Jwt、Filter、Interceptor
目录
JWT(Json Web Token)
jwt令牌
组成
应用场景
生成令牌
解析令牌
登录实例
Filter过滤器
Filter
Filter登录校验
Interceptor拦截器
Interceptor
拦截路径
执行流程
登录实例
JWT(Json Web Token)
jwt令牌
- 定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。简单来说,就是将原本的 json 格式数据进行了安全封装。
- 简洁:就是一个简单的字符串,可以在请求参数或者请求头中直接传递 jwt 令牌
- 自包含:jwt可以根据自身需要存储自定义内容
组成
第一部分: Header(头),记录令牌类型、签名算法等。
- 例如:{"alg":"HS256","type":"JWT"}
- "alg":"HS256"就是签名算法,通过指定的签名算法对 jwt 令牌进行数字签名 。
- 生成 jwt 令牌时需要对json格式的字符串进行 base64 编码。
- base64:基于64个可打印字符(A-Z、a-z、0-9、+、/)来表示二进制数据的编码方式。
第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。
- 例如:{"id":"1","username":"Tom"}
- 同样将 json 数据进行base64编码
- =是补位的符号
第三部分:Signature(签名),防止Token被篡改、确保安全性。
- 通过指定的签名算法,融入Header部分和Payload部分,并且加入指定密钥,然后进行计算签名(通过计算得出,不进行base64编码)
三个部分之间用 . 分隔
应用场景
登录验证
(1)登录成功后生成令牌
(2)后续每个请求都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后再处理。
生成令牌
(1)引入依赖
<!--JWT令牌-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
(2)生成令牌
/**
* 生成JWT
*/
@Test
public void testGenJwt(){
Map<String, Object> claims = new HashMap<>();
claims.put("id",1);
claims.put("name","tom");
String jwt = Jwts.builder()
.signWith(SignatureAlgorithm.HS256, "itheima")//签名算法
.setClaims(claims) //自定义内容(载荷)
.setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))//设置有效期为1h
.compact();
System.out.println(jwt);
}
解析令牌
- JWT校验时使用的签名密钥,必须和生成JWT令牌时使用的密钥是配套的。
- 如果解析JWT令牌时报错,说明令牌被篡改或者失效了,令牌非法。
/**
* 解析JWT
*/
@Test
public void testParseJwt(){
Claims claims = Jwts.parser()
.setSigningKey("itheima")//设置签名密钥
.parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcyNTk3NDc5NH0.ycp9CEK-Fs5fAiPfPox1iflXlTid2-8Om0YfgqfvWNo")
.getBody();//获得jwt令牌第二部分自定义内容
System.out.println(claims);
}
登录实例
工具类JwtUtils
package com.itheima.utils;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.Map;
public class JwtUtils {
private static String signKey = "itheima";
private static Long expire = 43200000L;
/**
* 生成JWT令牌
* @param claims JWT第二部分负载 payload 中存储的内容
* @return
*/
public static String generateJwt(Map<String, Object> claims){
String jwt = Jwts.builder()
.addClaims(claims)
.signWith(SignatureAlgorithm.HS256, signKey)
.setExpiration(new Date(System.currentTimeMillis() + expire))
.compact();
return jwt;
}
/**
* 解析JWT令牌
* @param jwt JWT令牌
* @return JWT第二部分负载 payload 中存储的内容
*/
public static Claims parseJWT(String jwt){
Claims claims = Jwts.parser()
.setSigningKey(signKey)
.parseClaimsJws(jwt)
.getBody();
return claims;
}
}
登录功能:
package com.itheima.controller;
import com.itheima.pojo.Emp;
import com.itheima.pojo.Result;
import com.itheima.service.EmpService;
import com.itheima.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;
import java.util.HashMap;
import java.util.Map;
@Slf4j
@RestController
public class LoginController {
@Autowired
private EmpService empService;
@PostMapping("/login")
public Result login(@RequestBody Emp emp){
log.info("用户登录:{}",emp);
Emp e=empService.login(emp);
//登录成功,生成令牌,并下发令牌
if(e!=null){
Map<String,Object> claims=new HashMap<>();
claims.put("id",e.getId());
claims.put("name",e.getName());
claims.put("username",e.getUsername());
String jwt = JwtUtils.generateJwt(claims);
return Result.success(jwt);
}
//登录失败返回错误信息
return Result.error("用户名或密码错误");
}
}
Filter过滤器
Filter
- 概念:Java Web三大组件(Servlet,Filter 过滤器,Listener 监听器)之一。
- 过滤器可以把对资源的请求拦截下来,来实现一些特殊的功能。
- 过滤器一般完成一些通用操作,比如:登录校验、统一编码处理、敏感字符处理等。
- Filter是三大组件之一,并不是Springboot提供的功能,如果在Springboot中使用,需要在启动类中加入@ServletComponentScan注解
(1)定义Filter:定义一个类,实现Filter接口,并重写其所有方法。
(2)配置Filter:Filter类加上@WebFilter注解,配置拦截资源的路径。引导类加上@ServletComponentScan开启Servlet组件支持
package com.itheima.filter;
import org.apache.catalina.connector.Request;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;
@WebFilter(urlPatterns = "/*")//拦截所有请求
public class DemoFilter implements Filter {
@Override//初始化,只执行一次
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("初始化方法");
}
@Override//拦截方法,执行多次
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
System.out.println("Demo 拦截方法..放行前");
//放行
filterChain.doFilter(servletRequest,servletResponse);
System.out.println("Demo 放行后");
}
