SpringBoot 统一功能处理:用户登录权限校验-拦截器、异常处理、数据格式返回

最新推荐文章于 2024-09-29 11:00:13 发布
最新推荐文章于 2024-09-29 11:00:13 发布
阅读量1.2k 收藏 6
点赞数
文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77463738/article/details/130690011
版权

​​​​

  •  

 

 

本篇将要学习 Spring Boot 统一功能处理模块,这也是 AOP 的实战环节

  • 用户登录权限的校验实现接口 HandlerInterceptor + WebMvcConfigurer

  • 异常处理使用注解 @RestControllerAdvice + @ExceptionHandler

  • 数据格式返回使用注解 @ControllerAdvice 并且实现接口 @ResponseBodyAdvice

1. 统一用户登录权限效验

用户登录权限的发展完善过程

  • 最初用户登录效验: 在每个方法中获取 Session 和 Session 中的用户信息,如果存在用户,那么就认为登录成功了,否则就登录失败了

  • 第二版用户登录效验: 提供统一的方法,在每个需要验证的方法中调用统一的用户登录身份效验方法来判断

  • 第三版用户登录效验: 使用 Spring AOP 来统一进行用户登录效验

  • 第四版用户登录效验: 使用 Spring 拦截器来实现用户的统一登录验证

1.1 最初用户登录权限效验

@RestController
@RequestMapping("/user")
public class UserController {

    @RequestMapping("/a1")
    public Boolean login (HttpServletRequest request) {
        // 有 Session 就获取,没有就不创建
        HttpSession session = request.getSession(false);
        if (session != null && session.getAttribute("userinfo") != null) {
            // 说明已经登录,进行业务处理
            return true;
        } else {
            // 未登录
            return false;
        }
    }

    @RequestMapping("/a2")
    public Boolean login2 (HttpServletRequest request) {
        // 有 Session 就获取,没有就不创建
        HttpSession session = request.getSession(false);
        if (session != null && session.getAttribute("userinfo") != null) {
            // 说明已经登录,进行业务处理
            return true;
        } else {
            // 未登录
            return false;
        }
    }
}

这种方式写的代码,每个方法中都有相同的用户登录验证权限,缺点是:

  • 每个方法中都要单独写用户登录验证的方法,即使封装成公共方法,也一样要传参调用和在方法中进行判断

  • 添加控制器越多,调用用户登录验证的方法也越多,这样就增加了后期的修改成功和维护成功

  • 这些用户登录验证的方法和现在要实现的业务几乎没有任何关联,但还是要在每个方法中都要写一遍,所以提供一个公共的 AOP 方法来进行统一的用户登录权限验证是非常好的解决办法。

1.2 Spring AOP 统一用户登录验证

统一用户登录验证,首先想到的实现方法是使用 Spring AOP 前置通知或环绕通知来实现

@Aspect // 当前类是一个切面
@Component
public class UserAspect {
    // 定义切点方法 Controller 包下、子孙包下所有类的所有方法
    @Pointcut("execution(* com.example.springaop.controller..*.*(..))")
    public void  pointcut(){}
    
    // 前置通知
    @Before("pointcut()")
    public void doBefore() {}
    
    // 环绕通知
    @Around("pointcut()")
    public Object doAround(ProceedingJoinPoint joinPoint) {
        Object obj = null;
        System.out.println("Around 方法开始执行");
        try {
            obj = joinPoint.proceed();
        } catch (Throwable e) {
            e.printStackTrace();
        }
        System.out.println("Around 方法结束执行");
        return obj;
    }
}

但如果只在以上代码 Spring AOP 的切面中实现用户登录权限效验的功能,有这样两个问题:

  • 没有办法得到 HttpSession 和 Request 对象

  • 我们要对一部分方法进行拦截,而另一部分方法不拦截,比如注册方法和登录方法是不拦截的,也就是实际的拦截规则很复杂,使用简单的 aspectJ 表达式无法满足拦截的需求

1.3 Spring 拦截器

针对上面代码 Spring AOP 的问题,Spring 中提供了具体的实现拦截器:HandlerInterceptor,拦截器的实现有两步:

1.创建自定义拦截器,实现 Spring 中的 HandlerInterceptor 接口中的 preHandle方法

2.将自定义拦截器加入到框架的配置中,并且设置拦截规则

  • 给当前的类添加 @Configuration 注解

  • 实现 WebMvcConfigurer 接口

  • 重写 addInterceptors 方法

注意:一个项目中可以同时配置多个拦截器

(1)创建自定义拦截器

/**
 * @Description: 自定义用户登录的拦截器
 * @Date 2023/2/13 13:06
 */
@Component
public class LoginIntercept implements HandlerInterceptor {
    // 返回 true 表示拦截判断通过,可以访问后面的接口
    // 返回 false 表示拦截未通过,直接返回结果给前端
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
                             Object handler) throws Exception {
        // 1.得到 HttpSession 对象
        HttpSession session = request.getSession(false);
        if (session != null && session.getAttribute("userinfo") != null) {
            // 表示已经登录
            return true;
        }
        // 执行到此代码表示未登录,未登录就跳转到登录页面
        response.sendRedirect("/login.html");
        return false;
    }
}

(2)将自定义拦截器添加到系统配置中,并设置拦截的规则

  • addPathPatterns:表示需要拦截的 URL,**表示拦截所有⽅法

  • excludePathPatterns:表示需要排除的 URL

说明:拦截规则可以拦截此项⽬中的使⽤ URL,包括静态⽂件(图⽚⽂件、JS 和 CSS 等⽂件)。

/**
 * @Description: 将自定义拦截器添加到系统配置中,并设置拦截的规则
 * @Date 2023/2/13 13:13
 */
@Configuration
public class AppConfig implements WebMvcConfigurer {

    @Resource
    private LoginIntercept loginIntercept;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
//        registry.addInterceptor(new LoginIntercept());//可以直接new 也可以属性注入
        registry.addInterceptor(loginIntercept).
                addPathPatterns("/**").    // 拦截所有 url
                excludePathPatterns("/user/login"). //不拦截登录注册接口
                excludePathPatterns("/user/reg").
                excludePathPatterns("/login.html").
                excludePathPatterns("/reg.html").
                excludePathPatterns("/**/*.js").
                excludePathPatterns("/**/*.css").
                excludePathPatterns("/**/*.png").
                excludePathPatterns("/**/*.jpg");
    }
}

1.4 练习:登录拦截器

要求

  • 登录、注册页面不拦截,其他页面都拦截

  • 当登录成功写入 session 之后,拦截的页面可正常访问

在 1.3 中已经创建了自定义拦截器 和 将自定义拦截器添加到系统配置中,并设置拦截的规则

(1)下面创建登录和首页的 html

(2)创建 controller 包,在包中创建 UserController,写登录页面和首页的业务代码

@RestController
@RequestMapping("/user")
public class UserController {

    @RequestMapping("/login")
    public boolean login(HttpServletRequest request,String username, String password) {
        boolean result = false;
        if (StringUtils.hasLength(username) && StringUtils.hasLength(password)) {
            if(username.equals("admin") && password.equals("admin")) {
                HttpSession session = request.getSession();
                session.setAttribute("userinfo","userinfo");
                return true;
            }
        }
        return result;
    }

    @RequestMapping("/index")
    public String index() {
        return "Hello Index";
    }
}

(3)运行程序,访问页面,对比登录前和登录后的效果

1.5 拦截器实现原理

有了拦截器之后,会在调⽤ Controller 之前进⾏相应的业务处理,执⾏的流程如下图所示

实现原理源码分析

所有的 Controller 执行都会通过一个调度器 DispatcherServlet来实现

而所有方法都会执行 DispatcherServlet 中的 doDispatch 调度⽅法,doDispatch 源码分析如下:

通过源码分析,可以看出,Sping 中的拦截器也是通过动态代理和环绕通知的思想实现的

1.6 统一访问前缀添加

所有请求地址添加 api 前缀,c 表示所有

@Configuration
public class AppConfig implements WebMvcConfigurer {
    // 所有的接口添加 api 前缀
    @Override
    public void configurePathMatch(PathMatchConfigurer configurer) {
        configurer.addPathPrefix("api", c -> true);
    }
}

基于 Spring Boot + MyBatis Plus + Vue & Element 实现的后台管理系统 + 用户小程序,支持 RBAC 动态权限、多租户、数据权限、工作流、三方登录、支付、短信、商城等功能

  • 项目地址:https://github.com/YunaiV/ruoyi-vue-pro

  • 视频教程:https://doc.iocoder.cn/video/

2. 统一异常处理

给当前的类上加 @ControllerAdvice 表示控制器通知类

给方法上添加 @ExceptionHandler(xxx.class),表示异常处理器,添加异常返回的业务代码

@RestController
@RequestMapping("/user")
public class UserController {
    @RequestMapping("/index")
    public String index() {
        int num = 10/0;
        return "Hello Index";
    }
}

在 config 包中,创建 MyExceptionAdvice 类

@RestControllerAdvice // 当前是针对 Controller 的通知类(增强类)
public class MyExceptionAdvice {
    @ExceptionHandler(ArithmeticException.class)
    public HashMap<String,Object> arithmeticExceptionAdvice(ArithmeticException e) {
        HashMap<String, Object> result = new HashMap<>();
        result.put("state",-1);
        result.put("data",null);
        result.put("msg" , "算出异常:"+ e.getMessage());
        return result;
    }
}

也可以这样写,效果是一样的

@ControllerAdvice
public class MyExceptionAdvice {
    @ExceptionHandler(ArithmeticException.class)
    @ResponseBody
    public HashMap<String,Object> arithmeticExceptionAdvice(ArithmeticException e) {
        HashMap<String, Object> result = new HashMap<>();
        result.put("state",-1);
        result.put("data",null);
        result.put("msg" , "算数异常:"+ e.getMessage());
        return result;
    }
}

如果再有一个空指针异常,那么上面的代码是不行的,还要写一个针对空指针异常处理器

@ExceptionHandler(NullPointerException.class)
public HashMap<String,Object> nullPointerExceptionAdvice(NullPointerException e) {
    HashMap<String, Object> result = new HashMap<>();
    result.put("state",-1);
    result.put("data",null);
    result.put("msg" , "空指针异常异常:"+ e.getMessage());
    return result;
}
@RequestMapping("/index")
public String index(HttpServletRequest request,String username, String password) {
    Object obj = null;
    System.out.println(obj.hashCode());
    return "Hello Index";
}

但是需要考虑的一点是,如果每个异常都这样写,那么工作量是非常大的,并且还有自定义异常,所以上面这样写肯定是不好的,既然是异常直接写 Exception 就好了,它是所有异常的父类,如果遇到不是前面写的两种异常,那么就会直接匹配到 Exception

当有多个异常通知时,匹配顺序为当前类及其⼦类向上依次匹配

@ExceptionHandler(Exception.class)
public HashMap<String,Object> exceptionAdvice(Exception e) {
    HashMap<String, Object> result = new HashMap<>();
    result.put("state",-1);
    result.put("data",null);
    result.put("msg" , "异常:"+ e.getMessage());
    return result;
}

可以看到优先匹配的还是前面写的 空指针异常

基于 Spring Cloud Alibaba + Gateway + Nacos + RocketMQ + Vue & Element 实现的后台管理系统 + 用户小程序,支持 RBAC 动态权限、多租户、数据权限、工作流、三方登录、支付、短信、商城等功能

  • 项目地址:https://github.com/YunaiV/yudao-cloud

  • 视频教程:https://doc.iocoder.cn/video/

3. 统一数据格式返回

3.1 统一数据格式返回的实现

1.给当前类添加 @ControllerAdvice

2.实现 ResponseBodyAdvice 重写其方法

  • supports 方法,此方法表示内容是否需要重写(通过此⽅法可以选择性部分控制器和方法进行重写),如果要重写返回 true

  • beforeBodyWrite 方法,方法返回之前调用此方法

@ControllerAdvice
public class MyResponseAdvice implements ResponseBodyAdvice {

    // 返回一个 boolean 值,true 表示返回数据之前对数据进行重写,也就是会进入 beforeBodyWrite 方法
    // 返回 false 表示对结果不进行任何处理,直接返回
    @Override
    public boolean supports(MethodParameter returnType, Class converterType) {
        return true;
    }

    // 方法返回之前调用此方法
    @Override
    public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType, Class selectedConverterType, ServerHttpRequest request, ServerHttpResponse response) {
        HashMap<String,Object> result = new HashMap<>();
        result.put("state",1);
        result.put("data",body);
        result.put("msg","");
        return result;
    }
}
@RestController
@RequestMapping("/user")
public class UserController {

    @RequestMapping("/login")
    public boolean login(HttpServletRequest request,String username, String password) {
        boolean result = false;
        if (StringUtils.hasLength(username) && StringUtils.hasLength(password)) {
            if(username.equals("admin") && password.equals("admin")) {
                HttpSession session = request.getSession();
                session.setAttribute("userinfo","userinfo");
                return true;
            }
        }
        return result;
    }

    @RequestMapping("/reg")
    public int reg() {
        return 1;
    }
}

3.2 @ControllerAdvice 源码分析

通过对 @ControllerAdvice 源码的分析我们可以知道上面统一异常和统一数据返回的执行流程

(1)先看 @ControllerAdvice 源码

可以看到 @ControllerAdvice派生于 @Component 组件而所有组件初始化都会调用 InitializingBean 接口

(2)下面查看 initializingBean 有哪些实现类

在查询过程中发现,其中 Spring MVC 中的实现子类是 RequestMappingHandlerAdapter,它里面有一个方法 afterPropertiesSet()方法,表示所有的参数设置完成之后执行的方法

(3)而这个方法中有一个 initControllerAdviceCache 方法,查询此方法

发现这个方法在执行时会查找使用所有的 @ControllerAdvice 类,发送某个事件时,调用相应的 Advice 方法,比如返回数据前调用统一数据封装,比如发生异常是调用异常的 Advice 方法实现的

 

我的尤克里里
关注
7.5 SpringBoot 拦截器Interceptor实战 统一角色权限校验
天罡gg的专栏
07-16 5576
在【7.1】管理员图书录入和修改API,当时预告过:并没有写【校验是否是管理员】的逻辑,因为是通用逻辑,会单写一篇来细讲,那么今天就来安排!角色权限校验,是保证接口安全必备的能力:有权限才可以操作!所以,一般对于这种通用逻辑,推荐不与主业务逻辑耦合,那么怎么来解耦?在SpringBoot中过滤器拦截器切面,都可以实现统一角色校验功能解耦,为了和【3-3】用户身份认证的拦截器方案保持一致,我们采用SpringBoot拦截器Interceptor实战统一角色权限校验!使用AOP的话,你会实现吗?
7.6 SpringBoot AOP实战 统一角色权限校验
天罡gg的专栏
07-23 2781
通过上文7.5 SpringBoot 拦截器Interceptor实战 统一角色权限校验,很多朋友学会了Interceptor实现以后,很想学习如何使用AOP实现 统一角色权限校验,所以本文就来安排AOP的实现!对于SpringBoot的AOP的相关基础知识,请参考我之前写过的博客,也是上过综合热榜第一的文章,本文的实战会用到其中的@annotation、@Before、@Around等方式!非常详细的SpringBoot AOP入门文章!应用范围非常广,可以说是项目必用!
springboot拦截器实现拦截器 权限校验登录demo
11-14
不知道为啥不能设置0。这个是demo,有时间博主吧git整理下 链接发出来
SpringBoot + shiro Demo 简单登录验证权限验证
02-08
SpringBoot ,Shiro 密码加密,登录验证,权限控制demo
SpringBoot项目实战:权限控制到数据操作
最新发布
weixin_42576186的博客
09-29 1274
本文还有配套的精品资源,点击获取 简介:SpringBoot是Pivotal团队推出的框架,目的是简化基于Spring的应用开发。它通过自动配置和内嵌式Web服务器等特性,提供快速开发独立生产级别应用程序的能力。项目中包含权限控制、登录验证、文件上传及CRUD操作等核心功能,是学习和实践SpringBoot的优秀示例。 1. SpringBoot框架概述与核心理念...
SpringBoot——用户登录
qq_48825064的博客
09-22 464
使用springBoot框架做一个登录页面要求:在后端对用户名密码进行验证。
SpringBoot用户登录
个人为2024届在校大学生,希望分享的代码有助于各位
11-29 445
在contrller中判断是否为空,为空则返回false,登录失败,不为空则在service中进行业务逻辑判断。然后创建contrller,接受前端传来的user,返回一个boolean是否登录成功。在Service中通过MybatisPuls中是方法来进行登录的业务逻辑判断。首先创建登录的User实体类。
SpringBoot 用户登录系统
qq_53452284的博客
05-28 1247
文章目录SpringBoot 用户登录一、MySQL数据库二、依赖二、前端模板三、后端代码运行结果 SpringBoot 用户登录 一、MySQL数据库 字段 id 字段 username 字段 password create database springboot charset=utf8; use springboot; create table user(id int primary key auto_increment,username varchar(12),password varchar(1
SpringBoot统一功能处理拦截器统一数据格式,捕捉异常
as230627的博客
02-05 1411
可以在SpringBoot应用程序中捕捉到抛出的异常,并根据实际需求进行相应的处理,例如封装错误信息到自定义的响应对象中,并返回给前端。这样可以提高系统的可维护性和用户体验。
【D3S】数据权限 - 基于Mybatis的数据权限拦截器实现
罗小爬的技术宝书
07-02 1588
目录一、背景二、动机三、实现思路3.1 权限类型、操作类型3.2 统一用户及数据权限集合模型3.3 定义数据权限拦截注解3.4 提取配置属性3.5 数据权限拦截器实现四、集成方式五、关于D3S 一、背景 最近一直在做RBAC相关的架构设计与实现,传统的RBAC的权限控制只是控制到REST接口(url)、具体方法(权限码)等,而通常实际业务场景还需要对数据权限进行控制,例如: 用户仅允许查询自己的用户信息,不允许查询其他人的用户信息 用户仅被允许查询 同部门 或 同部门及子部门 的用户信息 用户仅允许查询指
springboot整合Sa-Token实现登录认证和权限校验(万字长文)
2301_78646673的博客
02-03 6876
我本来是想写一篇介绍spring boot项目中整合Sa-Token来实现最常用的登录校验权限认证的,但是写着写着就变成官网的复制机了。我在本篇文章中大量复制了官网上的内容,原本只是想复制一些官方介绍就行了。但是这也从侧面说明了Sa-Token官网制作的确实是比较好的,基本上不需要额外的学习,只要你有做过登录权限方面的项目经验,再看一遍官网的介绍就能直接上手了。我之前写过一个B2C模式的购物商台,分为用户端和管理端。管理端的登录权限校验是用spring security写的。
spring boot 实现用户登录认证
11-07
1.架构: spring boot + jpa + thyemleaf, mysql数据库 2.功能实现: 1)使用Logback进行日志记录; 2)使用HandlerInterceptor接口实现登陆认证 3)登陆验证码的生成
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
