type
status
date
slug
summary
tags
category
icon
password
参考课程:
【黑马程序员 JavaWeb开发教程】
@ZZHow(ZZHow1024)
基础登录功能
- 思路
- Browser
- LoginController
- 注解:@PostMapping、@RequestBody
- 接收并封装参数
- 调用 service 方法进行登录
- 响应
- EmpService
- 调用 mapper 接口查询用户信 息
- EmpMapper
select * from emp where username = ? and password = ?;- Database
登录校验
- 相关技术
- 登录标记-会话技术
- 用户登录成功之后,每一次请求中,都可以获取到该标记。
- 统一拦截
- 过滤器 Filter(Java Servlet 规范)
- 拦截器 Interceptor(Spring 提供)
- 会话技术
- 会话:用户打开浏览器,访问 Web 服务器的资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。
- 会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。
- 会话跟踪方案:
- 客户端会话跟踪技术:Cookie
- 服务端会话跟踪技术:Session
- 令牌技术
- 会话跟踪方案对比
- Cookie
- 优点
- HTTP 协议中支持的技术
- 缺点
- 移动端 APP 无法使用 Cookie
- 不安全,用户可以自己禁用 Cookie
- Cookie 不能跨域
- 跨域的三个维度:协议、IP / 域名 和 端口
- Session
- 优点
- 存储在服务端,安全
- 缺点
- Cookie 的缺点
- 服务器集群环境下无法直接使用 Session
- 令牌技术(主流方案)
- 优点
- 支持 PC 端、移动端
- 解决集群环境下的认证问题
- 减轻服务器端存储压力
- 缺点
- 需要自己实现
JWT 令牌
- 介绍
- JWT(JSON Web Token)
- 定义了一种简洁的、自包含的格式,用于在通信双方以 JSON 数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。
- 组成:
- 第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg": "HS256", "type": "JWT"}。
- 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如:{"id": "1", "username": "Tom"}。
- 第三部分:Signature(签名),防止 Token 被篡改、确保安全性。将 header、payload,并加入指定秘钥,通过指定签名算法计算而来。
- 应用场景:
- 登录认证
- 登录成功后,生成令牌。
- 后续每个请求,都要携带 JWT 令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理。
- 官网:
- JWT-生成
- 添加 Maven 坐标,引入 JWT 令牌依赖
- 在 Java 中生成 JWT 令牌
- 在 Java 中解析 JWT 令牌
- JWT 校验时使用的签名秘钥,必须和生成 JWT 令牌时使用的秘钥是配套的。
- 如果 JWT 令牌解析校验时报错,则说明 JWT 令牌被篡改或失效了,令牌非法。
注意事项
- 下发 JWT 令牌
- 思路:
- 令牌生成:登录成功后,生成 JWT 令牌,并返回给前端。
- 令牌校验:在请求到达服务端后,对令牌进行统一拦截、校验。
- 生成令牌
- 引入 JWT 令牌操作工具类。
- 登录完成后,调用工具类生成 JWT 令牌,并返回。
过滤器(Filter)
- 介绍
- Filter 过滤器,是 JavaWeb 三大组件(Servlet、Fiker、Listener)之一。
- 过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。
- 过滤器一般完成一些通用的操作,比如:登录校验、统一编码处理、敏感字符处理等。
- Filter 快速入门
- 定义 Filter:定义一个类,实现 Filter 接口,并重写其所有方法。
- 配置 Filter:Filter 类上加 @WebFilter 注解,配置拦截资源的路径。引导类上加 @ServletComponentScan 开启 Servlet 组件支持。
- 示例
- 过滤器 DemoFilter 类
- 启动类
- 执行流程
- 请求 → 放行前逻辑 → 放行 → 资源 → 放行后逻辑
- Filter 拦截路径
- Filter 可以根据需求,配置不同的拦截资源路径:
拦截路径 | urlPatterns 值 | 含义 |
拦截具体路径 | /login | 只有访问 /login 路径时,才会被拦截 |
目录拦截 | /emps/* | 访问 /emps 下的所有资源,都会被拦截 |
拦截所有 | /* | 访问所有资源,都会被拦截 |
- 使用 Filter 实现登录校验的流程:
- 获取请求 URL。
- 判断请求 URL 中是否包含 login,如果包含,说明是登录操作,放行。
- 获取请求头中的令牌(token)。
- 判断令牌是否存在,如果不存在,返回错误结果(未登录)。
- 解析 token,如果解析失败,返回错误结果(未登录)。
- 放行。
- 过滤器链
- 介绍:一个 Web 应用中,可以配置多个过滤器,这多个过滤器就形成了一个过滤器链。
- 顺序:注解配置的 Filter,优先级是按照过滤器类名(字符串)的自然排序。
拦截器(Interceptor)
- 介绍
- 概念:是一种动态拦截方法调用的机制,类似于过滤器。Spring 框架中提供的,用来动态拦截控制器方法的执行。
- 作用:拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码。
- Interceptor 快速入门
- 定义拦截器,实现 HandlerInterceptor 接口,并重写其所有方法。
- 注册拦截器。
- Interceptor 拦截路径
- 拦截器可以根据需求,配置不同的拦截路径:
拦截路径 | 含义 | 举例 |
/* | 一级路径 | 能匹配 /depts, /emps, /login,不能匹配 /depts/1 |
/** | 任意级路径 | 能匹配 /depts, /depts/1, /depts/1/2 |
/depts/* | /depts 下的一级路径 | 能匹配 /depts/1,不能匹配 /depts/1/2, /depts |
/depts/** | /depts 下的任意级路径 | 能匹配 /depts, /depts/1, /depts/1/2,不能匹配 /emps/1 |
- Interceptor 执行流程
- Filter 与 Interceptor 对比
- 接口规范不同:过滤器需要实现 Filter 接口,而拦截器需要实现 Handlerlnterceptor 接口。
- 拦截范围不同:过滤器 Filter 会拦截所有的资源,而 Interceptor 只会拦截 Spring 环境中的资源。
- 使用 Interceptor 实现登录校验的流程:
- 获取请求 URL。
- 判断请求 URL 中是否包含 login,如果包含,说明是登录操作,放行。
- 获取请求头中的令牌(token)。
- 判断令牌是否存在,如果不存在,返回错误结果(未登录)。
- 解析 token,如果解析失败,返回错误结果(未登录)。
- 放行。
对象转 JSON
- 阿里巴巴 FastJSON
- 添加 Maven 坐标
- 通过
JSONObject.toJSONString()方法将统一响应结果 Result 对象转为 JSON 字符串 - 常见问题
- 自动忽略了值为 null 的字段
- 转化后的 JSON 字符串字段顺序发生变化
- 在 Result 类中使用 @JSONField(ordinal = ?) 注解指定顺序
添加
SerializerFeature.WriteMapNullValue异常处理
- 异常处理方案
- 方案一:在 Controller 的方法中进行 try…catch 处理(代码臃肿,不推荐)
- 方案二:全局异常处理器(简单、优雅,推荐)
- 全局异常处理器
- 注解:
- @RestControllerAdvice
- @ExceptionHandler
- 示例: