JavaWeb编程语言—登录校验

一、前言&简介

前言：小编的上一篇文章“JavaWeb编程语言—登录功能实现”，介绍了如何通过Java代码实现通过接收前端传来的账号、密码信息来登录后端服务器，但是没有实现登录校验功能，这代表着用户不需要登录也能直接访问服务器。这篇文章就是在实现登录功能的基础上实现登录校验，即一次登录成功后，才能访问数据库的数据。

简介：因为访问数据库的协议是HTTP协议，这是一个无状态的协议（每次请求都是相互独立的，当前的请求不会带有上次请求的相关数据），基于这种协议，SpringBoot通过在Web服务器端实现登录标记（用户第一次登录成功之后生成一个登录标记，之后的每一次请求中，都可以获取到该标记），统一拦截（过滤器Filter、拦截器Interceptor）技术，实现了登录校验。

二、会话技术

2.1?会话：

用户打开浏览器，访问web服务器的资源，会话建立，直到一方断开联系，会话结束。在一次会话中可以包含多次请求和响应。

2.2 会话跟踪：

一种维护浏览器状态的方法，服务器需要识别多次请求是否来自同一个浏览器，以便在同一次会话的多次请求间共享数据。

2.3?会话跟踪方案

客户端会话跟踪：Cookie（过时的技术，不在讲述，核心代码如下）

package com.itheima.tliaswebmanagement.controller;

import com.itheima.tliaswebmanagement.pojo.Result;
import jakarta.servlet.http.Cookie;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.slf4j.Logger;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@Slf4j
@RestController
public class SessionController {

    // 设置并且响应Cookie
    @GetMapping("/c1")
    public Result cookie1(HttpServletResponse response){
        // 设置Cookie，为响应添加Cookie
        response.addCookie(new Cookie("login_username", "Tomcat"));
        return Result.success();
    }

    // 获取Cookie
    @GetMapping("/c2")
    public Result cookie2(HttpServletRequest request){
        // 获取请求对象中的所有Cookie对象
        Cookie[] cookies = request.getCookies();
        for (Cookie cookie : cookies) {
            if (cookie.getName().equals("login_username")){
                System.out.println("login_username: " + cookie.getValue());
            }
        }
        return Result.success();
    }
}

服务端会话跟踪：Session（过时的技术，不在讲述）

令牌技术：在用户登录成功后生成一个JWT令牌，并且响应给用户浏览器，之后的每一次请求中都会携带着JWT令牌进行比对判断用户是否已经登录。

? ? ? ? 优点：

????????????????1.支持PC端、移动端。

? ? ? ? ? ? ? ? 2.解决集群环境下的认证问题。

? ? ? ? ? ? ? ? 3.减轻服务器端存储的压力。

? ? ? ? 缺点：

? ? ? ? ? ? ? ? 1.需要自己实现此功能

三、JWT简介

? ? ? ? 全称：

????????????????JSON Web Token（JWT）是一个开放标准（RFC 7519），它定义了一种紧凑且自包含的方式，用 JSON 对象在各方之间安全地传输信息。此信息是经过数字签名的，因此可以验证和信任。

? ? ? ? 组成：

????????????????JWT 由三部分组成，分别是 Header（头部）、Payload（有效载荷）、Signature（签名），用点（.）将三部分隔开便是 JWT 的结构，形如xxxxx.yyyyyy.zzzzz的字符串。

3.1?利用 Token 进行登录验证的步骤：

1. 用户输入账号密码点击登录
2. 后台收到账号密码，验证是否合法用户
3. 后台验证是合法用户，生成一个?Token返回给用户
4. 用户收到该 Token 并将其保存在每次请求的请求头中
5. 后台每次收到请求都去查询请求头中是否含有正确的 Token，只有 Token 验证通过才会返回请求的资源。
6. 

