本文主要是介绍Springboot项目登录校验功能实现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
《Springboot项目登录校验功能实现》本文介绍了Web登录校验的重要性,对比了Cookie、Session和JWT三种会话技术,分析其优缺点,并讲解了过滤器与拦截器的统一拦截方案,推荐使用JWT...
引言
通过验证用户身份,可以防止未授权的访问,保护用户数据和系统资源的安全。本文将详细介绍Web应用程序中登录校验的实现方法,包括会话跟踪技术和统一拦截技术,并提供详细的代码注释。
一、登录校验的基本概念
登录校验是指服务器在接收到客户端(通常是浏览器)的请求后,首先验证用户是否已经登录。
如果用户已登录,则允许执行相应的业务操作;如果未登录,则拒绝访问并跳转到登录页面。
二、HTTP协议的无状态性
HTTP协议是一种无状态协议,意味着每次请求都是独立的,服务器无法直接判断两次请求是否来自同一用户。
因此,需要通过会话跟踪技术来维护用户状态,实现登录校验。
三、会话跟踪技术
1. Cookie
原理:Cookie是存储在客户端浏览器中的数据,服务器可以通过设置和读取Cookie来跟踪用户会话。
实现代码:
// 设置Cookie示例
@GetMapping("/setCookie")
public String setCookie(HttpServletResponse response) {
// 创建一个名为"userId"的Cookie,值为"12345",有效期为1天
Cookie cookie = new Cookie("userId", "12345");
cookie.setMaxAge(24 * 60 * 60); // 设置Cookie有效期(秒)
response.addCookie(cookie); // 将Cookie添加到响应中
return "Cookie设置成功";
}
// 读取Cookie示例
@GetMapping("/getCookie")
public String getCookie(HttpServletRequest request) {
Cookie[] cookies = request.getCookies(); // 获取所有Cookie
if (cookies != null) {
for (Cookie cookie : cookies) {
if ("userId".equals(cookie.getName())) { // 查找名为"userId"的Cookie
return "找到的userId: " + cookie.getValue();
}
}
}
return "未找到userId Cookie";
}优缺点:
- 优点:HTTP协议支持,无需手动操作。
- 缺点:用户可以任意更改存储在浏览器的Cookie值,也可禁用Cookie,不安全;此外,移动端不支持,且不能跨域。
2. Session
原理:Session是存储在服务器端的数据,通过Cookie中的Session ID进行关联。
实现代码:
@RestController
@Slf4j
public class SessionController {
// 设置Session示例
@GetMapping("/setSession")
public String setSession(HttpSession session) {
session.jssetAttribute("username", "john_doe"); // 向Session中存储数据
log.info("Session ID: {}", session.getId()); // 打印Session ID
return "Session设置成功";
}
// 获取Session示例
@GetMapping("/getSession")
public String getSession(HttpSession session) {
String username = (String) session.getAttribute("username"); // 从Session中获取数据
if (username != null) {
return "当前登录用户: " + username;
} else {
return "Session中未找到用户名";
}
}
}优缺点:
- 优点:存储在服务端,相对安全。
- 缺点:服务器集群环境下无法直接使用,移动端不支持,依赖于Cookie。
3. 令牌技术(JWT)
原理:JWT(jsON Web Token)是一种自包含的、基于JSON的开源协议,用于双方之间安全地传输信息。
用户登录成功后,服务器生成JWT令牌并返回给前端,前端在后续请求中携带该令牌,服务器通过校验令牌的有效性来验证用户身份。
JWT生成字符串的组成:
- Header:记录令牌类型、签名算法等。
- Payload:携带自定义信息、默认信息等。
- Signature:防止Token被篡改,确保安全性。
首先在pom.XML文件中引入JWT的依赖:
<!--JWT-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>创建 JWT 工具类实现代码:
// 引入JWT依赖后,使用Jwts工具类生成和校验JWT令牌
public class JwtUtils {
private static String signKey = "5L2g5aW977yM5pyL5Y+L77yB"; // 签名密钥(自行更换)
private static Long expire = 43200000L; // 令牌有效期(毫秒)
// 生成JWT令牌
public statiwww.chinasem.cnc String generateJwt(Map<String, Object> claims) {
