【学习总结|DAY032】后端Web实战:登录认证

devtools/2025/1/19 6:59:25/

在 Web 后端开发中,登录认证是保障系统安全和用户数据隐私的关键环节。本文将结合实际开发案例,深入探讨登录功能与登录校验的实现思路和技术细节,希望能帮助读者更好地掌握这一重要知识点。

一、登录功能实现

1.1 思路分析

登录功能的核心在于验证用户输入的用户名和密码是否正确。当用户名和密码都匹配时,判定登录成功;反之则登录失败。从技术角度看,登录功能本质上是依据用户名和密码查询员工信息。例如,在 Tlias 智能学习辅助系统中,用户输入用户名和密码,系统在数据库中查找对应员工记录,以此确定登录结果。

1.2 接口设计

  • 请求路径/login
  • 请求方式POST
  • 请求参数:以application/json格式传递,包含必填的username(用户名,字符串类型)和password(密码,字符串类型)。请求数据样例:
{"username": "jinyong","password":"123456"
}
  • 响应数据:同样采用application/json格式,包含必须的code(响应码,1 表示成功,0 表示失败)、非必须的msg(提示信息,字符串类型)以及必须的data(返回数据对象)。data对象包含员工 ID(id,数字类型)、用户名(username,字符串类型)、姓名(name,字符串类型)和令牌(token,字符串类型)。响应数据样例:
{"code":1,"msg":"success","data":{"id":2,"username": "songjiang","name":"宋江","token": "eyJhbGci0iJIUzI1NiJ9.eyJpZCI65hbWUi0iJzb2CJJeHAi0jE20Tg3MDE3NjJ9..."}
}

1.3 代码实现

在 Java 开发中,以 Spring Boot 和 MyBatis 框架为例,在业务逻辑层实现登录功能:

java">@Service
public class EmpService {@Autowiredprivate EmpMapper empMapper;public LoginInfo login(Emp emp) {// 调用mapper,根据用户名密码查询员工信息Emp e = empMapper.login(emp.getUsername(), emp.getPassword());// 如果员工存在,组装登录成功信息if (e != null){Map<String, Object> claims = new HashMap<>();claims.put("id", e.getId());claims.put("username", e.getUsername());return new LoginInfo(e.getId(), e.getUsername(), e.getName(), JwtUtils.generateJwt(claims));}return null;}
}

上述代码中,EmpMapper负责数据库查询操作,JwtUtils.generateJwt(claims)用于生成 JWT 令牌。

二、登录校验技术

在测试登录功能时,常出现未登录也能访问服务端功能接口的问题。为解决该问题,需引入登录校验机制,确保只有登录成功的用户才能访问后台系统数据。实现登录校验主要涉及会话技术、JWT 令牌、过滤器(Filter)和拦截器(Interceptor)。

2.1 会话技术

会话指用户从打开浏览器访问 Web 服务器资源到断开连接的过程,期间包含多次请求和响应。会话跟踪用于识别多次请求是否来自同一浏览器,以实现同一会话内多次请求间的数据共享。常见的会话跟踪方案有:

  • Cookie(客户端会话跟踪技术):利用 HTTP 协议中的Set-Cookie响应头和Cookie请求头传递数据。优点是 HTTP 协议原生支持;缺点是移动端 APP 无法使用,安全性低(用户可禁用)且不能跨域。
  • Session(服务端会话跟踪技术):底层基于 Cookie,通过JSESSIONID标识会话。优点是数据存储在服务端,相对安全;缺点是服务器集群环境下无法直接使用,且存在 Cookie 的固有缺点。
  • 令牌技术:支持 PC 端和移动端,能解决集群环境下的认证问题,减轻服务器存储压力,但需要自行实现。

2.2 JWT 令牌

  • 介绍:JSON Web Token(JWT)是一种简洁、自包含的格式,用于在通信双方以 JSON 数据格式安全传输信息。它由三部分组成:
    • Header(头):记录令牌类型、签名算法等,如{"alg":"HS256","type":"JWT"}
    • Payload (有效载荷):携带自定义信息和默认信息,如{"id":"1","username":"Tom"}
    • Signature (签名):通过将headerpayload和指定秘钥,利用指定签名算法计算生成,用于防止 Token 被篡改,确保安全性。
  • 生成 / 解析:在 Java 项目中,引入jjwt依赖后,可借助官方工具类Jwts生成和解析 JWT 令牌。
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version>
</dependency>

