推荐视频:【从零开始掌握JWT】
目录
第一章 会话跟踪
01 使用Cookie和Session,jsessionid
02 使用token
例子一:自定义token
例子二:使用redis存储token
第一章 会话跟踪
应用背景 :浏览器访问web应用,基于HTTP协议发送报文,HTTP是一种无状态协议,每当用户发出请求时,服务器就会做出响应,客户端与服务器之间的联系是离散的、非连续的。 服务器不知道是谁发的请求。当用户在同一网站的多个页面之间转换时,需要知道用户是谁时,会话跟踪技术就可以解决这个问题。
会话跟踪主要使用的技术:
URL重写,隐藏表单域,cookie,session
# 1、URL重写技术
就是在URL结尾添加一个附加数据以标识该会话,把会话ID通过URL的信息传递过去,以便在服务端进行识别不同的用户# 2、隐藏表单域:
将会话ID添加到HTML表单元素中提交到服务器,此表单不再客户端显示# 3、cookie
Cookie是web服务器发送给客户端的一小段信息,客户端请求时可以读取该信息发送到服务器端,进而进行用户的识别。对于客户端的每次请求,服务器都会将Cookie发送到客户端,在客户端可以进行保存,以便下次使用。# 4、session
在服务器端会创建一个session对象,产生一个sessionID来标识这个session对象然后将这个sessionID放入到Cookie中发送到客户端,下一次访问时,sessionID会发送到服务器,在服务器端进行识别不同的用户session是依赖Cookie的,如果cookie被禁用,那么session也将失效 ,session默认的会话时长为30分钟。
01 使用Cookie和Session,jsessionid
项目背景:进行一次请求转发,产生一次会话。
项目场景:
- @WebServlet 是Java Servlet规范中的注解,用于标识一个Servlet类,并指定该Servlet处理的URL模式等配置信息。
- @ServletComponentScan 是Spring Boot提供的注解,用于扫描并注册使用@WebServlet、@WebFilter和@WebListener注解标记的Servlet、Filter和Listener类。
package com.demo.servlet;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.net.http.HttpRequest;@WebServlet("myserlet")
public class MyServlet extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {//输出 sessionidSystem.out.println("session="+req.getSession().getId());// 转发到show.jspreq.getRequestDispatcher("/show.jsp").forward(req, resp);}
}
<html>
<body><h2>Hello World!</h2>
</body>
<a herf="myservlet">访问servlet</a>
</html>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head><title>Title</title>
</head>
<body><h3>show.jsp</h3>
</body>
</html>
会话id:
02 使用token
token是什么?
token是什么:翻译是令牌,访问系统的凭证,令牌证明你是谁,你能做什么。
token是服务端生成的一串字符串,客户端首先请求一个令牌,当第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。
例子一:自定义token
1.创建springboot项目
2.加入依赖,spring-web依赖,jquery (webjar)
3.在static目录下创建htm1目录,新建login.html
4.login.html登录页面,获取token
5.新建Logincontroller,模拟登录业务逻辑,使用UUID生成一个token,返回给请求
6.新建main.html作为业务逻辑处理页面,定义一个查询按钮,发起ajax请求,参数有token
7.创建一个处理query的方法,使用token验证登录用户信息。根据验证结果处理其他业务。
1)加入依赖,spring-web依赖,jquery (webjar)
<dependency><groupId>org.webjars</groupId><artifactId>jquery</artifactId><version>3.6.0</version></dependency>2)在static目录下创建html目录,新建login.html
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>登录</title><!-- 从项目的 webjars 中加载了 jQuery 3.6.0 版本的库文件,通过该文件可以在页面中使用 jQuery 提供的功能和方法。--><script src="/webjars/jquery/3.6.0/jquery.js"></script><!-- 从 BootCDN 加载了 jQuery Cookie 插件的压缩版本。该插件使得在客户端可以方便地操作和管理 cookie,比如设置、获取和删除 cookie 等操作。--><script src="https://cdn.bootcdn.net/ajax/libs/jquery-cookie/1.4.1/jquery.cookie.min.js"></script></head>
<body><div style="margin-left: 300px" ><h3>登录页面</h3><form id="loginFrm" action="" method="post">用户名:<input type="text" name="name"> <br/>密 码:<input type="text" name="pwd"> <br/><input type="button" id="loginBtn" value="登录"></form></div><script type="text/javascript">$(function () {$("#loginBtn").on("click", function (){$.ajax({url:"app/login",type:"post",data:$("#loginFrm").serialize(),dataType:"json",success:function (resp){// 存放到cookie$.cookie("accessToken",resp.data);alert("resp="+resp.msg+", token="+resp.data);}})})})</script>
</body>
</html>3)login.html登录页面,获取token
@RequestParam("name") String name表示从请求中获取名为 "name" 的参数的值,并将其赋给名为name的 String 类型变量。@RequestParam("pwd") String pwd表示从请求中获取名为 "pwd" 的参数的值,并将其赋给名为pwd的 String 类型变量。
UUID.randomUUID():UUID类是 Java 中用于表示统一唯一标识符的类。randomUUID()方法会生成一个新的随机 UUID 对象。
