黑马JavaWeb【复习到哪更新到哪】
登录认证(复习Javaweb的登录校验)
登录功能
思路就是loginController->service层->mapper层,从数据库中查找username和password是否和前端用户提交的表单内容一致,一致就登录成功,否则就返回登录失败的信息。
登录校验
以下是基础部分:
为什么?
这一步是因为上一步登录功能中有bug,如果输入系统内部的某个网址,可以直接访问,而不是跳转到登录页面。
问题:
http每次请求都是独立的,所以当前端是depts或者emps请求时,后端服务器不知道用户是否登录了,所以需要一个登陆标记和统一拦截,图下图,登录后存一下登录标记,然后请求其他页面时,统一拦截模块就取出登录标记,看是否有,没有的话就跳转到登录页面。
解决方案:
- 统一拦截技术:过滤器Filter和 拦截器Interceptor
- 登录标记:会话技术
一、会话技术
同一个浏览器是一次会话,一次会话里可以有多个请求,比如登录进去后访问别的页面。
1.使用cookie会话跟踪:
第一次浏览器向服务器发出请求的时候设置一个cookie,然后服务器将用户数据存到里面,响应的时候返回cookie给浏览器,浏览器将cookie值存储到本地,之后每次请求都将本地的cookie值发给服务器,然后服务器就检查cookie的值是否存在,存在就说明登录过了,不存在就没登陆过。
cookie无法跨域(端口号,IP/域名,协议一个不一样就是跨域)
2. session会话跟踪:
session是基于cookie进行的,浏览器请求时,服务器生成一个session(有唯一的JsessionId),然后将JsessionId放到cookie中返回给浏览器,下一次请求,服务器查询JsessionID来看是否登录过。
cookie的例子:
session的例子
3.令牌技术(企业使用)
用户登陆后生成JWT令牌,下发给客户端,客户端进行存储(存LocalStorge中),每次请求时将令牌携带到客户端,服务器收到请求后进行统一拦截,并获取令牌对其进行校验,有效则访问对应的业务
JWT
就是对Json进行安全的封装
生成JWT令牌(Java)
校验JWT令牌(Java)
三种技术对比
在登录中增加校验功能:
将令牌会存储到LocalStorge中了(前端做)
二、统一拦截技术
例子:
Filter链
调用chain.doFilter
优先级按照类名的字母排序执行
登录校验加过滤器
comcat不能识别spring的controller但是可以识别servlet的程序,spring提供了DispatcherServlet
在这里插入图片描述
Interceptor是spring提供的,拦截范围更小,Filter拦截范围更大