Java中的登录技术保姆级详细教程_Java

登录是每个项目中必不可少的一个环节，也是十分重要的环节，这篇文章将探讨关于登录的一些技术。

1.登录思路

在讲解登录技术之前，先来看一下登录校验的思路，前端发起请求，请求到底web服务器后，服务器会对请求进行解析，符合要求，将数据响应给浏览器。如下图所示：

由于前端发送的请求是基于http协议的，是无状态的一种协议，无状态协议就是最后一次请求不会携带前一次请求数据的状态，因此需要后端进行数据的校验。因此当浏览器发送请求给web服务器的时候，此时后端会通过拦截器，统一将前端发送的请求拦截下来，然后判断请求是否有登录标记，请求中存入了登录标记，证明登录过，则将对应的请求放行访问对应的功能，反之没有登陆过，则响应对应信息给浏览器，让用户重新登录即可。

2.登录标记

1.会话技术

会话就是当浏览器打开访问服务器资源的时候，就会建立会话，就类似与打电话，打通了就建立了会话，当浏览器关闭或服务器关闭的时候，会话结束，一次会话中可以包含多次请求和响应，就像电话打通后，一人一句(一句话就是一个请求或响应)。

2.会话跟踪

有了会话后，需要保证会话中的多次请求或响应是来自同一个会话，即浏览器需要识别多次请求是否来自同一个浏览器，因此需要进行会话跟踪，就像登录的时候输入验证信息，获取验证码是一次请求，然后登录是一次请求，登录的时候校验验证码是一次请求，从而实现同一次会话出现多次请求，所以需要会话跟踪保证多次请求是一次会话中产生的，会话跟踪技术有客户端会话跟踪技术--cookie,服务端会话跟踪技术---session，以及令牌技术--jwt。

1.cookie技术

cookie技术即当浏览器第一次发送请求到服务器后，如果登录成功了，服务器会创建cookie对象，将共享的数据放里面，向浏览器响应数据的时候，会将数据放到响应头中返回给前端，前端会将cookie对象保存到浏览器本地中，下一次发送请求的时候，会将cookie添加到请求头中，从而通过请求传递给服务器，服务器下一次请求后，回去解析请求判断cookie是否存在，从而实现会话跟踪。如图所示：

任何技术都有利有弊，cookie也不例外，cookie技术的优点在于是http协议所支持的技术，缺点就是1.移动端app无法使用cookie，2.其次就是不安全，用户可以自己禁用cookie，3.cookie不支持跨域。如图所示：

跨域指的是，协议一致，域名不一致。当前端发送登录请求给服务器的时候，服务器的地址和前端发送的地址不在同一个域名里面就会出现跨域问题，此时cookie就会失败。

2.session技术

session技术是基于cookie技术实现的，浏览器第一次发送请求，服务器会创建会话对象session，向浏览器响应数据的时候，会将session的唯一标识id，添加到响应头中去，浏览器获取到响应请求后，会将session的id保存下来，下一次请求的时候，会将id添加到请求头中，然后服务器获取到请求后，再去判断请求头中的session的id是否存在，从而实现会话跟踪。

session技术优点在于session是存放在服务器端的，安全性高，缺点在于服务器在集群环境下无法直接使用session，还是就是包括了cookie的所有缺点。

在集群环境下，无法直接使用session原因在于，前端项目部署在nginx上，nginx将请求代理到后端服务器上面的时候，存在负载均衡，因此当第一次登录的时候，session存放在第一个服务器中，第二次登录的时候，通过负载均衡，可能会交给第二个服务器进行处理，但是第二个服务器还没有session的id，此时就会重新创建一个新的id并覆盖原来的id，那么后续请求由交给第一个服务器处理，就会发现id对不上，因此这样就达不到会话跟踪，这就是集群环境下无法直接使用session。

3.令牌技术

令牌技术即浏览器第一次发送请求的时候，服务器会给数据发一个令牌，下一次请求的时候，会携带令牌，服务器对令牌进行校验，判断是否过期，没有过期则放行访问对应的功能，反之重新登录获取令牌。如图所示：

令牌技术的优点在于可以支持pc端，移动端，其次可以解决集群环境下的认证问题，可以减轻服务器端存储的压力。

jwt令牌技术

1.概念

jwt全称json web token（json web tokens - jwt.io）定义了一种简洁的，自包含的格式，用于在通信双方以json数据格式安全的传输信息。jwt由三部分组成，第一部分：(header头)，主要记录令牌类型、签名算法等，例如：{"alg":"hs256","type":"jwt"}。第二部分：payload(有效载荷)，主要携带一些自定义信息，默认信息等，例如：{"id":"1"，"username":"tom"}。第三部分：signature(签名)，主要是用于防止token被篡改，确保安全性。将header，payload融入，并加入指定的秘钥，通过指定签名算法计算而来。jwt每个部分都是json格式。如图所示：

2.jwt的生成与解析

首先需要引入jwt所需要的jjwt依赖。

<dependency>
    <groupid>io.jsonwebtoken</groupid>
    <artifactid>jjwt</artifactid>
    <version>0.9.1</version>
</dependency>

其次可以通过jwts的builder()方法构建jwt令牌，通过jwts的parser()方法解析jwt令牌。如下所示，是我创建的jwt工具类，包括了生成jwt和解析jwt两部功能。

package com.itheima.utils;
import io.jsonwebtoken.claims;
import io.jsonwebtoken.jwts;
import io.jsonwebtoken.signaturealgorithm;
import java.util.date;
import java.util.map;
/**
 * @author allen
 * @version 1.0
 * jwt令牌工具类
 */
public class jwtutil {
    //定义密钥---秘钥随意定义即可
    private static final string secret_key="otkwmtayoq==";
    //定义密钥过期时间
    private static final long expiration_time=12*60*60*1000;

    //生成jwt令牌
    public static string generatejwt(map<string, object> claims){
        string jwt = jwts.builder()
                /**
                * 参数一:签名算法，参数二：密钥
                */
                .signwith(signaturealgorithm.hs256, secret_key)
                /**
                 * 参数：map集合，存放自定义的信息，一般是id，用户名
                 */
                .addclaims(claims)
                /**
                 * 参数：传入jwt有效的时间-----在当前的时间上外后加设定的时间，因此需要获取当前的时间毫秒数。
                 */
                .setexpiration(new date(expiration_time+system.currenttimemillis()))
                /**
                 *通过此方法生成jwt
                 */
                .compact();
        return jwt;
    }
    /**
     *解析jwt
     * 参数：获取生成的jwt令牌
     */
    public static claims parsejwt(string token){
        claims jwt = jwts.parser()
                /**
                 * 参数：生成的密钥
                */
                .setsigningkey(secret_key)
                /**
                 * 生成的jwt
                 */
                .parseclaimsjws(token)
                /**
                 * 通过此方法解析jwt
                 */
                .getbody();
        return jwt;
    }
}

用户登录成功后，调用工具类里面的生成jwt方法，将用户的信息封装到map集合中传入，即可生成jwt令牌，将jwt令牌返回给前端即可，下次请求携带令牌就可访问对应的功能。