登录校验，JWT令牌技术，过滤器（Filter）拦截器（interceptor）

登录功能：

    前端传递json格式的数据。username（用户名）password（密码）。controller层对数据进行接收，由于是接收json格式的数据，所以我们把它封装到一个对象里面，由于登录是员工进行登录，所以我们封装到员工表中，public Result login(@RequestBody Emp emp){}   接收json格式的数据，我们使用@RequestBody注解，封装到对象中。看到返回类型，我们自定义了一个返回的实体类。LoginInfo
    然后调用service层，进行业务处理。调用mapper层接口，把controller传递给service层的emp参数，传递给mapper层，
    mapper层，根据参数对数据库进行查询，返回值类型是emp。如果查询到结果不为null，代表登录成功，查询结果为null，代表查询失败。
    service层根据mapper层的返回结果进行判断，如果返回的emp不是null，则对返回出来的数据进行封装 return new LoginInfo(emp.getId,emp.getUserName,emp.getname,null)，如果查询到没有数据，就返回null。
    由于我们的service1层直接返回了 loginInfo，所以在返回给前端的时候还要进行判断，如果Logininfo不为null，返回Result.success(loginInfo)如果logininfo为null，return Result.error("用户名或密码错误");

引子：

•     虽然我们写了 登录的接口，但是我们测试发现，就算在没有登录的情况下，用户还是可以随便对我们的系统进行访问。
•     我们需要进行登录校验，如果用户登录，我们就下发jwt令牌，然后作为登录的标记，在每次用户请求的时候，都要携带这个jwt令牌，统一拦截器，会根据有没有令牌，进行校验。有就放行，没有就拦截。
•     登录标记：用户登录之后，在后续的每一次请求中，都可以获取到该标记【会话技术】
•     统一拦截：过滤器filter，拦截器interceptor

登录校验：

    会话技术：

        会话：用户打开浏览器，访问web服务器的资源，会话建立，直到有一方断开连接，会话结束。在一次会话中可以包含多次请求和响应。

        会话跟踪：

一种维护浏览器状态的方法，服务器需要识别多次请求是否来自于同一浏览器，以便在同一次会话的多次请求间共享数据。

        会话跟踪方案：

            客户端会话跟踪技术：Cookie

                优点：

•  HTTP协议中支持的技术

                缺点：

• 移动App无法使用Cookie
• 不安全，用户可以自己禁用cookie
• Cookie不能跨域

                区分跨域的三个维度：

•   协议，IP/域名，端口

            服务端会话跟踪技术：Session

                优点：

•  HTTP协议中支持的技术

                缺点：

•   移动端APP无法使用Cookie
•   不安全，用户可以自己禁用Cookie
•    Cookie不能跨域

    JWT令牌：

        优点：

• 支持PC端、移动端
•  解决集群环境下的认证问题
•  减轻服务器端存储压力

        缺点：

            需要自己实现

        全称：

• JSON Web Token （https://jwt.io/）
• 定义了一种简洁的、自包含的格式，用于在通信双方以json数据格式安全的传输信息。

        组成：

•             第一部分：Header(头），记录令牌类型、签名算法等。 例如：{"alg":"HS256","type":"JWT"}
•             第二部分：Payload(有效载荷），携带一些自定义信息、默认信息等。 例如：{"id":"1","username":"Tom"}
•             第三部分：Signature(签名），防止Token被篡改、确保安全性。将header、payload融入，并加入指定秘钥，通过指定签名算法计算而来。

        jwt依赖：

   

<dependency> <groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId> <version>0.9.1</version>
</dependency>

        生成令牌：

            @Test public void testGenJwt() {    Map<String, Object> claims = new HashMap<>();    claims.put("id", 10);    claims.put("username", "itheima");    String jwt = Jwts.builder().signWith(SignatureAlgorithm.HS256, "SVRIRUlNQQ==")    .addClaims(claims)    .setExpiration(new Date(System.currentTimeMillis() + 12*3600*1000))           .compact();    System.out.println(jwt);}

