登录认证（复习Javaweb的登录校验）

登录功能

思路就是loginController->service层->mapper层，从数据库中查找username和password是否和前端用户提交的表单内容一致，一致就登录成功，否则就返回登录失败的信息。

登录校验

以下是基础部分：
为什么？
这一步是因为上一步登录功能中有bug，如果输入系统内部的某个网址，可以直接访问，而不是跳转到登录页面。
问题：
http每次请求都是独立的，所以当前端是depts或者emps请求时，后端服务器不知道用户是否登录了，所以需要一个登陆标记和统一拦截，图下图，登录后存一下登录标记，然后请求其他页面时，统一拦截模块就取出登录标记，看是否有，没有的话就跳转到登录页面。
解决方案：

• 统一拦截技术：过滤器Filter和 拦截器Interceptor
• 登录标记：会话技术

一、会话技术

同一个浏览器是一次会话，一次会话里可以有多个请求，比如登录进去后访问别的页面。

1.使用cookie会话跟踪：

第一次浏览器向服务器发出请求的时候设置一个cookie，然后服务器将用户数据存到里面，响应的时候返回cookie给浏览器，浏览器将cookie值存储到本地，之后每次请求都将本地的cookie值发给服务器，然后服务器就检查cookie的值是否存在，存在就说明登录过了，不存在就没登陆过。
cookie无法跨域（端口号，IP/域名，协议一个不一样就是跨域）

2. session会话跟踪：

session是基于cookie进行的，浏览器请求时，服务器生成一个session（有唯一的JsessionId）,然后将JsessionId放到cookie中返回给浏览器，下一次请求，服务器查询JsessionID来看是否登录过。

cookie的例子：

session的例子

3.令牌技术（企业使用）

用户登陆后生成JWT令牌，下发给客户端，客户端进行存储（存LocalStorge中），每次请求时将令牌携带到客户端，服务器收到请求后进行统一拦截，并获取令牌对其进行校验，有效则访问对应的业务
JWT
就是对Json进行安全的封装

生成JWT令牌（Java）

校验JWT令牌（Java）

三种技术对比

在登录中增加校验功能：

将令牌会存储到LocalStorge中了（前端做）

二、统一拦截技术

例子：


Filter链
调用chain.doFilter
优先级按照类名的字母排序执行

登录校验加过滤器

comcat不能识别spring的controller但是可以识别servlet的程序，spring提供了DispatcherServlet
在这里插入图片描述

Interceptor是spring提供的，拦截范围更小，Filter拦截范围更大