JAVA基于Session认证

最新推荐文章于 2025-05-27 10:47:23 发布
最新推荐文章于 2025-05-27 10:47:23 发布
阅读量1.4k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: 认证 文章标签: java 后端 html5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38121868/article/details/122123291

目录

一、概念

二、认证流程

三、鉴权流程

 四、缺点

五、实现代码

5.1 项目结构

5.2 pom.xml

 5.3 application.yml

5.4 login.html

5.5 entity

5.5.1 UserDto

5.5.2 AuthenticationRequest.java

5.6 config

5.6.1 WebAppConfugurer

5.6.2 SimleAuthenticationInterceptor

5.7 service

5.7.1 AuthenticationService

5.7.2 AuthenticationServiceImpl

5.8 Controller

5.8.1 LoginController

5.8.2 UserController

5.9 效果

六、参考文章 

一、概念

        Session 是一种HTTP存储机制,目的是为无状态的HTTP提供的持久机制。所谓 Session 认证只是简单的把 User 信息存储到 Session 里,因为 SID 的不可预测性,暂且认为是安全的。这是一种认证手段。

二、认证流程

640?wx_fmt=other

  • 用户输入其登录信息

  • 服务器验证信息是否正确,并创建一个session,然后将其存储在数据库中

  • 服务器为用户生成一个sessionId,将具有sesssionId的Cookie将放置在用户浏览器中

  • 在后续请求中,会根据数据库验证sessionID,如果有效,则接受请求

  • 一旦用户注销应用程序,会话将在客户端和服务器端都被销毁

三、鉴权流程

  • 流程图如下

    • 在整个流程中有两个拦截器。
    • 第一个拦截器AuthInteceptor是为了每一次的请求的时候都先去session中取user对象,如果session中有,就放user对象到threadlocal中。这是为了业务处理的时候能直接获取用户对象。
    • 第二个拦截器AuthActionInteceptor是先看页面是否需要登录,如果不需要登录,则直接进行业务逻辑处理;如果需要登录,则判断是否已经登录(UserContext.getUser()是否为空),没有登录则重定向到登录页面,登录后是会把用户信息放到session当中的 。

 四、缺点

  • 1).sessio需要存在服务器内存中,这样就不能跨实例共享。当下一次请求被分发到另一个实例的时候,就会造成重新登录。
  • 2).在高并发情况下,session放在内存中受限于内存的大小
  • 3).session依赖于浏览器的cookie机制,对于移动客户端就很难支持。移动端使用token

五、实现代码

5.1 项目结构

5.2 pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.6.2</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.session.test</groupId>
    <artifactId>sessiontest</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>sessiontest</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!--thymeleaf模板引擎-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
            <!--<version>1.4.0.RELEASE</version>-->
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <configuration>
                    <excludes>
                        <exclude>
                            <groupId>org.projectlombok</groupId>
                            <artifactId>lombok</artifactId>
                        </exclude>
                    </excludes>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-resources-plugin</artifactId>
                <version>3.1.0</version>
            </plugin>
        </plugins>
    </build>

</project>

 5.3 application.yml

server:
  port: 8080
spring:
  thymeleaf:
    mode: LEGACYHTML5
  main:
    #默认支持名称相同的bean的覆盖
    allow-bean-definition-overriding: true
user:
  key: SESSION_USER_KEY

5.4 login.html

<!DOCTYPE html>
<html lang="zh" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">
<head><title>用户登录</title></head>
<body>
<form action="/login" method="post">
    姓名:<input type="text" name="username"><br>
    密码:<input type="password" name="password"><br> <input type="submit" value="登录">
</form>
</body>
</html>

5.5 entity

5.5.1 UserDto

package com.session.test.sessiontest.entity;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

import java.util.Set;

/**
 * @author sujm
 * @date 2021/12/22 16:50
 */
@Data
@AllArgsConstructor
@NoArgsConstructor
public class UserDto {

    private String id;

    private String username;

    private String password;

    private String fullname;

    private String mobile;

    private Set<String> authorities;
}

5.5.2 AuthenticationRequest.java

package com.session.test.sessiontest.entity;

import lombok.Data;

/**
 * @author sujm
 * @date 2021/12/22 16:49
 */
@Data
public class AuthenticationRequest {
    /**
     * 用户名
     */
    private String username;
    /**
     * 密码
     */
    private String password;
}

5.6 config

5.6.1 WebAppConfugurer

package com.session.test.sessiontest.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@EnableWebMvc
@Configuration
public class WebAppConfigurer implements WebMvcConfigurer {


