SpringBoot 登录权限验证

已于 2023-11-21 11:32:38 修改
阅读量160 收藏
点赞数 1
文章标签: java spring boot 后端 spring
于 2023-11-21 11:31:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59850581/article/details/134526811
版权

1. 统一用户登录权限效验

用户登录权限的发展完善过程

  • 最初用户登录效验:在每个方法中获取 Session 和 Session 中的用户信息,如果存在用户,那么就认为登录成功了,否则就登录失败了

  • 第二版用户登录效验:提供统一的方法,在每个需要验证的方法中调用统一的用户登录身份效验方法来判断

  • 第三版用户登录效验:使用 Spring AOP 来统一进行用户登录效验

  • 第四版用户登录效验:使用 Spring 拦截器来实现用户的统一登录验证

1.1 最初用户登录权限效验

@RestController
@RequestMapping("/user")
public class UserController {

    @RequestMapping("/a1")
    public Boolean login (HttpServletRequest request) {
        // 有 Session 就获取,没有就不创建
        HttpSession session = request.getSession(false);
        if (session != null && session.getAttribute("userinfo") != null) {
            // 说明已经登录,进行业务处理
            return true;
        } else {
            // 未登录
            return false;
        }
    }

    @RequestMapping("/a2")
    public Boolean login2 (HttpServletRequest request) {
        // 有 Session 就获取,没有就不创建
        HttpSession session = request.getSession(false);
        if (session != null && session.getAttribute("userinfo") != null) {
            // 说明已经登录,进行业务处理
            return true;
        } else {
            // 未登录
            return false;
        }
    }
}

这种方式写的代码,每个方法中都有相同的用户登录验证权限,缺点是:

  • 每个方法中都要单独写用户登录验证的方法,即使封装成公共方法,也一样要传参调用和在方法中进行判断

  • 添加控制器越多,调用用户登录验证的方法也越多,这样就增加了后期的修改成功和维护成功

  • 这些用户登录验证的方法和现在要实现的业务几乎没有任何关联,但还是要在每个方法中都要写一遍,所以提供一个公共的 AOP 方法来进行统一的用户登录权限验证是非常好的解决办法。

1.2 Spring AOP 统一用户登录验证

统一用户登录验证,首先想到的实现方法是使用 Spring AOP 前置通知或环绕通知来实现

@Aspect // 当前类是一个切面
@Component
public class UserAspect {
    // 定义切点方法 Controller 包下、子孙包下所有类的所有方法
    @Pointcut("execution(* com.example.springaop.controller..*.*(..))")
    public void  pointcut(){}
    
    // 前置通知
    @Before("pointcut()")
    public void doBefore() {}
    
    // 环绕通知
    @Around("pointcut()")
    public Object doAround(ProceedingJoinPoint joinPoint) {
        Object obj = null;
        System.out.println("Around 方法开始执行");
        try {
            obj = joinPoint.proceed();
        } catch (Throwable e) {
            e.printStackTrace();
        }
        System.out.println("Around 方法结束执行");
        return obj;
    }
}

但如果只在以上代码 Spring AOP 的切面中实现用户登录权限效验的功能,有这样两个问题:

  • 没有办法得到HttpSession和 Request 对象

  • 我们要对一部分方法进行拦截,而另一部分方法不拦截,比如注册方法和登录方法是不拦截的,也就是实际的拦截规则很复杂,使用简单的 aspectJ 表达式无法满足拦截的需求

1.3 Spring 拦截器

针对上面代码 Spring AOP 的问题,Spring 中提供了具体的实现拦截器:HandlerInterceptor,拦截器的实现有两步:

1.创建自定义拦截器,实现 Spring 中的HandlerInterceptor接口中的 preHandle方法

2.将自定义拦截器加入到框架的配置中,并且设置拦截规则

  • 给当前的类添加@Configuration注解

  • 实现WebMvcConfigurer接口

  • 重写addInterceptors方法

注意:一个项目中可以同时配置多个拦截器

 (1)创建自定义拦截器

/**
 *  自定义用户登录的拦截器
 * 
 */
@Component
public class LoginIntercept implements HandlerInterceptor {
    // 返回 true 表示拦截判断通过,可以访问后面的接口
    // 返回 false 表示拦截未通过,直接返回结果给前端
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
                             Object handler) throws Exception {
        // 1.得到 HttpSession 对象
        HttpSession session = request.getSession(false);
        if (session != null && session.getAttribute("userinfo") != null) {
            // 表示已经登录
            return true;
        }
        // 执行到此代码表示未登录,未登录就跳转到登录页面
        response.sendRedirect("/login.html");
        return false;
    }
}
(2)将自定义拦截器添加到系统配置中,并设置拦截的规则

