spring mvc 基于表单的认证过程及cookie应用和session管理

最新推荐文章于 2021-04-03 16:03:30 发布
最新推荐文章于 2021-04-03 16:03:30 发布
阅读量920 收藏
点赞数
分类专栏: java 文章标签: spring mvc java cookie session 表单认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cc_fys/article/details/78551228
版权

我们日常生活中都会接触到各种登录过程,基于表单的认证一般是将客户端发送过来的用户ID和密码与之前登录过的信息做匹配来进行认证的。这个过程我们都很清楚,不过HTTP协议是无状态协议,不能保存用户登陆的状态。要清楚是哪个用户的在访问服务器的话,就会用到浏览器cookie和保存在服务器端的session。


简单可以分为下面的步骤:
  • 客户端-》服务器 发送登录信息
  • 服务器-》客户端 Set-Cookie,包含session ID的cookie保存在浏览器。
  • 客户端-》服务器 发送包含session ID的cookie,服务器可以根据session ID知道是哪个用户。

在使用 spring mvc框架时,看看具体登录过程和协议头。


1:登录过程
客户端把用户ID和密码等登录信息放入报文的实体部分,通常是以POST方法把请求发送给服务器。服务器接收到这些信息后,后台可能会以这种方式把信息保存到session。
request负责获取客户端提交过来的数据。response负责向客户端输出数据。 
String userName = request.getParameter("username");
String passWord = request.getParameter("password");
request.getSession().setAttribute("userName", userName);
request.getSession().setAttribute("passWord", passWord);

2:Set-Cookie过程
Response Headers

Content-Length:0
Date:Thu, 16 Nov 2017 06:32:29 GMT
Location:/test/Login/index
Server:Apache-Coyote/1.1
Set-Cookie:JSESSIONID=A6C8AD43CB49F0F7CB5F762D45B7DDFC; Path=/test; HttpOnly

看上面这个Response Headers,HTTP响应首部字段中Set-Cookie,可以注意到里面有个JSESSIONID的字段,这个就是session ID,你可以把session ID想象成一种用以区分不同用户的等位号。所用的框架不同字段也有一些差别,有的也叫PSESSIONID。浏览器收到这个响应后会将其作为cookie保存到本地。这个session ID是由服务器生成,由一个生成的规则生成,每次生成的session ID也是不一致的。

注意Set-Cookie字段中最后的 HttpOnly,cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。我们在JavaScript中用document.cookie 是不能获取到这些cookie信息的。

可以用Chrome浏览器中看一下现在的cookie






3:客户端发送包含session ID的cookie过程
Request Headers

view source
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding:gzip, deflate, br
Accept-Language:zh-CN,zh;q=0.9
Connection:keep-alive
Cookie:JSESSIONID=A6C8AD43CB49F0F7CB5F762D45B7DDFC; Webstorm-ca6f32d6=f058426d-4048-4002-80eb-843c24c16fee
Host:localhost:8080
Upgrade-Insecure-Requests:1
User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.89 Safari/537.36

看上面这个Request Headers,HTTP请求首部字段中的Cookie包含了JSESSIONID这个信息,服务器收到之后可以通过这个信息知道你是张三还是李四了。服务器端的session,有一个session ID和它对应,一个session对应着一个会话用户的信息。当登录成功之后每次访问服务器,HTTP的请求头部中都会包含这个cookie字段。

在清除浏览器的缓存时,如果清除掉了cookie信息,在访问页面的时候又会重定向到登录页面。



下面看一下spring mvc的具体配置和过程

在web.xml中可以配置session的过期时间,单位为分钟,这里配置的过期时间是一个小时。 
	<session-config>
		<session-timeout>60</session-timeout>
	</session-config>

在dispacher-servlet.xml中配置URL拦截器 
	<mvc:interceptors>
		<mvc:interceptor>
			<mvc:mapping path="/**" />
			<!-- 需排除拦截的地址 -->
			<mvc:exclude-mapping path="/resources/**" />
			<mvc:exclude-mapping path="/Login/**" />
			<bean id="commonInterceptor" class="ciss.web.interceptor.LoginInterceptor"></bean> <!--这个类就是我们自定义的Interceptor -->
		</mvc:interceptor>
	</mvc:interceptors>