package com.example.root.controller;import com.example.root.vo.ResultObject;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;import java.util.Map;
import java.util.UUID;
import java.util.concurrent.ConcurrentHashMap;@RestController
public class LoginController {Map<String,String> tokenMap = new ConcurrentHashMap<>();//登录方法@PostMapping("/app/login")public ResultObject login(@RequestParam("name") String name, @RequestParam("pwd") String pwd){ResultObject ro = new ResultObject();if ("lisi".equals(name) && "123".equals(pwd)){// 登录成功,生成tokenString token = UUID.randomUUID().toString().replaceAll("-","");ro.setCode(0);ro.setMsg("登录成功,返回token");ro.setData(token);//存储tokentokenMap.put(token, name);}else{ro.setCode(1000);ro.setMsg("登录失败,没有token");ro.setData("");}return ro;}}
分别对应Code;Msg;Token;
4)带上token访问前端API
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title><!-- 从项目的 webjars 中加载了 jQuery 3.6.0 版本的库文件,通过该文件可以在页面中使用 jQuery 提供的功能和方法。--><script src="/webjars/jquery/3.6.0/jquery.js"></script><!-- 从 BootCDN 加载了 jQuery Cookie 插件的压缩版本。该插件使得在客户端可以方便地操作和管理 cookie,比如设置、获取和删除 cookie 等操作。--><script src="https://cdn.bootcdn.net/ajax/libs/jquery-cookie/1.4.1/jquery.cookie.min.js"></script></head>
<body><div><input type="text" name="studentId" id="studentId" value="1001"><br/><input type="button" name="queryBtn" id="queryBtn" value="访问api需要带上token"><br/></div><script type="text/javascript">$(function(){$("#queryBtn").on("click", function (){$.ajax({url:"app/query",type:"post",data:{"studentId":$("#studentId").val(),"accessToken":$.cookie("accessToken")},dataType:"json",success:function (resp){alert("resp="+resp.msg);}})})})
</script></body>
</html>package com.example.root.controller;import com.example.root.vo.ResultObject;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;import java.util.Map;
import java.util.UUID;
import java.util.concurrent.ConcurrentHashMap;@RestController
public class LoginController {Map<String,String> tokenMap = new ConcurrentHashMap<>();//登录方法@PostMapping("/app/login")public ResultObject login(@RequestParam("name") String name, @RequestParam("pwd") String pwd){ResultObject ro = new ResultObject();if ("lisi".equals(name) && "123".equals(pwd)){// 登录成功,生成tokenString token = UUID.randomUUID().toString().replaceAll("-","");ro.setCode(0);ro.setMsg("登录成功,返回token");ro.setData(token);//存储tokentokenMap.put(token, name);}else{ro.setCode(1000);ro.setMsg("登录失败,没有token");ro.setData("");}return ro;}@PostMapping("/app/query")public ResultObject query(Integer studentId, String accessToken){ResultObject ro = new ResultObject();// 判断tokenif(tokenMap.containsKey(accessToken)){//执行业务逻辑,查询学生ro.setCode(0);ro.setMsg("执行业务逻辑是成功的");ro.setData("学生是id"+studentId);}else {ro.setCode(1);ro.setMsg("不能访问系统");ro.setData("");}return ro;}}
例子二:使用redis存储token
stringRedisTemplate:这是 Spring Data Redis 提供的用于操作 Redis 数据库的模板类。opsForHash():这是StringRedisTemplate提供的用于操作哈希表数据结构的方法,返回一个HashOperations对象,通过这个对象可以进行哈希表的各种操作。putAll(key, map):这是HashOperations接口中的一个方法,用于向指定哈希表key中批量 添加 字段和对应的值。参数map是一个 Java Map 对象,其中包含要添加到哈希表中的字段和值。entries(key):这是HashOperations接口中的一个方法,用于 获取 指定哈希表key中的所有字段和对应的值,并以 Map 的形式返回结果。
1)向redis存储token
pom.xml
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId></dependency>application.properties:
# 设置redis
spring.data.redis.host=localhost
spring.data.redis.port=6379login2.html:
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>登录</title><!-- 从项目的 webjars 中加载了 jQuery 3.6.0 版本的库文件,通过该文件可以在页面中使用 jQuery 提供的功能和方法。--><script src="/webjars/jquery/3.6.0/jquery.js"></script><!-- 从 BootCDN 加载了 jQuery Cookie 插件的压缩版本。该插件使得在客户端可以方便地操作和管理 cookie,比如设置、获取和删除 cookie 等操作。--><script src="https://cdn.bootcdn.net/ajax/libs/jquery-cookie/1.4.1/jquery.cookie.min.js"></script></head>
<body><div style="margin-left: 300px" ><h3>登录页面redis</h3><form id="loginFrm" action="" method="post">用户名:<input type="text" name="name"> <br/>密 码:<input type="text" name="pwd"> <br/><input type="button" id="loginBtn" value="登录"></form></div><script type="text/javascript">$(function () {$("#loginBtn").on("click", function (){$.ajax({url:"app/redis/login",type:"post",data:$("#loginFrm").serialize(),dataType:"json",success:function (resp){// 消息框alert("redis resp="+resp.msg+", token="+resp.data);// 存放到cookie$.cookie("accessRedisToken", resp.data);}})})})</script>
</body>
</html>LoginController2.java:
package com.example.root.controller;import com.example.root.vo.ResultObject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.data.redis.core.StringRedisTemplate;import java.util.HashMap;
import java.util.Map;
import java.util.UUID;
import java.util.concurrent.TimeUnit;@RestController
public class LoginController2 {private String TOKEN_KEY = "TOKEN:";@Autowiredprivate StringRedisTemplate stringRedisTemplate;//获取token,redis存储token@PostMapping("/app/redis/login")public ResultObject loginAccessToken(@RequestParam("name") String name,@RequestParam("pwd") String pwd) {ResultObject ro = new ResultObject();// 登录处理,返回tokenif ("lisi".equals(name) && "123".equals(pwd)){// 登录成功,生成tokenString token = UUID.randomUUID().toString().replaceAll("-","").toUpperCase();// 准备数据Map<String,String> map = new HashMap<>();map.put("userId","1001");map.put("name","lisi");map.put("role","admin");// 其他数据// 存储数据到redisString key = TOKEN_KEY + token;stringRedisTemplate.opsForHash().putAll(key, map);// 有效会话时间 20minstringRedisTemplate.expire(key, 20, TimeUnit.MINUTES);// 返回结果ro.setCode(0);ro.setMsg("登录成功");ro.setData(token);}else {ro.setCode(1);ro.setMsg("认证失败");ro.setData("");}return ro;}}
redis安装和配置:Window下Redis的安装和部署详细图文教程(Redis的安装和可视化工具的使用)_redis安装-CSDN博客
注意访问:localhost:8080/login2.html
2) 从redis取数据访问前端API
main2.html:
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title><!-- 从项目的 webjars 中加载了 jQuery 3.6.0 版本的库文件,通过该文件可以在页面中使用 jQuery 提供的功能和方法。--><script src="/webjars/jquery/3.6.0/jquery.js"></script><!-- 从 BootCDN 加载了 jQuery Cookie 插件的压缩版本。该插件使得在客户端可以方便地操作和管理 cookie,比如设置、获取和删除 cookie 等操作。--><script src="https://cdn.bootcdn.net/ajax/libs/jquery-cookie/1.4.1/jquery.cookie.min.js"></script></head>
<body><div><input type="text" name="studentId" id="studentId" value="1001"><br/><input type="button" name="queryBtn" id="queryBtn" value="访问api需要带上token(redis)"><br/></div><script type="text/javascript">$(function(){$("#queryBtn").on("click", function (){$.ajax({// 指定了AJAX请求的目标 URL到 controller类url:"app/redis/query",type:"post",data:{"studentId":$("#studentId").val(),//获取 cookie"accessToken":$.cookie("accessRedisToken")},dataType:"json",// 设置请求成功后的处理函数success:function (resp){alert("resp="+resp.msg);}})})})
</script></body>
</html>LoginController.java:
package com.example.root.controller;import com.example.root.vo.ResultObject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.data.redis.core.StringRedisTemplate;import java.util.HashMap;
import java.util.Map;
import java.util.UUID;
import java.util.concurrent.TimeUnit;@RestController
