SpringBootWeb登录认证

JWT令牌

JSON Web Token JSON Web Tokens - jwt.ioJSON Web Token (JWT) is a compact URL-safe means of representing claims to be transferred between two parties. The claims in a JWT are encoded as a JSON object that is digitally signed using JSON Web Signature (JWS).https://jwt.io/JSON Web Token（JWT）是一种基于JSON的开放标准（RFC 7519），用于在各方之间安全地传输信息。以下是对JWT进行详细介绍：

JWT的工作原理：JWT的工作原理基于令牌（Token）的生成和验证两个主要过程。一旦用户通过身份验证，服务器会生成一个包含用户信息的JWT。这个令牌由三部分组成：标头（Header）、有效载荷（Payload）以及签名（Signature）。标头通常包含令牌的类型和所使用的签名算法；有效载荷则包含了实际的数据声明，如发行人、到期时间、主题、用户等信息；签名是为了确保令牌在传输过程中不被篡改。
JWT的优点：JWT提供了无状态、可扩展且安全的认证解决方案，特别适用于分布式环境和移动应用。由于JWT自包含所有用户信息，服务端不需要存储session信息，从而减轻了服务器的压力。同时，JWT可以跨域使用，支持单点登录（SSO），并且不依赖于Cookie，因此也避免了CSRF攻击的风险。
JWT的缺点：尽管JWT具有许多优点，但它也存在一些缺点。例如，一旦JWT被窃取，攻击者就可以访问所有的用户资源，直到令牌过期。此外，如果JWT未加密，通过某些手段可能会被解码并修改其内容。

在考虑使用JWT时，还需要注意以下几个方面：

安全性：虽然JWT可以加密并签名以保证数据的安全性和完整性，但默认情况下JWT是不加密的。因此，在使用JWT传输敏感信息时，应采取额外的安全措施，如使用HTTPS协议进行传输。
有效期：为了减少被盗用的风险，JWT的有效期不宜设置过长。对于一些重要操作，应要求用户频繁进行身份验证。
存储：虽然JWT通常存储在客户端，但也可以选择存储在服务器端，这取决于特定的应用场景和安全需求。

综上所述，JSON Web Token（JWT）是一个功能强大的工具，它提供了一种轻量级的解决方案，用于在现代Web应用程序中安全地处理身份验证和信息交换。通过了解JWT的工作原理、优缺点以及正确的使用方法，开发者可以有效地利用这一技术来提高应用的安全性和用户体验。

依赖配置

pom.xml引入JWT依赖

<!-- JWT依赖-->
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version>
</dependency>

生成JWT令牌

public void genJwt(){Map<String,Object> claims = new HashMap<>();claims.put("id",1);claims.put("username","Tom");String jwt = Jwts.builder().setClaims(claims) //自定义内容(载荷)          .signWith(SignatureAlgorithm.HS256, "密钥") //签名算法        .setExpiration(new Date(System.currentTimeMillis() + 24*3600*1000)) //有效期   .compact();System.out.println(jwt);
}

输出的结果就是生成的JWT令牌,，通过英文的点分割对三个部分进行分割。可以打开JWT官网进行校验。

校验JWT令牌

public void parseJwt(){Claims claims = Jwts.parser().setSigningKey("密钥")//指定签名密钥.parseClaimsJws("JWT令牌内容").getBody();System.out.println(claims);
}

将JWT令牌封装成工具类

public class JwtUtils {private static String signKey = "wfit";private static Long expire = 43200000L;/*** 生成JWT令牌* @param claims JWT第二部分负载 payload 中存储的内容* @return*/public static String generateJwt(Map<String, Object> claims){String jwt = Jwts.builder()//添加内容荷载.addClaims(claims)//签名算法.signWith(SignatureAlgorithm.HS256, signKey)//令牌时间.setExpiration(new Date(System.currentTimeMillis() + expire))//转化字符串.compact();return jwt;}/*** 解析JWT令牌* @param jwt JWT令牌* @return JWT第二部分负载 payload 中存储的内容*/public static Claims parseJWT(String jwt){Claims claims = Jwts.parser()//签名密钥.setSigningKey(signKey)//JWT令牌.parseClaimsJws(jwt).getBody();return claims;}
}

