拦截器配置与注册

最新推荐文章于 2024-06-16 13:55:02 发布
最新推荐文章于 2024-06-16 13:55:02 发布
阅读量714 收藏
点赞数
文章标签: 小程序 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tom870223050/article/details/115982407
版权
本文详细介绍了在SpringBoot中如何使用拦截器实现前端请求的拦截,防止恶意模拟请求,并在后台进行鉴权处理。通过在拦截器中检查用户的登录状态和Token,确保用户信息的安全。同时,当用户信息过期或在不同设备上登录时,系统会返回相应的错误提示,要求用户重新登录。此外,文章还展示了前端如何在请求头中添加必要的用户信息,以及当拦截器返回错误状态时,前端如何处理并跳转到登录页面。
摘要由CSDN通过智能技术生成

一、前端拦截的缺陷

见链接:https://blog.csdn.net/Tom870223050/article/details/115977961?spm=1001.2014.3001.5502
只有前端拦截,可能会被恶意地进行模拟请求,也就是绕过前端,直接访问后台,所以我们在后台还需要配置拦截器

二、springBoot拦截器

springMvc和springBoot实现拦截器方法差不多,但是 springMvc的拦截器是在xml里面注册的,springBoot是省略了xml的配置,直接编写一个实现类进行注册。

  1. 引入MiniInterceptor

重要类:
1.preHandle:拦截请求,在controller调用之前
2.postHandle:请求controller之后,渲染视图之前
3.afterCompletion: 请求controller之后,视图渲染之后

package com.imooc.controller.interceptor;

import java.io.IOException;
import java.io.OutputStream;
import java.io.UnsupportedEncodingException;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import com.imooc.utils.IMoocJSONResult;
import com.imooc.utils.JsonUtils;
import com.imooc.utils.RedisOperator;

public class MiniInterceptor implements HandlerInterceptor {

	@Autowired
	public RedisOperator redis;
	public static final String USER_REDIS_SESSION = "user-redis-session";
	
	/**
	 * 拦截请求,在controller调用之前
	 */
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, 
			Object arg2) throws Exception {
		
		/**
		 * 返回 false:请求被拦截,返回
		 * 返回 true :请求OK,可以继续执行,放行
		 */
		return true;
	}
	
	public void returnErrorResponse(HttpServletResponse response, IMoocJSONResult result) 
			throws IOException, UnsupportedEncodingException {
		
	}
	
	/**
	 * 请求controller之后,渲染视图之前
	 */
	@Override
	public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, ModelAndView arg3)
			throws Exception {
	}
	
	/**
	 * 请求controller之后,视图渲染之后
	 */
	@Override
	public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)
			throws Exception {
	}

}

2 . 注册拦截器类

这时我们需要把MiniInterceptor类注册在WebMvcConfig类中

  • webMvcConfig.java

(1)首先我们需要把它注册在spring中,为一个Bean

	@Bean
	public MiniInterceptor miniInterceptor() {
		return new MiniInterceptor();
	}

(2)然后我们把它注册在拦截器中。
addPathPatterns()表示添加需要进行拦截的路径,也就是我们的后台接口,**表示对其中的所有方法都要进行拦截

@Override
	public void addInterceptors(InterceptorRegistry registry) {
		
		registry.addInterceptor(miniInterceptor()).addPathPatterns("/user/**")
				       .addPathPatterns("/video/upload", "/video/uploadCover",
				    		   			"/video/userLike", "/video/userUnLike",
				    		   			"/video/saveComment")
												  .addPathPatterns("/bgm/**")
												  .excludePathPatterns("/user/queryPublisher");
		
		super.addInterceptors(registry);
	}
  1. 编写拦截器

用户在登陆成功即可保存用户id和TokenToken可以放在redis里面

//loginController.java

 public UsersVO setUserRedisSessionToken(Users userModel){
	   String uniqueToken = UUID.randomUUID().toString();
	   redis.set(USER_REDIS_SESSION+":"+userModel.getId(),uniqueToken,1000*60*30);

	   UsersVO usersVO = new UsersVO();
	   BeanUtils.copyProperties(userModel,usersVO);
	   usersVO.setUserToken(uniqueToken);
	   return usersVO;
   }

后台在进行鉴权的时候要用到存放用户信息的Token和用户id,所以前端向后台发送信息的时候要加上这些信息

//mine.js

 url:
 method: "POST",
      header: {
        'content-type': 'application/json', // 默认值
        'headerUserId': user.id,
        'headerUserToken': user.userToken
      }

//MiniInterceptor

package com.imooc.controller.interceptor;

import com.imooc.utils.IMoocJSONResult;
import com.imooc.utils.JsonUtils;
import com.imooc.utils.RedisOperator;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.OutputStream;
import java.io.UnsupportedEncodingException;

public class MiniInterceptor implements HandlerInterceptor {

	@Autowired
	public RedisOperator redis;
	public static final String USER_REDIS_SESSION = "user-redis-session";
	
	/**
	 * 拦截请求,在controller调用之前
	 */
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, 
			Object arg2) throws Exception {

		String userId = request.getHeader("headerUserId");
		String userToken = request.getHeader("headerUserToken");
		
		if (StringUtils.isNotBlank(userId) && StringUtils.isNotBlank(userToken)) {
			String uniqueToken = redis.get(USER_REDIS_SESSION + ":" + userId);
			if (StringUtils.isEmpty(uniqueToken) && StringUtils.isBlank(uniqueToken)) {
				System.out.println("用户信息过期,请重新登录...");
				returnErrorResponse(response, new IMoocJSONResult().errorTokenMsg("请登录..."));
				return false;
			} else {
				if (!uniqueToken.equals(userToken)) {
					System.out.println("账号被挤出...");
					returnErrorResponse(response, new IMoocJSONResult().errorTokenMsg("账号被挤出..."));
					return false;
				}
			}
		} else {
			System.out.println("请登录...");
			returnErrorResponse(response, new IMoocJSONResult().errorTokenMsg("请登录..."));
			return false;
		}
		
		
		/**
		 * 返回 false:请求被拦截,返回
		 * 返回 true :请求OK,可以继续执行,放行
		 */
		return true;
	}
	
	public void returnErrorResponse(HttpServletResponse response, IMoocJSONResult result) 
			throws IOException, UnsupportedEncodingException {
		OutputStream out=null;
		try{
		    response.setCharacterEncoding("utf-8");
		    response.setContentType("text/json");
		    out = response.getOutputStream();
		    out.write(JsonUtils.objectToJson(result).getBytes("utf-8"));
		    out.flush();
		} finally{
		    if(out!=null){
		        out.close();
		    }
		}
	}
	
	/**
	 * 请求controller之后,渲染视图之前
	 */
	@Override
	public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, ModelAndView arg3)
			throws Exception {
	}
	
	/**
	 * 请求controller之后,视图渲染之后
	 */
	@Override
	public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)
			throws Exception {
	}

}

preHandle方法:首先获取到前端的Header发送字段,然后进行判空,成功后若token到达时间了会失效,此时后台返回重新登陆信息,还有一种情况是用户在一个手机上进行登陆,又在第二台手机上进行登陆,这时会向后台发送两次信息,其中,两次的userToken信息是不一样的,第一次发送的userToken保存到变量uniqueToken里,当!uniqueToken.equals(userToken)为真表示用户在两台手机上进行登陆,在这个业务逻辑里我们视为不安全登陆,之前的登陆状态将会被挤出

	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, 
			Object arg2) throws Exception {

		String userId = request.getHeader("headerUserId");
		String userToken = request.getHeader("headerUserToken");      // 获取到前端的Header发送字段
		
		if (StringUtils.isNotBlank(userId) && StringUtils.isNotBlank(userToken)) {
			String uniqueToken = redis.get(USER_REDIS_SESSION + ":" + userId);
			if (StringUtils.isEmpty(uniqueToken) && StringUtils.isBlank(uniqueToken)) {
				System.out.println("用户信息过期,请重新登录...");
				returnErrorResponse(response, new IMoocJSONResult().errorTokenMsg("请登  录..."));                                                              
				return false;
			} else {
				if (!uniqueToken.equals(userToken)) {                
					System.out.println("账号被挤出...");
					returnErrorResponse(response, new IMoocJSONResult().errorTokenMsg("账号被挤出..."));                                  //后一次的用户信息和前一次的不一致
					return false;
				}
			}
		} else {
			System.out.println("请登录...");
			returnErrorResponse(response, new IMoocJSONResult().errorTokenMsg("请登录..."));
			return false;
		}
		
		
		/**
		 * 返回 false:请求被拦截,返回
		 * 返回 true :请求OK,可以继续执行,放行
		 */
		return true;
	}

4.处理拦截信息

//MiniInterceptor.java

returnErrorResponse方法:设置拦截器返回前端的errorTokenMsg信息格式

@Override
public void returnErrorResponse(HttpServletResponse response, IMoocJSONResult result) 
			throws IOException, UnsupportedEncodingException {
		OutputStream out=null;
		try{
		    response.setCharacterEncoding("utf-8");
		    response.setContentType("text/json");
		    out = response.getOutputStream();
		    out.write(JsonUtils.objectToJson(result).getBytes("utf-8"));
		    out.flush();
		} finally{
		    if(out!=null){
		        out.close();
		    }
		}
	}

//XX.js

我们设置被拦截后,后端发送的状态码为502,前端接受错误信息并跳转到登陆页面

if (res.data.status == 502) {
          wx.showToast({
            title: res.data.msg,
            duration: 3000,
            icon: "none",
            success: function () {
              wx.redirectTo({
                url: '../userLogin/login',
              })
            }
          })
        }

5.完整的前端请求如下

wx.request({
      url: serverUrl + '/XXX?userId=' + userId,
      method: "POST",
      header: {
        'content-type': 'application/json', // 默认值
        'headerUserId': user.id,
        'headerUserToken': user.userToken
      },
      success: function (res) {
        wx.hideLoading();
        if (res.data.status == 200) {
           //登陆成功的操作
          }

        } else if (res.data.status == 502) {
          wx.showToast({
            title: res.data.msg,
            duration: 3000,
            icon: "none",
            success: function () {
              wx.redirectTo({
                url: '../userLogin/login',
                //Token失效后跳转到登陆界面
              })
            }
          })
        }
      }
    })
lee2813
关注
spring boot配置拦截器代码实例
08-25
本文详细介绍了 Spring Boot 配置拦截器代码实例的实现过程,包括依赖引入、拦截器类实现和拦截器配置等步骤。通过编写拦截器类和配置文件,我们可以灵活地控制请求处理流程,实现身份验证、日志记录、缓存处理等...
【 .NET Core 3.0 】框架之十 || AOP 切面思想
dotNET跨平台
10-15 1101
本文有配套视频:https://www.bilibili.com/video/av58096866/?p=6前言  上回《【 .NET Core3.0 】框架之九 ||...
拦截器注册的实现原理
Ciao's blog
02-09 425
拦截器注册的实现原理
注册配置拦截器Interceptor
qq_46258397的博客
12-21 514
实现HandlerInterceptor接口,并重写其所有方法//自定义拦截器@Component//目标资源方法执行前执行。返回true:放行 返回false:不放行@Override//true表示放行//目标资源方法执行后执行@Override//视图渲染完毕后执行,最后执行@Override//自定义拦截器@Component //当前拦截器对象由Spring创建和管理@Slf4j//前置方式@Override//1.获取请求url。
处理器拦截器注册方式
张紫娃的博客
01-24 589
1. 使用Java配置注册。接口的自定义拦截器类。2. XML配置方式注册配置,将自定义拦截器加入到。哪些URL路径上以及需要。哪些路径不受拦截器影响。中,并可以指定它应该应。
SpringMVC系列-3 拦截器
Sheng_Q的博客
06-24 3165
}HandlerInterceptor中的声明的preHandle/postHandle/afterCompletion为default类型的接口,可以随意选择是否实现。preHandle接口若返回false, 会跳过Controller方法的执行,流程可参考SpringMVC系列-2 HTTP请求调用链。
date0615拦截器配置.zip
06-15
"date0615拦截器配置.zip"这个压缩包文件很可能包含了关于如何在Spring MVC中设置拦截器的详细教程或者示例代码。 首先,让我们了解一下Spring MVC拦截器的基本概念。在Spring MVC中,拦截器是基于Java的动态代理...
SpringMVC拦截器配置及运行流程解析
08-19
SpringMVC拦截器配置及运行流程解析 SpringMVC拦截器是指在SpringMVC框架中,用于拦截和处理请求的组件。拦截器可以在请求处理之前、之后或抛出异常时执行某些操作,例如身份验证、日志记录、异常处理等。SpringMVC...
SpringBoot整合Mybatis完整详细版含注册、登录、拦截器配置
09-28
5. **拦截器配置** - **SpringBoot中的拦截器**:SpringBoot使用Spring MVC的Interceptor来实现请求拦截,它可以对请求进行预处理和后处理,比如权限验证、日志记录等。 - **配置拦截器**:在`WebMvcConfigurer`的...
axios的请求封装以及拦截器相关配置
09-26
自己现在的项目用到的,还要写配置都注释了,如果需要可以再将注释打开,请求里面涉及到token放在vuex里面,如果不用vuex则可以去掉;这边已经把下载积分设置的很低了,希望能帮到大家
注册拦截器-Springboot
ଳxin的博客
02-26 1200
一、引入: Spring MVC提供了AOP拦截器,而Springboot在拦截处理能力会更加精细、方便。 二、步骤: 1. 创建拦截器 实现 HandlerInterceptor 的一个接口 Myinterceptorl ,包含三个方法: 拦截器中的执行顺序: 注意: 只有preHandle方法返回true , 才会执行后面的。 但是,当有多个拦截器时, postHandler...
拦截器使用及配置
weixin_57929476的博客
12-05 605
1--依赖 <!--拦截器依赖--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 2--配置 @Configuration public class WebMvcConfig impl
springboot 拦截器注册
m0_73590570的博客
05-31 756
1.逻辑判断:首先,通过检查object是否为HandlerMethod实例来判断请求是否直接映射到一个处理方法。如果不是,则直接返回true,允许请求继续。这是合理的,因为静态资源和不需要权限检查的请求不应被拦截,提高了处理效率。2.Token检查:接下来,从请求头中获取Authorization字段的值作为token。
实现任意的拦截器注册方式
chengxuyuanlaow的博客
12-23 124
ConditionalInterceptorProvider利用构造函数注入的IOptions<ConditionalInterceptorProviderOptions>得到这组映射关系,CanIntercept方法利用这组关系的匹配条件确定指定的方法是否应该被拦截,另一个GetInterceptors方法则利用匹配的工厂来创建返回的这组Sortable<InvokeDelegate>对象。在提供具体实现之前,我们先来体验一下由它达成的编程模型。三、实现一种“万能”的拦截器注册方式。
springboot拦截器配置
AndyMocan的博客
08-23 1883
首先定义拦截器  public class MyInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { ret...
全新升级的AOP框架Dora.Interception[5]: 实现任意的拦截器注册方式
dotNET跨平台
10-15 142
Dora.Interception提供了两种拦截器注册方式,一种是利用标注在目标类型、属性和方法上的InterceptorAttribute特性,另一种采用基于目标方法或者属性的调用表达式。通过提供的扩展点,我们可以任何我们希望的拦截器注册方式。目录一、IInterceptorProvider二、InterceptorProviderBase三、实现一种“万能”的拦截器注册方式四、Conditio...
springboot 拦截器
bamboolm的博客
02-03 540
springboot 拦截器
详解拦截器(interceptor)
最新发布
Romised的博客
06-16 2107
拦截器概述、拦截器的基本使用、拦截路径配置拦截器执行流程、实现登录校验、定义拦截器注册配置拦截器、DispatcherServlet源码分析、初始化、处理请求(核心)、适配器模式
SpringBoot3-实现和注册拦截器
小丁的博客
12-06 1875
HandlerInterceptor是Spring MVC框架中的一种拦截器,类似于Servlet开发中的过滤器Filter。它用于在请求处理器执行前后进行预处理和后处理,可以用于实现权限检查、性能监控等操作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值