当前位置：首页 > news >正文

JWT令牌、过滤器Filter、拦截器Interceptor

news 文章来源：https://blog.csdn.net/m0_46702681/article/details/139689888 2024/11/2 18:20:13

JWT令牌

简介

JWT生成

解析JWT

登陆后下发令牌

过滤器(Filter)

Filter快速入门

Filter拦截路径

过滤器链

登录校验Filter-流程

拦截器(Interceptor)

Interceptor 快速入门

拦截路径

登录校验流程

JWT令牌

简介

全称:JSON Web Token(https://iwt.io/)
定义了一种简洁的、自包含的格式，用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在，这些信息是可靠的。

组成:
第一部分:Header(头)，记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}
第二部分:Payload(有效载荷)，携带一些自定义信息、默认信息等。例如 {"id":"1"，"username":"Tom"}
第三部分:Signature(签名)，防止Token被篡改、确保安全性。将header、pavload，并加入指定秘钥，通过指定签名算法计算而来。

场景:登录认证，
登录成功后，生成令牌
后续每个请求，都要携带JWT令牌，系统在每次请求处理之前，先校验令牌，通过后，再处理

JWT生成

在pom.xml 导入依赖

<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version></dependency>

测试

//生成JWT@Testpublic  void testGenJwt(){Map<String,Object>claims=new HashMap<>();claims.put("id",1);claims.put("name","Tom");String jwt = Jwts.builder().setClaims(claims)//自定义内容.signWith(SignatureAlgorithm.HS256, "itking")//签名算法.setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))//设置有效期为一个小时.compact();System.out.println(jwt);}

返回生成的JWT令牌

解析JWT

 @Testpublic void testParseJwt(){Claims claims = Jwts.parser().setSigningKey("itking")//指定签名密钥.parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiVG9tIiwiaWQiOjEsImV4cCI6MTcxODM2ODM3N30.iRwBkPs6CGuUrZpz1YBjh0QubkpEnY6ArxddkVlMclI")//解析令牌.getBody();System.out.println(claims);}

JWT校验时使用的签名秘钥，必须和生成IWT令牌时使用的秘钥是配套的

如果JWT令牌解析校验时报错，则说明JWT令牌被篡改或失效了，令牌非法

登陆后下发令牌

令牌生成:登录成功后，生成JWT令牌，并返回给前端，
令牌校验:在请求到达服务端后，对令牌进行统一拦截、校验

需要附加一个工具类JwtUtils类

package com.example.Utils;import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.Map;public class JwtUtils {private static String signKey = "itking";private static Long expire = 43200000L;/*** 生成JWT令牌* @param claims JWT第二部分负载 payload 中存储的内容* @return*/public static String generateJwt(Map<String, Object> claims){String jwt = Jwts.builder().addClaims(claims).signWith(SignatureAlgorithm.HS256, signKey).setExpiration(new Date(System.currentTimeMillis() + expire)).compact();return jwt;}/*** 解析JWT令牌* @param jwt JWT令牌* @return JWT第二部分负载 payload 中存储的内容*/public static Claims parseJWT(String jwt){Claims claims = Jwts.parser().setSigningKey(signKey).parseClaimsJws(jwt).getBody();return claims;}
}

再更改一下LoginController

package com.example.Controller;import com.example.Pojo.Emp;
import com.example.Pojo.Result;
import com.example.Service.EmpService;
import com.example.Utils.JwtUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;import java.util.HashMap;
import java.util.Map;@RestController
public class LoginController {@Autowiredprivate EmpService empService;@PostMapping("/login")public Result login(@RequestBody Emp emp){Emp e= empService.login(emp);//登陆成功，生成令牌，下发令牌if(e!=null){Map<String, Object> claims=new HashMap<>();claims.put("id",e.getId());claims.put("name",e.getName());claims.put("username",e.getUsername());String jwt = JwtUtils.generateJwt(claims);return Result.success(jwt);}//登陆失败，返回错误信息return Result.error("用户名或密码错误");}
}

