【Spring AOP】统一用户登录校验

已于 2023-10-12 17:21:28 修改
阅读量801 收藏
点赞数 17
分类专栏: Spring 文章标签: spring java 后端
于 2023-10-12 14:57:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61832361/article/details/133784907
版权

统一用户登录校验

一. 使用拦截器实现统一用户登录校验

Spring 中提供了具体的实现拦截器:HandlerInterceptor,拦截器的实现分为以下两个步骤:

  1. 创建⾃定义拦截器,实现 HandlerInterceptor 接⼝的 preHandle(执⾏具体⽅法之前的预处理)⽅法。
  2. 将⾃定义拦截器加⼊ WebMvcConfigurer 的 addInterceptors ⽅法中。

接下来使⽤代码来实现⼀个⽤户登录的权限效验:
具体实现如下:

1. 自定义拦截器

⾃定义拦截器是⼀个普通类, 实现了 HandlerInterceptor 并重写 preHandle 方法。

public class LoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 执行判断用户是否登录的逻辑
        HttpSession session = request.getSession(false);
        // 注意这里面要同时判断 session 和 session 中的某个指定的键值对不为空
        // 因为后面可能用户登录后又注销了
        // 此时没有办法把 session 删除, 但是里面的某个指定的键值对可以被删除, 以此来标注用户注销了
        // 所以判断时要同时判断 session 和 对应的某个键值对
        if (session != null && session.getAttribute("userinfo") != null) {
            // 用户已经登录
            return true;
        }
        response.setStatus(401);
        return false;
    }
}

2. 将拦截器加入到系统配置

将⾃定义拦截器加⼊到系统配置, 将上⼀步中的⾃定义拦截器加⼊到系统配置信息中:
写一个类实现 WebMvcConfigurer 接口并重写 addInterceptors 方法,不要忘记将这个类注入到容器中

@Configuration // 不要忘记注入到容器中
public class AppConfig implements WebMvcConfigurer { // 实现这个接口才能重写方法从而加入到配置文件中,配置文件中的每个类都实现了这个接口
    // 添加拦截器
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new LoginInterceptor())
                .addPathPatterns("/**") // 拦截所有接⼝
                .excludePathPatterns("/art/param11"); // 排除 /art/param11 这个接⼝
    }
}
  • addPathPatterns:表示需要拦截的 URL,“**”表示拦截任意⽅法(也就是所有⽅法)。
  • excludePathPatterns:表示需要排除的 URL, 即不拦截的 URL。

以上拦截规则可以拦截此项⽬中的使⽤ URL,包括静态⽂件(图⽚⽂件、JS 和 CSS 等⽂件)。

拦截规则可以根据我们的需要自己设定:

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new LoginInterceptor())
                .addPathPatterns("/**") // 拦截所有接⼝
                .excludePathPatterns("/**/*.js") // 不拦截对应路径下的 js 文件
                .excludePathPatterns("/**/*.css") // 不拦截对应路径下的 css 文件
                .excludePathPatterns("/**/*.jpg") // 不拦截对应路径下的图片
                .excludePathPatterns("/login.html") // 不拦截登录页面
                .excludePathPatterns("/**/login"); // 不拦截登录接口
    }

注意里面的静态文件的路径以及接口都是对应自己存放的文件路径以及名称

一般的拦截规则:

  1. 登录、注册⻚⾯不拦截,其他⻚⾯都拦截。
  2. 当登录成功写⼊ session 之后,拦截的⻚⾯可正常访问。

注意:当我们在项目中新增一些功能时,如果测试时发现代码基本上都没有什么问题,但是就是访问失败,很有可能就是被拦截了,此时我们要将这个功能对应的接口,静态文件给放开,不进行拦截。

二. 拦截器实现原理

在这里插入图片描述
实现原理源码分析:

所有的 Controller 执⾏都会通过⼀个调度器 DispatcherServlet 来实现,这⼀点可以从 Spring Boot 控制台的打印信息看出,如下图所示:

