SpringMVC拦截器重构用户登录及权限验证代码

最新推荐文章于 2021-09-30 20:30:55 发布
最新推荐文章于 2021-09-30 20:30:55 发布
阅读量579 收藏 2
点赞数 1
分类专栏: Web Spring 文章标签: Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/makersy/article/details/89482051
版权
Web 同时被 2 个专栏收录
11 篇文章 0 订阅
订阅专栏
Spring
6 篇文章 0 订阅
订阅专栏

前言

这段时间在做一个电商网站项目的服务端,基本每个请求都需要判断用户是否登录,对于管理员用户特有的功能更是要做权限的验证。
在v1.0版本,我在每个方法中都会从session中取出user来判断,费时费力。现在准备使用spring mvc的拦截器来重新实现这个逻辑,减少代码量,程序更加直观。

正文

首先看一个之前的例子,这个方法是添加一个商品分类,毫无疑问是只有管理员才能进行的操作。

@RequestMapping("/manage/category/add_category.do")
@ResponseBody
public ServerResponse addCategory(HttpServletRequest httpServletRequest, String categoryName, @RequestParam(value = "parentId", defaultValue = "0") int parentId){
    String loginToken = CookieUtil.readLoginToken(httpServletRequest);
    if (StringUtils.isEmpty(loginToken)) {
        return ServerResponse.createByErrorMessage("用户未登录,无法获取当前用户的信息");
    }
    //从redis中获取user的json字符串
    String userJsonStr = RedisShardedPoolUtil.get(loginToken);
    //将user字符串转化成user对象
    User user = JsonUtil.string2Obj(userJsonStr, User.class);
    if( user==null ){
        return ServerResponse.createByErrorCodeMessage(ResponseCode.NEED_LOGIN.getCode(), "用户未登录,请登录");
    }
    //校验一下是否是管理员
    if( iUserService.checkAdminRole(user).isSuccess() ){
        //是管理员
        //增加处理分类的逻辑
        return iCategoryService.addCategory(categoryName, parentId);
    }else{
        return ServerResponse.createByErrorMessage("无权限操作,需要管理员权限");
    }
}

可以看到根据用户是否登录,以及用户是否是管理员,返回了不同的对象,真正实现该方法功能的就一行。
这里就引入了Spring MVC的拦截器来减少重复代码。

拦截器工作方式

springMVC拦截器的实现一般有两种方式:

第一种方式是自定义Interceptor类来实现Spring的 HandlerInterceptor 接口

第二种方式是继承实现了HandlerInterceptor接口的类,比如Spring已经提供的实现了HandlerInterceptor接口的抽象类 HandlerInterceptorAdapter

HandlerInterceptor 接口中定义了三个方法,我们就是通过这三个方法来对用户的请求进行拦截处理的。

  1. preHandle(): 这个方法在业务处理器处理请求之前被调用,SpringMVC 中的Interceptor 是链式的调用的,在一个应用中或者说是在一个请求中可以同时存在多个Interceptor 。每个Interceptor 的调用会依据它的声明顺序依次执行,而且最先执行的都是Interceptor 中的preHandle 方法,所以可以在这个方法中进行一些前置初始化操作或者是对当前请求的一个预处理,也可以在这个方法中进行一些判断来决定请求是否要继续进行下去。该方法的返回值是 Boolean 类型的,当它返回为 false 时,表示请求结束,后续的Interceptor 和 Controller 都不会再执行;当返回值为true 时就会继续调用下一个Interceptor 的preHandle 方法,如果已经是最后一个Interceptor 的时候就会是调用当前请求的Controller 方法。

  2. postHandle():这个方法在当前请求进行处理之后,也就是Controller 方法调用之后执行,但是它会在 DispatcherServlet 进行视图返回渲染之前被调用,所以我们可以在这个方法中对Controller 处理之后的 ModelAndView 对象进行操作。postHandle 方法被调用的方向跟preHandle 是相反的,也就是说先声明的Interceptor 的postHandle 方法反而会后执行。

  3. afterCompletion():该方法也是需要当前对应的Interceptor 的preHandle 方法的返回值为true 时才会执行。顾名思义,该方法将在整个请求结束之后,也就是在DispatcherServlet 渲染了对应的视图之后执行。这个方法的主要作用是用于进行资源清理工作的。

