Jwt、Filter、Interceptor

目录

JWT(Json Web Token)

jwt令牌

组成

应用场景

生成令牌 

 解析令牌

登录实例

Filter过滤器

Filter

Filter登录校验

Interceptor拦截器

Interceptor

拦截路径 

执行流程 

登录实例 

JWT(Json Web Token)

jwt令牌

• 定义了一种简洁的、自包含的格式，用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在，这些信息是可靠的。简单来说，就是将原本的 json 格式数据进行了安全封装。
• 简洁：就是一个简单的字符串，可以在请求参数或者请求头中直接传递 jwt 令牌
• 自包含：jwt可以根据自身需要存储自定义内容

组成

第一部分： Header（头），记录令牌类型、签名算法等。

• 例如：{"alg":"HS256","type":"JWT"}
• "alg":"HS256"就是签名算法，通过指定的签名算法对 jwt 令牌进行数字签名 。
• 生成 jwt 令牌时需要对json格式的字符串进行 base64 编码。
• base64：基于64个可打印字符（A-Z、a-z、0-9、+、/）来表示二进制数据的编码方式。

第二部分：Payload（有效载荷），携带一些自定义信息、默认信息等。

• 例如：{"id":"1","username":"Tom"}
• 同样将 json 数据进行base64编码
• =是补位的符号

第三部分：Signature（签名），防止Token被篡改、确保安全性。

• 通过指定的签名算法，融入Header部分和Payload部分，并且加入指定密钥，然后进行计算签名（通过计算得出，不进行base64编码）

三个部分之间用 . 分隔

应用场景

登录验证 

（1）登录成功后生成令牌

（2）后续每个请求都要携带JWT令牌，系统在每次请求处理之前，先校验令牌，通过后再处理。

生成令牌 

（1）引入依赖

<!--JWT令牌--><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version></dependency>

（2）生成令牌

    /*** 生成JWT*/@Testpublic void testGenJwt(){Map<String, Object> claims = new HashMap<>();claims.put("id",1);claims.put("name","tom");String jwt = Jwts.builder().signWith(SignatureAlgorithm.HS256, "itheima")//签名算法.setClaims(claims) //自定义内容(载荷).setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))//设置有效期为1h.compact();System.out.println(jwt);}

 解析令牌

• JWT校验时使用的签名密钥，必须和生成JWT令牌时使用的密钥是配套的。
• 如果解析JWT令牌时报错，说明令牌被篡改或者失效了，令牌非法。

    /*** 解析JWT*/@Testpublic void testParseJwt(){Claims claims = Jwts.parser().setSigningKey("itheima")//设置签名密钥.parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTcyNTk3NDc5NH0.ycp9CEK-Fs5fAiPfPox1iflXlTid2-8Om0YfgqfvWNo").getBody();//获得jwt令牌第二部分自定义内容System.out.println(claims);}

登录实例

工具类JwtUtils

package com.itheima.utils;import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.Map;public class JwtUtils {private static String signKey = "itheima";private static Long expire = 43200000L;/*** 生成JWT令牌* @param claims JWT第二部分负载 payload 中存储的内容* @return*/public static String generateJwt(Map<String, Object> claims){String jwt = Jwts.builder().addClaims(claims).signWith(SignatureAlgorithm.HS256, signKey).setExpiration(new Date(System.currentTimeMillis() + expire)).compact();return jwt;}/*** 解析JWT令牌* @param jwt JWT令牌* @return JWT第二部分负载 payload 中存储的内容*/public static Claims parseJWT(String jwt){Claims claims = Jwts.parser().setSigningKey(signKey).parseClaimsJws(jwt).getBody();return claims;}
}

登录功能：

package com.itheima.controller;import com.itheima.pojo.Emp;
import com.itheima.pojo.Result;
import com.itheima.service.EmpService;
import com.itheima.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;import java.util.HashMap;
import java.util.Map;@Slf4j
@RestController
public class LoginController {@Autowiredprivate EmpService empService;@PostMapping("/login")public Result login(@RequestBody Emp emp){log.info("用户登录：{}",emp);Emp e=empService.login(emp);//登录成功，生成令牌，并下发令牌if(e!=null){Map<String,Object> claims=new HashMap<>();claims.put("id",e.getId());claims.put("name",e.getName());claims.put("username",e.getUsername());String jwt = JwtUtils.generateJwt(claims);return Result.success(jwt);}//登录失败返回错误信息return Result.error("用户名或密码错误");}
}

Filter过滤器

Filter

• 概念：Java Web三大组件（Servlet，Filter 过滤器，Listener 监听器）之一。
• 过滤器可以把对资源的请求拦截下来，来实现一些特殊的功能。
• 过滤器一般完成一些通用操作，比如：登录校验、统一编码处理、敏感字符处理等。
• Filter是三大组件之一，并不是Springboot提供的功能，如果在Springboot中使用，需要在启动类中加入@ServletComponentScan注解