在这里插入图片描述

所有⽅法都会执⾏ DispatcherServlet 中的 doDispatch 调度⽅法,doDispatch 源码如下:

    protected void doDispatch(HttpServletRequest request, HttpServletResponse response) throws Exception {
        HttpServletRequest processedRequest = request;
        HandlerExecutionChain mappedHandler = null;
        boolean multipartRequestParsed = false;
        WebAsyncManager asyncManager = WebAsyncUtils.getAsyncManager(request);
        try {
            try {
                ModelAndView mv = null;
                Object dispatchException = null;
                try {
                    processedRequest = this.checkMultipart(request);
                    multipartRequestParsed = processedRequest != request;
                    mappedHandler = this.getHandler(processedRequest);
                    if (mappedHandler == null) {
                        this.noHandlerFound(processedRequest, response);
                        return;
                    }
                    HandlerAdapter ha = this.getHandlerAdapter(mappedHandler.getHandler());
                    String method = request.getMethod();
                    boolean isGet = HttpMethod.GET.matches(method);
                    if (isGet || HttpMethod.HEAD.matches(method)) {
                        long lastModified = ha.getLastModified(request, mappedHandler.getHandler());
                        if ((new ServletWebRequest(request, response)).checkNotModified(lastModified) && isGet) {
                            return;
                        }
                    }
                    // 调⽤预处理【重点】
                    if (!mappedHandler.applyPreHandle(processedRequest, response)) {
                    	// 如果拦截没通过就不会继续往下执行
                        return;
                    }
                    // 拦截通过则继续往下执行
                    // 执⾏ Controller 中的业务
                    mv = ha.handle(processedRequest, response, mappedHandler.getHandler());
                    if (asyncManager.isConcurrentHandlingStarted()) {
                        return;
                    }
                    this.applyDefaultViewName(processedRequest, mv);
                    mappedHandler.applyPostHandle(processedRequest, response, mv);
                } catch (Exception var20) {
                    dispatchException = var20;
                } catch (Throwable var21) {
                    dispatchException = new NestedServletException("Handler dispatch failed", var21);
                }
                this.processDispatchResult(processedRequest, response, mappedHandler, mv, (Exception) dispatchException);
            } catch (Exception var22) {
                this.triggerAfterCompletion(processedRequest, response, mappedHandler, var22);
            } catch (Throwable var23) {
                this.triggerAfterCompletion(processedRequest, response, mappedHandler, new NestedServletException("Handler processing failed", var23));
            }
        } finally {
            if (asyncManager.isConcurrentHandlingStarted()) {
                if (mappedHandler != null) {
                    mappedHandler.applyAfterConcurrentHandlingStarted(processedRequest, response);
                }
            } else if (multipartRequestParsed) {
                this.cleanupMultipart(processedRequest);
            }
        }
    }

从上述源码可以看出在开始执⾏ Controller 之前,会先调⽤ 预处理⽅法 applyPreHandle,⽽ applyPreHandle ⽅法的实现源码如下:

    boolean applyPreHandle(HttpServletRequest request, HttpServletResponse response) throws Exception {
        for(int i = 0; i < this.interceptorList.size(); this.interceptorIndex = i++) {
            // 获取项⽬中使⽤的拦截器 HandlerInterceptor,并执行 preHandle 方法
            HandlerInterceptor interceptor = (HandlerInterceptor)this.intercep torList.get(i);
            if (!interceptor.preHandle(request, response, this.handler)) {
                this.triggerAfterCompletion(request, response, (Exception)null);
                return false;
            }
        }
        return true;
    }

从上述源码可以看出,在 applyPreHandle 中会获取所有的拦截器 HandlerInterceptor 并执⾏拦截器中的 preHandle ⽅法,
这样就与咱们前⾯定义的拦截器对应上了,如下图所示:

在这里插入图片描述
此时⽤户登录权限的验证⽅法就会执⾏,这就是拦截器的实现原理。

通过上⾯的源码分析,我们可以看出,Spring 中的拦截器也是通过动态代理和环绕通知的思想实现的,⼤体的调⽤流程如下:

在这里插入图片描述

三. 扩展:统一访问前缀添加

所有请求地址添加 api 前缀:

方法一:

@Configuration
public class AppConfig implements WebMvcConfigurer {
    // 所有的接⼝添加 api 前缀
    @Override
    public void configurePathMatch(PathMatchConfigurer configurer) {
        configurer.addPathPrefix("/api", c -> true);
    }
}