  • addPathPatterns:表示需要拦截的 URL,**表示拦截所有⽅法

  • excludePathPatterns:表示需要排除的 URL

说明:拦截规则可以拦截此项⽬中的使⽤ URL,包括静态⽂件(图⽚⽂件、JS 和 CSS 等⽂件)。

/**
 * 将自定义拦截器添加到系统配置中,并设置拦截的规则
 * 
 */
@Configuration
public class AppConfig implements WebMvcConfigurer {

    @Resource
    private LoginIntercept loginIntercept;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
//        registry.addInterceptor(new LoginIntercept());//可以直接new 也可以属性注入
        registry.addInterceptor(loginIntercept).
                addPathPatterns("/**").    // 拦截所有 url
                excludePathPatterns("/user/login"). //不拦截登录注册接口
                excludePathPatterns("/user/reg").
                excludePathPatterns("/login.html").
                excludePathPatterns("/reg.html").
                excludePathPatterns("/**/*.js").
                excludePathPatterns("/**/*.css").
                excludePathPatterns("/**/*.png").
                excludePathPatterns("/**/*.jpg");
    }
}

1.4 练习:登录拦截器

要求

  • 登录、注册页面不拦截,其他页面都拦截

  • 当登录成功写入 session 之后,拦截的页面可正常访问

在 1.3 中已经创建了自定义拦截器 和 将自定义拦截器添加到系统配置中,并设置拦截的规则

(1)下面创建登录和首页的 html

 (2)创建controller包,在包中创建UserController,写登录页面和首页的业务代码

@RestController
@RequestMapping("/user")
public class UserController {

    @RequestMapping("/login")
    public boolean login(HttpServletRequest request,String username, String password) {
        boolean result = false;
        if (StringUtils.hasLength(username) && StringUtils.hasLength(password)) {
            if(username.equals("admin") && password.equals("admin")) {
                HttpSession session = request.getSession();
                session.setAttribute("userinfo","userinfo");
                return true;
            }
        }
        return result;
    }

    @RequestMapping("/index")
    public String index() {
        return "Hello Index";
    }
}

(3)运行程序,访问页面,对比登录前和登录后的效果

 

