1. Token基本了解：【详细阐述Token的来源】
2. 公钥私钥基本了解：【理解公钥】

一、Cookie 经典介绍以及使用案例

Cookie的介绍

Cookie的使用案例

@Controller
public class GoodsController {@RequestMapping("/Login")public String Login(@RequestParam("phone")String phone, @RequestParam("pass")String pass, HttpServletRequest request, HttpServletResponse response){boolean flag = false;Cookie[] cookies = request.getCookies();// 如果Cookie存在，则从Cookie中调取信息if(cookies != null) {for (Cookie cookie : cookies) {if (cookie.getName().equals(phone)) {System.out.println("cookie的时效: " + cookie.getMaxAge());System.out.println("cookie的Comment: " + cookie.getComment());System.out.println("cookie的Domain: " + cookie.getDomain());System.out.println("cookie的Name: " + cookie.getName());System.out.println("cookie的Path: " + cookie.getPath());System.out.println("cookie的Value: " + cookie.getValue());System.out.println("cookie的Secure: " + cookie.getSecure());System.out.println("cookie的Version: " + cookie.getVersion());flag = true;}}// 如果没有Cookie，则新建一个Cookie} if(flag == false){LocalDateTime now = LocalDateTime.now();DateTimeFormatter dateTimeFormatter = DateTimeFormatter.ofPattern("yyyy-MM-dd_HH:mm:ss");String format = LocalDateTime.now().format(dateTimeFormatter);Cookie cookie = new Cookie(phone, pass + "创建的时间是:_" + format);cookie.setMaxAge(10 * 60);// 设置路径：cookie.setPath(“/项目名/路径”),只有访问“/项目名/路径”才会携带 Cookiecookie.setPath("/");response.addCookie(cookie);}return "Success";}
}

二、Session 经典介绍以及拦截登录案例

Session的介绍

Session的使用案例
这个Servlet就是我们的主页面

@WebServlet("/mainPage")
public class MainServlet extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {//设置响应的MIME类型和编码response.setContentType("text/html;charset=utf-8");//得到sessionHttpSession session = request.getSession();//取出用户名Object username = session.getAttribute("username");PrintWriter writer = response.getWriter();//判断用户名是否存在if (username != null){//在一天内登录过，无需再次登录writer.write("<h1>用户："+username+" 登录成功</h1>");}else {//没有登录，或者登录间隔大于1天。重定向到登陆界面response.sendRedirect(request.getContextPath()+"/login.html");}}@Overrideprotected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {this.doGet(request, response);}
}

如果没有登录过，就会跳转到login.html页面

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>login</title><base href="/cs/">
</head>
<body>
<form action="checkLogin" method="post">用户名：<input type="text" name="username" /><br/>密　码：<input type="password" name="password" /><br/><input type="submit" value="登录">
</form>
</body>
</html>

执行checkLogin业务逻辑

@WebServlet("/checkLogin")
public class CheckServlet extends HttpServlet {@Overrideprotected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {//得到用户名和密码String username = request.getParameter("username");String password = request.getParameter("password");//判断用户名和密码是否为我们设置的密码if (username.equals("tom") && password.equals("tom123")){//得到session/** request.getSession()：浏览器如果没有带sessionID，该方法就会直接创建一个sessionID*	并在响应结束后返回sessionID给浏览器*/HttpSession session = request.getSession();//设置最长访问间隔时间session.setMaxInactiveInterval(60*60*24);//将用户名存入sessionsession.setAttribute("username",username);//重定向到主页面response.sendRedirect(request.getContextPath()+"/mainPage");}else {//设置MIME类型和编码response.setContentType("text/html;charset=utf-8");//写回提示信息PrintWriter writer = response.getWriter();writer.write("<h1>账号或密码错误</h1>");writer.write("<h3><a href='"+request.getContextPath()+"/login.html'>点击重新登录</a></h3>");}}@Overrideprotected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {this.doGet(request, response);}
}

第一次来访问主界面@WebServlet("/mainPage")， 发现服务器发现我们没有登录，直接重定向到登录界面。

下面我们来登录一下，输入我们设置的用户名和密码，分别是tom和tom123。

我们登录成功了，那么现在我们关闭游览器，然后重新打开，并且直接访问主界面，看能否直接访问。我们发现登录成功了，并没有重定向，因为我们已经登录过了嘛，一天之内都不需要重新登陆。我们的功能就实现了。