测试

过滤器(Filter)

概念:Filter 过滤器，是JavaWeb 三大组件(Servlet、Filter、Listener)之一

过滤器可以把对资源的请求拦截下来，从而实现一些特殊的功能。

过滤器一般完成一些通用的操作，比如:登录校验、统一编码处理、敏感字符处理等

Filter快速入门

定义Filter:定义一个类，实现 Filter接口，并重写其所有方法。
配置Filter: filter类上加 @Webfilter 注解，配置拦截资源的路径。引导类上加 @ServletComponentScan 开启Servlet组件支持

初始化与销毁已经默认实现了

DemoFilter类

package com.example.Filter;import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;import java.io.IOException;@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter {//初始化方法，只调用一次@Overridepublic void init(FilterConfig filterConfig) throws ServletException {System.out.println("init初始化方法执行了");}//拦截到请求之后调用，会调用多次@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {System.out.println("拦截到请求");//放行filterChain.doFilter(servletRequest,servletResponse);}//销毁方法，只调用一次@Overridepublic void destroy() {System.out.println("destroy销毁方法执行了");}
}

还要在启动类加上@ServletComponentScan

package com.example;import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;@ServletComponentScan//开启了对servlet组件的支持
@SpringBootApplication
public class TliasWebManagementApplication {public static void main(String[] args) {SpringApplication.run(TliasWebManagementApplication.class, args);}}

放行后访问对应资源，资源访问完成后，还会回到Filter中吗?

会

如果回到Filter中，是重新执行还是执行放行后的逻辑呢?

执行放行后逻辑

Filter拦截路径

Filter 可以根据需求，配置不同的拦截资源路径

拦截路径	urlPatterns值	含义
拦截具体路径	/login	只有访问 /login 路径时，才会被拦截
目录拦截	/emps/*	访问/emps下的所有资源，都会被拦截
拦截所有路径	/*	访问所有资源，都会被拦截

过滤器链

介绍:一个web应用中，可以配置多个过滤器，这多个过滤器就形成了一个过滤器链

顺序:注解配置的Filter，优先级是按照过滤器类名(字符串)的自然排序。

所有的请求，拦截到了之后，都需要校验令牌吗?

有一个例外，登录请求

拦截到请求后，什么情况下才可以放行，执行业务操作?

有令牌，且令牌校验通过(合法);否则都返回未登录错误结果

登录校验Filter-流程

获取请求url。
判断请求url中是否包含login，如果包含，说明是登录操作，放行
获取请求头中的令牌(token)
判断令牌是否存在，如果不存在，返回错误结果(未登录)
解析token，如果解析失败，返回错误结果(未登录)
放行。

package com.example.Filter;import com.alibaba.fastjson.JSONObject;
import com.example.Pojo.Result;
import com.example.Utils.JwtUtils;
import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;import java.io.IOException;@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginFilter implements Filter {@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {HttpServletRequest req= (HttpServletRequest) servletRequest;HttpServletResponse resp= (HttpServletResponse) servletResponse;//1获取请求url。String url=req.getRequestURI().toString();log.info("请求的url：{}",url);//2判断请求url中是否包含login，如果包含，说明是登录操作，放行if(url.contains("login")){log.info("登陆操作，放行");filterChain.doFilter(servletRequest,servletResponse);return;}//3获取请求头中的令牌(token)String jwt=req.getHeader("token");//4判断令牌是否存在，如果不存在，返回错误结果(未登录)if(!StringUtils.hasLength(jwt)){log.info("请求头token为空，返回未登陆信息");Result error = Result.error("NOT_LOGIN");String notLogin = JSONObject.toJSONString(error);resp.getWriter().write(notLogin);return;}//5解析token，如果解析失败，返回错误结果(未登录)try {JwtUtils.parseJWT(jwt);} catch (Exception e) {e.printStackTrace();log.info("解析令牌失败，返回未登录信息");Result error = Result.error("NOT_LOGIN");String notLogin = JSONObject.toJSONString(error);resp.getWriter().write(notLogin);return;}//6放行log.info("令牌合法,放行");filterChain.doFilter(servletRequest,servletResponse);}
}

