【Java Web】6.登入认证

📘博客主页：程序员葵安

🫶感谢大家点赞👍🏻收藏⭐评论✍🏻 

                文章目录

一、登录功能

1.1 需求

1.2 思路分析

1.3 代码实现

二、登录校验

2.1 问题分析

2.2 会话技术

2.2.1 会话技术介绍

2.2.2 会话跟踪方案

方案一 - Cookie

方案二 - Session

方案三 - 令牌技术

2.3 JWT令牌

2.3.1 介绍

2.3.2 生成和校验

2.3.3 登录下发令牌

2.4 过滤器Filter 

2.4.1 快速入门

2.4.2 Filter详解

2.4.3 登录校验-Filter

2.5 拦截器Interceptor

2.5.1 快速入门

2.5.2 Interceptor详解

2.5.3 登录校验-Interceptor 

三、异常处理

3.1 问题

3.2 解决方案

3.3 全局异常处理器

一、登录功能

1.1 需求

在登录界面中，我们可以输入用户的用户名以及密码，然后点击 "登录" 按钮就要请求服务器，服务端判断用户输入的用户名或者密码是否正确。如果正确，则返回成功结果，前端跳转至系统首页面。

1.2 接口文档 

我们参照接口文档来开发登录功能

• 基本信息

  请求路径：/login
  ​
  请求方式：POST
  ​
  接口描述：该接口用于员工登录Tlias智能学习辅助系统，登录完毕后，系统下发JWT令牌。 

• 请求参数

  参数格式：application/json

  参数说明：

  名称	类型	是否必须	备注
  username	string	必须	用户名
  password	string	必须	密码

  请求数据样例：

  {"username": "jinyong","password": "123456"
  }

• 响应数据

  参数格式：application/json

  参数说明：

  名称	类型	是否必须	默认值	备注	其他信息
  code	number	必须		响应码, 1 成功 ; 0 失败
  msg	string	非必须		提示信息
  data	string	必须		返回的数据 , jwt令牌

  响应数据样例：

  {"code": 1,"msg": "success","data": "eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoi6YeR5bq4IiwiaWQiOjEsInVzZXJuYW1lIjoiamlueW9uZyIsImV4cCI6MTY2MjIwNzA0OH0.KkUc_CXJZJ8Dd063eImx4H9Ojfrr6XMJ-yVzaWCVZCo"
  }

1.2 思路分析

1.3 代码实现

LoginController

@RestController
public class LoginController {@Autowiredprivate EmpService empService;@PostMapping("/login")public Result login(@RequestBody Emp emp){Emp e = empService.login(emp);return  e != null ? Result.success():Result.error("用户名或密码错误");}
}

EmpService

public interface EmpService {/*** 用户登录* @param emp* @return*/public Emp login(Emp emp);//省略其他代码...
}

EmpServiceImpl

@Slf4j
@Service
public class EmpServiceImpl implements EmpService {@Autowiredprivate EmpMapper empMapper;@Overridepublic Emp login(Emp emp) {//调用dao层功能：登录Emp loginEmp = empMapper.getByUsernameAndPassword(emp);//返回查询结果给Controllerreturn loginEmp;}   //省略其他代码...
}

EmpMapper

@Mapper
public interface EmpMapper {@Select("select id, username, password, name, gender, image, job, entrydate, dept_id, create_time, update_time " +"from emp " +"where username=#{username} and password =#{password}")public Emp getByUsernameAndPassword(Emp emp);//省略其他代码...
}

二、登录校验

2.1 问题分析

什么是登录校验？

• 所谓登录校验，指的是我们在服务器端接收到浏览器发送过来的请求之后，首先我们要对请求进行校验。先要校验一下用户登录了没有，如果用户已经登录了，就直接执行对应的业务操作就可以了；如果用户没有登录，此时就不允许他执行相关的业务操作，直接给前端响应一个错误的结果，最终跳转到登录页面，要求他登录成功之后，再来访问对应的数据。

  

