JavaWeb编程语言—登录校验

一、前言&简介

前言：小编的上一篇文章“JavaWeb编程语言—登录功能实现”，介绍了如何通过Java代码实现通过接收前端传来的账号、密码信息来登录后端服务器，但是没有实现登录校验功能，这代表着用户不需要登录也能直接访问服务器。这篇文章就是在实现登录功能的基础上实现登录校验，即一次登录成功后，才能访问数据库的数据。

简介：因为访问数据库的协议是HTTP协议，这是一个无状态的协议（每次请求都是相互独立的，当前的请求不会带有上次请求的相关数据），基于这种协议，SpringBoot通过在Web服务器端实现登录标记（用户第一次登录成功之后生成一个登录标记，之后的每一次请求中，都可以获取到该标记），统一拦截（过滤器Filter、拦截器Interceptor）技术，实现了登录校验。

二、会话技术

2.1 会话：

用户打开浏览器，访问web服务器的资源，会话建立，直到一方断开联系，会话结束。在一次会话中可以包含多次请求和响应。

2.2 会话跟踪：

一种维护浏览器状态的方法，服务器需要识别多次请求是否来自同一个浏览器，以便在同一次会话的多次请求间共享数据。

2.3 会话跟踪方案

客户端会话跟踪：Cookie（过时的技术，不在讲述，核心代码如下）

package com.itheima.tliaswebmanagement.controller;

import com.itheima.tliaswebmanagement.pojo.Result;
import jakarta.servlet.http.Cookie;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.slf4j.Logger;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@Slf4j
@RestController
public class SessionController {

    // 设置并且响应Cookie
    @GetMapping("/c1")
    public Result cookie1(HttpServletResponse response){
        // 设置Cookie，为响应添加Cookie
        response.addCookie(new Cookie("login_username", "Tomcat"));
        return Result.success();
    }

    // 获取Cookie
    @GetMapping("/c2")
    public Result cookie2(HttpServletRequest request){
        // 获取请求对象中的所有Cookie对象
        Cookie[] cookies = request.getCookies();
        for (Cookie cookie : cookies) {
            if (cookie.getName().equals("login_username")){
                System.out.println("login_username: " + cookie.getValue());
            }
        }
        return Result.success();
    }
}

服务端会话跟踪：Session（过时的技术，不在讲述）

令牌技术：在用户登录成功后生成一个JWT令牌，并且响应给用户浏览器，之后的每一次请求中都会携带着JWT令牌进行比对判断用户是否已经登录。

        优点：

                1.支持PC端、移动端。

                2.解决集群环境下的认证问题。

                3.减轻服务器端存储的压力。

        缺点：

                1.需要自己实现此功能

三、JWT简介

        全称：

                JSON Web Token（JWT）是一个开放标准（RFC 7519），它定义了一种紧凑且自包含的方式，用 JSON 对象在各方之间安全地传输信息。此信息是经过数字签名的，因此可以验证和信任。

        组成：

                JWT 由三部分组成，分别是 Header（头部）、Payload（有效载荷）、Signature（签名），用点（.）将三部分隔开便是 JWT 的结构，形如xxxxx.yyyyyy.zzzzz的字符串。

3.1 利用 Token 进行登录验证的步骤：

1. 用户输入账号密码点击登录
2. 后台收到账号密码，验证是否合法用户
3. 后台验证是合法用户，生成一个 Token返回给用户
4. 用户收到该 Token 并将其保存在每次请求的请求头中
5. 后台每次收到请求都去查询请求头中是否含有正确的 Token，只有 Token 验证通过才会返回请求的资源。
6. 

3.2 生成JWT令牌

3.1.1 添加相关依赖：（在pom文件中添加如下代码）

        
        
            io.jsonwebtoken
            jjwt
            0.9.1
        

3.1.2 生成jwt数据

    /**
     * 生成JWT
     */
    @Test
    public void testGenJwt(){
        HashMap claims = new HashMap<>();
        claims.put("id", 001);
        claims.put("name", "Tom");

        String jwt = Jwts.builder() // 采用链式编程，首先是生成jet对象
                .signWith(SignatureAlgorithm.HS256, "itDaNing")  // 设置签名算法、秘钥
                .setClaims(claims) // 自定义内容
                .setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))  //设置过期时间
                .compact();

        System.out.println(jwt);
    }

3.3 解析JWT代码

3.3.1解析JWT令牌

    /**
     * 解析JWT
     */
    @Test
    public void testParseJwt(){
        Claims claims = Jwts.parser() //解析Jwt令牌
                .setSigningKey("itDaNing") //输入秘钥
                .parseClaimsJws("") //输入JWT令牌
                .getBody(); //获取相关参数值
        System.out.println(claims);
    }

四、Jwt项目演示

4.1 生成Jwt令牌

在Controller层中，服务器端接收前端的登录信息，生成JWT令牌，并且返回给前端，前端将其保存在LocalStore存储器中，之后前端的每次请求都会携带JWT到服务器端进行验证（代码如下）。

package com.itheima.tliaswebmanagement.controller;

import com.itheima.tliaswebmanagement.pojo.Emp;
import com.itheima.tliaswebmanagement.pojo.Result;
import com.itheima.tliaswebmanagement.service.EmpService;
import com.itheima.tliaswebmanagement.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestController;

import java.util.HashMap;
import java.util.Map;