过滤器 Filter

过滤器（Filter）是Java Web应用中的一个重要组件，它主要用于请求到达Servlet之前或响应返回客户端之前对请求和响应进行处理。具体分析如下：

基本介绍：过滤器可以对进入的应用请求进行预处理，也可以对出去的响应进行后处理。这种机制使得开发人员可以在请求到达目标之前，以及响应被发送给客户端之前，执行一些特定的操作。例如，可以用于实现权限验证、请求内容的转换、日志记录等。
过滤器原理：过滤器的工作原理基于一种链式结构，即过滤器链。当一个请求到达时，它会按照配置的顺序通过每个过滤器。每个过滤器都可以修改请求或响应，或者决定是否将请求/响应传递到链中的下一个过滤器或目标资源。
过滤器接口：在Java中，创建过滤器需要实现javax.servlet.Filter接口，该接口定义了init(), doFilter(), 和 destroy()三个方法。init()方法在过滤器初始化时调用，doFilter()方法用于实际的过滤操作，而destroy()方法在过滤器销毁前调用。
使用过滤器：要使用过滤器，首先需要创建一个实现了Filter接口的Java类，然后通过注解@WebFilter指定过滤规则，或者在web.xml文件中配置过滤器及其拦截路径。过滤器的具体逻辑实现在doFilter()方法中完成。
配置过滤器：过滤器的配置可以通过两种方式完成：一是使用@WebFilter注解直接在过滤器类上指定拦截路径；二是在项目的web.xml文件中配置过滤器及其拦截的URL模式。这两种方式都允许灵活地控制哪些请求应该被拦截和处理。
过滤器生命周期：过滤器的生命周期由Web容器管理。当Web应用启动时，过滤器被初始化；接收到请求时，执行doFilter()方法；在Web应用关闭时，执行destroy()方法以释放资源。
多个Filter的执行顺序：当使用多个过滤器时，它们的执行顺序非常重要。这个顺序可以通过在web.xml中配置的顺序或使用@WebFilter注解指定的顺序参数来确定。正确的执行顺序确保了过滤器能够按照预期的方式工作。

此外，在开发过程中，需要注意以下几点：

正确配置：确保过滤器及其拦截路径正确配置，避免拦截不应该被拦截的请求。
性能考虑：虽然过滤器提供了强大的功能，但不当使用可能会影响应用性能。应尽量减少过滤器的数量，并优化过滤逻辑。
线程安全问题：由于过滤器对象可能在多线程环境下被并发访问，因此需要确保过滤器的实现是线程安全的。

总的来说，过滤器是Java Web开发中一个非常强大且灵活的工具，能够帮助开发者实现许多高级功能，提高代码的模块化和重用性。通过合理使用过滤器，可以极大地提升Web应用的安全性、效率和可维护性。

启动类注解

@ServletComponentScan//识别service
@SpringBootApplication
public class WebManagementApplication {public static void main(String[] args) {SpringApplication.run(TliasWebManagementApplication.class, args);}}

只有添加了@ServletComponentScan，Spring才能正常使用Filter。

设计拦截器实现Filter接口，重新其中方法即可。

执行流程

@WebFilter(urlPatterns = "/*") 
public class DemoFilter implements Filter {@Override //初始化方法, 只调用一次public void init(FilterConfig filterConfig) throws ServletException {System.out.println("init 初始化方法执行了");}@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {System.out.println("DemoFilter   放行前逻辑.....");//放行请求filterChain.doFilter(servletRequest,servletResponse);System.out.println("DemoFilter   放行后逻辑.....");}@Override //销毁方法, 只调用一次public void destroy() {System.out.println("destroy 销毁方法执行了");}
}

拦截路径参数

拦截路径	urlPatterns值	含义
拦截具体路径	/login	只有访问 /login 路径时，才会被拦截
目录拦截	/emps/*	访问/emps下的所有资源，都会被拦截
拦截所有	/*	访问所有资源，都会被拦截