实现思路：

1. 在员工登录成功后，需要将用户登录成功的信息存起来，记录用户已经登录成功的标记。

2. 在浏览器发起请求时，需要在服务端进行统一拦截，拦截后进行登录校验。

完成以上操作，涉及web开发中的两个技术：

1. 会话技术

2. 统一拦截技术

统一拦截实现方案有两种：

1. Servlet规范中的Filter过滤器

2. Spring提供的interceptor拦截器

2.2 会话技术

2.2.1 会话技术介绍

什么是会话？

• 在我们日常生活当中，会话指的就是谈话、交谈。

• 在web开发当中，会话指的就是浏览器与服务器之间的一次连接，我们就称为一次会话。

注意：会话是和浏览器关联的，当有三个浏览器客户端和服务器建立了连接时，就会有三个会话。同一个浏览器在未关闭之前请求了多次服务器，这多次请求是属于同一个会话。  

会话跟踪：一种维护浏览器状态的方法，服务器需要识别多次请求是否来自于同一浏览器，以便在同一次会话的多次请求间共享数据。

我们使用会话跟踪技术就是要完成在同一个会话中，多个请求之间进行共享数据。

会话跟踪技术有两种：

1. Cookie（客户端会话跟踪技术）

   • 数据存储在客户端浏览器当中

2. Session（服务端会话跟踪技术）

   • 数据存储在储在服务端

3. 令牌技术

2.2.2 会话跟踪方案

方案一 - Cookie

cookie 是客户端会话跟踪技术，它是存储在客户端浏览器的，我们使用 cookie 来跟踪会话，我们就可以在浏览器第一次发起请求来请求服务器的时候，我们在服务器端来设置一个cookie。

服务器端在给客户端在响应数据的时候，会自动的将 cookie 响应给浏览器，浏览器接收到响应回来的 cookie 之后，会自动的将 cookie 的值存储在浏览器本地。接下来在后续的每一次请求当中，都会将浏览器本地所存储的 cookie 自动地携带到服务端。

接下来在服务端我们就可以获取到 cookie 的值。我们可以去判断一下这个 cookie 的值是否存在，如果不存在这个cookie，就说明客户端之前是没有访问登录接口的；如果存在 cookie 的值，就说明客户端之前已经登录完成了。这样我们就可以基于 cookie 在同一次会话的不同请求之间来共享数据。

3 个自动：

• 服务器会 自动 的将 cookie 响应给浏览器。

• 浏览器接收到响应回来的数据之后，会 自动 的将 cookie 存储在浏览器本地。

• 在后续的请求当中，浏览器会 自动 的将 cookie 携带到服务器端。

cookie 它是 HTTP 协议当中所支持的技术，而各大浏览器厂商都支持了这一标准。在 HTTP 协议官方给我们提供了一个响应头和请求头：

• 响应头 Set-Cookie ：设置Cookie数据的

• 请求头 Cookie：携带Cookie数据的

  

优缺点

• 优点：HTTP协议中支持的技术（像Set-Cookie 响应头的解析以及 Cookie 请求头数据的携带，都是浏览器自动进行的，是无需我们手动操作的）

• 缺点：

  • 移动端APP(Android、IOS)中无法使用Cookie

  • 不安全，用户可以自己禁用Cookie

  • Cookie不能跨域

代码测试：

@Slf4j
@RestController
public class SessionController {//设置Cookie@GetMapping("/c1")public Result cookie1(HttpServletResponse response){response.addCookie(new Cookie("login_username","itheima")); //设置Cookie/响应Cookiereturn Result.success();}//获取Cookie@GetMapping("/c2")public Result cookie2(HttpServletRequest request){Cookie[] cookies = request.getCookies();for (Cookie cookie : cookies) {if(cookie.getName().equals("login_username")){System.out.println("login_username: "+cookie.getValue()); //输出name为login_username的cookie}}return Result.success();}
}  