public class LoginController2 {private String TOKEN_KEY = "TOKEN:";@Autowiredprivate StringRedisTemplate stringRedisTemplate;//获取token,redis存储token@PostMapping("/app/redis/login")public ResultObject loginAccessToken(@RequestParam("name") String name,@RequestParam("pwd") String pwd) {ResultObject ro = new ResultObject();// 登录处理,返回tokenif ("lisi".equals(name) && "123".equals(pwd)){// 登录成功,生成tokenString token = UUID.randomUUID().toString().replaceAll("-","").toUpperCase();// 准备数据Map<String,String> map = new HashMap<>();map.put("userId","1001");map.put("name","lisi");map.put("role","admin");// 其他数据// 存储数据到redisString key = TOKEN_KEY + token;stringRedisTemplate.opsForHash().putAll(key, map);// 有效会话时间 20minstringRedisTemplate.expire(key, 20, TimeUnit.MINUTES);// 返回结果ro.setCode(0);ro.setMsg("登录成功");ro.setData(token);}else {ro.setCode(1);ro.setMsg("认证失败");ro.setData("");}return ro;}//模拟业务处理方法@PostMapping("app/redis/query")public ResultObject query(Integer studentId, String accessToken){ResultObject ro = new ResultObject();// 检查tokenString key = TOKEN_KEY + accessToken;if(stringRedisTemplate.hasKey(key)){// 获取redis存储数据,userId,role等Map<Object, Object> map = stringRedisTemplate.opsForHash().entries(key);String userId = (String) map.get("userId");String role = (String) map.get("role");String name = (String) map.get("name");// 处理业务逻辑if("admin".equals(role)){ro.setCode(0);ro.setMsg("可以执行admin的操作");ro.setData("执行查询学生是"+studentId+"姓名是:"+name);}}return ro;}}
第二章 会用JWT
TOKEN的特点 :
1. 无状态,可扩展。无需session,可以把token数据从一个服务传递到其他服务,从网关发送到其他服务也很容易。
2. 安全性,token是可以进行加密处理,不存储敏感数据,而且token有实效的,有过期的,过期后需要重写验证。
3. 可扩展,token能实现不同应用之间的通信。 比如使用token访问第三方应用。
4. 跨平台,现代化的应用可能接入不同的设备和其他应用。使用一个有效 token可以在手机app,web应用等访问应用。
JWT规范,允许我们使用JWT在两个组织之间传递安全可靠的信息。
JWT是一个凭证。
JWT的工作原理:
用户先到服务器认证身份,认证后服务器返回一个json,就像这个样子。
以后用户再发起请求,就是带着这个ison数据,服务器拿这个ison对象确定用户身份,判断用户能执行操作,获取数据。为了防止用户篡改数据,服务器在生成这个json对象的时候,会加上签名。
服务器就不保存任何 session 数据了,也无需使用redis存储,服务器变成无状态了,从而比较容易实现扩展。
什么时候使用JWT:
1)授权Authorization:这是使用WT的最常见方案。用户登录后,每个后续请求都将包含JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用IWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。
2)信息交换(Information Exchange):JSON Web令牌是在各方之间安全地传输信息的一种好方法。因为可以对]WT进行签名(例如,使用公钥/私钥对),所以您可以确保发件人是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否未被算改。
3)客户端会话(无Session)。
- HttpServlet 是Java Servlet API 的一个抽象类,用于处理来自客户端的HTTP请求并生成HTTP响应。开发人员可以通过继承HttpServlet类并重写其中的doGet()、doPost()等方法来处理特定的HTTP请求。
- doGet(HttpServletRequest request, HttpServletResponse response): 处理HTTP GET请求的方法。开发人员可以重写这个方法来处理GET请求,并生成相应的响应。
- doPost(HttpServletRequest request, HttpServletResponse response): 处理HTTP POST请求的方法。开发人员可以重写这个方法来处理POST请求,并生成相应的响应。
- doPut(HttpServletRequest request, HttpServletResponse response): 处理HTTP PUT请求的方法。
- doDelete(HttpServletRequest request, HttpServletResponse response): 处理HTTP DELETE请求的方法。
HttpServletRequest常用方法:
- getParameter(String name): 获取HTTP请求中的参数值。
- getMethod(): 获取HTTP请求的方法,如GET、POST等。
- getRequestURL(): 获取请求的URL。
- getSession(): 获取与该请求关联的会话,如果没有会话存在,则创建一个新的会话。
- getHeader(String name): 获取指定名称的请求头的值。
- getCookies(): 获取包含该请求的所有Cookie的数组。
HttpServletResponse常用方法:
- setContentType(String type): 设置响应的内容类型。
- setStatus(int sc): 设置响应的状态码(如200、404等)。
- getWriter(): 返回一个PrintWriter对象,用于向客户端发送文本数据。
- sendRedirect(String location): 发送一个重定向响应到指定的URL。
- addHeader(String name, String value): 添加一个响应头。
- setCookie(Cookie cookie): 将Cookie添加到响应中。