使用拦截器和JWT令牌实现登录认证案例

@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {//类型请求对象HttpServletRequest ser= (HttpServletRequest) servletRequest;HttpServletResponse serp= (HttpServletResponse) servletResponse;//获取请求URLString url = ser.getRequestURL().toString();log.info("url:{}",url);//判断url是否包含login关键字，如果有就放行if (url.contains("login")){log.info("登录操作，放行...");filterChain.doFilter(servletRequest,servletResponse);return;}//获取请求头中的令牌String jwt = ser.getHeader("token");//判断令牌是否存在//否if (!StringUtils.hasLength(jwt)){log.info("token为空，未登录");Result error = Result.error("NOT_LOGIN");//手动将对象转换为JSON --->阿里巴巴fastJSONString jsonString = JSONObject.toJSONString(error);//将JSON返回给浏览器serp.getWriter().write(jsonString);return;}//是try {JwtUtils.parseJWT(jwt);} catch (Exception e) {e.printStackTrace();log.info("令牌解析失败");Result error = Result.error("NOT_LOGIN");//手动将对象转换为JSON --->阿里巴巴fastJSONString jsonString = JSONObject.toJSONString(error);//将JSON返回给浏览器serp.getWriter().write(jsonString);return;}//放行log.info("令牌合法，放行");filterChain.doFilter(servletRequest,servletResponse);}}

拦截器Interceptor

拦截器（Interceptor）是一种用于在控制器处理请求之前或之后执行某些操作的机制。以下将深入介绍拦截器的相关信息：

拦截器的基本概念：

拦截器（Interceptor）在Spring框架中，主要用于对Controller层的处理方法进行拦截，即可以在方法执行前后加入自定义的操作。拦截器与过滤器（Filter）相比，过滤器更广泛地用于请求和响应的预处理和后处理，而拦截器则更加关注于具体的处理器（Controller）方法。

拦截器的实现原理：

拦截器通常通过代理方式或反射机制实现。在Spring MVC应用中，拦截器通过动态代理来实现对Controller方法的增强。当一个HTTP请求到达时，如果配置了拦截器，那么这个请求在被目标Controller处理之前，会先经过一系列拦截器的处理。

拦截器的主要作用：

日志记录：记录请求信息，包括请求的URL、IP地址、时间等，便于监控和日志分析。
权限检查：例如检查用户是否已登录，是否有权访问某个特定的资源或服务。
性能监控：计算请求的处理时间，帮助开发者优化应用性能。
通用行为增强：如提取用户信息放入请求中，方便后续流程使用；或者根据不同的用户设置不同的主题和语言。

拦截器的自定义实现：

要创建自定义的拦截器，需要实现HandlerInterceptor接口或继承HandlerInterceptorAdapter类，并重写preHandle(), postHandle(), 和 afterCompletion()三个方法。这些方法分别在请求处理前、视图渲染前、以及整个请求结束后被调用。

拦截器的使用场景举例：

在电商平台中，可以使用拦截器来检查用户是否登录，如果没有登录则重定向到登录页面。
对于需要计费的API，可以利用拦截器来计算调用次数和时长，从而实现计费功能。
在内容管理系统中，使用拦截器来限制只有特定角色的用户才能访问某些管理功能。

此外，考虑到拦截器的强大功能及其灵活性，开发者在使用时应注意以下几点：

正确配置：确保拦截器及其拦截规则正确配置，避免影响正常的业务流程。
性能考虑：虽然拦截器提供了强大的功能，但不当使用可能会影响应用性能。应尽量减少拦截器的数量，并优化其逻辑。
线程安全问题：由于拦截器对象可能在多线程环境下被并发访问，因此需要确保拦截器的实现是线程安全的。

综上所述，拦截器在Spring MVC应用中扮演着至关重要的角色，它不仅能够增强方法处理的能力，还能提高代码的模块化和重用性。通过合理使用拦截器，可以极大地提升Web应用的安全性、效率和可维护性。