三、Token + MySQL 的基本介绍及其基本使用

传统的token是某个用户登陆之后，服务器返回一个token给用户保存，这个token可能是随机几个字母的组合，并且服务器保留同一份token(比如用MySQL、Redis存储token)

当用户对其他的接口访问时，必须携带这个token，接着服务器判断这个token是否存在于MySQL中，来判断用户是否已经登陆或者是否有相应的权限

Token在MySQL数据库中存储
浏览器携带Token发起请求，服务器将用户Token与Token数据库对比，从而判断用户是否登录了。

package com.cm.entity; @Data
public class JsUser implements Serializable {private static final long serialVersionUID = 5332542385182145442L;private String uuid;private String userName;private String password;private Integer age;private String sex;private String city;
}

package com.cm.entity;@Data
public class Token implements Serializable {private static final long serialVersionUID = 2919875280591926465L;private String uuid;private String token;@DateTimeFormat(pattern = "yyyy-MM-dd HH:mm:ss")private Date createTime;
}

四、JWT 基本介绍及其基本讲解

JWT是由三段信息构成：

服务器生成JWT

1. token的第一段字符串：由Header部分数据通过base64加密算法得到（可逆）
2. token的第二段字符串：由Payload部分数据通过base64加密算法得到（可逆）
3. token的第三段字符串：将header密文、Payload密文、密钥scret拼接起来，通过HS256加密（不可逆），得到的密文再进行一次base64加密

对应Java代码如下

 public static String generateToken(Map<String,Object> dataMap){Date date = new Date();Date expireTime = new Date(date.getTime() + expire * 1000);String token = Jwts.builder().setHeaderParam("typ", "JWT")	// header数据部分.setClaims(dataMap)				// Payload数据部分.setIssuedAt(date)				// 当前时间.setExpiration(expireTime)		// 过期时间.signWith(SignatureAlgorithm.HS256, secret) //秘钥数据部分.compact();return token;

服务器生成Token并添加到浏览器的Cookie中

public class UserServiceImpl implements UserService{@Autowiredprivate UserMapper userMapper;@AutowiredTokenUtil tokenUtil;public R loginCheck(User user, HttpServletResponse response){User user2 = userMapper.selectByName(user.getUsername());if(user2 == null){return R.error().message("该用户不存在！");}if(!user2.getPassword().equals(user.getPassword())){return R.error().message("密码错误！");}// 获取tokenString token = tokenUtil.generateToken(user2);// 将token放在Cookie中Cookie cookie = new Cookie("token", token);// 将token的Cookie保存到浏览器中response.addCookie(cookie);}	
}

服务器解析浏览器发来的Token

1. 服务器获取Token，并将Token切割成三部分
2. 对第二段字符串1进行base64解密，检测token是否超时
3. 对第一、二段字符串拼接，再次进行HS256加密，得到密文字符串signature
4. 对比服务器生成的signature和浏览器发来signature，如果相同，那么就是已经登录。

对应的Java代码

	/*** 验证token* @return  token正确返回对象，token不正确返回null*/public static Claims getClaimByToken(String token){try {return Jwts.parser().setSigningKey(secret)  //获取秘钥.parseClaimsJws(token)	//解析验证token.getBody();}catch (Exception e){log.info("token验证失败",e);return  null;}}

