一.登录校验过滤器的实现思绪
我们要实现登录校验过滤器,就要首先明白登录校验过滤器的实现思绪。登录校验过滤器是用来实现登录校验的。那么首先思索第一个题目,全部的请求都必要校验吗?
答案是否定的,由于login请求就不必要过滤器校验,由于登录请求本身就不携带JWT令牌,登录的目的就是为了获取JWT令牌用于后续的校验,如果login请求也必要校验的话,那么将没有用户可以登录成功进而访问服务器中的资源。因此登录请求"/login"是不必要校验的,要直接放行。
下面思索第二个题目,当我们拦截到请求后,什么情况下才可以放行?答案是当拦截到的请求中的请求头header所携带的JWT令牌存在且有效时才气够放行执行业务操作,只要不存在大概无效,那么就不会放行执行操作,从而跳转到登录页面。
基于以上分析,我们绘制出登录校验过滤器的流程分析图。
二.代码实现
- package com.gjw.filter;
- import com.alibaba.fastjson.JSONObject;
- import com.gjw.pojo.Result;
- import com.gjw.util.JwtUtils;
- import jakarta.servlet.*;
- import jakarta.servlet.annotation.WebFilter;
- import jakarta.servlet.http.HttpServletRequest;
- import jakarta.servlet.http.HttpServletResponse;
- import lombok.extern.slf4j.Slf4j;
- import org.springframework.util.StringUtils;
- import java.io.IOException;
- @Slf4j
- @WebFilter(urlPatterns = "/*")
- public class LoginCheckFilter implements Filter {
- @Override
- public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
- HttpServletRequest request = (HttpServletRequest) servletRequest;
- HttpServletResponse response = (HttpServletResponse) servletResponse;
- // 1.获取请求的url
- String requestURL = request.getRequestURL().toString();
- log.info("获取请求的URL:{}",requestURL);
- // 2.判断url中是否包含"login"
- if (requestURL.contains("login")) {
- log.info("登录操作,直接放行......");
- // 如果包含,直接放行
- filterChain.doFilter(servletRequest,servletResponse);
- return;
- }
- // 3.不包含则获取JWT令牌并检验
- String jwt = request.getHeader("token");
- // 4.检验JWT令牌是否存在,如果不存在,则返回错误结果(未登录)
- if(!StringUtils.hasLength(jwt)) { // jwt不存在或者为null,返回false
- log.info("请求头token为空,返回登录页面......");
- Result error = Result.error("NOT_LOGIN");
- String notLogin = JSONObject.toJSONString(error);// 没有RestController注解,无法将直接return的数据以JSON格式返回,需要强转为JSON 手动转换:对象----->JSON格式的数据
- response.getWriter().write(notLogin); // 通过response对象返回JSON格式的数据
- return;
- }
- // 5.如果存在,校验JWT令牌是否正确,如果解析失败,则返回错误结果(未登录)
- try {
- JwtUtils.parseJWT(jwt); // 解析成功放行
- } catch (Exception e) { // 失败捕获异常
- e.printStackTrace();
- log.info("解析失败,返回未登录的错误信息......");
- Result error = Result.error("NOT_LOGIN");
- String notLogin = JSONObject.toJSONString(error);// 没有RestController注解,无法将直接return的数据以JSON格式返回,需要强转为JSON 手动转换:对象----->JSON格式的数据
- response.getWriter().write(notLogin); // 通过response对象返回JSON格式的数据
- return;
- }
- // 6.JWT令牌存在且解析成功,放行
- log.info("令牌合法,放行。");
- filterChain.doFilter(servletRequest,servletResponse);
- }
- }
我们首先要获取到请求的url地址,为了获取请求的url地址,必要将ServletRequest和ServletResponse强转为HttpServletRequest和HttpServletResponse。强转后通过调用HttpServletRequest的getRequestURL()方法获取URL路径。
2.判定url中是否包罗"login"
获取到URL路径后,接下来我们首先要判定路径中是否包罗关键字"login",如果包罗,那么证实该请求是一个登录请求,直接放行即可。使用doFilter方法将HttpServletRequest和HttpServletResponse对象传递进去。然后使用return直接结束该方法。
3.不包罗则获取JWT令牌并检验
如果不包罗关键字"login",那么证实该请求不是一个登录请求,那么就举行下面两部判定:
首先获取该请求中请求头header的token字段,从而获取到JWT令牌,然后判定JWT令牌是否存在。使用request.getHeader("token")来获取JWT令牌的字符串。
4.检验JWT令牌是否存在,如果不存在,则返回错误结果(未登录)
如果不存在,纵然用StringUtils工具类的hasLength方法(空串大概null返回false,有值返回true)判定结果为空串大概null,取反后(!)为true。
我们与前端约定好的
那么调用Result结果封装类中的error方法,传递一个"NOT_LOGIN"。但是我们要响应给前端的是一个JSON格式的数据,那么如何将这个Result对象转为JSON再响应给前端呢?在controller当中我们可以使用注解@RestController,会主动将方法的返回值转为JSON格式的数据返回回去,但是现在是在Filter过滤器当中,因此要手动转换。我们可以使用alibaba提供的fastJSON的工具包,首先引入依靠
- <dependency>
- <groupId>com.alibaba</groupId>
- <artifactId>fastjson</artifactId>
- <version>2.0.52</version>
- </dependency>
5.如果存在,校验JWT令牌是否正确,如果分析失败,则返回错误结果(未登录)
如果令牌存在,那么首先校验令牌的合法性,如果合法,直接放行。如果不合法,那么和上面的代码逻辑一样。因此我们必要使用try/catch捕获非常信息,如果未捕获到非常,那么直接放行;如果捕获到非常,那么执行和上面一样的代码逻辑。
6.JWT令牌存在且分析成功,放行
令牌存在且分析成功,执行doFilter方法放行即可。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