生成令牌示例:

java">@Test
public void testGenJwt() {Map<String, Object> claims = new HashMap<>();claims.put("id", 10);claims.put("username", "itheima");String jwt = Jwts.builder().signWith(SignatureAlgorithm.HS256, "SVRIRUlNQQ==").addClaims(claims).setExpiration(new Date(System.currentTimeMillis() + 12*3600*1000)).compact();System.out.println(jwt);
}

解析令牌示例:

java">@Test
public void testParseJwt() throws Exception {String jwtToken = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9...";Claims claims = Jwts.parser().setSigningKey("SVRIRUlNQQ==").parseClaimsJws(jwtToken).getBody();System.out.println(claims);
}

2.3 过滤器(Filter)

  • 概念:Filter 是 JavaWeb 三大组件之一,能拦截对资源的请求,实现通用操作,如登录校验、统一编码处理等。
  • 快速入门
    • 定义 Filter:创建类实现Filter接口,并重写其initdoFilterdestroy方法。
java">@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter {// 初始化方法,服务器启动时调用一次public void init(FilterConfig filterConfig) throws ServletException {System.out.println("init ...");}// 拦截到请求时调用,可多次调用public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws Exception{System.out.println("拦截到了请求...");chain.doFilter(servletRequest, servletResponse);}// 销毁方法,服务器关闭时调用一次public void destroy() {System.out.println("destroy ... ");}
}

  • 配置 Filter:在 Filter 类上使用@WebFilter注解配置拦截路径,在引导类上加@ServletComponentScan开启 Servlet 组件支持。
java">@ServletComponentScan
@SpringBootApplication
public class TliasManagementApplication {
}

  • 令牌校验 Filter
    • 流程:获取请求 URL,判断是否为登录请求(包含login),若是则放行;否则获取请求头中的令牌,判断令牌是否存在,若不存在或解析失败则响应 401,解析成功则放行。
java">@WebFilter(urlPatterns = "/*")
public class JwtFilter implements Filter {@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {HttpServletRequest httpRequest = (HttpServletRequest) request;String requestURI = httpRequest.getRequestURI();if (requestURI.contains("login")) {chain.doFilter(request, response);return;}String token = httpRequest.getHeader("token");if (token == null) {HttpServletResponse httpResponse = (HttpServletResponse) response;httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);return;}try {Claims claims = Jwts.parser().setSigningKey("SVRIRUlNQQ==").parseClaimsJws(token).getBody();chain.doFilter(request, response);} catch (Exception e) {HttpServletResponse httpResponse = (HttpServletResponse) response;httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);}}// init和destroy方法省略
}

  • 执行流程:放行前逻辑 -> 放行 -> 访问资源 -> 放行后逻辑。
  • 拦截路径/*表示拦截所有资源;/emps/*表示拦截/emps目录下的所有资源。
  • 过滤器链:一个 Web 应用中可配置多个过滤器形成过滤器链,注解配置的 Filter 优先级按类名字符串自然排序。

2.4 拦截器(Interceptor)

  • 概念:拦截器是 Spring 框架提供的动态拦截控制器方法执行的机制,可在方法调用前后执行预设代码。
  • 快速入门
    • 定义拦截器:实现HandlerInterceptor接口,重写preHandle(目标资源方法执行前执行,返回true放行,false不放行)、postHandle(目标资源方法执行后执行)和afterCompletion(视图渲染完毕后执行)方法。
java">@Component
public class DemoInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {return true;}@Overridepublic void postHandle(HttpServletRequest req, HttpServletResponse resp, Object handler, ModelAndView mv) throws Exception {System.out.println("preHandle...");}@Overridepublic void afterCompletion(HttpServletRequest req, HttpServletResponse resp, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion...");}
}

  • 注册拦截器:定义配置类实现WebMvcConfigurer接口,注册拦截器。
java">@Configuration
public class WebConfig implements WebMvcConfigurer {@Autowiredprivate DemoInterceptor demoInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(demoInterceptor).addPathPatterns("/**");}
}

