目录

登录功能

登录校验(重点)

异常处理

登录功能

controller:

service接口:

接口实现类:

mapper:

问题:在未登录情况下，我们也可以直接访问部门管理、员工管理等功能。

登录校验(重点)

登录标记(会话技术)

用户登录成功之后，每一次请求中，都可以获取到该标记。

统一拦截

过滤器Filter

拦截器Interceptor

会话技术

会话：用户打开浏览器，访问web服务器的资源，会话建立，直到有一方断开连接，会话结束。在一次会话中可以包含多次请求和响应。

会话跟踪：一种维护浏览器状态的方法，服务器需要识别多次请求是否来自于同一浏览器，以便在同一次会话的多次请求间共享数据。

会话跟踪方案：

• 客户端会话跟踪技术：Cookie

• 服务端会话跟踪技术：Session

• 令牌技术

会话跟踪方案对比

方案一:

优点：HTTP协议中支持的技术

缺点：

 移动端APP无法使用Cookie

 不安全，用户可以自己禁用Cookie

 Cookie不能跨域

方案二:

优点：存储在服务端，安全

缺点：

 服务器集群环境下无法直接使用Session

 Cookie的缺点

方案三:

优点：

 支持PC端、移动端

 解决集群环境下的认证问题

 减轻服务器端存储压力

缺点：需要自己实现

JWT令牌

全称：JSON  Web  Token （https://jwt.io/）

定义了一种简洁的、自包含的格式，用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在，这些信息是可靠的。

组成:

第一部分: Header(头)，记录令牌类型、签名算法等。例如:{"alg":"HS256"," type" :" JWT"}

第二部分: Payload(有效载荷)，携带一些自定义信息、默认信息等。例如: {"id":"1", "username" :"Tom"}

第三部分:Signature(签名)，防止Token被篡改、确保安全性。将header、payload，并加入指定秘钥，通过指定签名算法计算而来。

场景：登录认证。

登录成功后，生成令牌

后续每个请求，都要携带JWT令牌，系统在每次请求处理之前，先校验令牌，通过后，再处理。

pom.xml:

Test:

注意事项:

JWT校验时使用的签名秘钥，必须和生成JWT令牌时使用的秘钥是配套的。

如果JWT令牌解析校验时报错，则说明 JWT令牌被篡改 或 失效了，令牌非法。

登录-生成令牌

思路:

令牌生成：登录成功后，生成JWT令牌，并返回给前端。

令牌校验：在请求到达服务端后，对令牌进行统一拦截、校验。

步骤:

引入JWT令牌操作工具类。

登录完成后，调用工具类生成JWT令牌，并返回。

过滤器Filter

快速入门

详解

登录校验-Filter

概念：Filter 过滤器，是 JavaWeb 三大组件(Servlet、Filter、Listener)之一。

过滤器可以把对资源的请求拦截下来，从而实现一些特殊的功能。

过滤器一般完成一些通用的操作，比如：登录校验、统一编码处理、敏感字符处理等。

Filter快速入门

1.定义Filter：定义一个类，实现 Filter 接口，并重写其所有方法。

2.配置Filter：Filter类上加 @WebFilter 注解，配置拦截资源的路径。引导类上加 @ServletComponentScan 开启Servlet组件支

小结:

定义：实现Filter接口

配置：@WebFilter(urlPatterns="/*")

@ServletComponentScan

Filter详解(执行流程、拦截路径、过滤器链)

Filter执行流程:

疑问:

1.放行后访问对应资源，资源访问完成后，还会回到Filter中吗？会

2.如果回到Filter中，是重新执行还是执行放行后的逻辑呢？执行放行后逻辑

Filter拦截路径

Filter 可以根据需求，配置不同的拦截资源路径：

过滤器链

介绍：一个web应用中，可以配置多个过滤器，这多个过滤器就形成了一个过滤器链。

顺序:注解配置的Filter，优先级是按照过滤器类名（字符串）的自然排序。

小结:

1.执行流程

请求 --> 放行前逻辑 --> 放行 --> 资源 --> 放行后逻辑

2.拦截路径

/login

/depts/*

/*

3.过滤器链

一个web应用中，配置了多个过滤器，就形成了一个过滤器链

登录校验-Filter

思考:

1.所有的请求，拦截到了之后，都需要校验令牌吗？

有一个例外，登录请求

2.拦截到请求后，什么情况下才可以放行，执行业务操作？

有令牌，且令牌校验通过（合法）；否则都返回未登录错误结果

登录校验Filter-流程

步骤:

1. 获取请求url。

2. 判断请求url中是否包含login，如果包含，说明是登录操作，放行。

3. 获取请求头中的令牌（token）。

4. 判断令牌是否存在，如果不存在，返回错误结果（未登录）。

5. 解析token，如果解析失败，返回错误结果（未登录）。

6. 放行。

拦截器Interceptor

简介 & 快速入门

详解

登录校验- Interceptor

概念：是一种动态拦截方法调用的机制，类似于过滤器。Spring框架中提供的，用来动态拦截控制器方法的执行。

作用：拦截请求，在指定的方法调用前后，根据业务需要执行预先设定的代码。

Interceptor 快速入门

1.定义拦截器，实现HandlerInterceptor接口，并重写其所有方法。

2.注册拦截器

详解(拦截路径、执行流程)

拦截器可以根据需求，配置不同的拦截路径：

Filter(过滤器) 与 Interceptor(拦截器)

接口规范不同：过滤器需要实现Filter接口，而拦截器需要实现HandlerInterceptor接口。

拦截范围不同：过滤器Filter会拦截所有的资源，而Interceptor只会拦截Spring环境中的资源。

登录校验Interceptor

步骤:

1. 获取请求url。

2. 判断请求url中是否包含login，如果包含，说明是登录操作，放行。

3. 获取请求头中的令牌（token）。

4. 判断令牌是否存在，如果不存在，返回错误结果（未登录）。

5. 解析token，如果解析失败，返回错误结果（未登录）。

6. 放行。

登录校验中的过滤器和拦截器用一种就可以了,用过滤器可以,用拦截器也可以。

异常处理

程序开发过程中不可避免的会遇到异常现象

出现异常，该如何处理?

方案一：在Controller的方法中进行try…catch处理(代码臃肿，不推荐)

方案二：全局异常处理器(简单、优雅，推荐)

@RestControllerAdvice = @ControllerAdvice + @ResponseBody