噜噜噜喂喂喂喂
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SpringBoot 实战——统⼀⽤户登录权限验证
悟已往之不谏,知来者之可追
03-21 314
用户登录权限效验 1.1 最初的用户登录验证 1.2 Spring AOP 用户统一登录验证的问题 1.3 Spring 拦截器 1.3.1 准备工作 1.3.2 自定义拦截器 1.3.3 将自定义拦截器加入到系统配置 1.4 拦截器实现原理 1.4.1 实现原理源码分析 1.4.2 拦截器小结 1.5 扩展:统一访问前缀添加
springboot权限验证学习-下
04-28
springboot实现菜单权限、按钮权限以及数据权限
springboot3整合SpringSecurity实现登录校验权限认证(万字超详细讲解)
2301_78646673的博客
12-11 9717
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
springboot项目中登录校验
最新发布
qq_58216887的博客
05-09 1080
​ 1.定义拦截器,实现HandlerInterceptor接口,并重写其所有方法。方案一:在Controller的方法中进行try…catch处理(代码臃肿,不推荐)方案二:全局异常处理器(简单,优雅,推荐)程序开发过程中不可避免的会遇到的异常现象。优点:HTTP协议中支持的技术。优点:存储在服务器,安全。出现异常该如何处理?
springboot登录验证
qq_67124455的博客
05-06 4741
springboot登录校验
Springboot整合shiro:实现用户登录权限验证
猪大肠的博客
08-25 6347
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当然类型大家也可以使用spring security;因为我平时开发的项目都是中小型的,所以使用shiro对于业务来说已经够用了,那么下面是我整理的整合记录; 一、什么是Shiro 这里大家需要先认识一下它的三个重要的组件; 1.1、Subject 即当前的操作用户,就是当前登录的用户; 1.2、SecurityManager 该组件是用来管理所有的操作用户的安全操作 1.3、Realm 该组件需要我们自定义,主
SpringBoot登录校验
HunYuanXing的博客
08-06 346
(1)概念:Filter 过滤器,是 JavaWeb 三大组件(Servlet、Filter、Listener)之一(2)过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能(3)过滤器一般完成一些通用的操作,比如:登陆鉴权、统一编码处理、敏感字符处理等等…拦截器:(Interceptor)是一种动态拦截方法调用的机制,类似于过滤器。在SpringMVC中动态拦截控制器方法的执行作用:在指定的方法调用前后执行预先设定的代码,完成功能增强。
SpringBoot security 安全认证(一)——登录验证
朗朗的博客
02-01 1475
本节内容:使用springboot自动security模块实现用户登录验证功能;登录过程如下图:AuthenticationManager内容实现用户账号密码验证,还可以对用户状态(启用/禁用),逻辑删除,账号是否被锁定等判断。密码默认使用BCryptPasswordEncoder。那么我们在用户注册时密码要使用 new BCryptPasswordEncoder().encode(pwd)进行加密。代码实现过程:1、引入相关依赖;2、创建UserDetails实现类LoginUser;
基于springboot权限验证+源代码+文档说明
11-29
基于`spring boot web`的权限拦截验证 ## 重要声明 * 本分支由`1.0.7`为第一个版本,此版本默认提供`guava`存储令牌的功能 * 根据`guava`的缓存特性,提供了`2`种缓存方案(`LoadingCache、Cache`) * 如果需要使用`...
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
SpringBoot 使用 AOP+注解实现简单的权限验证的方法 SpringBoot 框架提供了强大的权限验证机制,以确保应用程序的安全性。其中一种方法是使用 AOP(Aspect-Oriented Programming)和注解来实现简单的权限验证。本文...
SpringBoot + shiro Demo 简单登录验证权限验证
02-08
SpringBoot ,Shiro 密码加密,登录验证权限控制demo
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
springboot整合Oauth2,GateWay实现网关登录授权验证
【架构设计】SpringBoot实现登录认证的两种方式
秋装什么的博客
03-10 1329
【架构设计】SpringBoot实现登录认证的两种方式
Springboot简单用户登录验证
zzds111的博客
11-14 6311
初版 结合了spring后,以及前面l连接数据库的内容,做出初版的页面匹配代码 先创建一个User类,如果输入的用户名存在,就从数据库中将这个用户的信息读取出来存储到我们创建的user类中,然后与输入的密码进行匹配 通过lombok插件,可以省略类里面的很多的创建步骤 import lombok.*; //set,get方法,构造方法有参无参,toString方法 @Setter @Getter @AllArgsConstructor @NoArgsConstructor @ToString pu
springboot集成jwt token实现权限验证
qq_51483032的博客
09-22 341
在common下创建一个annotation,用法:在register方法上加这个注解,写注解就代替了在拦截器里面写路径​​@Resource​@Override//1、首先用request拿到header(请求头)里的token参数//2、拿到token参数以后进行校验,看他有没有.getparameter获取到的是url参数比如:xxx?token=... 可以用1和2两种方式接受参数一个是头一个是url参数,两个里面有一个获取到了token参数就认为他是有这个参数的。
Spring BootSpring Security登录认证及权限问题
Alanx的博客
06-28 979
Spring BootSpring Security、登录验证
一文详细讲解SpringBoot 动态权限校验实现方案
abackcab的博客
02-25 1250
1、定义一个CustomAuthenticationEntryPoint实现AuthenticationEntryPoint处理匿名用户访问无权限资源(可以理解为未登录的用户访问,确实有些接口是可以不登录也能访问的,比较少,我们在WebSecurityConfig已经配置过了。但是测试的时候发现,任何接口的调用都会进入这里MyFilterInvocationSecurityMetadataSource getAttriButes方法,包括我webSecurityConfig里配置的不需要登录的url。
【精品】SpringBoot中基于拦截器实现登录验证功能
03-06 1570
拦截器是属于springmvc体系的,只能拦截controller的请求。拦截器(Interceptor)是一种动态拦截方法调用的机制,在SpringMVC中动态拦截控制器方法的执行。Interceptor 作用日志记录:记录请求信息的日志,以便进行信息监控、信息统计、计算 PV(Page View)等;权限检查:如登录检测,进入处理器检测是否登录;性能监控:通过拦截器在进入处理器之前记录开始时间,在处理完后记录结束时间,从而得到该请求的处理时间。(反向代理,如 Apache 也可以自动记录)
简单的权限验证
不知名路人甲的博客
11-01 889
如果采用spring家族进行后端开发,想要实现多用户多权限很容易联想到spring security,shiro两大常见框架,但是两者都有一定的学习成本,并且由于兼容了很多设计模式的思想,源码很复杂,短时间不容易上手。那么,我们能不能通过一些java基础知识实现呢?因此本文使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

噜噜噜喂喂喂喂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值