@Override//销毁,只执行一次
public void destroy() {
System.out.println("销毁方法");
}
}
启动类加上@ServletComponentScan注解
package com.itheima;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;
@ServletComponentScan//开启对servlet组件支持
@SpringBootApplication
public class TliasWebManagementApplication {
public static void main(String[] args) {
SpringApplication.run(TliasWebManagementApplication.class, args);
}
}
Filter登录校验
<!--fastJSON-->
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.76</version>
</dependency>
package com.itheima.filter;
import com.alibaba.fastjson.JSONObject;
import com.itheima.pojo.Result;
import com.itheima.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
//@WebFilter(urlPatterns = "/*")
@Slf4j
public class LoginCheckFile implements Filter {
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest req=(HttpServletRequest) servletRequest;
HttpServletResponse resp=(HttpServletResponse) servletResponse;
//1.获取请求的url
String url=req.getRequestURL().toString();
log.info("请求的url:{}",url);
//2.判断请求的url中是否包含login,若包含,则放行
if(url.contains("login")){
log.info("登录操作,放行");
filterChain.doFilter(servletRequest,servletResponse);
return ;
}
//3.获取请求头中的令牌(token)
String jwt=req.getHeader("token");
//4.判断令牌是否存在,若不存在,返回错误结果(未登录)
if(!StringUtils.hasLength(jwt)){
log.info("请求头token为空,返回未登录的信息");
Result error = Result.error("NOT_LOGIN");
//手动转换 对象--json----->阿里巴巴fastJSON(在Controller中@RestController可以自动将方法返回值转化为json,在Filter中需要手动转换)
String notLogin= JSONObject.toJSONString(error);
resp.getWriter().write(notLogin);//响应给浏览器
return ;
}
//5.解析token,解析失败,返回错误结果(未登录)
try {
JwtUtils.parseJWT(jwt);
}catch (Exception e){
e.printStackTrace();
log.info("解析令牌失败,返回未登录的错误信息");
Result error = Result.error("NOT_LOGIN");
//手动转换 对象--json----->阿里巴巴fastJSON(在Controller中@RestController可以自动将方法返回值转化为json,在Filter中需要手动转换)
String notLogin= JSONObject.toJSONString(error);
resp.getWriter().write(notLogin);//响应给浏览器
return ;
}
//6.放行
log.info("令牌合法");
filterChain.doFilter(servletRequest,servletResponse);
}
}
Interceptor拦截器
Interceptor
- 概念:拦截器是一种动态拦截方法调用的机制,类似于过滤器。Spring框架中提供的,用来动态拦截控制器方法的执行。
- 作用:拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码。
拦截路径
执行流程
登录实例
定义拦截器,实现 HandlerInterceptor接口,并重写其所有方法。
package com.itheima.interceptor;
import com.alibaba.fastjson.JSONObject;
import com.itheima.pojo.Result;
import com.itheima.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@Component
@Slf4j
public class LoginCheckInterceptor implements HandlerInterceptor {
@Override//目标资源方法运行前运行,返回true:放行,返回false:不放行
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
System.out.println("preHandle...");
//1.获取请求的url
String url=request.getRequestURL().toString();
log.info("请求的url:{}",url);
//2.判断请求的url中是否包含login,若包含,则放行
if(url.contains("login")){
log.info("登录操作,放行");
return true;
}
//3.获取请求头中的令牌(token)
String jwt=request.getHeader("token");
//4.判断令牌是否存在,若不存在,返回错误结果(未登录)
if(!StringUtils.hasLength(jwt)){
log.info("请求头token为空,返回未登录的信息");
Result error = Result.error("NOT_LOGIN");
//手动转换 对象--json----->阿里巴巴fastJSON
String notLogin= JSONObject.toJSONString(error);
response.getWriter().write(notLogin);
return false;
}
//5.解析token,解析失败,返回错误结果(未登录)
try {
JwtUtils.parseJWT(jwt);
}catch (Exception e){
e.printStackTrace();
log.info("解析令牌失败,返回未登录的错误信息");
Result error = Result.error("NOT_LOGIN");
//手动转换 对象--json----->阿里巴巴fastJSON
String notLogin= JSONObject.toJSONString(error);
response.getWriter().write(notLogin);
return false;
}
//6.放行
log.info("令牌合法");
return true;
}
@Override//目标资源方法运行后运行
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
System.out.println("postHandle...");
}
@Override//视图渲染完毕后运行,最后运行
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
System.out.println("afterCompletion...");
}
}
注册拦截器
package com.itheima.config;
import com.itheima.interceptor.LoginCheckInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration//配置类
public class WebConfig implements WebMvcConfigurer {
@Autowired
private LoginCheckInterceptor loginCheckInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**").excludePathPatterns("/login");
}
}