自定义拦截器

需要实现HandlerInterceptor接口，并重写其所有方法

@Component
public class LoginCheckInterceptor implements HandlerInterceptor {//目标资源方法执行前执行。 返回true：放行    返回false：不放行@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {System.out.println("preHandle .... ");return true; //true表示放行}//目标资源方法执行后执行@Overridepublic void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println("postHandle ... ");}//视图渲染完毕后执行，最后执行@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion .... ");}
}

注意：

preHandle方法：目标资源方法执行前执行。返回true：放行返回false：不放行

postHandle方法：目标资源方法执行后执行

afterCompletion方法：视图渲染完毕后执行，最后执行

注册配置拦截器

@Configuration  
public class WebConfig implements WebMvcConfigurer {//自定义的拦截器对象@Autowiredprivate LoginCheckInterceptor loginCheckInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {//注册自定义拦截器对象registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**");//设置拦截器拦截的请求路径（ /** 表示拦截所有请求）}
}

拦截路径

拦截路径	含义	举例
/*	一级路径	能匹配/depts，/emps，/login，不能匹配 /depts/1
/**	任意级路径	能匹配/depts，/depts/1，/depts/1/2
/depts/*	/depts下的一级路径	能匹配/depts/1，不能匹配/depts/1/2，/depts
/depts/**	/depts下的任意级路径	能匹配/depts，/depts/1，/depts/1/2，不能匹配/emps/1

@Configuration  
public class WebConfig implements WebMvcConfigurer {//拦截器对象@Autowiredprivate LoginCheckInterceptor loginCheckInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {//注册自定义拦截器对象registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**")//设置拦截器拦截的请求路径（ /** 表示拦截所有请求）.excludePathPatterns("/login");//设置不拦截的请求路径}
}

使用过滤器和JWT令牌实现登录认证案例

注册拦截器

@Configuration
public class WebConfig implements WebMvcConfigurer {@Autowiredprivate LoginCheckInterceptor loginCheckInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**")//拦截什么样的路径.excludePathPatterns("/login");//不拦截什么路径}
}

定义拦截器

@Slf4j
@Component
public class LoginCheckInterceptor implements HandlerInterceptor {@Override //目标资源方法运行前运行，true放行public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String url = request.getRequestURL().toString();log.info("拦截路径:{}",url);String token = request.getHeader("token");if (!StringUtils.hasLength(token)){log.info("token为空");Result error = Result.error("NOT_LOGIN");String s = JSONObject.toJSONString(error);response.getWriter().write(s);return false;}try {JwtUtils.parseJWT(token);} catch (Exception e) {log.info("令牌有误");response.getWriter().write(JSONObject.toJSONString(Result.success("NOT_LOGIN")));return false;}log.info("令牌正确，执行登录");return true;}@Override //目标资源方法运行后运行public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {HandlerInterceptor.super.postHandle(request, response, handler, modelAndView);}@Override //视图渲染完毕后执行public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {HandlerInterceptor.super.afterCompletion(request, response, handler, ex);}
}

扩展——执行流程

当我们打开浏览器来访问部署在web服务器当中的web应用时，此时我们所定义的过滤器会拦截到这次请求。拦截到这次请求之后，它会先执行放行前的逻辑，然后再执行放行操作。而由于我们当前是基于springboot开发的，所以放行之后是进入到了spring的环境当中，也就是要来访问我们所定义的controller当中的接口方法。
Tomcat并不识别所编写的Controller程序，但是它识别Servlet程序，所以在Spring的Web环境中提供了一个非常核心的Servlet：DispatcherServlet（前端控制器），所有请求都会先进行到DispatcherServlet，再将请求转给Controller。
当我们定义了拦截器后，会在执行Controller的方法之前，请求被拦截器拦截住。执行preHandle()方法，这个方法执行完成后需要返回一个布尔类型的值，如果返回true，就表示放行本次操作，才会继续访问controller中的方法；如果返回false，则不会放行（controller中的方法也不会执行）。
在controller当中的方法执行完毕之后，再回过来执行postHandle()这个方法以及afterCompletion() 方法，然后再返回给DispatcherServlet，最终再来执行过滤器当中放行后的这一部分逻辑的逻辑。执行完毕之后，最终给浏览器响应数据。