1.通过拦截器的方式

用户登录时保存我们的账号id和账号type在session中，然后通过过滤器，拦截我们的每一次请求，检查请求的session中是否存在账号id和账号type

登录接口，登录成功后保存session

 //用session保存用户名，并返回登陆成功request.getSession().setAttribute("id", userinfo.getId());request.getSession().setAttribute("type", type);

拦截器代码：

@WebFilter(filterName = "loginCheckFilter", urlPatterns = "/*")
@Slf4j
public class LoginCheckFilter implements Filter {@Autowiredprivate TCompanyService companyService;@Autowiredprivate TUserinfoService userinfoService;//路径匹配器，支持通配符public static final AntPathMatcher PATH_MATCHER = new AntPathMatcher();@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {HttpServletRequest request = (HttpServletRequest) servletRequest;HttpServletResponse response = (HttpServletResponse) servletResponse;//1、获取本次请求的URIString requestURI = request.getRequestURI();// /backend/index.htmllog.info("拦截到请求：{}", requestURI);//定义不需要处理的请求路径String[] urls = new String[]{"/userinfo/phoneCode/**","/util/**",//登陆，下载，登出请求"/Tutil/**",//静态资源页面"/Tuser/**",//静态资源页面"/Tcompany/**",//静态资源页面"/doc.html","/webjars/**","/swagger-resources","/v2/api-docs"};//2、判断本次请求是否需要处理boolean check = check(urls, requestURI);//3、如果不需要处理，则直接放行if (check) {log.info("本次请求{}不需要处理", requestURI);filterChain.doFilter(request, response);return;}//判断登录状态，如果已登录，则直接放行if (request.getSession().getAttribute("id") != null) {int id = (int) request.getSession().getAttribute("id");int type = (int) request.getSession().getAttribute("type");if (type == 1) {log.info("用户已登录，------管理员");}if ((type == 2)) {log.info("用户已登录，-----企业用户");}if ((type == 3)) {log.info("用户已登录，------普通用户");}filterChain.doFilter(request, response);return;}log.info("用户未登录");return;}/*** 路径匹配，检查本次请求是否需要放行** @param urls* @param requestURI* @return*/public boolean check(String[] urls, String requestURI) {for (String url : urls) {boolean match = PATH_MATCHER.match(url, requestURI);if (match) {return true;}}return false;}

用户登录时生成token中，然后通过过滤器，拦截我们的每一次请求，检查请求的token是否正确

2通过注解+AOP的方式

先自定义一个注解用来作为我们AOP的切入点（pointcut），然后给我们的切面类定义一个验证token的方法（即当使用了注解的类或者方法，就会执行我们的aop切面方法）

自定义注解：

@Documented
@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserTokenAware {}

切面类:

@Component
@Aspect
public class UserTokenAwareAspect {@Pointcut(value = "@within(com.x7sy.microservice.small.account.mgmt.annotation.UserTokenAware)")public void pointCut() {// do nothing}@Before(value = "pointCut()")public void beforeProcess() {//验证token代码}
}

然后再我们的方法上加上注解@UserTokenAware 就可以进行token验证了

3.token鉴权

4.session和token的区别

1、session只是一种会话，token是接口层面的一种校验机制
2、token在多个会话中可以使用
3、token可以跨平台，跨域实现
4、session一般是存储在内存中，每个用户通过认证后，会存储到内存中，当用户量增大，服务器的压力会增大
5、session 不能扩展性，比如搭建了多个服务器，虽然每个服务器执行同样的逻辑，但是session数据是保存在内存中，不能共享的，到另外一台服务器上面时，会判定该用户未登录过