本篇将带你快速了解与登录校验相关的技术,如JWT令牌,Filter过滤器,Interceptor拦截器等。

一、JWT令牌

1、概述

JWT(JSON Web Token) ,官网:https://jwt.io/

定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。

组成:

1)第一部分:

Header(头),记录令牌类型、签名算法等。例如: {“alg”:”HS256” “type”:”JWT”}

2)第二部分

Payload(有效载荷),携带一些自定义信息、默认信息等。例如: {“id”:”1”,”username”:”Tom”}

3)第三部分

Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。

2、生成JWT

1)引入JWT依赖
在pom.xml文件中添加如下依赖

1
2
3
4
5
6
<!-- JWT令牌依赖-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

2)在 springboot整合单元测试的类中,编写测试方法进行测试。

注:在测试时可以将 @SpringBootTest注解注释掉,加快加载速度。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
// 生成JWT令牌
@Test
public void testGenJWT(){
    Map<String, Object> claims = new HashMap<>();
    claims.put("id",1); // 往map集合里面添加数据
    claims.put("name","tom");

    String jwt = Jwts.builder() // 通过链式编程的方式添加里面的方法
            .signWith(SignatureAlgorithm.HS256,"itweb") // 设置签名算法
            .setClaims(claims) // 设置自定义内容(载荷),将数据封装到map集合中
            .setExpiration(new Date(System.currentTimeMillis()+3600*1000)) // 设置有效期为1h
            .compact();
    System.out.println(jwt);
}

3)解决报错
运行测试方法,如果报java.lang.NoClassDefFoundError: javax/xml/bind/DatatypeConverter错误,是因为 jdk版本太高导致的。
解决办法:
方法一:降低 jdk版本,比如换 jdk8。
方法二:在maven中添加依赖,如下

因为javax.xml.bind在jdk8中有,但是在更高版本就没有了,所以我们加上就行。

1
2
3
4
5
<dependency>
    <groupId>javax.xml.bind</groupId>
    <artifactId>jaxb-api</artifactId>
    <version>2.3.1</version>
</dependency>

这里我们直接选添加依赖,再次运行后成功生成JWT令牌,如下

1
eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcxMTUzMDc4N30.qYJw-hDAjKX1rS12cb6eucw9yAu5LtZeru4YJRPoPtM

可以直接将生成的 JWT令牌复制网站上解析,如官网或其他 base64解析平台
如: https://www.toolhelper.cn/EncodeDecode/Base64EncodeDecode

3、解析JWT(校验)

1)在测试类中编写如下代码,填入要解析的JWT

1
2
3
4
5
6
7
8
9
// 解析 JWT
    @Test
    public void testParseJwt(){
        Claims claims = Jwts.parser()
                .setSigningKey("itweb") // 指定签名秘钥
                .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcxMTUzMDc4N30.qYJw-hDAjKX1rS12cb6eucw9yAu5LtZeru4YJRPoPtM")// 解析令牌
                .getBody(); // 获取第2部分内容
        System.out.println(claims);
    }

2)测试运行,解析成功,结果如下

3)两点注意

1、JWT校验时使用的签名秘钥,必须和生成JWT令牌时使用的秘钥是一致的。

2、如果JWT令牌解析校验时报错,则说明JWT令牌被篡改或失效了,即令牌非法。

二、Filter

1、概述

Filter过滤器,是Javaweb三大组件(Servlet、Filter、Listener)之一。过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。

过滤器一般完成一些通用的操作,如: 登录校验、统一编码处理、敏感字符处理等。

2、入门案例

1)定义Filter: 定义一个类,实现 Filter接口,并重写其所有方法。
2)配置Filter: Filter类上加 @WebFilter注解,配置拦截资源的路径。引导类上加 @ServletComponentScan开启Servlet组件支持。

3、执行流程

1)流程

2)思考

放行后访问对应资源,资源访问完成后,还会回到Filter中吗?

如果回到Filter中,是重新执行还是执行放行后的逻辑呢?

执行放行后逻辑

4、Filter拦截路径

5、过滤器链

在一个web应用中,可以配置多个过滤器,这多个过滤器就形成了一个过滤器链,如下。

执行顺序: 注解配置的Filter,优先级是按照过滤器类名(字符串)的自然排序。

6、登录校验Filter

6.1 步骤


1)获取请求url。
2)判断请求url中是否包含login,如果包含,说明是登录操作,放行。
3)获取请求头中的令牌(token)。
4)判断令牌是否存在,如果不存在,返回错误结果(未登录)。
5)解析token,如果解析失败,返回错误结果(未登录)。
6)放行。

三、Interceptor

1、概述

1)Interceptor是一种动态拦截方法调用的机制,类似于过滤器。Spring框架中提供的,用来动态拦截控制器方法的执行。
2)作用: 拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码。

2、快速入门

1)定义拦截器,实现HandlerInterceptor接口,并重写其所有方法。
2)注册拦截器

3、详解

3.1 拦截路径

可以根据需要配置不同的拦截路径,设置哪些需要拦截,哪些不需要拦截。

拦截路径的相关含义和举例如下

3.2 执行流程

1)拦截器的执行流程如下,箭头的方向即执行顺序

2)Filter与 Interceptor区别

接口规范不同: 过滤器需要实现Filter接口,而拦截器需要实现 HandlerInterceptor接口。

拦截范围不同: 过滤器Filter会拦截所有的资源,而Interceptor只会拦截Spring环境中的资源。

关于 Filter的登录校验,流程步骤和 6.1中Filter的一样,不再赘述。

四、全局异常处理器

1、思考

当在开发过程中遇到异常,该怎么处理呢?假如我们未对异常做出处理,异常就会在三层架构中由操作数据库的Mapper层开始往上抛,抛给业务逻辑层Service,再抛给Controller控制层,最后框架就会给我们返回一个json格式的数据,里面封装的就是错误的信息。

2、异常处理

使用全局异常处理器,如下

@RestControllerAdvice = @ControllerAdvice + @ResponseBody

用到的两个注解:@RestControllerAdvice和 @ExceptionHandler