JavaWeb开发_Day12
参考课程:
【黑马程序员 JavaWeb开发教程】
[https://www.bilibili.com/video/BV1m84y1w7Tb]
@ZZHow(ZZHow1024)
基础登录功能
- 思路
- Browser
- LoginController
- 注解:@PostMapping、@RequestBody
- 接收并封装参数
- 调用 service 方法进行登录
- 响应
- EmpService
- 调用 mapper 接口查询用户信
息
- 调用 mapper 接口查询用户信
- EmpMapper
select * from emp where username = ? and password = ?;
- Database
登录校验
登录校验
- 相关技术
- 登录标记-会话技术
- 用户登录成功之后,每一次请求中,都可以获取到该标记。
- 统一拦截
- 过滤器 Filter(Java Servlet 规范)
- 拦截器 Interceptor(Spring 提供)
- 登录标记-会话技术
- 会话技术
- 会话:用户打开浏览器,访问 Web 服务器的资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。
- 会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。
- 会话跟踪方案:
- 客户端会话跟踪技术:Cookie
- 服务端会话跟踪技术:Session
- 令牌技术
- 会话跟踪方案对比
-
Cookie
- 优点
- HTTP 协议中支持的技术
- 缺点
- 移动端 APP 无法使用 Cookie
- 不安全,用户可以自己禁用 Cookie
- Cookie 不能跨域
-
跨域的三个维度:协议、IP / 域名 和 端口
跨域
-
- 优点
-
Session
- 优点
- 存储在服务端,安全
- 缺点
-
Cookie 的缺点
-
服务器集群环境下无法直接使用 Session
服务器集群环境
-
- 优点
-
令牌技术(主流方案)
- 优点
- 支持 PC 端、移动端
- 解决集群环境下的认证问题
- 减轻服务器端存储压力
- 缺点
- 需要自己实现
- 优点
-
JWT 令牌
-
介绍
- JWT(JSON Web Token)
- 定义了一种简洁的、自包含的格式,用于在通信双方以 JSON 数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。
- 组成:
- 第一部分:Header(头),记录令牌类型、签名算法等。例如:{“alg”: “HS256”, “type”: “JWT”}。
- 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如:{“id”: “1”, “username”: “Tom”}。
- 第三部分:Signature(签名),防止 Token 被篡改、确保安全性。将 header、payload,并加入指定秘钥,通过指定签名算法计算而来。
-
应用场景:
- 登录认证
- 登录成功后,生成令牌。
- 后续每个请求,都要携带 JWT 令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理。
- 登录认证
-
官网:
JWT.IO
-
JWT-生成
-
添加 Maven 坐标,引入 JWT 令牌依赖
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version> </dependency> -
在 Java 中生成 JWT 令牌
@Test public void testGenJwt() {Map<String, Object> claims = new HashMap<>();claims.put("id", 1);claims.put("name", "Tom");String jwt = Jwts.builder().aignWith(SignatureAlgorithm.HS256, "签名 Key") //签名算法.netClaims(claims) //白定义内容(载荷).setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000)) //设置有效期为 1h.compact();System.out.println(jwt); } -
在 Java 中解析 JWT 令牌
@Test public void testParseJwt() {Claims claims = Jwts.parser().setSigningKey("签名 Key").parseClaimsJws("需要解析的 JWT 令牌").getBody();System.out.println(claims);
-
-
下发 JWT 令牌
- 思路:
- 令牌生成:登录成功后,生成 JWT 令牌,并返回给前端。
- 令牌校验:在请求到达服务端后,对令牌进行统一拦截、校验。
- 生成令牌
- 引入 JWT 令牌操作工具类。
- 登录完成后,调用工具类生成 JWT 令牌,并返回。
- 思路:
过滤器(Filter)
-
介绍
- Filter 过滤器,是 JavaWeb 三大组件(Servlet、Fiker、Listener)之一。
- 过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。
- 过滤器一般完成一些通用的操作,比如:登录校验、统一编码处理、敏感字符处理等。
-
Filter 快速入门
- 定义 Filter:定义一个类,实现 Filter 接口,并重写其所有方法。
- 配置 Filter:Filter 类上加 @WebFilter 注解,配置拦截资源的路径。引导类上加 @ServletComponentScan 开启 Servlet 组件支持。
-
示例
- 过滤器 DemoFilter 类
@WebFilter(urlPatterns = "/*") public class DemoFilter implements Filter {public void init(FilterConfig filterConfig) throws ServletException { //初始化方法,Web 服务器启动,创建 Filter 时调用,只调用一次Filter.super.init(filterConfig)}public void doFilter(ServletRequest request, ServletResponse response, Filterchain chain) { //拦截到请求时,调用该方法,可调用多次System.out.println("拦截方法执行,拦截到了请求");chain.doFilter(request, response);}public void destroy() { //销毁方法,服务器关闭时调用,只调用一次Filter.super.destroy();}- 启动类