（1）定义Filter：定义一个类，实现Filter接口，并重写其所有方法。 

（2）配置Filter：Filter类加上@WebFilter注解，配置拦截资源的路径。引导类加上@ServletComponentScan开启Servlet组件支持

package com.itheima.filter;import org.apache.catalina.connector.Request;import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;@WebFilter(urlPatterns = "/*")//拦截所有请求
public class DemoFilter implements Filter {@Override//初始化，只执行一次public void init(FilterConfig filterConfig) throws ServletException {System.out.println("初始化方法");}@Override//拦截方法，执行多次public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {System.out.println("Demo 拦截方法..放行前");//放行filterChain.doFilter(servletRequest,servletResponse);System.out.println("Demo 放行后");}@Override//销毁，只执行一次public void destroy() {System.out.println("销毁方法");}
}

启动类加上@ServletComponentScan注解

package com.itheima;import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;@ServletComponentScan//开启对servlet组件支持
@SpringBootApplication
public class TliasWebManagementApplication {public static void main(String[] args) {SpringApplication.run(TliasWebManagementApplication.class, args);}}

Filter登录校验

<!--fastJSON--><dependency><groupId>com.alibaba</groupId><artifactId>fastjson</artifactId><version>1.2.76</version></dependency>

package com.itheima.filter;import com.alibaba.fastjson.JSONObject;
import com.itheima.pojo.Result;
import com.itheima.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;//@WebFilter(urlPatterns = "/*")
@Slf4j
public class LoginCheckFile implements Filter {@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {HttpServletRequest req=(HttpServletRequest) servletRequest;HttpServletResponse resp=(HttpServletResponse) servletResponse;//1.获取请求的urlString url=req.getRequestURL().toString();log.info("请求的url:{}",url);//2.判断请求的url中是否包含login,若包含，则放行if(url.contains("login")){log.info("登录操作，放行");filterChain.doFilter(servletRequest,servletResponse);return ;}//3.获取请求头中的令牌(token)String jwt=req.getHeader("token");//4.判断令牌是否存在，若不存在，返回错误结果（未登录）if(!StringUtils.hasLength(jwt)){log.info("请求头token为空，返回未登录的信息");Result error = Result.error("NOT_LOGIN");//手动转换  对象--json----->阿里巴巴fastJSON（在Controller中@RestController可以自动将方法返回值转化为json,在Filter中需要手动转换）String notLogin= JSONObject.toJSONString(error);resp.getWriter().write(notLogin);//响应给浏览器return ;}//5.解析token，解析失败，返回错误结果（未登录）try {JwtUtils.parseJWT(jwt);}catch (Exception e){e.printStackTrace();log.info("解析令牌失败，返回未登录的错误信息");Result error = Result.error("NOT_LOGIN");//手动转换  对象--json----->阿里巴巴fastJSON（在Controller中@RestController可以自动将方法返回值转化为json,在Filter中需要手动转换）String notLogin= JSONObject.toJSONString(error);resp.getWriter().write(notLogin);//响应给浏览器return ;}//6.放行log.info("令牌合法");filterChain.doFilter(servletRequest,servletResponse);}
}

Interceptor拦截器

Interceptor

• 概念：拦截器是一种动态拦截方法调用的机制，类似于过滤器。Spring框架中提供的，用来动态拦截控制器方法的执行。
• 作用：拦截请求，在指定的方法调用前后，根据业务需要执行预先设定的代码。

拦截路径 

执行流程 

登录实例 

定义拦截器，实现 HandlerInterceptor接口，并重写其所有方法。

package com.itheima.interceptor;import com.alibaba.fastjson.JSONObject;
import com.itheima.pojo.Result;
import com.itheima.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;@Component
@Slf4j
public class LoginCheckInterceptor implements HandlerInterceptor {@Override//目标资源方法运行前运行，返回true:放行，返回false:不放行public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {System.out.println("preHandle...");//1.获取请求的urlString url=request.getRequestURL().toString();log.info("请求的url:{}",url);//2.判断请求的url中是否包含login,若包含，则放行if(url.contains("login")){log.info("登录操作，放行");return true;}//3.获取请求头中的令牌(token)String jwt=request.getHeader("token");//4.判断令牌是否存在，若不存在，返回错误结果（未登录）if(!StringUtils.hasLength(jwt)){log.info("请求头token为空，返回未登录的信息");Result error = Result.error("NOT_LOGIN");//手动转换  对象--json----->阿里巴巴fastJSONString notLogin= JSONObject.toJSONString(error);response.getWriter().write(notLogin);return false;}//5.解析token，解析失败，返回错误结果（未登录）try {JwtUtils.parseJWT(jwt);}catch (Exception e){e.printStackTrace();log.info("解析令牌失败，返回未登录的错误信息");Result error = Result.error("NOT_LOGIN");//手动转换  对象--json----->阿里巴巴fastJSONString notLogin= JSONObject.toJSONString(error);response.getWriter().write(notLogin);return false;}//6.放行log.info("令牌合法");return true;}@Override//目标资源方法运行后运行public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println("postHandle...");}@Override//视图渲染完毕后运行，最后运行public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion...");}
}

注册拦截器

package com.itheima.config;import com.itheima.interceptor.LoginCheckInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration//配置类
public class WebConfig implements WebMvcConfigurer {@Autowiredprivate LoginCheckInterceptor loginCheckInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**").excludePathPatterns("/login");}
}