方案二 - Session

Session是服务器端会话跟踪技术，所以它是存储在服务器端的。而 Session 的底层其实就是基于我们刚才所介绍的 Cookie 来实现的。

• 优点：Session是存储在服务端的，安全

• 缺点：

  • 服务器集群环境下无法直接使用Session

  • 移动端APP(Android、IOS)中无法使用Cookie

  • 用户可以自己禁用Cookie

  • Cookie不能跨域

测试代码：

@Slf4j
@RestController
public class SessionController {@GetMapping("/s1")public Result session1(HttpSession session){log.info("HttpSession-s1: {}", session.hashCode());session.setAttribute("loginUser", "tom"); //往session中存储数据return Result.success();}@GetMapping("/s2")public Result session2(HttpServletRequest request){HttpSession session = request.getSession();log.info("HttpSession-s2: {}", session.hashCode());Object loginUser = session.getAttribute("loginUser"); //从session中获取数据log.info("loginUser: {}", loginUser);return Result.success(loginUser);}
}

方案三 - 令牌技术

令牌是一个用户身份的标识，本质就是一个字符串。

如果通过令牌技术来跟踪会话，我们就可以在浏览器发起请求。在请求登录接口的时候，如果登录成功，我就可以生成一个令牌，令牌就是用户的合法身份凭证。接下来我在响应数据的时候，我就可以直接将令牌响应给前端。

接下来我们在前端程序当中接收到令牌之后，就需要将这个令牌存储起来。这个存储可以存储在 cookie 当中，也可以存储在其他的存储空间(比如：localStorage)当中。

接下来，在后续的每一次请求当中，都需要将令牌携带到服务端。携带到服务端之后，接下来我们就需要来校验令牌的有效性。如果令牌是有效的，就说明用户已经执行了登录操作，如果令牌是无效的，就说明用户之前并未执行登录操作。

此时，如果是在同一次会话的多次请求之间，我们想共享数据，我们就可以将共享的数据存储在令牌当中就可以了。

优缺点

• 优点：

  • 支持PC端、移动端

  • 解决集群环境下的认证问题

  • 减轻服务器的存储压力（无需在服务器端存储）

• 缺点：需要自己实现（包括令牌的生成、令牌的传递、令牌的校验）

针对于这三种方案，现在企业开发当中使用的最多的就是第三种令牌技术进行会话跟踪。而前面的这两种传统的方案，现在企业项目开发当中已经很少使用了。

2.3 JWT令牌

2.3.1 介绍

JWT全称：JSON Web Token （官网：JSON Web Tokens - jwt.io）

定义了一种简洁的、自包含的格式，用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在，这些信息是可靠的。

简洁：是指jwt就是一个简单的字符串。可以在请求参数或者是请求头当中直接传递。

自包含：指的是jwt令牌，看似是一个随机的字符串，但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。

简单来讲，jwt就是将原始的json数据格式进行了安全的封装，这样就可以直接基于jwt在通信双方安全的进行信息传输了。

JWT的组成： （JWT令牌由三个部分组成，三个部分之间使用英文的点来分割）

• 第一部分：Header(头）， 记录令牌类型、签名算法等。 例如：{"alg":"HS256","type":"JWT"}

• 第二部分：Payload(有效载荷），携带一些自定义信息、默认信息等。 例如：{"id":"1","username":"Tom"}

• 第三部分：Signature(签名），防止Token被篡改、确保安全性。将header、payload，并加入指定秘钥，通过指定签名算法计算而来。

  签名的目的就是为了防jwt令牌被篡改，而正是因为jwt令牌最后一个部分数字签名的存在，所以整个jwt 令牌是非常安全可靠的。一旦jwt令牌当中任何一个部分、任何一个字符被篡改了，整个令牌在校验的时候都会失败，所以它是非常安全可靠的。

在生成JWT令牌时，会对JSON格式的数据进行一次编码：base64编码

Base64：是一种基于64个可打印的字符来表示二进制数据的编码方式。既然能编码，那也就意味着也能解码。所使用的64个字符分别是A到Z、a到z、 0- 9，一个加号，一个斜杠，加起来就是64个字符。任何数据经过base64编码之后，最终就会通过这64个字符来表示。当然还有一个符号，那就是等号。等号是一个补位的符号。

