当前位置: 首页 > news >正文

Jwt令牌、过滤器、拦截器快速入门

news 2025/11/8 8:47:21

一、Jwt令牌

JWT全称 JSON Web Token (官网:https://jwt.io/),定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。

简洁:是指jwt就是一个简单的字符串。可以在请求参数或者是请求头当中直接传递。

自包含:指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。如:可以直接在jwt令牌中存储用户的相关信息。

简单来讲,jwt就是将原始的json数据格式进行了安全的封装,这样就可以直接基于jwt在通信双方安全的进行信息传输了。

JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割)

第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{"alg":"HS256","type":"JWT"}

第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{"id":"1","username":"Tom"}

第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。

令牌的起步依赖

<!-- JWT依赖-->
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version>
</dependency>

令牌的工具类(生成令牌,校验令牌)

package com.codeblossom.nero.util;import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;import java.util.Date;
import java.util.Map;public class JwtUtils {private static String signKey = "SVRIRUlNQQ==";private static Long expire = 43200000L;/*** 生成JWT令牌* @return*/public static String generateJwt(Map<String,Object> claims){String jwt = Jwts.builder().addClaims(claims).signWith(SignatureAlgorithm.HS256, signKey).setExpiration(new Date(System.currentTimeMillis() + expire)).compact();return jwt;}/*** 解析JWT令牌* @param jwt JWT令牌* @return JWT第二部分负载 payload 中存储的内容*/public static Claims parseJWT(String jwt){Claims claims = Jwts.parser().setSigningKey(signKey).parseClaimsJws(jwt).getBody();return claims;}
}

创建时的指令对应意思:

Jwts.builder() - 创建JWT构建器
.addClaims(claims) - 添加自定义声明信息
.signWith(SignatureAlgorithm.HS256, signKey) - 使用HS256算法和密钥进行签名
.setExpiration(new Date(System.currentTimeMillis() + expire)) - 设置过期时间为当前时间加上预设的有效期(单位为毫秒,expire为提前定义好的值)
.compact() - 将所有信息压缩成最终的JWT字符串格式。

解析jwt令牌中如果令牌过期或是签名不对等会直接抛出相应的异常,返回的claims中包含一开始存储的信息,例如登录时存的username和password可以在claims通过get("键名")的方法获取。

前面提到设置登录功能,登录后获取令牌,每次访问敏感内容就需要校验令牌检测登录状态才能决定是否获得数据,那么如何在前端发起请求后校验前端是否含有令牌呢,接下来就有两个方法,拦截器Interceptor和过滤器Filter。

二、过滤器Filter

Filter表示过滤器,是 JavaWeb三大组件(Servlet、Filter、Listener)之一。过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。

使用了过滤器之后,要想访问web服务器上的资源,必须先经过滤器,过滤器处理完毕之后,才可以访问对应的资源。过滤器一般完成一些通用的操作,比如:登录校验、统一编码处理、敏感字符处理等。

要使用过滤器,需要进行两步操作

第1步,定义过滤器 :1.定义一个类,实现 Filter 接口,并重写其所有方法。

第2步,配置过滤器:Filter类上加 @WebFilter 注解,配置拦截资源的路径。引导类上加 @ServletComponentScan 开启Servlet组件支持。

定义、配置过滤器

@WebFilter(urlPatterns = "/*") //配置过滤器要拦截的请求路径( /* 表示拦截浏览器的所有请求 )
public class DemoFilter implements Filter {//初始化方法, web服务器启动, 创建Filter实例时调用, 只调用一次public void init(FilterConfig filterConfig) throws ServletException {System.out.println("init ...");}//拦截到请求时,调用该方法,可以调用多次public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {System.out.println("拦截到了请求...");}//销毁方法, web服务器关闭时调用, 只调用一次public void destroy() {System.out.println("destroy ... ");}
}

然后再在启动类上加上@ServletComponentScan注解,即可使用过滤器。

在过滤器Filter中,如果不执行放行操作,将无法访问后面的资源。 放行操作:chain.doFilter(request, response);

登录校验过滤器示例

/*** 令牌校验过滤器*/
@Slf4j
@WebFilter(urlPatterns = "/*")
public class TokenFilter implements Filter {@Overridepublic void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException, ServletException {HttpServletRequest request = (HttpServletRequest) req;HttpServletResponse response = (HttpServletResponse) resp;//1. 获取请求url。String url = request.getRequestURL().toString();//2. 判断请求url中是否包含login,如果包含,说明是登录操作,放行。if(url.contains("login")){ //登录请求log.info("登录请求 , 直接放行");chain.doFilter(request, response);return;}//3. 获取请求头中的令牌(token)。String jwt = request.getHeader("token");//4. 判断令牌是否存在,如果不存在,返回错误结果(未登录)。if(!StringUtils.hasLength(jwt)){ //jwt为空log.info("获取到jwt令牌为空, 返回错误结果");response.setStatus(HttpStatus.SC_UNAUTHORIZED);return;}//5. 解析token,如果解析失败,返回错误结果(未登录)。try {JwtUtils.parseJWT(jwt);} catch (Exception e) {e.printStackTrace();log.info("解析令牌失败, 返回错误结果");response.setStatus(HttpStatus.SC_UNAUTHORIZED);return;}//6. 放行。log.info("令牌合法, 放行");chain.doFilter(request , response);}}