    @Bean
    SimpleAuthenticationInterceptor simpleAuthenticationInterceptor() {
        return new SimpleAuthenticationInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 可添加多个
        registry.addInterceptor(simpleAuthenticationInterceptor()).addPathPatterns("/r/*");
    }
}

5.6.2 SimleAuthenticationInterceptor

package com.session.test.sessiontest.config;

import com.session.test.sessiontest.entity.UserDto;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

@Component
@Slf4j
public class SimpleAuthenticationInterceptor implements HandlerInterceptor {

    @Value("${user.key}")
    private String userKey;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //读取会话信息
        System.out.println(userKey);
        Object object = request.getSession().getAttribute(userKey);
        if (object == null) {
            log.info("请登录");
            writeContent(response, "请登录");
            return false;
        }
        log.info("object ={}",object);
        UserDto user = (UserDto) object;
        //请求的url
        String requestURI = request.getRequestURI();
        if (user.getAuthorities().contains("p1") && requestURI.contains("/r1")) {
            return true;
        }
        if (user.getAuthorities().contains("p2") && requestURI.contains("/r2")) {
            return true;
        }
        log.info("权限不足,拒绝访问");
        writeContent(response, "权限不足,拒绝访问");
        return false;
    }

    private void writeContent(HttpServletResponse response, String msg) throws IOException {
        response.setContentType("text/html;charset=UTF-8");
        PrintWriter writer = response.getWriter();
        writer.print(msg);
        writer.close();
    }
}

5.7 service

5.7.1 AuthenticationService

package com.session.test.sessiontest.service;

import com.session.test.sessiontest.entity.AuthenticationRequest;
import com.session.test.sessiontest.entity.UserDto;

public interface AuthenticationService {
    UserDto authentication(AuthenticationRequest authenticationRequest);
}

5.7.2 AuthenticationServiceImpl

package com.session.test.sessiontest.service;

import com.session.test.sessiontest.entity.AuthenticationRequest;
import com.session.test.sessiontest.entity.UserDto;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Service;
import org.springframework.util.ObjectUtils;
import org.springframework.util.StringUtils;

import java.util.*;

@Service
@Slf4j
public class AuthenticationServiceImpl implements AuthenticationService {
    //用户信息
    private Map<String, UserDto> userMap = new HashMap<>();

    {
        Set<String> authorities1 = new HashSet<>();
        authorities1.add("p1");
        Set<String> authorities2 = new HashSet<>();
        authorities2.add("p2");
        userMap.put("zhangsan", new UserDto("1010", "zhangsan", "123", "张 三", "133443", authorities1));
        userMap.put("lisi", new UserDto("1011", "lisi", "456", "李四", "144553", authorities2));
        userMap.put("admin", new UserDto("1012", "admin", "123", "李四", "144553",null));
    }

    @Override
    public UserDto authentication(AuthenticationRequest authenticationRequest) {

        Optional.ofNullable(authenticationRequest).orElseThrow(() -> new RuntimeException("账号信息为空"));
        String password = authenticationRequest.getPassword();
        String username = authenticationRequest.getUsername();
        if (StringUtils.isEmpty(password) || StringUtils.isEmpty(username)) {
            throw new RuntimeException("用户名密码为空");
        }
        UserDto userDto = getUserDto(username);
        if (ObjectUtils.isEmpty(userDto)) {
            throw new RuntimeException("用户信息不存在");
        }
        return userDto;
    }

    public UserDto getUserDto(String username) {
        return userMap.get(username);
    }

}

5.8 Controller

5.8.1 LoginController

package com.session.test.sessiontest.controller;

import com.session.test.sessiontest.entity.AuthenticationRequest;
import com.session.test.sessiontest.entity.UserDto;
import com.session.test.sessiontest.service.AuthenticationService;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import javax.annotation.Resource;
import javax.servlet.http.HttpSession;

/**
 * @author sujm
 * @date 2021/12/22 17:02
 */
@Controller
public class LoginController {
    @Resource
    private AuthenticationService authenticationService;

    @Value("${user.key}")
    private String userKey;

    @GetMapping("/goLogin")
    public String goLogin() {
        return "user/login";
    }

    @PostMapping(path = "/login", produces = "text/html;charset=UTF-8")
    @ResponseBody
    public String login(AuthenticationRequest authenticationRequest, HttpSession session) {
        UserDto userDetails = authenticationService.authentication(authenticationRequest);
        System.out.println("登录" + userKey);
        session.setAttribute(userKey, userDetails);
        return userDetails.getUsername() + "登录成功";
    }