需要注意的是Base64是编码方式，而不是加密方式。

在JWT登录认证的场景中我们发现，整个流程当中涉及到两步操作：

1. 在登录成功之后，要生成令牌。

2. 每一次请求当中，要接收令牌并对令牌进行校验。

2.3.2 生成和校验

JWT令牌的生成。

要想使用JWT令牌，需要先引入JWT的依赖：

<!-- JWT依赖-->
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version>
</dependency>

生成JWT代码实现：

@Test
public void genJwt(){Map<String,Object> claims = new HashMap<>();claims.put("id",1);claims.put("username","Tom");String jwt = Jwts.builder().setClaims(claims) //自定义内容(载荷)          .signWith(SignatureAlgorithm.HS256, "itheima") //签名算法        .setExpiration(new Date(System.currentTimeMillis() + 24*3600*1000)) //有效期   .compact();System.out.println(jwt);
}

校验JWT令牌(解析生成的令牌)：

@Test
public void parseJwt(){Claims claims = Jwts.parser().setSigningKey("itheima")//指定签名密钥（必须保证和生成令牌时使用相同的签名密钥）  .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwiZXhwIjoxNjcyNzI5NzMwfQ.fHi0Ub8npbyt71UqLXDdLyipptLgxBUg_mSuGJtXtBk").getBody();System.out.println(claims);
}

2.3.3 登录下发令牌

生成令牌

• 在登录成功之后来生成一个JWT令牌，并且把这个令牌直接返回给前端

校验令牌

• 拦截前端请求，从请求中获取到令牌，对令牌进行解析校验

实现步骤：

引入JWT工具类

• 在项目工程下创建com.itheima.utils包，并把提供JWT工具类复制到该包下

登录完成后，调用工具类生成JWT令牌并返回

JWT工具类

public class JwtUtils {private static String signKey = "itheima";//签名密钥private static Long expire = 43200000L; //有效时间/*** 生成JWT令牌* @param claims JWT第二部分负载 payload 中存储的内容* @return*/public static String generateJwt(Map<String, Object> claims){String jwt = Jwts.builder().addClaims(claims)//自定义信息（有效载荷）.signWith(SignatureAlgorithm.HS256, signKey)//签名算法（头部）.setExpiration(new Date(System.currentTimeMillis() + expire))//过期时间.compact();return jwt;}/*** 解析JWT令牌* @param jwt JWT令牌* @return JWT第二部分负载 payload 中存储的内容*/public static Claims parseJWT(String jwt){Claims claims = Jwts.parser().setSigningKey(signKey)//指定签名密钥.parseClaimsJws(jwt)//指定令牌Token.getBody();return claims;}
}

登录成功，生成JWT令牌并返回  

@Slf4j
@RestController
@RequestMapping ("/login")
public class LoginController {@Autowiredprivate EmpService empService;@PostMappingpublic Result login(@RequestBody Emp emp){log.info( "员工登录:{}",emp);Emp e = empService.login(emp);if(e != null){//自定义信息HashMap<String, Object> claims = new HashMap<>();claims.put("id",e.getId());claims.put("username",e.getUsername());claims.put("name",e.getName());//使用JWT工具类，生成身份令牌String token  = JwtUtils.generateJwt( claims);return Result.success(token);}return Result.error("用户名或密码错误");}
}

2.4 过滤器Filter 

2.4.1 快速入门

什么是Filter？

• Filter表示过滤器，是 JavaWeb三大组件(Servlet、Filter、Listener)之一。

• 过滤器可以把对资源的请求拦截下来，从而实现一些特殊的功能

  • 使用了过滤器之后，要想访问web服务器上的资源，必须先经过滤器，过滤器处理完毕之后，才可以访问对应的资源。

• 过滤器一般完成一些通用的操作，比如：登录校验、统一编码处理、敏感字符处理等。

Filter快速入门程序掌握过滤器的基本使用操作：

• 第1步，定义过滤器：定义一个类，实现 Filter 接口，并重写其所有方法。

• 第2步，配置过滤器：Filter类上加 @WebFilter 注解，配置拦截资源的路径。引导类上加 @ServletComponentScan 开启Servlet组件支持。