String jwt = Jwts.builder()
.addClaims(claims) // 添加自定义信息
.signWith(SignatureAlgorithm.HS256, signKey) // 使用HS256算法签名
.setExpiration(new Date(System.currentTimeMillis() + expire)) // 设置令牌有效期
.compact(); // 生成令牌字符串
return jwt;
}
// 校验JWT令牌
public static Claims parseJWT(String jwt) {
Claims claims = Jwts.parser()
.setSigningKey(signKey) // 设置签名密钥
.parseClaimsJws(jwt) // 解析令牌
.getBody(); // 获取令牌中的信息
return claims;
}
}优缺点:
- 优点:支持PC端和移动端,解决集群环境下的认证问题,减轻服务器存储压力。
- 缺点:需要手动实现令牌的生成、传递和校验。
四、统一拦截技术
1. 过滤器(Filter)
原理:过滤器是JavaWeb组件之一,用于在请求到达Servlet之前进行预处理,可以用于登录校验。
在springboot项目中,需要在启动类上添加@ServletComponentScan注解,开启SprChina编程ingBoot对Servlet组件的支持。
实现代码:
@Slf4j
@WebFilter(urlPatterns = "/*") // 拦截所有请求
publwww.chinasem.cnic class TokenFilter implements Filter {
@Override
public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) resp;
String url = request.getRequestURL().toString();
if (url.contains("login")) { // 如果是登录请求,直接放行
chain.doFilter(request, response);
return;
}
String jwt = request.getHeader("token"); // 从请求头中获取JWT令牌
if (!StringUtils.hasLength(jwt)) { // 令牌为空,返回未授权错误
response.setStatus(HttpStatus.SC_UNAUTHORIZED);
return;
}
try {
JwtUtils.parseJWT(jwt); // 校验令牌
} catch (Exception e) {
response.setStatus(HttpStatus.SC_UNAUTHORIZED); // 令牌校验失败,返回未授权错误
return;
}
chain.doFilter(request, response); // 令牌校验成功,放行请求
}
}2. 拦截器(Interceptor)
原理:拦截器是Spring框架提供的机制,用于在Controller方法执行前后进行拦截处理,也可以用于登录校验。
实现代码:
@Slf4j
@Component
public class TokenInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
throws Exception {
String url = request.getRequestURL().toString();
if (url.contains("login")) { // 如果是登录请求,直接放行
return true;
}
String jwt = request.getHeader("token"); // 从请求头中获取JWT令牌
if (!StringUtils.hasLength(jwt)) { // 令牌为空,返回未授权错误
response.setStatus(HttpStatus.SC_UNAUTHORIZED);
return false;
}
try {
JwtUtils.parseJWT(jwt); // 校验令牌
} catch (Exception e) {
response.setStatus(HttpStatus.SC_UNAUTHORIZED); // 令牌校验失败,返回未授权错误
return false;
}
return true; // 令牌校验成功,放行请求
}
}配置拦截器:
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Autowired
private TokenInterceptor tokenInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(tokenInterceptor) // 注册拦截器
.addPathPatterns("/**"); // 拦截所有请求
}
}注:过滤器和拦截器二选一即可。
五、总结
通过引入JWT令牌技术,结合过滤器或拦截器,可以有效地实现Web应用程序的登录校验功能。
这种方法不仅提高了系统的安全性,还简化了开发流程,适用于各种规模的Web应用开发。在实际开发中,可以根据项目需求选择合适的会话跟踪技术和统一拦截方案。
到此这篇关于Springboot项目登录校验功能实现的文章就介绍到这了,更多相关springboot登录校验内容请搜索China编程(www.chinasem.cn)以前的文章或继续浏览下面的相关文章希望大家以后多多支持编程China编程(www.chinasem.cn)!
这篇关于Springboot项目登录校验功能实现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
