小明：老王，最近我在研究一个学工系统的登录功能，听说这个系统在浙江很多高校都在用，你对这方面的技术有了解吗？

老王：嗯，是的。浙江的高校普遍使用学工系统来管理学生信息、课程安排和日常事务。登录功能是整个系统的核心之一，必须保证安全性、稳定性和用户体验。

小明：那你们是怎么实现登录功能的呢？有没有什么特别的技术点？

老王：我们通常会用Spring Boot框架来搭建后端服务，前端可能用Vue或者React。登录流程大致分为：用户输入账号密码 → 后端验证 → 生成Token（比如JWT）→ 前端保存Token并进行后续请求。

小明：那JWT是什么？为什么选择它而不是其他方式？

老王：JWT（JSON Web Token）是一种开放标准，用于在网络应用间安全地传递信息。相比传统的Session机制，JWT更加轻量，不需要服务器存储Session数据，适合分布式系统。

小明：哦，明白了。那在浙江的学工系统中，登录功能有没有什么特殊的考虑？比如多校区、多部门？

老王：确实有。浙江的高校往往有多个校区，甚至有些学校还有附属学院。因此，登录系统需要支持多租户架构，确保不同校区或部门的数据隔离。

小明：多租户架构怎么实现呢？

老王：我们可以用数据库的Schema来区分不同租户，或者在用户表中添加一个tenant_id字段。登录时，根据用户输入的账号判断属于哪个租户，再进行相应的权限校验。

小明：听起来挺复杂的。那有没有什么代码示例可以参考？

老王：当然有。下面是一个简单的登录接口实现，用的是Spring Boot和JWT。

// 登录接口
@RestController
@RequestMapping("/api/auth")
public class AuthController {

    @Autowired
    private UserService userService;

    @PostMapping("/login")
    public ResponseEntity login(@RequestBody LoginRequest request) {
        User user = userService.findByUsername(request.getUsername());
        if (user == null || !user.getPassword().equals(request.getPassword())) {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("用户名或密码错误");
        }

        String token = JWTUtil.generateToken(user.getUsername(), user.getTenantId());
        return ResponseEntity.ok().body(Map.of("token", token));
    }
}
    

小明：这段代码看起来不错，但有没有更详细一点的说明？比如JWT生成的部分？

老王：好的，我来给你展示一下JWT工具类的实现。

public class JWTUtil {

    private static final String SECRET_KEY = "your-secret-key-here";
    private static final long EXPIRATION_TIME = 86400000; // 24小时

    public static String generateToken(String username, String tenantId) {
        return Jwts.builder()
                .setSubject(username)
                .claim("tenantId", tenantId)
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();
    }

    public static String getUsernameFromToken(String token) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody()
                .getSubject();
    }

    public static String getTenantIdFromToken(String token) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody()
                .get("tenantId", String.class);
    }
}
    

小明：明白了，这样就能在每个请求中获取用户的租户信息了。那登录过程中如何防止暴力破解？

老王：这是个好问题。我们可以采用一些措施，比如限制登录尝试次数、使用验证码、设置IP黑名单等。

小明：那有没有具体的实现方式？比如限制登录次数？

老王：我们可以用Redis来记录用户登录失败的次数，如果超过一定次数就暂时锁定账户。

// 登录失败处理
public void handleLoginFailure(String username) {
    String key = "login:fail:" + username;
    Long count = redisTemplate.opsForValue().increment(key);
    if (count != null && count >= 5) {
        // 锁定账户
        userService.lockUser(username);
        redisTemplate.delete(key);
    } else {
        redisTemplate.expire(key, 1, TimeUnit.HOURS); // 1小时后自动解锁
    }
}
    

小明：看来这些技术细节都很重要。那在实际部署中，是否还需要考虑安全性问题？比如HTTPS、防止SQL注入等？

老王：当然。首先，所有通信必须使用HTTPS，避免明文传输密码。其次，使用预编译语句防止SQL注入，比如在MyBatis中使用#{}而不是${}。

小明：那在浙江地区的学工系统中，有没有统一的登录规范？比如认证方式、权限控制等？

老王：是的，浙江省教育厅可能会有一些统一的标准，比如要求使用OAuth2.0或者单点登录（SSO）。不过大多数高校还是以自建系统为主，所以具体实现各有差异。

小明：那如果我要开发一个类似的系统，应该从哪里开始？

老王：建议先做需求分析，明确用户角色、权限等级、登录方式等。然后选择合适的技术栈，比如Spring Boot + Vue + JWT + Redis。接着设计数据库模型，实现登录逻辑，最后测试和部署。

小明：谢谢你的讲解，我对学工系统的登录功能有了更深的理解。

老王：不客气，如果你有更多问题，随时来找我讨论。