    @GetMapping(value = "logout")
    @ResponseBody
    public String logout(HttpSession session) {
        session.invalidate();
        return "退出成功";
    }
}

5.8.2 UserController

package com.session.test.sessiontest.controller;

import com.session.test.sessiontest.entity.UserDto;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpSession;

@RestController
public class UserController {

    @Value("${user.key}")
    private String userKey;

    /*** 测试资源1 * @param session * @return
     * 登陆成功之后,直接访问这个地址测试即可
     * */
    @GetMapping(value = "/r/r1")
    public String r1(HttpSession session) {
        String fullname = null;
        Object userObj = session.getAttribute(userKey);
        if (userObj != null) {
            fullname = ((UserDto) userObj).getFullname();
        } else {
            fullname = "匿名";
        }
        return fullname + " 访问资源1";
    }

    @GetMapping(value = "/r/r2",produces = {"text/html;charset=UTF-8"})
    public String r2(HttpSession session) {
        String fullname = null;
        Object userObj = session.getAttribute(userKey);
        if (userObj != null) {
            fullname = ((UserDto) userObj).getFullname();
        } else {
            fullname = "匿名";
        }
        return fullname + " 访问资源2";
    }
}

5.9 效果

六、参考文章 

基于jwt和session用户认证的区别和优缺点_Java笔记虾-CSDN博客   基于Session的认证方式_一个人的江湖-CSDN博客_session认证  基于session和token的身份认证方案 - 开拖拉机的蜡笔小新 - 博客园

                    

