网站空间与域名的关系网址推广
Tlias智能学习系统
员工登录
三层架构:
Controller:1.接收请求参数(用户名,密码)2.调用Service方法3.响应结果
具体实现:
/*** 登录*/
@PostMapping("/login")
public Result login(@RequestBody Emp emp){log.info("登录:{}",emp);LoginInfo info = empService.login(emp);if(info != null){return Result.success(info);}return Result.error("用户名或密码错误");
}Service:1.根据用户名和密码查询员工信息2.判定,组装数据并放回
具体实现:
/*** 登录*/
@Override
public LoginInfo login(Emp emp) {//1.调用Mapper接口,根据用户名和密码查询员工信息Emp e = empMapper.selectByUsernamePassword(emp);//2.判断:判断是否存在这个员工,如果存在,组装登录信息if(e!=null){log.info("登录成功,员工信息:{}",e);return new LoginInfo(e.getId(),e.getUsername(),e.getName(),"");}//3.不存在,放回nullreturn null;
}Mapper:SQL:select * from emp where username ='shinaian' and password ='123456';
具体实现:
/*** 登录*/
@Select("select id,username,name from emp where username = #{username} and password = #{password}")
Emp selectByUsernamePassword(Emp emp);联调测试:
问题:在未登录的情况下,我们也可以直接访问部门管理、员工管理等功能
需求:只有在员工登录成功,才可以访问后台系统中的数据。
登录校验:
登录标记:用户登录成功之后,在后续的每一次请求中,都可以获取到该标记。【会话技术】
统一拦截:过滤器Filter、拦截器:Interceptor
会话技术:
会话:用户打卡浏览器,访问web浏览器资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。
会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享资源。
会话跟踪方案:
1.客户端会话跟踪技术:Cookie
2.服务端会话跟踪技术:Session
/**
* HttpSession演示*/@Slf4j@RestControllerpublic class SessionController {
//设置Cookie@GetMapping("/c1")public Result cookie1(HttpServletResponse response){response.addCookie(new Cookie("login_username","itheima")); //设置Cookie/响应Cookiereturn Result.success();}
//获取Cookie@GetMapping("/c2")public Result cookie2(HttpServletRequest request){Cookie[] cookies = request.getCookies();for (Cookie cookie : cookies) {if(cookie.getName().equals("login_username")){System.out.println("login_username: "+cookie.getValue()); //输出name为login_username的cookie}}return Result.success();}
@GetMapping("/s1")
public Result session1(HttpSession session){log.info("HttpSession-s1: {}", session.hashCode());
session.setAttribute("loginUser", "tom"); //往session中存储数据return Result.success();
}
@GetMapping("/s2")
public Result session2(HttpSession session){log.info("HttpSession-s2: {}", session.hashCode());
Object loginUser = session.getAttribute("loginUser"); //从session中获取数据log.info("loginUser: {}", loginUser);return Result.success(loginUser);
}
} 3.令牌技术
JWT令牌—介绍:
全称:JSON Web Token(https://jwt.io/)
定义了一种简洁、自包含的格式,用于在通信双方以json数据格式安全的传输信息。
组成:
1.Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}
2.Payload(有效载荷),携带一些自定义信息、默认信息等。例如:{"id":"1","username":"Tom"}
3.Signature(签名),放置Token被篡改、确保安全性。将header、payload融入,并加入指定秘钥,通过指定签名算法计算而来。
JWT令牌—生成/解析:
引入jjwt的依赖。
调用官方提供的工具类Jwts来生成或解析jwt令牌。
报错:JWT令牌被篡改或过期失效了
(注意事项:JWT校验时使用的签名秘钥,必须和生成JWT令牌时使用的秘钥是配套的)
/*** 生成JWT令牌*/
@Testpublic void testGenerateJwt(){Map<String, Object> dataMap = new HashMap<>();dataMap.put("id",1);dataMap.put("username","admin");
String jwt = Jwts.builder().signWith(SignatureAlgorithm.HS256, "aXRoZWltYQ==").addClaims(dataMap).setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))//设置过期时间.compact();System.out.println(jwt);}
/*** 解析令牌*/
@Testpublic void testParseJWT(){String token = "eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiIsImV4cCI6MTc0MDczMDEwNX0.BtOnJwrDgsAZTf3v-RJOhTwL7CESndEkl7gTU3XfgHU";Claims claims = Jwts.parser().setSigningKey("aXRoZWltYQ==")//指定密钥.parseClaimsJws(token)//解析令牌.getBody();//获取自定义信息System.out.println(claims);}登录功能(令牌)
生成token(令牌)
1.定义JWT令牌操作工具类。(基于ai)
2.登录完成后,调用工具类生成JWT令牌,并放回。
public class JwtUtils {
private static String signKey = "SVRIRUlNQQ==";private static Long expire = 43200000L;
/*** 生成JWT令牌* @return*/public static String generateJwt(Map<String,Object> claims){String jwt = Jwts.builder().addClaims(claims).signWith(SignatureAlgorithm.HS256, signKey).setExpiration(new Date(System.currentTimeMillis() + expire)).compact();return jwt;}
/*** 解析JWT令牌* @param jwt JWT令牌* @return JWT第二部分负载 payload 中存储的内容*/public static Claims parseJWT(String jwt){Claims claims = Jwts.parser().setSigningKey(signKey).parseClaimsJws(jwt).getBody();return claims;}
}Service层代码修改:
/*** 登录*/
@Override
public LoginInfo login(Emp emp) {//1.调用Mapper接口,根据用户名和密码查询员工信息Emp e = empMapper.selectByUsernamePassword(emp);//2.判断:判断是否存在这个员工,如果存在,组装登录信息if(e!=null){log.info("登录成功,员工信息:{}",e);
//生成Jwt令牌Map<String, Object> claims = new HashMap<>();claims.put("id",e.getId());claims.put("username",e.getUsername());String jwt = JwtUtils.generateJwt(claims);return new LoginInfo(e.getId(),e.getUsername(),e.getName(),jwt);}//3.不存在,放回nullreturn null;
}过滤器(Filter):
概念:Filter过滤器,是javaWeb三大组件(Servlet、Filter、Listener)之一。
过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。
过滤器一般完成一些通用的操作,比如:登录校验、统一编码处理、敏感字符处理等。
Filter快速入门:
1.定义Filter:定义一个类,实现Filter接口,并实现其所有方法。
2.配置Filter:Filter类上加@WebFilter注解,配置拦截路径。引导类上加@ServletComponentScan开启Servlet组件支持。
public class DemoFilter implements Filter {//初始化方法,web服务器启动的时候执行,只执行一次@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {log.info("拦截到了方法。。。。。");
//放行filterChain.doFilter(servletRequest,servletResponse);
}//拦截到请求之后,执行,会执行多次@Overridepublic void init(FilterConfig filterConfig) throws ServletException {log.info("init 初始化方法。。。。");}//销毁方法,web服务器关闭的时候执行,只执行一次@Overridepublic void destroy() {log.info("destroy 销毁方法。。。。");}登录校验Filter:
@Slf4j
@WebFilter("/*")
public class TokenFilter implements Filter {@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {HttpServletRequest request = (HttpServletRequest) servletRequest;HttpServletResponse response = (HttpServletResponse) servletResponse;//1.获取请求路径String requestURI = request.getRequestURI();//2.判断是否是登录请求,如果路径中包含/login,说明是登录操作,放行if(requestURI.contains("/login")){log.info("登录请求,放行");filterChain.doFilter(request,response);}//3.获取请求头中的tokenString token = request.getHeader("token");//4.判断token是否存在,如果不存在,说明用户没有登录,放回错误信息(响应401状态码)if(token == null||token.isEmpty()){log.info("令牌为空,响应401");response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);return;}//5.如果token存在,校验令牌,如果校验失败,放回错误信息(401状态码)try {JwtUtils.parseJWT(token);} catch (Exception e) {log.info("令牌非法,响应401");response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);return;}//6.校验通过,放行log.info("令牌合法,放行");filterChain.doFilter(request,response);}
}详解(执行流程、拦截路径、过滤器链):
执行流程:先执行放行前逻辑,对应资源访问完成后,执行放行后逻辑。
拦截路径:
(Filter可根据需求,配置不同的拦截资源路径)
过滤器链:
介绍:一个web应用中,可以配置多个过滤器,这多个过滤器就形成了一个过滤器链。
顺序:注解配置的Filter,优先级是按照过滤器类名(字符串)的自然排序。
拦截器Interceptor
快速入门:
概念:是一种动态拦截方法调用的机制,类似于过滤器。Spring框架中提供的,主要用来动态拦截控制器方法的执行。
作用:拦截请求,在指定的方法调用前后,根据业务需要执行预先定的代码。
//实现HandlerIntercepter
@Slf4j
@Component
public class DemoInterceptor implements HandlerInterceptor {//在目标资源方法运行之前运行- 返回值:true 放行,false 不放行@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {log.info("preHandle....");return true;}
//在目标资源方法运行之后运行@Overridepublic void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {log.info("postHandle");}
//视图渲染完毕后运行@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {log.info("afterCompletion");}
}//定义一个配置类实现WebMvcConfigurer接口,注册拦截器(/**)
/*** 配置类*/
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Autowiredprivate DemoInterceptor demoInterceptor;
@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(demoInterceptor).addPathPatterns("/**");//拦截所有请求}
}令牌校验Interceptor:
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//1.获取请求路径String requestURI = request.getRequestURI();//2.判断是否是登录请求,如果路径中包含/login,说明是登录操作,放行if(requestURI.contains("/login")){log.info("登录请求,放行");return true;}//3.获取请求头中的tokenString token = request.getHeader("token");//4.判断token是否存在,如果不存在,说明用户没有登录,放回错误信息(响应401状态码)if(token == null||token.isEmpty()){log.info("令牌为空,响应401");response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);return false;}//5.如果token存在,校验令牌,如果校验失败,放回错误信息(401状态码)try {JwtUtils.parseJWT(token);} catch (Exception e) {log.info("令牌非法,响应401");response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);return false;}//6.校验通过,放行log.info("令牌合法,放行");return true;
}详解:
拦截路径:(可根据需要配置拦截路径)
执行流程(过滤器和拦截器同时存在):
Filter和Interceptor区别:
1.接口规范不同:过滤器需要实现Filter接口,而拦截器需要实现HandlerInterceptor接口
2.拦截范围不同:过滤器Filter会拦截所有资源,而Interceptor只会拦截Spring环境中的资源