JavaWeb12

登陆拦截

会话技术

会话：用户打开浏览器，访问web服务器的资源，会话建立，直到有一方断开连接，会话结束。在一次会话中可以包含多次请求和响应

会话跟踪：一种维护浏览器状态的方法，服务器需要识别多次请求是否来自于同一浏览器，以便在同一次会话的多次请求间共享数据

会话跟踪方案：
- 客户端会话跟踪技术：Cookie
- 服务端会话跟踪技术：Session
- 令牌技术

会话跟踪方案对比

JWT

全称：JSON Web Token
定义了一种简洁的、自包含的格式，用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在，这些信息是可靠的
组成：
- 第一部分：Header(头)，记录令牌类型、签名算法等
- 第二部分：Payload(有效荷载)，携带一些自定义信息，默认信息等
- 第三部分：Signature(签名)，放置Token被篡改、确保安全性。将header、payload，并加入指定密钥，通过指定签名算法计算而来

场景：登陆认证
- 登陆成功后，生成令牌
- 后续每个请求，都要携带JWT令牌，系统在每次请求处理之前，先校验令牌，通过后，再处理

@Testpublic void testGenJwt() {Map<String, Object> claims = new HashMap< >();claims.put("id", 1);claims.put("name", "tom");
String jwt=Jwts.builder().signWith(SignatureAlgorithm.HS256,"itheima")//签名算法.setClaims(claims)//自定义内容.setExpiration(new Date(System.currentTimeMillis()+3600*1000))//设置有效期为一小时.compact();System.out.println(jwt);

@Testpublic void testParseJwt() {Claims claims = Jwts.parser().setSigningKey("itheima")//指定签名密钥.parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTczMjg3NTIzM30.kM8DuJd7FwHGKPhw_9Om418oOyiVj5fRxYn94wOhM_Q")//解析令牌.getBody();System.out.println(claims);}

注意事项：

JWT校验时使用的签名密钥，必须和生成JWT令牌时使用的密钥是配套的
如果JWT令牌解析校验时报错，说明JWT令牌被篡改了或失效了，令牌非法

过滤器 (Filter)

过滤器是JavaWeb三大组件(Servlet Filter Listener)之一
过滤器可以把对资源的请求拦截下来，从而实现一些特殊的功能
过滤器一般完成一些通用的操作，比如：登录校验、统一编码处理、敏感字符处理等

Filter执行流程

package com.itheima.filter;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;

@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter {
@Overridepublic void init(FilterConfig filterConfig) throws ServletException {System.out.println("init");}
@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {System.out.println("do");System.out.println("before");chain.doFilter(request, response);//放行System.out.println("after");}
@Overridepublic void destroy() {System.out.println("destroy");}
}