现&#xff0c;尤其是在使用 C 编译的程序或依赖 C 运行时库的程序时。 ​ 可能的原因&#xff1a; 内存访问冲突&#xff1a; R6025 错误通常是由于程序在运行时访问无效内…

【漏洞预警】FortiOS 和 FortiProxy 身份认证绕过漏洞(CVE-2024-55591)

文章目录 一、产品简介二、漏洞描述三、影响版本四、漏洞检测方法五、解决方案 一、产品简介 FortiOS是Fortinet公司核心的网络安全操作系统&#xff0c;广泛应用于FortiGate下一代防火墙&#xff0c;为用户提供防火墙、VPN、入侵防御、应用控制等多种安全功能。 FortiProxy则…