@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter {@Override //初始化方法，只调用一次public void init(FilterConfig filterConfig) throws ServletException {System.out.println("init 初始化方法执行了");}@Override //拦截到请求之后调用，调用多次public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {System.out.println("拦截到了请求");//放行filterChain.doFilter(servletRequest,servletResponse);}@Override //销毁方法，只调用一次public void destroy() {System.out.println("destroy 销毁方法执行了");}
}

@ServletComponentScan
@SpringBootApplication
public class TliasWebManagementApplication {public static void main(String[] args) {SpringApplication.run(TliasWebManagementApplication.class, args);}}

2.4.2 Filter详解

执行流程

过滤器当中我们拦截到了请求之后，如果希望继续访问后面的web资源，就要执行放行操作，放行就是调用 FilterChain对象当中的doFilter()方法，在调用doFilter()这个方法之前所编写的代码属于放行之前的逻辑。

在放行后访问完 web 资源之后还会回到过滤器当中，回到过滤器之后如有需求还可以执行放行之后的逻辑，放行之后的逻辑我们写在doFilter()这行代码之后。

@Override //拦截到请求之后调用，调用多次public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {System.out.println("拦截到了请求...放行前逻辑");//放行filterChain.doFilter(servletRequest,servletResponse);System.out.println("拦截到了请求...放行后逻辑");}

拦截路径

Filter可以根据需求，配置不同的拦截资源路径：

过滤器链 

过滤器链指的是在一个web应用程序当中，可以配置多个过滤器，多个过滤器就形成了一个过滤器链。

执行优先级是按时过滤器类名的自动排序确定的，类名排名越靠前，优先级越高。  

2.4.3 登录校验-Filter

分析

登录校验的基本流程：

• 要进入到后台管理系统，我们必须先完成登录操作，此时就需要访问登录接口login。

• 登录成功之后，我们会在服务端生成一个JWT令牌，并且把JWT令牌返回给前端，前端会将JWT令牌存储下来。

• 在后续的每一次请求当中，都会将JWT令牌携带到服务端，请求到达服务端之后，要想去访问对应的业务功能，此时我们必须先要校验令牌的有效性。

• 对于校验令牌的这一块操作，我们使用登录校验的过滤器，在过滤器当中来校验令牌的有效性。如果令牌是无效的，就响应一个错误的信息，也不会再去放行访问对应的资源了。如果令牌存在，并且它是有效的，此时就会放行去访问对应的web资源，执行相应的业务操作。

具体流程

具体的操作步骤：

1. 获取请求url

2. 判断请求url中是否包含login，如果包含，说明是登录操作，放行

3. 获取请求头中的令牌（token）

4. 判断令牌是否存在，如果不存在，返回错误结果（未登录）

5. 解析token，如果解析失败，返回错误结果（未登录）

6. 放行

代码实现 

@Slf4j
@WebFilter(urlPatterns = "/*") //拦截所有请求
public class LoginCheckFilter implements Filter {@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {//前置：强制转换为http协议的请求对象、响应对象 （转换原因：要使用子类中特有方法）HttpServletRequest request = (HttpServletRequest) servletRequest;HttpServletResponse response = (HttpServletResponse) servletResponse;//1.获取请求urlString url = request.getRequestURL().toString();log.info("请求路径：{}", url); //请求路径：http://localhost:8080/login//2.判断请求url中是否包含login，如果包含，说明是登录操作，放行if(url.contains("/login")){chain.doFilter(request, response);//放行请求return;//结束当前方法的执行}//3.获取请求头中的令牌（token）String token = request.getHeader("token");log.info("从请求头中获取的令牌：{}",token);//4.判断令牌是否存在，如果不存在，返回错误结果（未登录）if(!StringUtils.hasLength(token)){log.info("Token不存在");Result responseResult = Result.error("NOT_LOGIN");//把Result对象转换为JSON格式字符串 (fastjson是阿里巴巴提供的用于实现对象和json的转换工具类)String json = JSONObject.toJSONString(responseResult);response.setContentType("application/json;charset=utf-8");//响应response.getWriter().write(json);return;}//5.解析token，如果解析失败，返回错误结果（未登录）try {JwtUtils.parseJWT(token);}catch (Exception e){log.info("令牌解析失败!");Result responseResult = Result.error("NOT_LOGIN");//把Result对象转换为JSON格式字符串 (fastjson是阿里巴巴提供的用于实现对象和json的转换工具类)String json = JSONObject.toJSONString(responseResult);response.setContentType("application/json;charset=utf-8");//响应response.getWriter().write(json);return;}//6.放行chain.doFilter(request, response);}
}

