当前位置: 首页 > article >正文

Jwt、Filter、Interceptor

目录

JWT(Json Web Token)

jwt令牌

组成

应用场景

生成令牌 

 解析令牌

登录实例

Filter过滤器

Filter

Filter登录校验

Interceptor拦截器

Interceptor

拦截路径 

执行流程 

登录实例 


JWT(Json Web Token)

jwt令牌

  • 定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。简单来说,就是将原本的 json 格式数据进行了安全封装。
  • 简洁:就是一个简单的字符串,可以在请求参数或者请求头中直接传递 jwt 令牌
  • 自包含:jwt可以根据自身需要存储自定义内容

组成

第一部分: Header(头),记录令牌类型、签名算法等。

  • 例如:{"alg":"HS256","type":"JWT"}
  • "alg":"HS256"就是签名算法,通过指定的签名算法对 jwt 令牌进行数字签名 。
  • 生成 jwt 令牌时需要对json格式的字符串进行 base64 编码。
  • base64:基于64个可打印字符(A-Z、a-z、0-9、+、/)来表示二进制数据的编码方式。

第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。

  • 例如:{"id":"1","username":"Tom"}
  • 同样将 json 数据进行base64编码
  • =是补位的符号

第三部分:Signature(签名),防止Token被篡改、确保安全性。

  • 通过指定的签名算法,融入Header部分和Payload部分,并且加入指定密钥,然后进行计算签名(通过计算得出,不进行base64编码)

三个部分之间用 . 分隔

应用场景

登录验证 

(1)登录成功后生成令牌

(2)后续每个请求都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后再处理。

生成令牌 

(1)引入依赖

<!--JWT令牌-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

(2)生成令牌

    /**
     * 生成JWT
     */
    @Test
    public void testGenJwt(){
        Map<String, Object> claims = new HashMap<>();
        claims.put("id",1);
        claims.put("name","tom");

        String jwt = Jwts.builder()
                .signWith(SignatureAlgorithm.HS256, "itheima")//签名算法
                .setClaims(claims) //自定义内容(载荷)
                .setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))//设置有效期为1h
                .compact();
        System.out.println(jwt);
    }

 解析令牌

  • JWT校验时使用的签名密钥,必须和生成JWT令牌时使用的密钥是配套的。
  • 如果解析JWT令牌时报错,说明令牌被篡改或者失效了,令牌非法。
    /**
     * 解析JWT
     */
    @Test
    public void testParseJwt(){
        Claims claims = Jwts.parser()
                .setSigningKey("itheima")//设置签名密钥
                .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcyNTk3NDc5NH0.ycp9CEK-Fs5fAiPfPox1iflXlTid2-8Om0YfgqfvWNo")
                .getBody();//获得jwt令牌第二部分自定义内容
        System.out.println(claims);
    }

登录实例

工具类JwtUtils

package com.itheima.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.Map;

public class JwtUtils {

    private static String signKey = "itheima";
    private static Long expire = 43200000L;

    /**
     * 生成JWT令牌
     * @param claims JWT第二部分负载 payload 中存储的内容
     * @return
     */
    public static String generateJwt(Map<String, Object> claims){
        String jwt = Jwts.builder()
                .addClaims(claims)
                .signWith(SignatureAlgorithm.HS256, signKey)
                .setExpiration(new Date(System.currentTimeMillis() + expire))
                .compact();
        return jwt;
    }

    /**
     * 解析JWT令牌
     * @param jwt JWT令牌
     * @return JWT第二部分负载 payload 中存储的内容
     */
    public static Claims parseJWT(String jwt){
        Claims claims = Jwts.parser()
                .setSigningKey(signKey)
                .parseClaimsJws(jwt)
                .getBody();
        return claims;
    }
}

登录功能:

package com.itheima.controller;

import com.itheima.pojo.Emp;
import com.itheima.pojo.Result;
import com.itheima.service.EmpService;
import com.itheima.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

import java.util.HashMap;
import java.util.Map;

@Slf4j
@RestController
public class LoginController {
    @Autowired
    private EmpService empService;