  • 令牌校验拦截器:与令牌校验 Filter 流程类似,获取请求 URL 判断是否为登录请求,获取并校验令牌。
java">@Component
public class JwtInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String requestURI = request.getRequestURI();if (requestURI.contains("login")) {return true;}String token = request.getHeader("token");if (token == null) {response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);return false;}try {Claims claims = Jwts.parser().setSigningKey("SVRIRUlNQQ==").parseClaimsJws(token).getBody();return true;} catch (Exception e) {response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);return false;}}// postHandle和afterCompletion方法省略
}

  • 拦截路径/*只能拦截一级路径;/**能拦截任意级路径。
  • 执行流程:与过滤器不同,拦截器只拦截 Spring 环境中的资源,且在控制器方法前后执行不同逻辑。

通过上述登录功能和登录校验技术的详细介绍,希望读者对 Web 后端开发中的登录认证机制有更深入的理解和掌握,在实际项目中能够灵活运用这些技术,构建安全可靠的 Web 应用。


http://www.ppmy.cn/devtools/151766.html

相关文章

抢十八游戏

前言 我国民国一直流传着一个名叫“抢十八”的抢数游戏&#xff1a;参与游戏的两人从1开始轮流报数&#xff0c;每次至少报1个数&#xff0c;最多报2个数&#xff0c;每人报的每个数不得与自已报过的或对方报过的重复&#xff0c;也不得跳过任何一个数。谁先报到18&#xff0c…

使用python+pytest+requests完成自动化接口测试(包括html报告的生成和日志记录以及层级的封装(包括调用Json文件))

一、API的选择 我们进行接口测试需要API文档和系统&#xff0c;我们选择JSONPlaceholder免费API&#xff0c;因为它是一个非常适合进行接口测试、API 测试和学习的工具。它免费、易于使用、无需认证&#xff0c;能够快速帮助开发者模拟常见的接口操作&#xff08;增、删、改、…

【Python】使用 selenium模拟敲键盘输入的方法汇总

我在使用selenium弄模拟登陆&#xff0c;需要模拟输入账号和密码&#xff0c;往往都使用 selenium 的send_keys 函数。 可是我昨天在写测试的时候&#xff0c;有时候有些网站&#xff0c;居然使用send_keys 函数&#xff0c;无法在输入框里输入文字&#xff01; 在Python中&a…

【云岚到家】-day03-门户缓存实现实战

【云岚到家】-day03-门户缓存实现实战 1.定时任务更新缓存 1.1 搭建XXL-JOB环境 1.1.1 分布式调度平台XXL-JOB介绍 对于开通区域列表的缓存数据需要由定时任务每天凌晨更新缓存&#xff0c;如何实现定时任务呢&#xff1f; 1.使用jdk提供的Timer定时器 示例代码如下&#xf…

python批量doc转pdf调用提示库未注册

使用的是pywin32工具包&#xff01; python代码 from win32com.client import Dispatch, constants, gencache, DispatchEx.....gencache.EnsureModule({00020905-0000-0000-C000-000000000046}, 0, 8, 4) 运行报错 pywintypes.com_error: (-2147319779, 库没有注册。, Non…

力扣 完全平方数

动态规划&#xff0c;找到前几个状态做更新。 题目 从题可看出又是一道dp&#xff0c;只要找到一个最大的平方数&#xff0c;然后往回退到上个状态&#xff0c;然后再用回退的状态加回去这个平方数即加上这一种。注意这里的所含平方数并不是随着数字变大而变大的&#xff0c;因…

BEVFusion论文阅读

1. 简介 融合激光雷达和相机的信息已经变成了3D目标检测的一个标准&#xff0c;当前的方法依赖于激光雷达传感器的点云作为查询&#xff0c;以利用图像空间的特征。然而&#xff0c;人们发现&#xff0c;这种基本假设使得当前的融合框架无法在发生 LiDAR 故障时做出任何预测&a…

网络安全面试题及经验分享

本文内容是i春秋论坛面向专业爱好者征集的关于2023年面试题目和答案解析&#xff0c;题目是真实的面试经历分享&#xff0c;具有很高的参考价值。 shiro反序列化漏洞的原理 Shiro反序列化漏洞的原理是攻击者通过精心构造恶意序列化数据&#xff0c;使得在反序列化过程中能够执…