<dependency><groupId>com.alibaba</groupId><artifactId>fastjson</artifactId><version>1.2.76</version>
</dependency>

2.5 拦截器Interceptor

2.5.1 快速入门

什么是拦截器？

• 是一种动态拦截方法调用的机制，类似于过滤器。

• 拦截器是Spring框架中提供的，用来动态拦截控制器方法的执行。

拦截器的作用：

• 拦截请求，在指定方法调用前后，根据业务需要执行预先设定的代码。

拦截器的使用步骤和过滤器类似，也分为两步：

1. 定义拦截器

2. 注册配置拦截器

自定义拦截器：实现HandlerInterceptor接口，并重写其所有方法

//自定义拦截器
@Component
public class LoginCheckInterceptor implements HandlerInterceptor {//目标资源方法执行前执行。 返回true：放行    返回false：不放行@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {System.out.println("preHandle .... ");return true; //true表示放行}//目标资源方法执行后执行@Overridepublic void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println("postHandle ... ");}//视图渲染完毕后执行，最后执行@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion .... ");}
}

注意：

preHandle方法：目标资源方法执行前执行。 返回true：放行 返回false：不放行

postHandle方法：目标资源方法执行后执行

afterCompletion方法：视图渲染完毕后执行，最后执行

注册配置拦截器：实现WebMvcConfigurer接口，并重写addInterceptors方法

@Configuration  
public class WebConfig implements WebMvcConfigurer {//自定义的拦截器对象@Autowiredprivate LoginCheckInterceptor loginCheckInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {//注册自定义拦截器对象registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**");//设置拦截器拦截的请求路径（ /** 表示拦截所有请求）}
}

2.5.2 Interceptor详解

拦截器的使用细节：

1. 拦截器的拦截路径配置

2. 拦截器的执行流程

拦截路径

拦截器可以根据需求，配置不同的拦截路径

通过addPathPatterns("要拦截路径")方法，可以指定要拦截哪些资源。

通过excludePathPatterns("不拦截路径")方法，指定哪些资源不需要拦截。

@Configuration  
public class WebConfig implements WebMvcConfigurer {//拦截器对象@Autowiredprivate LoginCheckInterceptor loginCheckInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {//注册自定义拦截器对象registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**")//设置拦截器拦截的请求路径（ /** 表示拦截所有请求）.excludePathPatterns("/login");//设置不拦截的请求路径}
}

过滤器和拦截器之间的区别：

• 接口规范不同：过滤器需要实现Filter接口，而拦截器需要实现HandlerInterceptor接口。

• 拦截范围不同：过滤器Filter会拦截所有的资源，而Interceptor只会拦截Spring环境中的资源。

执行流程

开启LoginCheckInterceptor拦截器

@Component
public class LoginCheckInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {System.out.println("preHandle .... ");return true; //true表示放行}@Overridepublic void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println("postHandle ... ");}@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion .... ");}
}

@Configuration  
public class WebConfig implements WebMvcConfigurer {//拦截器对象@Autowiredprivate LoginCheckInterceptor loginCheckInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {//注册自定义拦截器对象registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**")//拦截所有请求.excludePathPatterns("/login");//不拦截登录请求}
}