LoginInterceptor类
preHandle (HttpServletRequest request, HttpServletResponse response, Object handle) 方法,顾名思义,该方法将在请求处理之前进行调用。SpringMVC 中的Interceptor 是链式的调用的,在一个应用中或者说是在一个请求中可以同时存在多个Interceptor 。每个Interceptor 的调用会依据它的声明顺序依次执行,而且最先执行的都是Interceptor 中的preHandle 方法,所以可以在这个方法中进行一些前置初始化操作或者是对当前请求的一个预处理,也可以在这个方法中进行一些判断来决定请求是否要继续进行下去。该方法的返回值是布尔值Boolean类型的,当它返回为false 时,表示请求结束,后续的Interceptor 和Controller 都不会再执行; 当返回值为true 时就会继续调用下一个Interceptor 的preHandle 方法,如果已经是最后一个Interceptor 的时候就会是调用当前请求的Controller 方法
package ciss.web.interceptor;

import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

public class LoginInterceptor implements HandlerInterceptor {
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
		// TODO Auto-generated method stub
		if (request.getSession().getAttribute("userName") != null
				&& request.getSession().getAttribute("passWord") != null) {
			
			return true;
		} else {
			response.sendRedirect(request.getContextPath() + "/Login/index");
			return false;
		}

	}

	@Override
	public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
			ModelAndView modelAndView) throws Exception {
		// TODO Auto-generated method stub

	}

	@Override
	public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
			throws Exception {
		// TODO Auto-generated method stub