其中第一个参数是要加的前缀,
第⼆个参数是⼀个表达式,c -> true 表示一个Lambda表达式,它接受一个条件参数 c,并且无论传入什么条件,它始终返回 true,这就是为什么它表示一个通用条件,即对所有路径都应用前缀设置为 true 表示启动前缀(不包含静态文件资源)。

方法二:直接在配置文件 application.yml (application.properties )中配置

server:
  servlet:
    context-path: /api2

举个栗子:
原本访问路径为:

http://localhost:8080/u/getu?id=1

增加访问前缀之后 路径为 :

http://localhost:8080/api/u/getu?id=1

此时再使用之前的访问路径就不能访问到了。

好啦! 以上就是对 统一用户登录校验 的讲解,希望能帮到你 !
评论区欢迎指正 !

Gmerrysong
关注
  • 17
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Spring AOP实现登录状态校验
铁根的博客
02-20 828
在想要校验的Controller加上一个注解Login, 如果用户已经登录就可以访问这个方法, 否则就不允许调用这个方法 使用这个方案: 基于AOP代码比较干净 Spring AOP是面试几乎必问的知识点,巩固AOP的相关知识 步骤 增加pom配置 <dependency> <groupId>org.spingframework.boot</groupId> <artifactId>spring-boot-starter-aop</a.
Spring AOP实现功能权限校验功能的示例代码
08-28
本篇文章主要介绍了Spring AOP实现功能权限校验功能的示例代码,通过使用拦截器和AOP技术来实现登录时跳转到登录界面的功能,以及在service层方法中抛异常来实现权限校验功能。 关于拦截器 在Spring MVC中,拦截...
SpringBoot AOP 切面 使用 JWT 完成登录鉴权
weixin_43217512的博客
09-04 661
最近项目上碰到一个问题,使用SpringBoot拦截器实现 JWT登录鉴权时,无法Pass swagger2的请求,经过研究最终解决了该问题,方案如下,如有更好的建议,请大家不吝赐教。
springboot 方法级别的登录验证 ---自定义注解+aop实现
小石头记
02-09 231
更多内容请浏览本人博客 上文讲到基于服务级别的登录验证,有时可能不需要整个服务被拦截,由于没有使用shiro,便写了一套基于自定义注解实现登录拦截 1.编写自定义注解 package com.huidong.qzh.util.common.annotation; import java.lang.annotation.ElementType; import java.lang.annotati...
(二)AOP参数校验与注册、登录
最新发布
qq_43544934的博客
06-12 637
因为VerifyParam是一个参数的校验,不是方法,而pointcut注解是拦截方法的,对于 VerifyParam注解的操作是放在validateParams 方法中的。checkcode是图形校验码,emailcode是邮箱验证码,存到数据库的是emailcode,注册这一部分没有特别难以理解的,要特别注意邮箱验证码是有时效的,前端没有写,时间是15分钟,邮箱验证码是通过与数据库内存储的做的对比,这也是前面为什么会存储到数据库中,这个做法可以记录一下,不放在redis中,而是放到MySQL数据库中。
spring boot 使用AOP实现是否已登录检测
ganyuanmen的博客
02-16 2267
后端分离的开发中,用户http请求应用服务的接口时, 如果要求检测该用户是否已登录。可以实现的方法有多种, 本示例是通过aop 的方式实现,简单有效。4 建立api接口,在需要检测的方法上加入@Interceptor 就完成切入的检测。约定:前端http的post 请求。1、在pom.xml 引用。
JavaWeb基础知识-登录效验-spring事务-AOP(二)
热门推荐
m0_59230408的博客
04-08 1万+
AOP:Aspect Oriented Programming(面向切面编程、面向方面编程),其实就是面向特定方法编程。动态代理是面向切面编程最主流的实现。而$pringAOPSpring框架的高级技术,旨在管理bean对象的过程中,主要通过底层的动态代理机制,对特定的方法进行编程。
SpringBoot Aop进行身份验证
无心
07-31 507
创建一个注解,可以应用于类或者方法上的,进行表示身份认证。controller里应用的示例。
SpringAOP(1)
weixin_61518137的博客
11-12 692
SpringAOP
aop方式校验登录的方式
Rallos的博客
10-11 853
