登录-10.Filter-登录校验过滤器

一.登录校验过滤器的实现思路

我们要实现登录校验过滤器，就要首先明白登录校验过滤器的实现思路。登录校验过滤器是用来实现登录校验的。那么首先思考第一个问题，所有的请求都需要校验吗？

答案是否定的，因为login请求就不需要过滤器校验，因为登录请求本身就不携带JWT令牌，登录的目的就是为了获取JWT令牌用于后续的校验，如果login请求也需要校验的话，那么将没有用户可以登录成功进而访问服务器中的资源。因此登录请求"/login"是不需要校验的，要直接放行。

下面思考第二个问题，当我们拦截到请求后，什么情况下才可以放行？答案是当拦截到的请求中的请求头header所携带的JWT令牌存在且有效时才能够放行执行业务操作，只要不存在或者无效，那么就不会放行执行操作，从而跳转到登录页面。

基于以上分析，我们绘制出登录校验过滤器的流程分析图。

二.代码实现

package com.gjw.filter;


import com.alibaba.fastjson.JSONObject;
import com.gjw.pojo.Result;
import com.gjw.util.JwtUtils;
import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;

import java.io.IOException;

@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {


    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;

        // 1.获取请求的url
        String requestURL = request.getRequestURL().toString();
        log.info("获取请求的URL：{}",requestURL);

        // 2.判断url中是否包含"login"
        if (requestURL.contains("login")) {
            log.info("登录操作，直接放行......");
            // 如果包含，直接放行
            filterChain.doFilter(servletRequest,servletResponse);
            return;
        }

        // 3.不包含则获取JWT令牌并检验
        String jwt = request.getHeader("token");

        // 4.检验JWT令牌是否存在，如果不存在，则返回错误结果(未登录)
        if(!StringUtils.hasLength(jwt)) {   // jwt不存在或者为null，返回false
            log.info("请求头token为空，返回登录页面......");
            Result error = Result.error("NOT_LOGIN");
            String notLogin = JSONObject.toJSONString(error);// 没有RestController注解，无法将直接return的数据以JSON格式返回，需要强转为JSON  手动转换：对象----->JSON格式的数据
            response.getWriter().write(notLogin);  // 通过response对象返回JSON格式的数据
            return;
        }

        // 5.如果存在，校验JWT令牌是否正确，如果解析失败，则返回错误结果(未登录)
        try {
            JwtUtils.parseJWT(jwt);     // 解析成功放行
        } catch (Exception e) {     // 失败捕获异常
            e.printStackTrace();
            log.info("解析失败，返回未登录的错误信息......");
            Result error = Result.error("NOT_LOGIN");
            String notLogin = JSONObject.toJSONString(error);// 没有RestController注解，无法将直接return的数据以JSON格式返回，需要强转为JSON  手动转换：对象----->JSON格式的数据
            response.getWriter().write(notLogin);  // 通过response对象返回JSON格式的数据
            return;
        }
        // 6.JWT令牌存在且解析成功，放行
        log.info("令牌合法，放行。");
        filterChain.doFilter(servletRequest,servletResponse);

    }
}

1.获取请求的url

我们首先要获取到请求的url地址，为了获取请求的url地址，需要将ServletRequest和ServletResponse强转为HttpServletRequest和HttpServletResponse。强转后通过调用HttpServletRequest的getRequestURL()方法获取URL路径。

2.判断url中是否包含"login"

获取到URL路径后，接下来我们首先要判断路径中是否包含关键字"login"，如果包含，那么证明该请求是一个登录请求，直接放行即可。使用doFilter方法将HttpServletRequest和HttpServletResponse对象传递进去。然后使用return直接结束该方法。

3.不包含则获取JWT令牌并检验

如果不包含关键字"login"，那么证明该请求不是一个登录请求，那么就进行下面两部判断：

首先获取该请求中请求头header的token字段，从而获取到JWT令牌，然后判断JWT令牌是否存在。使用request.getHeader("token")来获取JWT令牌的字符串。

4.检验JWT令牌是否存在，如果不存在，则返回错误结果(未登录)

如果不存在，即使用StringUtils工具类的hasLength方法(空串或者null返回false，有值返回true)判断结果为空串或者null，取反后(!)为true。

我们与前端约定好的

那么调用Result结果封装类中的error方法，传递一个"NOT_LOGIN"。但是我们要响应给前端的是一个JSON格式的数据，那么如何将这个Result对象转为JSON再响应给前端呢？在controller当中我们可以使用注解@RestController，会自动将方法的返回值转为JSON格式的数据返回回去，但是现在是在Filter过滤器当中，因此要手动转换。我们可以使用alibaba提供的fastJSON的工具包，首先引入依赖

<dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>2.0.52</version>
</dependency>