	}

}

如果判断没有这个这个用户的session信息,就重定向到登录页。



ccessl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JavaEE】_Spring MVC项目获取Cookie
m0_63299495的博客
04-07 1569
(2)CookieSession之间主要是通过SessionId关联起来的,SessionId是CookieSession之间的桥梁;2. 但在实际开发中,有时需要明确请求与请求之间的联系,比如登录过后,第二次登录时服务器就知道该客户端是否已经登录过了;无论请求的时机如何,只要请求的参数相同,其处理的逻辑是一样的(不是数据一样),得到的结果也是一样的。无状态的含义是:默认情况下HTTP协议的客户端和服务器之间的这次通信和下次通信之间没有直接的联系。重启服务器后,在上例中设置的cookie仍然存在;
SpringMVC操作SessionCookie
最新发布
xiaotu的博客
04-02 626
这种情况下,Spring MVC 在调用请求处理方法时,会传入本次请求的 Request 对象,后续可以像普通同的 Servlet 代码一样操作 Session
SpringMVC+Cookie+Session实现自动登录
ZZHMMD957
01-25 1万+
实现自动登录其实并不是特别的困难,下面来介绍我所实现的自动登录的一种方式,首先,必须提到CookieSessionCookie是保存在客户端的而Session是保存在服务端的,每次客户端通过游览器访问服务端的时候,会有一个JSESSIONID作为key值保存在Cookie中,服务端就这样区分每一个客户端的Session,在自动登录的时候,Cookie保存了用户名(自动保存JSESSIONID)
spring mvccookie和拦截器实现自动登录(/免登录)
ey
10-22 1万+
Cookie/Session机制详解:http://blog.csdn.net/fangaoxin/article/details/6952954 SpringMVC记住密码功能:http://blog.csdn.net/liupeng_family/article/details/38420963?utm_source=tuicool&utm_medium=referral Spring
会话技术及用户认证-CookieSession与 Token
dlut_ppp的博客
04-03 473
前言 最早互联网只是用于简单的浏览文档信息、查看黄页及门户网站等等,并没有交互这个说法。但是随着互联网慢慢发展,宽带、服务器等硬件设施得到了很大的提示,互联网允许人们可以做更多的事情,所以交互式Web逐渐兴起,而HTTP无状态的特点却严重阻碍了其发展。 HTTP 是无状态的协议,每个请求都是完全独立的(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息)。也就是说,无法根据之前的状态进行本次的请求处理——服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次
Spring Security二:Session认证方式
xiaxiaomao1981的博客
02-22 3163
下面来通过一个实例讲解Session认证的方式 创建工程: 引入依赖: <dependencies> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifa...
SpringMVC处理cookiesession
a219219219219的博客
10-26 544
Cookiecookie返回到浏览器,cookie在http请求头和响应头里面。 @RequestMapping(value = "checkCookie") public String checkCookie(String username, String password, HttpServletResponse response){ // 新建Cookie Cookie username_cookie = new Cookie("username", ...
CookieSession之登录认证
weixin_43279985的博客
09-07 454
CookieSession、Token、JWT 一、认证 (Authentication) 简单的讲,认证就是证明你是你自己,比如手机的指纹识别,上下班打卡,指纹和系统录入指纹相匹配是就证明验证成功,现在各种程序为了保证安全性,都需要进行认证。 1.常用的认证方式 账号密码登录 邮箱认证 手机验证码 二、授权(Authorization) 用户授权是指用户授予第三方应用访问资源的权限 1.手机App提示是否允许访问(相册、位置) 2.微信授权小程序,会询问是否允许(获取昵称、头像、地区、性别等个人信息
cookie,session专题2-2:cookie存储session存储,cookiespringmvc的结合使用
ice-wee的专栏
07-30 2201
深入理解HTTP Session:http://lavasoft.blog.51cto.com/62575/275589 springmvc数据绑定:cookiehttp://jinnianshilongnian.iteye.com/blog/1705701 springmvccookie的操作:http://www.oschina.net/code/snippet_2001568_4801
springMVC操作cookiesession
weixin_30687811的博客
03-27 132
cookie相关说明: 1、cookie由服务器端创建,然后添加到HttpServletResponse中发送给客户端(浏览器)。 2、可以添加多个cookie键值对。 3、cookie由键值名和键值组成。“相同domain和path”中的键值名不能重复,添加键值名重名的键值对会覆盖上一个同名的键值对。 4、添加cookie时要指定cookie所在域(setPath),指定存在时长(set...
基于SpringMVCCookie常用操作详解
热门推荐
adsadadaddadasda的博客
07-05 1万+
在下面的内容中,我将介绍基于SpringMVC的一些Cookie常用操作,包括:cookie的增、删、改、查一 Cookie的属性简介对于一个Cookie来说,一般有以下几个属性:Name:一个cookie的名字Value:一个cookie的值Domain:可以访问该cookie的域名。非顶级域名,如二级域名或者三级域名,设置的cookie的domain只能为顶级域名或者二级域名或者三级域名本身,...
Form表单验证之使用session做交互
douyunqian668的博客
11-06 2298
from django.shortcuts import render from django import  forms from django.core.exceptions import ValidationError from django.shortcuts import redirect # Create your views here. import  json impo
会话管理Cookie-Session
yyws2016的博客
06-05 1354
1.Cookie是客户端技术
SpringMVC使用session实现简单登录
韶shls的博客
08-02 1万+
1.首先为了能直观地在jsp页面体现session的内容,我使用了jstl表达式,首先在pom.xml中引入jstl的依赖 jstl jstl 1.2 2.编写登录界面以及登录成功界面 登录界面 <%@ page contentType="text/html; charset=utf-8" pageEncoding="utf-8"%> 用
基于 cookie实现Spring security + JDBC 用户认证
可小辉的博客
04-30 2866
关于Spring security + JDBC 用户认证,更多的可以去http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html 所需的工具:MySQL,Spring开发工具以及postman测试工具 MySQL ddl.sql CREATE TABLE users ( username VARCHAR(5...
springmvc sessioncookie
随记
08-05 645
写入sessioncookie @PostMapping("/logon") public ReturnT<Object> logon(HttpServletRequest request, HttpServletResponse response) throws Exception { String name = request.getParameter...
SpringMVC - @CookieValue
The Secret
12-20 188
&lt;script type="text/javascript"&gt; function addCookie(name, value, expiredTime) { var cookieStr = name + "=" + escape(value); if (expiredTime &gt; 0) { var date = new Date(); date.setTi...
springmvc+cookie验证登录
weixin_34242819的博客
08-21 305
SPRINGMVC中使用@ResponseBody的问题http://blog.csdn.net/gsycwh/article/details/56675836springmvc的@RequestMapping、@PathVariable、@RequestParamhttp://hanchaohan.blog.51cto.com/2996417/1335834 SpringM...
SpringMVC系列五之cookiesession
gengermao的博客
05-08 890
SpringMVC系列五之cookiesessioncookiesession的原理介绍类比作用形式区别使用场景流程图cookiesession的程序实现工程目录搭建基本框架新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注...
spring-mvc注解
05-23
Spring MVC 是基于注解实现的,下面介绍一些常用的注解: 1. @Controller:声明一个控制器类。 2. @RequestMapping:映射请求 URL 到控制器方法。 3. @RequestParam:用于获取请求参数的值。 4. @PathVariable:...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值