我要评论引言
在web应用程序中,登录校验是确保系统安全性的关键步骤。
通过验证用户身份,可以防止未授权的访问,保护用户数据和系统资源的安全。本文将详细介绍web应用程序中登录校验的实现方法,包括会话跟踪技术和统一拦截技术,并提供详细的代码注释。
一、登录校验的基本概念
登录校验是指服务器在接收到客户端(通常是浏览器)的请求后,首先验证用户是否已经登录。
如果用户已登录,则允许执行相应的业务操作;如果未登录,则拒绝访问并跳转到登录页面。
二、http协议的无状态性
http协议是一种无状态协议,意味着每次请求都是独立的,服务器无法直接判断两次请求是否来自同一用户。
因此,需要通过会话跟踪技术来维护用户状态,实现登录校验。
三、会话跟踪技术
1. cookie
原理:cookie是存储在客户端浏览器中的数据,服务器可以通过设置和读取cookie来跟踪用户会话。
实现代码:
// 设置cookie示例
@getmapping("/setcookie")
public string setcookie(httpservletresponse response) {
// 创建一个名为"userid"的cookie,值为"12345",有效期为1天
cookie cookie = new cookie("userid", "12345");
cookie.setmaxage(24 * 60 * 60); // 设置cookie有效期(秒)
response.addcookie(cookie); // 将cookie添加到响应中
return "cookie设置成功";
}
// 读取cookie示例
@getmapping("/getcookie")
public string getcookie(httpservletrequest request) {
cookie[] cookies = request.getcookies(); // 获取所有cookie
if (cookies != null) {
for (cookie cookie : cookies) {
if ("userid".equals(cookie.getname())) { // 查找名为"userid"的cookie
return "找到的userid: " + cookie.getvalue();
}
}
}
return "未找到userid cookie";
}优缺点:
- 优点:http协议支持,无需手动操作。
- 缺点:用户可以任意更改存储在浏览器的cookie值,也可禁用cookie,不安全;此外,移动端不支持,且不能跨域。
2. session
原理:session是存储在服务器端的数据,通过cookie中的session id进行关联。
实现代码:
@restcontroller
@slf4j
public class sessioncontroller {
// 设置session示例
@getmapping("/setsession")
public string setsession(httpsession session) {
session.setattribute("username", "john_doe"); // 向session中存储数据
log.info("session id: {}", session.getid()); // 打印session id
return "session设置成功";
}
// 获取session示例
@getmapping("/getsession")
public string getsession(httpsession session) {
string username = (string) session.getattribute("username"); // 从session中获取数据
if (username != null) {
return "当前登录用户: " + username;
} else {
return "session中未找到用户名";
}
}
}优缺点:
- 优点:存储在服务端,相对安全。
- 缺点:服务器集群环境下无法直接使用,移动端不支持,依赖于cookie。
3. 令牌技术(jwt)
原理:jwt(json web token)是一种自包含的、基于json的开源协议,用于双方之间安全地传输信息。
用户登录成功后,服务器生成jwt令牌并返回给前端,前端在后续请求中携带该令牌,服务器通过校验令牌的有效性来验证用户身份。
jwt生成字符串的组成:
- header:记录令牌类型、签名算法等。
- payload:携带自定义信息、默认信息等。
- signature:防止token被篡改,确保安全性。
首先在pom.xml文件中引入jwt的依赖:
<!--jwt-->
<dependency>
<groupid>io.jsonwebtoken</groupid>
<artifactid>jjwt</artifactid>
<version>0.9.1</version>
</dependency>创建 jwt 工具类实现代码:
// 引入jwt依赖后,使用jwts工具类生成和校验jwt令牌
public class jwtutils {
private static string signkey = "5l2g5aw977ym5pyl5y+l77yb"; // 签名密钥(自行更换)
private static long expire = 43200000l; // 令牌有效期(毫秒)
// 生成jwt令牌
public static string generatejwt(map<string, object> claims) {
string jwt = jwts.builder()
.addclaims(claims) // 添加自定义信息
.signwith(signaturealgorithm.hs256, signkey) // 使用hs256算法签名
.setexpiration(new date(system.currenttimemillis() + expire)) // 设置令牌有效期