3.2?生成JWT令牌

3.1.1 添加相关依赖：（在pom文件中添加如下代码）

        <!--JWT生成相关依赖-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

3.1.2 生成jwt数据

    /**
     * 生成JWT
     */
    @Test
    public void testGenJwt(){
        HashMap<String, Object> claims = new HashMap<>();
        claims.put("id", 001);
        claims.put("name", "Tom");

        String jwt = Jwts.builder() // 采用链式编程，首先是生成jet对象
                .signWith(SignatureAlgorithm.HS256, "itDaNing")  // 设置签名算法、秘钥
                .setClaims(claims) // 自定义内容
                .setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))  //设置过期时间
                .compact();

        System.out.println(jwt);
    }

3.3 解析JWT代码

3.3.1解析JWT令牌

    /**
     * 解析JWT
     */
    @Test
    public void testParseJwt(){
        Claims claims = Jwts.parser() //解析Jwt令牌
                .setSigningKey("itDaNing") //输入秘钥
                .parseClaimsJws("") //输入JWT令牌
                .getBody(); //获取相关参数值
        System.out.println(claims);
    }

四、Jwt项目演示

4.1 生成Jwt令牌

在Controller层中，服务器端接收前端的登录信息，生成JWT令牌，并且返回给前端，前端将其保存在LocalStore存储器中，之后前端的每次请求都会携带JWT到服务器端进行验证（代码如下）。

package com.itheima.tliaswebmanagement.controller;

import com.itheima.tliaswebmanagement.pojo.Emp;
import com.itheima.tliaswebmanagement.pojo.Result;
import com.itheima.tliaswebmanagement.service.EmpService;
import com.itheima.tliaswebmanagement.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestController;

import java.util.HashMap;
import java.util.Map;

@Slf4j // 输出日志注解
@RestController //接受请求，作出响应
public class LoginController {

    @Autowired
    private EmpService empService;

    @PostMapping("/login")
    public Result login(@RequestBody Emp emp){
        log.info("员工登录: {}", emp);
        Emp e = empService.login(emp);

        //登陆成功，生成JWT令牌，下发令牌
        if(e != null){
            Map<String, Object> claims = new HashMap<>();

            Integer id = e.getId();
            String name = e.getName();
            String username = e.getUsername();
            String password = e.getPassword();

            claims.put("id", id);
            claims.put("name", name);
            claims.put("username", username);
            claims.put("password", password);

            String jwt = JwtUtils.generateJwt(claims);

            return Result.success(jwt);
        } else {
            return Result.error("用户名或者密码错误");
        }
        /*return e != null ? Result.success():Result.error("用户名或密码错误");*/
    }
}

4.2 过滤、检验Jwt令牌

4.2.1 Filter过滤器

概念：Filter过滤器，是JavaWeb三大组件（Servlet、Filter、Listener）之一。

过滤器可以把对资源的请求拦截下来，从而实现一些特殊功能。

过滤器一般完成一些通用的操作，比如：登录校验、统一编码、敏感字处理等。

Filter过滤器使用简述，如下图。

1. 定义Filter：定义一个类，实现Filter接口，并重写其所有的方法。

2. 配置Filter：Filter类上加@WebFilter注解，配置拦截资源的路径。

3. 引导类上添加@ServletComponentScan开启Servlet组件支持。

package com.itheima.tliaswebmanagement.utils;

import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;
import lombok.extern.slf4j.Slf4j;

import java.io.IOException;

@Slf4j
@WebFilter(urlPatterns = "/*")  // 设置要拦截的请求域名
public class DemoFilter implements Filter {

    //初始化方法，Web服务器启动，创建Filter时调用，只调用一次
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        log.info("Filter过滤器初始化！！！");
    }

    //拦截请求的方法，每次前端发送请求时，都会被拦截
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        log.info("过滤器拦截了请求！！！");
    }

    //销毁方法，服务器关闭时调用，只调用一次
    @Override
    public void destroy() {
        log.info("Filter过滤器已收回！！！");
    }
}

下图是在启动类上添加@ServletComponentScan（为了使此项目支持JavaWeb的三大组件）。

package com.itheima.tliaswebmanagement;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;

@ServletComponentScan
@SpringBootApplication
public class TliasWebManagementApplication {

    public static void main(String[] args) {
        SpringApplication.run(TliasWebManagementApplication.class, args);
    }

}

4.2.1.1 Filter过滤器拦截路径

Filter可以根据需要设置不同的拦截路径：

4.2.1.2 过滤器链

过滤器链：一个Web应用中，可以配置多个过滤器，多个过滤器就形成了一个过滤器链。（如下图所展示）

五、项目展示