@Slf4j // 输出日志注解
@RestController //接受请求，作出响应
public class LoginController {

    @Autowired
    private EmpService empService;

    @PostMapping("/login")
    public Result login(@RequestBody Emp emp){
        log.info("员工登录: {}", emp);
        Emp e = empService.login(emp);

        //登陆成功，生成JWT令牌，下发令牌
        if(e != null){
            Map claims = new HashMap<>();

            Integer id = e.getId();
            String name = e.getName();
            String username = e.getUsername();
            String password = e.getPassword();

            claims.put("id", id);
            claims.put("name", name);
            claims.put("username", username);
            claims.put("password", password);

            String jwt = JwtUtils.generateJwt(claims);

            return Result.success(jwt);
        } else {
            return Result.error("用户名或者密码错误");
        }
        /*return e != null ? Result.success():Result.error("用户名或密码错误");*/
    }
}

4.2 过滤、检验Jwt令牌

4.2.1 Filter过滤器

概念：Filter过滤器，是JavaWeb三大组件（Servlet、Filter、Listener）之一。

过滤器可以把对资源的请求拦截下来，从而实现一些特殊功能。

过滤器一般完成一些通用的操作，比如：登录校验、统一编码、敏感字处理等。

Filter过滤器使用简述，如下图。

1. 定义Filter：定义一个类，实现Filter接口，并重写其所有的方法。

2. 配置Filter：Filter类上加@WebFilter注解，配置拦截资源的路径。

3. 引导类上添加@ServletComponentScan开启Servlet组件支持。

package com.itheima.tliaswebmanagement.utils;

import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;
import lombok.extern.slf4j.Slf4j;

import java.io.IOException;

@Slf4j
@WebFilter(urlPatterns = "/*")  // 设置要拦截的请求域名
public class DemoFilter implements Filter {

    //初始化方法，Web服务器启动，创建Filter时调用，只调用一次
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        log.info("Filter过滤器初始化！！！");
    }

    //拦截请求的方法，每次前端发送请求时，都会被拦截
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        log.info("过滤器拦截了请求！！！");
    }

    //销毁方法，服务器关闭时调用，只调用一次
    @Override
    public void destroy() {
        log.info("Filter过滤器已收回！！！");
    }
}

下图是在启动类上添加@ServletComponentScan（为了使此项目支持JavaWeb的三大组件）。

package com.itheima.tliaswebmanagement;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;

@ServletComponentScan
@SpringBootApplication
public class TliasWebManagementApplication {

    public static void main(String[] args) {
        SpringApplication.run(TliasWebManagementApplication.class, args);
    }

}

4.2.1.1 Filter过滤器拦截路径

Filter可以根据需要设置不同的拦截路径：

4.2.1.2 过滤器链

过滤器链：一个Web应用中，可以配置多个过滤器，多个过滤器就形成了一个过滤器链。（如下图所展示）

五、登录校验展示

以下是接收前端传递的登录信息，并且对登录信息进行验证。如果是用户登录则直接放行，如果是资源访问那么判断请求令牌是否有效来决定是否允许通过（详细代码如下）。

package com.itheima.tliaswebmanagement.utils;

import com.alibaba.fastjson.JSONObject;
import com.itheima.tliaswebmanagement.pojo.Result;
import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;

import java.io.IOException;

@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        log.info("LoginCheckFilter 过滤器初始化！！！");
        Filter.super.init(filterConfig);
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;

        String url = request.getRequestURL().toString();
        log.info("请求的URL: {}" ,url);
        if (url.contains("login")){
            log.info("登录操作, 放行...");
            filterChain.doFilter(servletRequest, servletResponse);
            return;
        }

        String jwt = request.getHeader("token");
        if (!StringUtils.hasLength(jwt)){
            log.info("请求头token为空, 返回未登录的信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换，对象——>json ------> 阿里巴巴fastJSON
            String jsonString = JSONObject.toJSONString(error);
            //获取响应的字符输出流的写方法
            response.getWriter().write(jsonString);
            return;
        }

        //解析token, 如果解析失败，返回错误结果（未登录）对JWT字符串进行解析
        try {
            JwtUtils.parseJWT(jwt);
        } catch (Exception e) { //jwt解析失败
            e.printStackTrace();
            log.info("解析令牌失败, 返回未登录错误信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换，对象——>json ------> 阿里巴巴fastJSON
            String jsonString = JSONObject.toJSONString(error);
            //获取响应的字符输出流的写方法
            response.getWriter().write(jsonString);
            return;
        }
        //放行
        log.info("令牌合法, 放行");
        filterChain.doFilter(request, response);
    }

    @Override
    public void destroy() {
        log.info("LoginCheckFilter 过滤器已收回！！！");
        Filter.super.destroy();
    }
}

        小编的QQ：2917281717

        希望大家给个点赞、留言、关注，你的认可就是我坚持下去的动力。