.compact(); // 生成令牌字符串
return jwt;
}
// 校验jwt令牌
public static claims parsejwt(string jwt) {
claims claims = jwts.parser()
.setsigningkey(signkey) // 设置签名密钥
.parseclaimsjws(jwt) // 解析令牌
.getbody(); // 获取令牌中的信息
return claims;
}
}优缺点:
- 优点:支持pc端和移动端,解决集群环境下的认证问题,减轻服务器存储压力。
- 缺点:需要手动实现令牌的生成、传递和校验。
四、统一拦截技术
1. 过滤器(filter)
原理:过滤器是javaweb组件之一,用于在请求到达servlet之前进行预处理,可以用于登录校验。
在springboot项目中,需要在启动类上添加@servletcomponentscan注解,开启springboot对servlet组件的支持。
实现代码:
@slf4j
@webfilter(urlpatterns = "/*") // 拦截所有请求
public class tokenfilter implements filter {
@override
public void dofilter(servletrequest req, servletresponse resp, filterchain chain)
throws ioexception, servletexception {
httpservletrequest request = (httpservletrequest) req;
httpservletresponse response = (httpservletresponse) resp;
string url = request.getrequesturl().tostring();
if (url.contains("login")) { // 如果是登录请求,直接放行
chain.dofilter(request, response);
return;
}
string jwt = request.getheader("token"); // 从请求头中获取jwt令牌
if (!stringutils.haslength(jwt)) { // 令牌为空,返回未授权错误
response.setstatus(httpstatus.sc_unauthorized);
return;
}
try {
jwtutils.parsejwt(jwt); // 校验令牌
} catch (exception e) {
response.setstatus(httpstatus.sc_unauthorized); // 令牌校验失败,返回未授权错误
return;
}
chain.dofilter(request, response); // 令牌校验成功,放行请求
}
}2. 拦截器(interceptor)
原理:拦截器是spring框架提供的机制,用于在controller方法执行前后进行拦截处理,也可以用于登录校验。
实现代码:
@slf4j
@component
public class tokeninterceptor implements handlerinterceptor {
@override
public boolean prehandle(httpservletrequest request, httpservletresponse response, object handler)
throws exception {
string url = request.getrequesturl().tostring();
if (url.contains("login")) { // 如果是登录请求,直接放行
return true;
}
string jwt = request.getheader("token"); // 从请求头中获取jwt令牌
if (!stringutils.haslength(jwt)) { // 令牌为空,返回未授权错误
response.setstatus(httpstatus.sc_unauthorized);
return false;
}
try {
jwtutils.parsejwt(jwt); // 校验令牌
} catch (exception e) {
response.setstatus(httpstatus.sc_unauthorized); // 令牌校验失败,返回未授权错误
return false;
}
return true; // 令牌校验成功,放行请求
}
}配置拦截器:
@configuration
public class webconfig implements webmvcconfigurer {
@autowired
private tokeninterceptor tokeninterceptor;
@override
public void addinterceptors(interceptorregistry registry) {
registry.addinterceptor(tokeninterceptor) // 注册拦截器
.addpathpatterns("/**"); // 拦截所有请求
}
}注:过滤器和拦截器二选一即可。
五、总结
通过引入jwt令牌技术,结合过滤器或拦截器,可以有效地实现web应用程序的登录校验功能。
这种方法不仅提高了系统的安全性,还简化了开发流程,适用于各种规模的web应用开发。在实际开发中,可以根据项目需求选择合适的会话跟踪技术和统一拦截方案。
到此这篇关于springboot项目登录校验功能实现的文章就介绍到这了,更多相关springboot登录校验内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论