会话技术

会话：用户打开浏览器，访问Wb服务器的资源，会话建立，直到有一方断开连接，会话结束。在一次会话中可以包含多次请求和响应。
会话跟踪：一种维护浏览器状态的方法，服务器需要识别多次请求是否来自于同一浏览器，以便在同一次会话的多次请求间共享数据。
1客户端会话跟踪技术：Cookie

2服务端会话跟踪技术：Session

3令牌技术

JWT令牌

场景：登录认证。
①登录成功后，生成令牌
②后续每个请求，都要携带WT令牌，系统在每次请求处理之前，先校验令牌，通过后，再处理

<!--        jwt令牌-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>

@Test
public void genJwt() {Map<String, Object> claims = new HashMap<>();claims.put("id", 1);claims.put("username", "Tom");String jwt = Jwts.builder() .setClaims(claims)//自定义内容（载荷）.signWith(SignatureAlgorithm.HS256, "itheima")//签名算法.setExpiration(new Date(System.currentTimeMillis() + 12 * 3600 * 1000)) //有效期.compact();System.out.println(jwt);}@Test
public void parser(){Claims claims = Jwts.parser().setSigningKey("itheima").parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwiZXhwIjoxNzA5NzM4NjMyLCJ1c2VybmFtZSI6IlRvbSJ9.GL9IBaHRBjRiFa3eH0c3EnrdJrj4klenc1j5x2PrOLo").getBody();System.out.println(claims);
}

JWT校验时使用的签名秘钥，必须和生成WT令牌时使用的秘钥是配套的。
如果WT令牌解析校验时报错，则说明WT令牌被篡改或失效了，令牌非法。

过滤器（Filter）

概念：Filter过滤器，是JavaWeb三大组件(Servlet、Filter、Listener)之一。
过滤器可以把对资源的请求拦截下来，从而实现一些特殊的功能。
过滤器一般完成一些通用的操作，比如：登录校验、统一编码处理、敏感字符处理等。

package com.itheima.filter;import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import java.io.IOException;@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter {@Overridepublic void init(FilterConfig filterConfig) throws ServletException {Filter.super.init(filterConfig);System.out.println("拦截器初始化了---");}@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {System.out.println("拦截住了----");//放行filterChain.doFilter(servletRequest,servletResponse);}@Overridepublic void destroy() {Filter.super.destroy();System.out.println("拦截器销毁了----");}
}

过滤器链

过滤器的执行顺序是根据类名实现来排序的

拦截器（Interceptor）

概念：是一种动态拦截方法调用的机制，类似于过滤器。Spring框架中提供的，用来动态拦截控制器方法的执行。
作用：拦截请求，在指定的方法调用前后，根据业务需要执行预先设定的代码。

package com.itheima.config;import com.itheima.interceptor.LoginCheckInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration //配置类
public class WebConfig implements WebMvcConfigurer {@Autowiredprivate LoginCheckInterceptor loginCheckInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(loginCheckInterceptor).addPathPatterns("/**").excludePathPatterns("/login");}
}

package com.itheima.interceptor;import com.alibaba.fastjson.JSONObject;
import com.itheima.pojo.Result;
import com.itheima.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;@Slf4j
@Component
public class LoginCheckInterceptor implements HandlerInterceptor {@Override //目标资源方法运行前运行, 返回true: 放行, 放回false, 不放行public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object handler) throws Exception {//1.获取请求url。String url = req.getRequestURL().toString();log.info("请求的url: {}",url);//2.判断请求url中是否包含login，如果包含，说明是登录操作，放行。if(url.contains("login")){log.info("登录操作, 放行...");return true;}//3.获取请求头中的令牌（token）。String jwt = req.getHeader("token");//4.判断令牌是否存在，如果不存在，返回错误结果（未登录）。if(!StringUtils.hasLength(jwt)){log.info("请求头token为空,返回未登录的信息");Result error = Result.error("NOT_LOGIN");//手动转换 对象--json --------> 阿里巴巴fastJSONString notLogin = JSONObject.toJSONString(error);resp.getWriter().write(notLogin);return false;}//5.解析token，如果解析失败，返回错误结果（未登录）。try {JwtUtils.parseJWT(jwt);} catch (Exception e) {//jwt解析失败e.printStackTrace();log.info("解析令牌失败, 返回未登录错误信息");Result error = Result.error("NOT_LOGIN");//手动转换 对象--json --------> 阿里巴巴fastJSONString notLogin = JSONObject.toJSONString(error);resp.getWriter().write(notLogin);return false;}//6.放行。log.info("令牌合法, 放行");return true;}@Override //目标资源方法运行后运行public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {System.out.println("postHandle ...");}@Override //视图渲染完毕后运行, 最后运行public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {System.out.println("afterCompletion...");}
}

接口规范不同：过滤器需要实现Filter接口，而拦截器需要实现Handlerlnterceptor接口。
拦截范围不同：过滤器Filter:会拦截所有的资源，而Interceptor只会拦截Spring环境中的资源。