脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → springboot登录校验

Springboot项目登录校验功能实现

 更新时间:2025年08月09日 10:53:31   作者:mocx  
本文介绍了Web登录校验的重要性,对比了Cookie、Session和JWT三种会话技术,分析其优缺点,并讲解了过滤器与拦截器的统一拦截方案,推荐使用JWT结合拦截器实现安全、高效的登录校验,下面通过实例代码讲解Springboot项目的登录校验实现,感兴趣的朋友一起看看吧

引言

在Web应用程序中,登录校验是确保系统安全性的关键步骤。

通过验证用户身份,可以防止未授权的访问,保护用户数据和系统资源的安全。本文将详细介绍Web应用程序中登录校验的实现方法,包括会话跟踪技术和统一拦截技术,并提供详细的代码注释。

一、登录校验的基本概念

登录校验是指服务器在接收到客户端(通常是浏览器)的请求后,首先验证用户是否已经登录。

如果用户已登录,则允许执行相应的业务操作;如果未登录,则拒绝访问并跳转到登录页面。

二、HTTP协议的无状态性

HTTP协议是一种无状态协议,意味着每次请求都是独立的,服务器无法直接判断两次请求是否来自同一用户。

因此,需要通过会话跟踪技术来维护用户状态,实现登录校验。

三、会话跟踪技术

1. Cookie

原理:Cookie是存储在客户端浏览器中的数据,服务器可以通过设置和读取Cookie来跟踪用户会话。

实现代码

// 设置Cookie示例
@GetMapping("/setCookie")
public String setCookie(HttpServletResponse response) {
    // 创建一个名为"userId"的Cookie,值为"12345",有效期为1天
    Cookie cookie = new Cookie("userId", "12345");
    cookie.setMaxAge(24 * 60 * 60); // 设置Cookie有效期(秒)
    response.addCookie(cookie); // 将Cookie添加到响应中
    return "Cookie设置成功";
}
// 读取Cookie示例
@GetMapping("/getCookie")
public String getCookie(HttpServletRequest request) {
    Cookie[] cookies = request.getCookies(); // 获取所有Cookie
    if (cookies != null) {
        for (Cookie cookie : cookies) {
            if ("userId".equals(cookie.getName())) { // 查找名为"userId"的Cookie
                return "找到的userId: " + cookie.getValue();
            }
        }
    }
    return "未找到userId Cookie";
}

优缺点

  • 优点:HTTP协议支持,无需手动操作。
  • 缺点:用户可以任意更改存储在浏览器的Cookie值,也可禁用Cookie,不安全;此外,移动端不支持,且不能跨域。

2. Session

原理:Session是存储在服务器端的数据,通过Cookie中的Session ID进行关联。

实现代码

@RestController
@Slf4j
public class SessionController {
    // 设置Session示例
    @GetMapping("/setSession")
    public String setSession(HttpSession session) {
        session.setAttribute("username", "john_doe"); // 向Session中存储数据
        log.info("Session ID: {}", session.getId()); // 打印Session ID
        return "Session设置成功";
    }
    // 获取Session示例
    @GetMapping("/getSession")
    public String getSession(HttpSession session) {
        String username = (String) session.getAttribute("username"); // 从Session中获取数据
        if (username != null) {
            return "当前登录用户: " + username;
        } else {
            return "Session中未找到用户名";
        }
    }
}

优缺点

  • 优点:存储在服务端,相对安全。
  • 缺点:服务器集群环境下无法直接使用,移动端不支持,依赖于Cookie。

3. 令牌技术(JWT)

原理:JWT(JSON Web Token)是一种自包含的、基于JSON的开源协议,用于双方之间安全地传输信息。

用户登录成功后,服务器生成JWT令牌并返回给前端,前端在后续请求中携带该令牌,服务器通过校验令牌的有效性来验证用户身份。

JWT生成字符串的组成

  • Header:记录令牌类型、签名算法等。
  • Payload:携带自定义信息、默认信息等。
  • Signature:防止Token被篡改,确保安全性。

首先在pom.xml文件中引入JWT的依赖:

<!--JWT-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

创建 JWT 工具类实现代码

// 引入JWT依赖后,使用Jwts工具类生成和校验JWT令牌
public class JwtUtils {
    private static String signKey = "5L2g5aW977yM5pyL5Y+L77yB"; // 签名密钥(自行更换)
    private static Long expire = 43200000L; // 令牌有效期(毫秒)
    // 生成JWT令牌
    public static String generateJwt(Map<String, Object> claims) {
        String jwt = Jwts.builder()
                .addClaims(claims) // 添加自定义信息
                .signWith(SignatureAlgorithm.HS256, signKey) // 使用HS256算法签名
                .setExpiration(new Date(System.currentTimeMillis() + expire)) // 设置令牌有效期
                .compact(); // 生成令牌字符串
        return jwt;
    }
    // 校验JWT令牌
    public static Claims parseJWT(String jwt) {
        Claims claims = Jwts.parser()
                .setSigningKey(signKey) // 设置签名密钥
                .parseClaimsJws(jwt) // 解析令牌
                .getBody(); // 获取令牌中的信息
        return claims;
    }
}

优缺点

  • 优点:支持PC端和移动端,解决集群环境下的认证问题,减轻服务器存储压力。
  • 缺点:需要手动实现令牌的生成、传递和校验。

四、统一拦截技术

1. 过滤器(Filter)

原理:过滤器是JavaWeb组件之一,用于在请求到达Servlet之前进行预处理,可以用于登录校验。

在springboot项目中,需要在启动类上添加@ServletComponentScan注解,开启SpringBoot对Servlet组件的支持。

实现代码

@Slf4j
@WebFilter(urlPatterns = "/*") // 拦截所有请求
public class TokenFilter implements Filter {
    @Override
    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) 
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) resp;
        String url = request.getRequestURL().toString();
        if (url.contains("login")) { // 如果是登录请求,直接放行
            chain.doFilter(request, response);
            return;
        }
        String jwt = request.getHeader("token"); // 从请求头中获取JWT令牌
        if (!StringUtils.hasLength(jwt)) { // 令牌为空,返回未授权错误
            response.setStatus(HttpStatus.SC_UNAUTHORIZED);
            return;
        }
        try {
            JwtUtils.parseJWT(jwt); // 校验令牌
        } catch (Exception e) {
            response.setStatus(HttpStatus.SC_UNAUTHORIZED); // 令牌校验失败,返回未授权错误
            return;
        }
        chain.doFilter(request, response); // 令牌校验成功,放行请求
    }
}

2. 拦截器(Interceptor)

原理:拦截器是Spring框架提供的机制,用于在Controller方法执行前后进行拦截处理,也可以用于登录校验。

实现代码

@Slf4j
@Component
public class TokenInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) 
            throws Exception {
        String url = request.getRequestURL().toString();
        if (url.contains("login")) { // 如果是登录请求,直接放行
            return true;
        }
        String jwt = request.getHeader("token"); // 从请求头中获取JWT令牌
        if (!StringUtils.hasLength(jwt)) { // 令牌为空,返回未授权错误
            response.setStatus(HttpStatus.SC_UNAUTHORIZED);
            return false;
        }
        try {
            JwtUtils.parseJWT(jwt); // 校验令牌
        } catch (Exception e) {
            response.setStatus(HttpStatus.SC_UNAUTHORIZED); // 令牌校验失败,返回未授权错误
            return false;
        }
        return true; // 令牌校验成功,放行请求
    }
}

配置拦截器

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Autowired
    private TokenInterceptor tokenInterceptor;
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(tokenInterceptor) // 注册拦截器
                .addPathPatterns("/**"); // 拦截所有请求
    }
}

注:过滤器和拦截器二选一即可。

五、总结

通过引入JWT令牌技术,结合过滤器或拦截器,可以有效地实现Web应用程序的登录校验功能。

这种方法不仅提高了系统的安全性,还简化了开发流程,适用于各种规模的Web应用开发。在实际开发中,可以根据项目需求选择合适的会话跟踪技术和统一拦截方案。

到此这篇关于Springboot项目登录校验功能实现的文章就介绍到这了,更多相关springboot登录校验内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • Java学习之线程同步与线程间通信详解

    Java学习之线程同步与线程间通信详解

    这篇文章主要为大家详细介绍了线程同步和线程之间的通信的相关知识,文中的示例代码讲解详细,对我们学习Java有一定的帮助,感兴趣的可以了解一下
    2022-12-12
  • Gradle快速安装及入门

    Gradle快速安装及入门

    今天小编就为大家分享一篇关于Gradle快速安装及入门,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
    2018-10-10
  • Java LocalDateTime获取时间信息、格式化、转换为数字时间戳代码示例

    Java LocalDateTime获取时间信息、格式化、转换为数字时间戳代码示例

    其实我们在Java项目中对日期进行格式化,主要是利用一些日期格式化类,下面这篇文章主要给大家介绍了关于Java LocalDateTime获取时间信息、格式化、转换为数字时间戳的相关资料,需要的朋友可以参考下
    2023-11-11
  • Java实现PIFrame窗体效果的示例代码

    Java实现PIFrame窗体效果的示例代码

    在很多现代应用中,常常需要使用个性化的窗体外观,摆脱传统窗口边框的限制,无边框、透明、圆角和阴影效果使得窗体显得更轻巧、更具视觉吸引力,同时允许用户自由拖拽和停靠窗体,所以本文给大家介绍了如何使用Java实现PIFrame窗体效果,需要的朋友可以参考下
    2025-03-03
  • java实现点击按钮事件弹出子窗口

    java实现点击按钮事件弹出子窗口

    这篇文章主要为大家详细介绍了java实现点击按钮事件弹出子窗口,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2019-07-07
  • Spring Cloud中FeignClient实现文件上传功能

    Spring Cloud中FeignClient实现文件上传功能

    这篇文章主要为大家详细介绍了Spring Cloud中FeignClient实现文件上传功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2019-04-04
  • Java微信公众平台开发(7) 公众平台测试帐号的申请

    Java微信公众平台开发(7) 公众平台测试帐号的申请

    这篇文章主要为大家详细介绍了Java微信公众平台开发第七步,微信公众平台测试帐号的申请,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2017-04-04
  • Spring boot validation校验方法实例

    Spring boot validation校验方法实例

    这篇文章主要给大家介绍了关于Spring boot validation校验方法的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2021-02-02
  • 详解利用Spring加载Properties配置文件

    详解利用Spring加载Properties配置文件

    本篇文章主要介绍了详解利用Spring加载Properties配置文件,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2017-04-04
  • springboot集成mybatis-plus全过程

    springboot集成mybatis-plus全过程

    本文详细介绍了如何在SpringBoot环境下集成MyBatis-Plus,包括配置maven依赖、application.yaml文件、创建数据库和Java实体类、Mapper层、Service层和Controller层的设置,同时,还涵盖了时间自动填充、分页查询、多对一和一对多的数据库映射关系设置
    2024-09-09

最新评论