 开启DemoFilter过滤器

@WebFilter(urlPatterns = "/*") 
public class DemoFilter implements Filter {@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {System.out.println("DemoFilter   放行前逻辑.....");//放行请求filterChain.doFilter(servletRequest,servletResponse);System.out.println("DemoFilter   放行后逻辑.....");}
}

2.5.3 登录校验-Interceptor 

登录校验拦截器

//自定义拦截器
@Component
@Slf4j
public class LoginChecckInterceptor implements HandlerInterceptor {@Override//目标资源方法运行前运行，返回true放行，返回false拦截public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {System.out.println("preHandle ...");//1.获取请求urlString url = request.getRequestURI().toString();log.info("请求的url：{}", url);//2.判断url是否包含login，如果包含，说明是登录操作，放行if(url.contains("login")){log.info("登录操作，放行...");return true;}//3.获取请求头中的令牌String token = request.getHeader("token");log.info("从请求头中获取的令牌：{}", token);//4.判断令牌是否存在，如果不存在，返回错误结果if(!StringUtils.hasLength(token)){log.info("Token不存在");//创建响应结果对象Result responseResult = Result.error("NOT_LOGIN");//把Result对象转换为JSON格式字符串 (fastjson是阿里巴巴提供的用于实现对象和json的转换工具类)String json = JSONObject.toJSONString(responseResult);//响应response.getWriter().write(json);return false;//拦截}//5.解析令牌，如果解析失败，返回错误结果（未登录）try {JwtUtils.parseJWT(token);} catch (Exception e) {log.info("令牌解析失败");//创建响应结果对象Result responseResult = Result.error("NOT_LOGIN");//把Result对象转换为JSON格式字符串 (fastjson是阿里巴巴提供的用于实现对象和json的转换工具类)String json = JSONObject.toJSONString(responseResult);//响应response.getWriter().write(json);return false;}//6.放行log.info("令牌合法，放行");return true;}@Override//目标资源方法运行后运行public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println("postHandle ...");}@Override//视图渲染完毕后运行，最后运行public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion ...");}
}

注册配置拦截器  

@Configuration  
public class WebConfig implements WebMvcConfigurer {//拦截器对象@Autowiredprivate LoginCheckInterceptor loginCheckInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {//注册自定义拦截器对象registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**").excludePathPatterns("/login");}
}

三、异常处理

3.1 问题

当我们没有做任何的异常处理时，我们三层架构处理异常的方案：

• Mapper接口在操作数据库的时候出错了，此时异常会往上抛(谁调用Mapper就抛给谁)，会抛给service。

• service 中也存在异常了，会抛给controller。

• 而在controller当中，我们也没有做任何的异常处理，所以最终异常会再往上抛。最终抛给框架之后，框架就会返回一个JSON格式的数据，里面封装的就是错误的信息，但是框架返回的JSON格式的数据并不符合我们的开发规范。

3.2 解决方案

• 方案一：在所有Controller的所有方法中进行try…catch处理

  • 缺点：代码臃肿（不推荐）

• 方案二：全局异常处理器

  • 好处：简单、优雅（推荐）

3.3 全局异常处理器

• 定义全局异常处理器非常简单，就是定义一个类，在类上加上一个注解@RestControllerAdvice，加上这个注解就代表我们定义了一个全局异常处理器。

• 在全局异常处理器当中，需要定义一个方法来捕获异常，在这个方法上需要加上注解@ExceptionHandler。通过@ExceptionHandler注解当中的value属性来指定我们要捕获的是哪一类型的异常。

  @RestControllerAdvice
  public class GlobalExceptionHandler {//处理异常@ExceptionHandler(Exception.class) //指定能够处理的异常类型public Result ex(Exception e){e.printStackTrace();//打印堆栈中的异常信息//捕获到异常之后，响应一个标准的Resultreturn Result.error("对不起,操作失败,请联系管理员");}
  }

  @RestControllerAdvice = @ControllerAdvice + @ResponseBody

  处理异常的方法返回值会转换为json后再响应给前端