拦截器(Interceptor)

概念:是一种动态拦截方法调用的机制，类似于过滤器。Spring框架中提供的，用来动态拦截控制器方法的执行

作用:拦截请求，在指定的方法调用前后，根据业务需要执行预先设定的代码。

Interceptor 快速入门

1.定义拦截器，实现HandlerInterceptor接口，并重写其所有方法
2.注册拦截器

先创建一个包+类

然后实现这个接口

再按ctrl+o重写里面的方法

package com.example.Interceptor;import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;@Component
public class LoginCheckInterceptor implements HandlerInterceptor {@Override//目标资源方法运行前运行，返回true:放行，放回false，不放行public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {System.out.println("preHandle运行了");return true;}@Override//标资源方法运行后运行public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println("postHandle运行了");}@Override//视图渲染完毕后运行，最后运行public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion运行了");}
}

再写个配置类

package com.example.Config;import com.example.Interceptor.LoginCheckInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration//配置类
public class WebConfig implements WebMvcConfigurer {@Autowiredprivate LoginCheckInterceptor loginCheckInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**");}
}

拦截路径

拦截路径	含义	举例
/*	一级路径	能匹配/depts，/emps，/login，不能匹配/depts/1
/**	任意级路径	能匹配/depts，/depts/1，/depts/1/2
/depts/*	/depts下的一级路径	能匹配/depts/1，不能匹配/depts/1/2，/depts
/depts/**	/depts下的任意级路径	能匹配/depts，/depts/1，/depts/1/2，不能匹配/emps/1

Filter 与Interceptor

接口规范不同:过滤器需要实现Filter接口，而拦截器需要实现HandlerInterceptor接口。
拦截范围不同:过滤器Filter会拦截所有的资源，而Interceptor只会拦截Spring环境中的资源。

登录校验流程

这个与Filter差不多

package com.example.Interceptor;import com.alibaba.fastjson.JSONObject;
import com.example.Pojo.Result;
import com.example.Utils.JwtUtils;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;@Slf4j
@Component
public class LoginCheckInterceptor implements HandlerInterceptor {@Override//目标资源方法运行前运行，返回true:放行，放回false，不放行public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String url=request.getRequestURI().toString();log.info("请求的url：{}",url);//2判断请求url中是否包含login，如果包含，说明是登录操作，放行if(url.contains("login")){log.info("登陆操作，放行");return true;}//3获取请求头中的令牌(token)String jwt=request.getHeader("token");//4判断令牌是否存在，如果不存在，返回错误结果(未登录)if(!StringUtils.hasLength(jwt)){log.info("请求头token为空，返回未登陆信息");Result error = Result.error("NOT_LOGIN");String notLogin = JSONObject.toJSONString(error);response.getWriter().write(notLogin);return false;}//5解析token，如果解析失败，返回错误结果(未登录)try {JwtUtils.parseJWT(jwt);} catch (Exception e) {e.printStackTrace();log.info("解析令牌失败，返回未登录信息");Result error = Result.error("NOT_LOGIN");String notLogin = JSONObject.toJSONString(error);response.getWriter().write(notLogin);return false;}//6放行log.info("令牌合法,放行");return true;}@Override//标资源方法运行后运行public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println("postHandle运行了");}@Override//视图渲染完毕后运行，最后运行public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion运行了");}
}

努力遇见更好的自己！！！

JWT令牌

简介

JWT生成

解析JWT

登陆后下发令牌

过滤器(Filter)

Filter快速入门

Filter拦截路径

过滤器链

登录校验Filter-流程

拦截器(Interceptor)

Interceptor 快速入门

拦截路径

登录校验流程

相关文章：