JWT生成Token常用工具类

package com.hhk.server.config;import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;import java.util.Date;
import java.util.HashMap;
import java.util.Map;/*** JwtToken工具类*/
//别忘记要@Component注解
@Component
public class JwtTokenUtil {//准备两常量private static final String CLAIM_KEY_USERNAME="sub";private static final String CLAIM_KEY_CREATED="created";//@Value可以从配置目录里面拿静态值@Value("${jwt.secret}")private String secret;@Value("${jwt.expiration}")private Long expiration;/*** 第一个工具类功能* 根据用户信息生成token* 用户信息根据Spring security框架中的UserDetail中拿*/public String generateToken(UserDetails userDetails){//准备一个空荷载claims，用于存储生成的key和value键值对（下面是存储生成token的时间和用户名）Map<String,Object> claims=new HashMap<>();claims.put(CLAIM_KEY_USERNAME,userDetails.getUsername());claims.put(CLAIM_KEY_CREATED,new Date());return generateToken(claims);}/*** 根据荷载生成token* 主要是通过Jwts把荷载、失效时间、以及密钥加密生成token* @param claims* @return*/private String generateToken(Map<String,Object> claims){//有了荷载claims就可以通过Jwts生成token,方式如下：return Jwts.builder().setClaims(claims)//把荷载存储到里面.setExpiration(generateExpirationDate())//设置失效时间.signWith(SignatureAlgorithm.ES512,secret) //签名.compact();}/*** 生成token失效时间* @return*/private Date generateExpirationDate() {//失效时间是当前系统的时间+我们在配置文件里定义的时间return new Date(System.currentTimeMillis()+expiration);}/*** 根据token获取用户名* @param token* @return*/public String getUserNameFormToken(String token){String username;//用户名是通过在token中获取到荷载claims，然后再从荷载中取用户名try{Claims claims=getClaimsFormToken(token);username=claims.getSubject();}catch (Exception e){username=null;}return username;}/*** 从token中获取荷载* 获取荷载是通过jwts，然后船两参数，分别是secret、和token* @param token* @return*/private Claims getClaimsFormToken(String token) {Claims claims=null;try{claims=Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();}catch (Exception e){e.printStackTrace();}return claims;}/*** 验证token是否有效* 主要通过token中的用户名和userDetail中的用户名是否一致，并且，token是否已经失效* @param token* @param userDetails* @return*/public boolean validateToken(String token,UserDetails userDetails){String username=getUserNameFormToken(token);return username.equals(userDetails.getUsername())&&!isTokenExpired(token);}/*** 判断token是否已经失效* @param token* @return*/private boolean isTokenExpired(String token) {//先获取之前设置的token的失效时间Date expireDate=getExpiredDateFormToken(token);return expireDate.before(new Date()); //判断下，当前时间是都已经在expireDate之后}/*** 根据token获取失效时间* 也是先从token中获取荷载* 然后从荷载中拿到到设置的失效时间* @param token* @return*/private Date getExpiredDateFormToken(String token) {Claims claims=getClaimsFormToken(token);return claims.getExpiration();}/*** 判断toke是否可以被刷新* 如果过期则可以刷新* @param token* @return*/public boolean canRefresh(String token){return !isTokenExpired(token);}/*** 刷新我们的token* @param token* @return*/public String refreshToken(String token){Claims claims=getClaimsFormToken(token);claims.put(CLAIM_KEY_CREATED,new Date());return generateToken(claims);}
}

五、SpringBoot 使用拦截器

定义拦截器只需要实现HandlerIntercepter

/**
* 自定义拦截器
*/
public class MyInterceptor implements HandlerInterceptor {private static final Logger logger =LoggerFactory.getLogger(MyInterceptor.class);@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponseresponse, Object handler) throws Exception {HandlerMethod handlerMethod = (HandlerMethod) handler;Method method = handlerMethod.getMethod();String methodName = method.getName();logger.info("====拦截到了方法：{}，在该方法执行之前执行====", methodName);// 返回true才会继续执行，返回false则取消当前请求return true;}@Overridepublic void postHandle(HttpServletRequest request, HttpServletResponseresponse, Object handler, ModelAndView modelAndView) throws Exception {logger.info("执行完方法之后进执行(Controller方法调用之后)，但是此时还没进行视图渲染");}@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponseresponse, Object handler, Exception ex) throws Exception {logger.info("整个请求都处理完咯，DispatcherServlet也渲染了对应的视图咯，此时我可以做一些清理的工作了");}
}

配置拦截器

@Configuration
public class MyInterceptorConfig extends WebMvcConfigurationSupport {// 将上面自定义好的拦截器添加进去。@Overrideprotected void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(new MyInterceptor()).addPathPatterns("/**");super.addInterceptors(registry);}// 用来指定静态资源不被拦截@Overrideprotected void addResourceHandlers(ResourceHandlerRegistry registry) {registry.addResourceHandler("/**").addResourceLocations("classpath:/static/");super.addResourceHandlers(registry);}
}