主要介绍了SpringBoot使用AOP+注解实现简单的权限验证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot 简单登录功能
09-25
在实际开发中,我们经常会遇到某些页面需要登录才能查看的情况。下面使用拦截器实现该功能,在用户没有登录的情况下,将网站的所有访问都指向登录页面。
Springboot实现RBAC权限校验
qq_57031340的博客
08-27 1904
Springboot实现RBAC权限校验 实现方式:Springboot+AOP切面+自定义注解+redis+jwt+mybatis+token拦截器
SpringBoot:切面AOP实现权限校验:实例演示与注解全解
程序员麦冬的博客(公众号同名)
11-03 1642
1 理解AOP 1.1 什么是AOP AOP(Aspect Oriented Programming),面向切面思想,是Spring的三大核心思想之一(两外两个:IOC-控制反转、DI-依赖注入)。 那么AOP为何那么重要呢?在我们的程序中,经常存在一些系统性的需求,比如权限校验、日志记录、统计等,这些代码会散落穿插在各个业务逻辑中,非常冗余且不利于维护。例如下面这个示意图: 有多少业务操作,就要写多少重复的校验和日志记录代码,这显然是无法接受的。当然,用面向对象的思想,我们可以把这些重复的代码抽离出来,
spring boot框架,实现用户登录
热门推荐
luog007的博客
06-16 1万+
目录1.创建Spring Boot项目1.1创建项目​1.2认识项目入口类 - SpringBootDemoApplicatio​1.3设置exclude属性值,关闭特定的自动配置1.4添加控制器与路由函数​1.5启动项目,查看结果2实现获取数据2.1添加路由函数welcome(),通过model参数向前端模板页面传递数据2.2在templates里创建welcome.html​2.3定制标语2.4 修改端口2.5采用yaml格式的应用属性文件3、创建用户实体类3.1在net.huawei.boot.bea
Springboot整合JWT实现权限校验
qq_40694396的博客
09-05 1135
springboot整合jwt实现权限验证
【笑小枫的SpringBoot系列】【九】SpringBoot用户登录功能实现
笑小枫
10-31 2584
本文主要介绍了SpringBoot实现登录功能,使用JWT+Redis进行功能实现,从最基础的建表开始,详细的介绍了功能的实现。学习完本文,你将掌握登录功能的核心技能。
springboot拦截器加jwt实现登录校验
09-26
Spring Boot 中使用拦截器(Interceptor)配合 JWT(JSON Web Tokens)实现登录验证通常用于保护 RESTful API 路径,确保只有经过身份验证的用户才能访问。步骤如下: 1. **添加依赖**: - 添加 Spring Security 和 JWT 相关依赖到 `pom.xml` 或 `build.gradle` 文件中。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> ``` 2. **配置 JWT**: - 创建一个JWT工具类,负责生成、解析和验证JWT。 - 使用Spring Security自定义一个WebSecurityConfigurerAdapter,配置JWT处理器和全局异常处理。 ```java @Configuration @EnableWebSecurity public class JwtSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtUtil jwtUtil; //...省略其他配置 @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() // 防止CSRF攻击 .authorizeRequests() .antMatchers("/api/**").authenticated() .anyRequest().permitAll(); http.addFilterBefore(new JwtAuthenticationFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class); } //...省略其他方法 @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(jwtUtil); } } ``` 3. **创建JWT过滤器**: - `JwtAuthenticationFilter` 会检查请求头中的 Authorization 头,然后尝试从其中提取JWT并验证其有效性。 4. **创建JWT工具类**: ```java public class JwtUtil { // JWT相关的加密、签发和验证逻辑 public String createToken(UserDetails userDetails) { //... } public boolean validateToken(String token, UserDetails userDetails) { //... } } ``` 5. **登录成功后的逻辑**: 用户通过认证后,返回一个包含 JWT 的响应(例如:`Authorization: Bearer {token}`)。在控制器方法上加上 `@PreAuthorize("hasRole('USER')")` 等注解进行权限控制。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我的尤克里里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值