    @PostMapping("/login")
    public Result login(@RequestBody Emp emp){
        log.info("用户登录:{}",emp);
        Emp e=empService.login(emp);
        //登录成功,生成令牌,并下发令牌
        if(e!=null){
            Map<String,Object> claims=new HashMap<>();
            claims.put("id",e.getId());
            claims.put("name",e.getName());
            claims.put("username",e.getUsername());

            String jwt = JwtUtils.generateJwt(claims);
            return Result.success(jwt);
        }
        //登录失败返回错误信息
        return Result.error("用户名或密码错误");
    }
}

Filter过滤器

Filter

  • 概念:Java Web三大组件(Servlet,Filter 过滤器,Listener 监听器)之一。
  • 过滤器可以把对资源的请求拦截下来,来实现一些特殊的功能。
  • 过滤器一般完成一些通用操作,比如:登录校验、统一编码处理、敏感字符处理等。
  • Filter是三大组件之一,并不是Springboot提供的功能,如果在Springboot中使用,需要在启动类中加入@ServletComponentScan注解

(1)定义Filter:定义一个类,实现Filter接口,并重写其所有方法。 

(2)配置Filter:Filter类加上@WebFilter注解,配置拦截资源的路径。引导类加上@ServletComponentScan开启Servlet组件支持

package com.itheima.filter;

import org.apache.catalina.connector.Request;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;

@WebFilter(urlPatterns = "/*")//拦截所有请求
public class DemoFilter implements Filter {

    @Override//初始化,只执行一次
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("初始化方法");
    }

    @Override//拦截方法,执行多次
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("Demo 拦截方法..放行前");
        //放行
        filterChain.doFilter(servletRequest,servletResponse);
        System.out.println("Demo 放行后");
    }

    @Override//销毁,只执行一次
    public void destroy() {
        System.out.println("销毁方法");
    }
}

启动类加上@ServletComponentScan注解

package com.itheima;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;

@ServletComponentScan//开启对servlet组件支持
@SpringBootApplication
public class TliasWebManagementApplication {

    public static void main(String[] args) {
        SpringApplication.run(TliasWebManagementApplication.class, args);
    }

}

Filter登录校验

<!--fastJSON-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.76</version>
        </dependency>
package com.itheima.filter;

import com.alibaba.fastjson.JSONObject;
import com.itheima.pojo.Result;
import com.itheima.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

//@WebFilter(urlPatterns = "/*")
@Slf4j
public class LoginCheckFile implements Filter {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest req=(HttpServletRequest) servletRequest;
        HttpServletResponse resp=(HttpServletResponse) servletResponse;
        //1.获取请求的url
        String url=req.getRequestURL().toString();
        log.info("请求的url:{}",url);
        //2.判断请求的url中是否包含login,若包含,则放行
        if(url.contains("login")){
            log.info("登录操作,放行");
            filterChain.doFilter(servletRequest,servletResponse);
            return ;
        }
        //3.获取请求头中的令牌(token)
        String jwt=req.getHeader("token");
        //4.判断令牌是否存在,若不存在,返回错误结果(未登录)
        if(!StringUtils.hasLength(jwt)){
            log.info("请求头token为空,返回未登录的信息");

            Result error = Result.error("NOT_LOGIN");
            //手动转换  对象--json----->阿里巴巴fastJSON(在Controller中@RestController可以自动将方法返回值转化为json,在Filter中需要手动转换)
            String notLogin= JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);//响应给浏览器
            return ;
        }
        //5.解析token,解析失败,返回错误结果(未登录)
        try {
            JwtUtils.parseJWT(jwt);
        }catch (Exception e){
            e.printStackTrace();
            log.info("解析令牌失败,返回未登录的错误信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换  对象--json----->阿里巴巴fastJSON(在Controller中@RestController可以自动将方法返回值转化为json,在Filter中需要手动转换)
            String notLogin= JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);//响应给浏览器
            return ;
        }