六、SpringBoot + Token 基础实践案例

首先引入JWTUtils 工具类

@Slf4j
public class JwtUtil {public static void main(String[] args) {System.out.println(generate(1, DateUtil.date().offset(DateField.DAY_OF_MONTH, 1)));System.out.println(getId("eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJKZXJzZXktU2VjdXJpdHktQmFzaWMiLCJzdWIiOiIxIiwiZXhwIjoxNjI2MDA4NzcyLCJpYXQiOjE2MjU5MjIzNzJ9.arWl-hagLZ8xlfacXwUs-iSTjH3UVGIK68lEYMOYNPI"));}private static final String KEY = "1234qwer";public static String generate(Integer id, Date expiration) {if (id == null) {throw new NullPointerException("null id is illegal");}if (expiration == null) {throw new NullPointerException("null expiration is illegal");}return Jwts.builder().setIssuer("Jersey-Security-Basic").setSubject(id.toString()).setExpiration(expiration).setIssuedAt(new Date()).signWith(SignatureAlgorithm.HS256, KEY).compact();}public static boolean verify(String token) {try {Jwts.parser().setSigningKey(KEY).parseClaimsJws(token.trim());return true;} catch (Exception e) {log.error("无效的token:{}", token);return false;}}public static Integer getId(String token) {if (verify(token)) {Jws<Claims> claimsJws = Jwts.parser().setSigningKey(KEY).parseClaimsJws(token);return Convert.toInt(claimsJws.getBody().getSubject(), null);}return null;}
}

新建登录拦截器

public class LoginInterceptor implements HandlerInterceptor {@AutowiredUserMapper userMapper;private static final Logger log = LoggerFactory.getLogger(LoginInterceptor.class);@Overridepublic boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse response, Object o) throws Exception {String token = httpServletRequest.getHeader("Authorization");if (token == null) {throw new RuntimeException("未携带token");}Integer id = JwtUtil.getId(token);User user = userMapper.selectOne(new QueryWrapper<User>().eq("id", id));if (user == null) {throw new RuntimeException("用户不存在，请重新登录");}// 验证tokenboolean verify = JwtUtil.verify(token);System.out.println(verify);if (verify) {return true;}return false;}//访问controller之后 访问视图之前被调用@Overridepublic void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {log.info("--------------处理请求完成后视图渲染之前的处理操作---------------");}//访问视图之后被调用@Overridepublic void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {log.info("---------------视图渲染之后的操作-------------------------0");}

配置拦截器

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {@Value("${savePath:/data/springboot-demo/file/}")private String savePath;@Overridepublic void addResourceHandlers(ResourceHandlerRegistry registry) {registry.addResourceHandler("/media/**").addResourceLocations("file:" + savePath).setCacheControl(CacheControl.maxAge(864000, TimeUnit.SECONDS).cachePublic());}/*** 拦截器* @param registry*/@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(loginInterceptor())//添加拦截器.excludePathPatterns("/user/loginByCode", "/user/loginByOpenId")//对应的不拦截的请求.addPathPatterns("/**"); //拦截所有请求}/*** 自己写的拦截器* @return*/@Beanpublic LoginInterceptor loginInterceptor() {return new LoginInterceptor();}
}

七、Spring Security Authentication 基本介绍及其使用案例

Authentication获取当前用户信息
Spring Security使用一个Authentication对象来描述当前用户的相关信息。SecurityContextHolder中持有的是当前用户的SecurityContext，而SecurityContext持有的是代表当前用户相关信息的Authentication的引用。

这个Authentication对象不需要我们自己去创建，在与系统交互的过程中，Spring Security会自动为我们创建相应的Authentication对象，然后赋值给当前的SecurityContext。

但是往往我们需要在程序中获取当前用户的相关信息，比如最常见的是获取当前登录用户的用户名。在程序的任何地方，通过如下方式我们可以获取到当前用户的用户名。

public String getCurrentUsername() {Object principal=SecurityContextHolder.getContext().getAuthentication().getPrincipal();if (principal instanceof UserDetails) return ((UserDetails) principal).getUsername();if (principal instanceof Principal) return ((Principal) principal).getName();return String.valueOf(principal);
}