第二步编写aop的管道接口(可以多实现该接口)实现切面接口(可以校验管理员等其他验证身份)以下使用aop方式实现全局校验。第一步自定义注解类作为切点。编写aop切面配置类。
spring aop action中验证用户登录状态的实例代码
08-29
spring aop action中验证用户登录状态的实例代码 本篇文章主要介绍了spring aop action中验证用户登录状态的实例代码,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。 在学习ssh框架时,通常在一些需要用户...
详解Spring AOP 实现“切面式”valid校验
08-28
Spring AOP 实现“切面式”valid 校验 Spring AOP(Aspect-Oriented Programming)是一种编程范式,它可以帮助开发者将横切关注点与业务逻辑分离,从而提高代码的可读性、可维护性和可扩展性。在本篇文章中,我们...
spring aop+自定义注解+反射实现统一校验脚手架
05-24
工程介绍:SpringBoot项目脚手架,利用spring aop+java反射实现自定义注解校验参数 源码里有使用都例子在DemoContorller example1:校验userName参数必填 @CheckParams(notNull = true) private String userName;...
JavaSpring AOP 实现用户权限验证
08-31
首先,权限验证是任何应用程序中不可或缺的一部分,尤其是涉及到用户登录和访问控制的场景。通过Spring AOP,我们可以将权限验证的逻辑与业务代码解耦,使得代码更易于维护和扩展。 1. **自定义枚举类AuthorityType...
通过Aop方式实现登录验证
ssp的博客
03-09 341
通过Aop方式实现登录验证
利用AOP实现统一功能处理
m0_62404808的博客
04-10 729
重写HandlerInterceptor接口中的preHandler方法,先获取到session对象,判断对象是否为空来判断登录状态,若未登录则自动跳转到登录页面。@Component@Override//先得到session对象,传入参数为false,表示Session为空时不会自动创建,传入参数为true则反之。if(session!= null){//表示登录成功//表示未登录,则请求重定向到登录页面将自定义的拦截器添加到框架的配置中,并且设置拦截的规则。
SpringBoot 统一功能处理:用户登录权限校验-拦截器、异常处理、数据格式返回
2301_77463738的博客
05-15 1224
但是需要考虑的一点是,如果每个异常都这样写,那么工作量是非常大的,并且还有自定义异常,所以上面这样写肯定是不好的,既然是异常直接写 Exception 就好了,它是所有异常的父类,如果遇到不是前面写的两种异常,那么就会直接匹配到 Exception。我们要对一部分方法进行拦截,而另一部分方法不拦截,比如注册方法和登录方法是不拦截的,也就是实际的拦截规则很复杂,使用简单的 aspectJ 表达式无法满足拦截的需求。通过源码分析,可以看出,Sping 中的拦截器也是通过动态代理和环绕通知的思想实现的。
SpringBoot统一功能处理(AOP思想实现)(统一用户登录权限验证 / 异常处理 / 数据格式返回)
qq_52136076的博客
08-01 777
一、用户登录权限校验 🍅 1、使用拦截器 🎈 1.1自定义拦截器 🎈 1.2 设置自定义拦截器 🎈创建controller类,并且运行项目 🍅 2、拦截器原理 二、统一异常处理 三、统一数据返回 🍅 为什么需要统一数据返回格式 🍅 统一数据返回格式 🎈定义同已返回类型 🎈 同以数据处理 🎈业务类
AOP的入门案例(登录时间记录)
weixin_63975657的博客
01-19 374
【代码】AOP的入门案例(登录时间记录)
springaop数据校验
09-05
SpringAOP数据校验可以通过自定义AOP方式来实现。可以在SpringBoot的启动类中使用@EnableNonCheck注解来启用AOP校验功能,并在需要校验的方法上添加校验注解。例如,可以使用javax.validation包中的注解对方法参数进行校验,如@NotNull、@NotEmpty等。通过自定义AOP切面,在方法执行前进行参数校验,如果参数校验不通过,则可以抛出异常或返回相应的错误信息。这样可以实现对参数的自动校验,减少手动校验的繁琐过程。这种方式可以解决SpringBoot校验方式无法完成对象嵌套的校验功能的问题。同时,使用AOP方式进行数据校验可以减少漏掉某个字段的风险,提高校验的准确性和可靠性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [使用SpringAOP优雅的进行参数校验【三种方式】](https://blog.csdn.net/LG112103/article/details/126713640)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值