过滤器的执行流程

过滤器链

过滤器链指的是在一个web应用程序当中,可以配置多个过滤器,多个过滤器就形成了一个过滤器链。

例如当一个web服务端定义了两个过滤器,程序会依次执行第一个过滤器的放行逻辑,然后进入第二个过滤器,然后执行第二个过滤器的放行逻辑,最后访问后端资源。

过滤器链上过滤器的执行顺序:注解配置的Filter,优先级是按照过滤器类名(字符串)的自然排序。 比如:

AbcFilter

DemoFilter

对于这两个过滤器来说,AbcFilter 会先执行,DemoFilter会后执行。

三、拦截器Interceptor

拦截器是一种动态拦截方法调用的机制,类似于过滤器。

拦截器是Spring框架中提供的,用来动态拦截控制器方法的执行。

拦截器的作用:拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码。

若是同时存在过滤器和拦截器,则是先通过过滤器的校验再进入拦截器,然后访问代码,过滤器就类似于上图的蓝圈。

自定义拦截器

//自定义拦截器
@Component
public class DemoInterceptor implements HandlerInterceptor {//目标资源方法执行前执行。 返回true:放行    返回false:不放行@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {System.out.println("preHandle .... ");return true; //true表示放行}//目标资源方法执行后执行@Overridepublic void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println("postHandle ... ");}//视图渲染完毕后执行,最后执行@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion .... ");}
}

preHandle方法:目标资源方法执行前执行。 返回true:放行 返回false:不放行(即访问web服务器之前,决定是否方向)

postHandle方法:目标资源方法执行后执行(访问服务器方法之后,再次经过拦截器,执行此方法,然后经过过滤器,然后返回前端)

afterCompletion方法:视图渲染完毕后执行,最后执行

注册拦截器(拦截路径的注册等)

@Configuration  
public class WebConfig implements WebMvcConfigurer {//自定义的拦截器对象@Autowiredprivate DemoInterceptor demoInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {//注册自定义拦截器对象registry.addInterceptor(demoInterceptor).addPathPatterns("/**");//设置拦截器拦截的请求路径( /** 表示拦截所有请求)}
}

拦截器的登录校验示例

@Slf4j
@Component
public class TokenInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//1. 获取请求url。String url = request.getRequestURL().toString();//2. 判断请求url中是否包含login,如果包含,说明是登录操作,放行。if(url.contains("login")){ //登录请求log.info("登录请求 , 直接放行");return true;}//3. 获取请求头中的令牌(token)。String jwt = request.getHeader("token");//4. 判断令牌是否存在,如果不存在,返回错误结果(未登录)。if(!StringUtils.hasLength(jwt)){ //jwt为空log.info("获取到jwt令牌为空, 返回错误结果");response.setStatus(HttpStatus.SC_UNAUTHORIZED);return false;}//5. 解析token,如果解析失败,返回错误结果(未登录)。try {JwtUtils.parseJWT(jwt);} catch (Exception e) {e.printStackTrace();log.info("解析令牌失败, 返回错误结果");response.setStatus(HttpStatus.SC_UNAUTHORIZED);return false;}//6. 放行。log.info("令牌合法, 放行");return true;}}

注册

@Configuration  
public class WebConfig implements WebMvcConfigurer {//拦截器对象@Autowiredprivate TokenInterceptor tokenInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {//注册自定义拦截器对象registry.addInterceptor(tokenInterceptor).addPathPatterns("/**");}
}

拦截器的registry还有excludePathPatterns("不拦截路径")这个方法,可以添加不拦截的路径,例如

registry.addInterceptor(demoInterceptor).addPathPatterns("/**")//设置拦截器拦截的请求路径( /** 表示拦截所有请求).excludePathPatterns("/login");//设置不拦截的请求路径

http://www.dtcms.com/a/581585.html

相关文章:

  • 做画找图网站网站建设的公司合肥
  • h5支付宝支付 - 支付宝文档中心1.登录 支付宝开放平台 创建 网页/移动应用
  • Java八股—MySQL
  • 网站显示目录北京网站建设华大
  • Go中的泛型编程和reflect(反射)
  • Go Ebiten小游戏开发:扫雷
  • TransformerLLM(大语言模型)的核心底层架构
  • 网站设计的毕业设计百度建设网站
  • 【GitHub热门项目】(2025-11-07)
  • Vue Router (动态路由匹配)
  • python+django/flask的在线学习系统的设计与实现 积分兑换礼物
  • 昇腾Atlas 200I DK A2 C++交叉编译和远程调试教程
  • 2025_11_7_刷题
  • 邓州微网站建设毕业季网站如何做网页
  • 网站是用什么软件做的吗网站设置访问权限
  • AWS + 苹果CMS:影视站建站的高效组合方案
  • 【动手学深度学习】
  • H2 vs SQLite 全面对比
  • python+django/flask的城市供水管网爆管预警系统-数据可视化
  • SQLite 方言解决方案
  • Jenkins + Docker 打造自动化持续部署流水线
  • 利用DeepSeek改写SQLite版本的二进制位数独求解SQL
  • python+django/flask的校园活动中心场地预约系统
  • 建设网站公司哪好html5手机网站开发环境
  • Python高效实现Word转HTML:从基础到进阶的全流程方案
  • 智能驱动,安全可控:EasyGBS平台如何构建企业生产智能监控新模式
  • 建设部网站官网证书查询做网站建设最好学什么
  • 【深度解析】Performance API 与 UKM:从开发者工具到浏览器遥测,全面解锁 Web 性能优化格局
  • 前端项目打包后报错 Uncaught ReferenceError: process is not defined
  • 基于Python的历届奥运会数据可视化分析系统-django+spider