        解析令牌：

            @Testpublic void testParseJwt() {    Claims claims = Jwts.parser().setSigningKey("SVRIRUlNQQ==")            .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MTAsInVzZXJuYW1lIjoiaXRoZWltYSIsImV4cCI6MTY5ODYyMjI1NX0.l6D1WG3...")            .getBody();    System.out.println(claims);}

    过滤器Filter：
        快速入门：
            概念：
                Filter 过滤器，是 JavaWeb 三大组件(Servlet、Filter、Listener)之一。

            过滤器可以把对资源的请求拦截下来，从而实现一些特殊的功能。

            过滤器一般完成一些通用的操作，比如：登录校验、统一编码处理、敏感字符处理等。

            快速操作：
                定义Filter：定义一个类，实现
                    @Slf4j //@WebFilter(urlPatterns = "/*")  // 拦截所有请求
public class DemoFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        log.info("DemoFilter init 方法执行了... ");
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {
        log.info("DemoFilter diFilter 方法执行了 放行前执行...");

        chain.doFilter(servletRequest,servletResponse); //放行

        log.info("DemoFilter diFilter 方法执行了 放行后执行...");
    }

    @Override
    public void destroy() {
        log.info("DemoFilter destory 方法执行了...");
    }
}
                配置Filter：Filter类上加@WebFilter注解，配置拦截路径。引导类上加@ServletComponentScan 开启Servlet组件支持。
                    @ServletComponentScan    //开启spring boot对javaweb组件的支持（filter）
@SpringBootApplication
public class TilasRun {

    public static void main(String[] args) {
        SpringApplication.run(TilasRun.class, args);
    }

}
        详解：
            放行后访问对应资源，资源访问完成后，还会回到Filter中吗？
                会回到filter类中
            如果回到Filter中，是重新执行还是执行放行后的逻辑呢？

                会执行放行后的逻辑
            拦截路径：
                拦截具体路径：
                    /login    只有访问 /login 路径时，才会被拦截。
                目录拦截：
                    /emps/*   只有访问/emps下的所有资源，才会被拦截。
                拦截所有：
                    /*     访问所有资源，都会被拦截
            过滤器链：
                介绍：
                    一个web应用中，可以配置多个过滤器，这多个过滤器就形成了一个过滤器链。
                顺序：
                    注解配置的Filter，优先级是按照过滤器类名（字符串）的自然排序。

        登录校验-Filter：
            所有的请求，拦截到了之后，都需要校验令牌吗？
                有一个例外，登录请求不用拦截。
            拦截到请求后，什么情况下才可以放行，执行操作业务？
                有令牌，且令牌校验通过（合法）；否则都返回未登录错误结果

            步骤：
                1，获取请求url。
2，判断请求url中是否包含login，如果包含，说明是登录操作，放行。
3，获取请求头中的令牌（token）。
4，判断令牌是否存在，如果不存在，响应401。
5，解析token，如果解析失败，响应401 。
6，放行。

    拦截器Interceptor：
        快速入门：
            概念：
                是一种动态拦截方法调用的机制，类似于过滤器。Spring框架中提供的，主要用来动态拦截控制器方法的执行。
            作用：
                拦截请求，在指定的方法调用前后，根据业务需要执行预先设定的代码。

            定义拦截器，实现HandlerInterceptor接口，并重写其所有方法。

            注册拦截器

        详解：
            /*    一级路径    能匹配/depts，/emps，/login，不能匹配 /depts/1

            /**  任意路径   能匹配/depts，/depts/1，/depts/1/2

            /depts/*    /depts下的下一级路径    能匹配/depts/1，不能匹配/depts/1/2，/depts
            /depts/**       /detps下的任意级路径      能匹配/depts，depts/1/2  不能匹配 emps/1
            Filter和interceptot的区别：
                接口规范不同：过滤器需要实现Filter接口，而拦截器需要实现HandlerInterceptor接口。

                拦截范围不同：过滤器Filter会拦截所有的资源，而Interceptor只会拦截Spring环境中的资源。