        //6.放行
        log.info("令牌合法");
        filterChain.doFilter(servletRequest,servletResponse);
    }
}

Interceptor拦截器

Interceptor

  • 概念:拦截器是一种动态拦截方法调用的机制,类似于过滤器。Spring框架中提供的,用来动态拦截控制器方法的执行。
  • 作用:拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码。

拦截路径 

执行流程 

登录实例 

定义拦截器,实现 HandlerInterceptor接口,并重写其所有方法。

package com.itheima.interceptor;


import com.alibaba.fastjson.JSONObject;
import com.itheima.pojo.Result;
import com.itheima.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
@Slf4j
public class LoginCheckInterceptor implements HandlerInterceptor {
    @Override//目标资源方法运行前运行,返回true:放行,返回false:不放行
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("preHandle...");
        //1.获取请求的url
        String url=request.getRequestURL().toString();
        log.info("请求的url:{}",url);
        //2.判断请求的url中是否包含login,若包含,则放行
        if(url.contains("login")){
            log.info("登录操作,放行");
            return true;
        }
        //3.获取请求头中的令牌(token)
        String jwt=request.getHeader("token");
        //4.判断令牌是否存在,若不存在,返回错误结果(未登录)
        if(!StringUtils.hasLength(jwt)){
            log.info("请求头token为空,返回未登录的信息");

            Result error = Result.error("NOT_LOGIN");
            //手动转换  对象--json----->阿里巴巴fastJSON
            String notLogin= JSONObject.toJSONString(error);
            response.getWriter().write(notLogin);
            return false;
        }
        //5.解析token,解析失败,返回错误结果(未登录)
        try {
            JwtUtils.parseJWT(jwt);
        }catch (Exception e){
            e.printStackTrace();
            log.info("解析令牌失败,返回未登录的错误信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换  对象--json----->阿里巴巴fastJSON
            String notLogin= JSONObject.toJSONString(error);
            response.getWriter().write(notLogin);
            return false;
        }

        //6.放行
        log.info("令牌合法");
        return true;
    }

    @Override//目标资源方法运行后运行
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("postHandle...");
    }

    @Override//视图渲染完毕后运行,最后运行
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("afterCompletion...");
    }
}

注册拦截器

package com.itheima.config;

import com.itheima.interceptor.LoginCheckInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration//配置类
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private LoginCheckInterceptor loginCheckInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**").excludePathPatterns("/login");
    }
}


http://www.kler.cn/a/304196.html

相关文章:

  • MQTT协议解析 : 物联网领域的最佳选择
  • js 获取某日期到现在的时长 js 数字补齐2位
  • LabVIEW开发相机与显微镜自动对焦功能
  • 如何用C#和Aspose.PDF实现PDF转Word工具
  • 【算法】——二分查找合集
  • 闯关leetcode——3174. Clear Digits
  • Python实现牛顿法 目录
  • JDK命令工具
  • 中学 教资 科目二
  • IOS Siri和快捷指令打开app
  • golang学习笔记14——golang性能问题的处理方法
  • 2-94 基于matlab的最佳维纳滤波器的盲解卷积算法
  • 基于微信小程序的食堂点餐预约管理系统
  • IP纯净度对跨境电商有哪些影响
  • terminator-gnome
  • 在Linux系统中如何创建一个新用户
  • STM32+ESP01连接到机智云
  • 移动应用门户实现的技术方案
  • [数据集][目标检测]岩石种类检测数据集VOC+YOLO格式4766张9类别
  • 【贪心算法】贪心算法
  • Mongodb Error: queryTxt ETIMEOUT xxxx.wwwdz.mongodb.net
  • 【运维】自动化运维工具,使用 Ansible 进行开发环境配置管理(本地/远程,brew/scoop/yum,docker/packer/openstack)
  • 【Hot100】LeetCode—75. 颜色分类
  • 算法基础-扩展欧几里得算法
  • Python知识点:如何使用Python进行Excel文件操作(OpenPyXL、Pandas)
  • 源码到class字节码的编译流程 字节码到内存的Java类加载流程