@ServletComponentScan @SpringBootApplication public class TliasItheimaApplication {public static void main(String[] args) {SpringApplication.run(TliasItheimaApplication.class, args);} }
-
执行流程
- 请求 → 放行前逻辑 → 放行 → 资源 → 放行后逻辑
-
Filter 拦截路径
-
Filter 可以根据需求,配置不同的拦截资源路径:
拦截路径 urlPatterns 值 含义 拦截具体路径 /login 只有访问 /login 路径时,才会被拦截 目录拦截 /emps/* 访问 /emps 下的所有资源,都会被拦截 拦截所有 /* 访问所有资源,都会被拦截
-
-
使用 Filter 实现登录校验的流程:
- 获取请求 URL。
- 判断请求 URL 中是否包含 login,如果包含,说明是登录操作,放行。
- 获取请求头中的令牌(token)。
- 判断令牌是否存在,如果不存在,返回错误结果(未登录)。
- 解析 token,如果解析失败,返回错误结果(未登录)。
- 放行。
-
过滤器链
- 介绍:一个 Web 应用中,可以配置多个过滤器,这多个过滤器就形成了一个过滤器链。
- 顺序:注解配置的 Filter,优先级是按照过滤器类名(字符串)的自然排序。
拦截器(Interceptor)
-
介绍
- 概念:是一种动态拦截方法调用的机制,类似于过滤器。Spring 框架中提供的,用来动态拦截控制器方法的执行。
- 作用:拦截请求,在指定的方法调用前后,根据业务需要执行预先设定的代码。
-
Interceptor 快速入门
- 定义拦截器,实现 HandlerInterceptor 接口,并重写其所有方法。
- 注册拦截器。
-
Interceptor 拦截路径
- 拦截器可以根据需求,配置不同的拦截路径:
@Override public void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(logincheckInterceptor).addPathPatterns("/**").excludePathPatterns("/1ogin"); } // ↑需要拦截哪些资源 ↑不需要拦截哪些资源拦截路径 含义 举例 /* 一级路径 能匹配 /depts, /emps, /login,不能匹配 /depts/1 /** 任意级路径 能匹配 /depts, /depts/1, /depts/1/2 /depts/* /depts 下的一级路径 能匹配 /depts/1,不能匹配 /depts/1/2, /depts /depts/** /depts 下的任意级路径 能匹配 /depts, /depts/1, /depts/1/2,不能匹配 /emps/1 -
Interceptor 执行流程
-
Filter 与 Interceptor 对比
- 接口规范不同:过滤器需要实现 Filter 接口,而拦截器需要实现 Handlerlnterceptor 接口。
- 拦截范围不同:过滤器 Filter 会拦截所有的资源,而 Interceptor 只会拦截 Spring 环境中的资源。
-
使用 Interceptor 实现登录校验的流程:
- 获取请求 URL。
- 判断请求 URL 中是否包含 login,如果包含,说明是登录操作,放行。
- 获取请求头中的令牌(token)。
- 判断令牌是否存在,如果不存在,返回错误结果(未登录)。
- 解析 token,如果解析失败,返回错误结果(未登录)。
- 放行。
对象转 JSON
- 阿里巴巴 FastJSON
-
添加 Maven 坐标
<dependency><groupId>com.alibaba</groupId><artifactId>fastjson</artifactId><version>2.0.52</version> </dependency> -
通过
JSONObject.toJSONString()方法将统一响应结果 Result 对象转为 JSON 字符串 -
常见问题
-
自动忽略了值为 null 的字段
添加
SerializerFeature.*WriteMapNullValue*JSONObject.toJSONString(Result.unauthorized(), SerializerFeature.WriteMapNullValue); -
转化后的 JSON 字符串字段顺序发生变化
- 在 Result 类中使用 @JSONField(ordinal = ?) 注解指定顺序
public class Result {@JSONField(ordinal = 1)private Integer status;@JSONField(ordinal = 2)private String msg;@JSONField(ordinal = 3)private Object data; }
-
-
异常处理
-
异常处理方案
- 方案一:在 Controller 的方法中进行 try…catch 处理(代码臃肿,不推荐)
- 方案二:全局异常处理器(简单、优雅,推荐)
-
全局异常处理器
- 注解:
- @RestControllerAdvice
- @ExceptionHandler
- 示例:
@Slf4j @RestControllerAdvice public class GlobalExceptionHandler {@ExceptionHandler(NoResourceFoundException.class)public Result noResourceFoundException(NoResourceFoundException e) {log.error(e.getMessage(), e);return Result.resourceNotFound();}@ExceptionHandler(value = Exception.class)public Result exception(Exception e) {log.error(e.getMessage(), e);return Result.error("操作异常");} } - 注解: