Springboot中登录后关于cookie和session拦截案例

---

一、前言

1、简单的登录验证可以通过Session或者Cookie实现。
2、每次登录的时候都要进数据库校验下账户名和密码，只是加了cookie 或session验证后；比如登录页面A，登录成功后进入页面B，若此时cookie过期，在页面B中新的请求url到页面c,系统会让它回到初始的登录页面。（类似单点登录sso（single sign on））。
3、另外，无论基于Session还是Cookie的登录验证，都需要对HandlerInteceptor进行配置，增加对URL的拦截过滤机制。

二、利用Cookie进行登录验证

1、配置拦截器代码如下：

public class CookiendSessionInterceptor implements HandlerInterceptor {

@Override     
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
      log.debug("进入拦截器");
      Cookie[] cookies = request.getCookies();
      if(cookies!=null && cookies.length>0){
            for(Cookie cookie:cookies) {
                  log.debug("cookie===for遍历"+cookie.getName());
                  if (StringUtils.equalsIgnoreCase(cookie.getName(), "isLogin")) {
                        log.debug("有cookie ---isLogin，并且cookie还没过期...");
                       //遍历cookie如果找到登录状态则返回true继续执行原来请求url到controller中的方法
                        return true;
                              }
                        }
                  }
            log.debug("没有cookie-----cookie时间可能到期，重定向到登录页面后请重新登录。。。");
            response.sendRedirect("index.html");
            //返回false，不执行原来controller的方法
            return false; }

  @Override     
  public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
  }
  
  @Override   
  public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
  }

}

2、在Springboot中拦截的请求不管是配置监听器(定义一个类实现一个接口HttpSessionListener )、过滤器、拦截器,都要配置如下此类实现一个接口中的两个方法。
代码如下：

@Configuration 
public class WebConfig implements WebMvcConfigurer {
	// 这个方法是用来配置静态资源的，比如html，js，css，等等
	@Override     
	public void addResourceHandlers(ResourceHandlerRegistry registry) {
	}

	// 这个方法用来注册拦截器，我们自己写好的拦截器需要通过这里添加注册才能生效
	@Override     
	public void addInterceptors(InterceptorRegistry registry) {
	//addPathPatterns("/**") 表示拦截所有的请求
	//excludePathPatterns("/firstLogin","/zhuce");设置白名单，就是拦截器不拦截。首次输入账号密码登录和注册不用拦截！
	//登录页面在拦截器配置中配置的是排除路径，可以看到即使放行了，还是会进入prehandle，但是不会执行任何操作。
	registry.addInterceptor(new CookiendSessionInterceptor())
		.addPathPatterns("/**")
		.excludePathPatterns(
			"/",                                                                                               
			"/**/login",                                                                                             
			"/**/*.html",
			"/**/*.js",
			"/**/*.css",
			"/**/*.jpg");
	}
}

3、前台登录页面index.html（我把这个html放在静态资源了，也让拦截器放行了此路由url）前端测试就是一个简单的form表单提交。

<!--测试cookie和sessionid--> 
<form action="/login" method="post">     
  账号：<input type="text" name="name1" placeholder="请输入账号"><br>     
  密码：<input type="password" name="pass1" placeholder="请输入密码"><br>     
  <input type="submit" value="登录"> 
</form>

4、后台控制层Controller业务逻辑：登录页面index.html，登录成功后 loginSuccess.html。在loginSuccess.html中可提交表单进入次页demo.html，也可点击“退出登录”后台清除没有超时的cookie，并且回到初始登录页面。

@Controller 
@Slf4j
@RequestMapping(value = "/")
public class TestCookieAndSessionController {
	@Autowired
	private JdbcTemplate jdbcTemplate;
	/** 
	* 首次登录，输入账号和密码，数据库验证无误后，响应返回你设置的cookie。再次输入账号密码登录或者首次登录后再请求下一个页面，就会在请求头中携带cookie, 
	* 前提是cookie没有过期。
	* 此url请求方法不管是首次登录还是第n次登录，拦截器都不会拦截。
	* 但是每次（首次或者第N次）登录都要进行，数据库查询验证账号和密码。
	* 做这个目的是如果登录页面A，登录成功后进页面B，页面B有链接进页面C，如果cookie超时，重新回到登录页面A。（类似单点登录） 
	*/     

	@PostMapping(value = "login")
	public String test(HttpServletRequest request, HttpServletResponse response, @RequestParam("name1")String name,@RequestParam("pass1")String pass) throws Exception{
	  try {
	    Map<String, Object> result= jdbcTemplate.queryForMap("select * from userinfo where name=? and password=?", new Object[]{name, pass});
	      if(result==null || result.size()==0){
	         log.debug("账号或者密码不正确或者此人账号没有注册");
	         throw new Exception("账号或者密码不正确或者此人账号没有注册！");
	      }else{
	         log.debug("查询满足条数----"+result);
	         Cookie cookie = new Cookie("isLogin", "success");
	         cookie.setMaxAge(30);
	         cookie.setPath("/");
	         response.addCookie(cookie);
	         request.setAttribute("isLogin", name);
	         log.debug("首次登录，查询数据库用户名和密码无误，登录成功，设置cookie成功");
	         return "loginSuccess"; }
	  } catch (DataAccessException e) {
	         e.printStackTrace();
	         return "error1";
	      }
	  }
    
	/**测试登录成功后页面loginSuccess ，进入次页demo.html*/     
	@PostMapping(value = "sub")
	public String test() throws Exception{
	  return  "demo";
	 }

	/** 能进到此方法中，cookie一定没有过期。因为拦截器在前面已经判断过。
	* 过期，拦截器重定向到登录页面。过期退出登录，清空cookie。
	*/    
	@RequestMapping(value = "exit",method = RequestMethod.POST)
	public String exit(HttpServletRequest request,HttpServletResponse response) throws Exception{
	  Cookie[] cookies = request.getCookies();
	  for(Cookie cookie:cookies){
	    if("isLogin".equalsIgnoreCase(cookie.getName())){
	      log.debug("退出登录时,cookie还没过期，清空cookie");
	      cookie.setMaxAge(0);
	      cookie.setValue(null);
	      cookie.setPath("/");
	      response.addCookie(cookie);
	      break;
	       }
	     }
	  //重定向到登录页面
	   return  "redirect:index.html";
	}
}

5、利用session进行登录验证

/**利用session进行登录验证*/    
@RequestMapping(value = "login1",method = RequestMethod.POST)
public String testSession(HttpServletRequest request,
                          HttpServletResponse response,
                          @RequestParam("name1")String name,
                          @RequestParam("pass1")String pass) throws Exception{
  try {
    Map<String, Object> result= jdbcTemplate.queryForMap("select * from userinfo where name=? and password=?", new Object[]{name, pass});
      if(result!=null && result.size()>0){
        String requestURI = request.getRequestURI();
        log.debug("此次请求的url:{}",requestURI);
        HttpSession session = request.getSession();
        log.debug("session="+session+"session.getId()="+session.getId()+"session.getMaxInactiveInterval()="+session.getMaxInactiveInterval());
        session.setAttribute("isLogin1", "true1");
     }
   } catch (DataAccessException e) {
       e.printStackTrace();
       return "error1";
 }
    return  "loginSuccess";
  }

 //登出，移除登录状态并重定向的登录页
@RequestMapping(value = "/exit1", method = RequestMethod.POST)
public String loginOut(HttpServletRequest request) {
  request.getSession().removeAttribute("isLogin1");
  log.debug("进入exit1方法，移除isLogin1");
  return "redirect:index.html";
  }
 }