【微服务|Spring Security③】基于Session认证方式|实现认证功能
我想做一个艺术家
07-08 699
基于Session认证方式|实现认证功能 以上的测试全部符合预期,到目前为止最基础的认证功能已经完成,它仅仅实现了对用户身份凭证的校验,若某用户认证成功,只能说明他是该系统的一个合法用户,仅此而已。...
java通过session判断该用户是否具有该功能的操作权限_RBAC——权限
weixin_39948442的博客
12-11 1197
什么是 RBACRBAC(Role-BasedAccessControl )基于角色的访问控制。 RBAC 认为权限的过程可以抽象概括为: 判断【Who 是否可以对 What 进行 How 的访问操作(Operator)】 Who:权限的拥用者或主体 What:权限针对的对象或资源 How:具体的权限 Operator:操作。表明对 What 的 How 操作。也就是 Privilege+Reso...
javaweb用户验证码登录session例子
10-04
javaweb中用到的用户密码验证码一体的登录例子,主要是利用session原理的例子。
java session登陆验证_java之登陆验证
weixin_39626181的博客
02-16 649
首先给大家抱歉,最近比较忙没有更新博客,家里有点喜事;比较忙加上工作原因没有给大家分享;今天给大家分享一段首先在登陆页面判断是否登录成功,登陆成功了则把登陆成功的信息放如session中,在login界面中加上这一段if ("login".equals(command)) {String userId = request.getParameter("userId");String password...
【node】Session认证机制
最新发布
jiaworld的博客
05-27 350
身份认证指通过一定的手段,完成对用户身份的确认。web开发中常见的身份认证:手机验证码登录、邮箱密码登录、二维码登录等。不同开发模式进行身份认证服务端渲染推荐使用Session认证机制前后端分离推荐使用JWT认证机制Cookie是存储在用户浏览器的一段不超4KB的字符串,它由一个==名称==、一个==值==和其它用户控制Cookie==有效期==、==安全性==、==使用范围==的可选属性组成。
java session 登录验证_JavaWeb学习记录(六)——用户登录功能之Session与验证码验证功能的实现...
weixin_29722783的博客
02-12 424
一、产生验证码的工具类package blank.util;import java.awt.Color;import java.awt.Graphics;import java.awt.image.BufferedImage;import java.util.Random;import javax.servlet.http.HttpServletRequest;import javax.servl...
java 登录编程_Java编程通过session访问需要登录的页面
weixin_39761558的博客
02-26 295
使用Java访问一般网页,进行数据抓取等比较简单,直接用URL和URLConnection连接所需要的网站地址即可,然后对返回的html源码进行处理分析,获取感兴趣的内容。不过如果是需要登录后才能访问的网页就不能直接传入网站url进行连接了,一般网页会自动跳转到登录页面,要求先登录。另外,即使先在登录页面进行了登录,然后再转到要登录才能访问的网页时,如果没在第二次连接中加入之前登录成功后的sess...
java session 登录验证_JavaWeb开发中session会话登录身份验证的实现方式(java过滤器)...
weixin_35828357的博客
02-16 826
java Web系统的开发中我们常常要使用登录身份的验证工作,比如登录一个会员模块后保存session会话到服务端,以后每次请求时都对该会话进行验证,以保证此次访问时有效登录后发生的请求,从而给与响应和反馈。一般情况下我们可以使用这种方式进行身份验证。这里我们谈另一种实现方式:过滤器实现方式:@WebFilter(description="过滤会员登录jsp,act请求并检验登录session"...
基于Session认证与授权实践
Java_zhujia的博客
12-11 632
基于 session认证方式如下图:​基于 Session认证机制由 Servlet 规范定制,Servlet 容器已实现,用户通过 HttpSession 的操作方法即可实现,如下是 HttpSession 相关的操作API。本项目使用 maven 搭建,使用 SpringMVC、Servlet3.0 实现。创建maven工程导入依赖 Servlet Context配置本案例采用 Servlet3.0 无 web.xml 方式,在 config 包下定义 WebConfig.java,它对应于
(一)基于Session认证方式
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 784
创建工程 本案例工程使用maven进行构建,使用SpringMVC、Servlet3.0实现。 创建maven工程 security-springmvc,工程结构如下: 引入如下依赖如下,注意: 1、由于是web工程,packaging设置为war 2、使用tomcat7-maven-plugin插件来运行工程 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0"
java实现基于token认证
who_im_i的博客
07-21 431
随着互联网的不断发展,技术的迭代也是非常的快。用户认证也从刚开始的用户名密码转变到基于cookie的session认证,然而到了今天,随着分布式,微服务的快速发展,这种认证已经很难满足与我们的业务需求了。所以我们需要另外一种认证方式:基于token的认证
阐述Spring security实现用户认证授权的原理----基于session实现认证的方式
weixin_45856470的博客
05-18 635
fa
利用Session验证是否用户登录
08-14
利用Session验证用户登录,及Session的一些常见用法
java session登陆验证_java web 程序---登陆验证session。提示登陆
weixin_29261711的博客
02-13 131
loigin.jspMy JSP 'login.jsp' starting page账号:密码:check.jspMy JSP 'check.jsp' starting pageString name=request.getParameter("user");String pass=request.getParameter("pass");if(name.equals("abc")&&am...
java session 登录验证_JavaWeb使用Session和Cookie实现登录认证
weixin_35965062的博客
02-16 684
后台管理页面往往需要登录才可以进行操作,这时就需要Seession来记录登录状态要实现起来也是非常简单,只需要自定义一个HandlerInterceptor就行了自定义的HandlerInterceptor也只有短短几行代码public class LoginInterceptor implements HandlerInterceptor {@Overridepublic void afterC...
java session登录验证码_通过Session案例分析一次性验证码登录
weixin_29163581的博客
02-13 613
验证码的实现原理:在一个Servlet中生成验证,并把验证码上的数据保存在Session,用户提交验证码之后,会提交给另外一个Servlet程序。在获取用户提交数据的Servlet中的从Session中把验证码取出,在取出的同时从Session中把验证码删除。1.注册页面:register.jspString basePath = request.getScheme()+"://"+request...
Day03【Response】综合案例-图片验证码(新开发方式)
翁老师的教学团队
09-09 884
图片验证码效果 Servlet随机生成一个字符串,然后将字符串转成图片,通过响应的字节流写到浏览器的img标签 图片验证码分析 图片验证码的业务逻辑 test\java\com\wzx\service\TestVerificationCodeService.java public class TestVerificationCodeService { @Test public void test01() throws IOException { //1:创建一个验证码的业
javaweb中session实现用户登录界面
m0_55680183的博客
11-17 1416
<%@ page language="java" contentType="text/html; charset=utf-8" pageEncoding="utf-8"%> <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <meta http-equiv="Con
java登录验证(session机制)
m0_53611007的博客
08-08 2317
@RequestMapping("login") public String login(Model model, @RequestBody Member member) { Site site = frontUtils.loadSite(); List<Member> members = memberService.getMembers(member); if(members.size()>0){ htt..
java实现登录功能 springboot 基于session
10-01
在Spring Boot中实现基于Session的用户登录功能通常涉及以下几个步骤: 1. **配置WebApplicationContext**: 首先,在Spring Boot应用中启用Web支持,添加`spring-boot-starter-web`依赖。在`application....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值