具体工作流程如下:
在这里插入图片描述

拦截器的使用

首先需要在dispatcher-servlet.xml文件里面规定要拦截哪些请求。
这里我要拦截的是有关管理员的操作的请求,我对管理员的请求写法是这样的:/manage/user/xxxx,或者这样的:/manage/order/xxxx,这就要求对/manage开头的,以及它下面的子请求进行拦截,于是可以这么写:

<mvc:interceptors>
    <!-- 定义在这里bean,所有都会拦截 -->
    <mvc:interceptor>
        <!--拦截类型-->
        <!-- /manage/a.do      /manage/* -->
        <!-- /manage/b.do      /manage/* -->
        <!-- /manage/product/save.do    /manage/** -->
        <!-- /manage/product/detail.do  /manage/**-->
        <!--此处拦截/manage下请求及其子请求-->
        <mvc:mapping path="/manage/**"/>
        <!--防止login方法也被拦截器拦下-->
        <!--<mvc:exclude-mapping path="/manage/user/login.do" />-->
        <bean class="com.mall.controller.common.interceptor.AuthorityInterceptor" />
    </mvc:interceptor>
</mvc:interceptors>

Tips:

  • /manage/*所匹配的是/manage/xxx这种的,不能匹配二级请求,/manage/**可以匹配其下所有的请求。
  • login请求不能拦截掉,否则就无法完成登录了,因为拦截器就是要防止未登录情况。这里注释掉是因为我是在Interceptor方法里做了处理的,所以这里可以不需要。这两种方法都是可行的。

接下来是自定义的AuthorityInterceptor方法,注释写的很详细。关于富文本那段可以忽略掉,只是返回值跟其他的方法不一样,所以需要单独处理。

/**
 * Created by makersy on 2019
 */
//mvc拦截器
@Slf4j
public class AuthorityInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
        log.info("preHandle");
        //请求Controller中的方法全限定名
        HandlerMethod handlerMethod = (HandlerMethod) o;

        //解析HandlerMethod,获取请求的方法的非限定名,和请求的方法所在的简单类名
        String methodName = handlerMethod.getMethod().getName();
        String className = handlerMethod.getBean().getClass().getSimpleName();

        //解析参数。key和value,注意value类型为String[]
        StringBuffer requestParamBuffer = new StringBuffer();
        Map paramMap = httpServletRequest.getParameterMap();
        Iterator it = paramMap.entrySet().iterator();
        while (it.hasNext()) {
            Map.Entry entry = (Map.Entry) it.next();
            String mapKey = (String)entry.getKey();

            String mapValue = StringUtils.EMPTY;

            //request中map的value返回的是一个String[],判断是否是String[]类型并将其拼接
            Object obj = entry.getValue();
            if (obj instanceof String[]) {
                String[] strs = (String[]) obj;
                mapValue = Arrays.toString(strs);
            }
            requestParamBuffer.append(mapKey).append("=").append(mapValue);
        }

        //不拦截login请求
        if (StringUtils.equals(className, "UserManageController") && StringUtils.equals(methodName, "login")) {
            log.info("权限拦截器拦截到请求,className:{}, methodName:{}", className, methodName);
            //如果是拦截到登录请求,不打印参数,因为参数中有密码,全部会打印到日志中,防止日志泄露
            return true;
        }

		//日志打印
        log.info("权限拦截器拦截到请求,className:{}, methodName:{}, param:{}", className, methodName, paramMap.toString());

		//从cookie中获取token
        User user = null;
        String loginToken = CookieUtil.readLoginToken(httpServletRequest);
		//从缓存中获取token对应的user对象
        if (!StringUtils.isEmpty(loginToken)) {
            String userJsonStr = RedisShardedPoolUtil.get(loginToken);
            user = JsonUtil.string2Obj(userJsonStr, User.class);
        }

        //如果user未登录或不是管理员,需要返回不同的值
        if (user == null || (user.getRole().intValue() != Const.Role.ROLE_ADMIN)) {
            //返回false,即不会调用controller里的方法
            httpServletResponse.reset();    //重写response输出,要添加reset,否则报异常getWriter() has already been called for this response
            httpServletResponse.setCharacterEncoding("UTF-8");  //要设置编码,否则乱码
            httpServletResponse.setContentType("application/json;charset=UTF-8");   //要设置返回值类型。因为都是json接口

            PrintWriter out = httpServletResponse.getWriter();

            //细化逻辑
            if (user == null) {
                //要特别注意富文本上传方法,要返回特定格式,其余的直接返回一个ServerResponse即可
                if (StringUtils.equals(className, "ProductManageController") && StringUtils.equals(methodName, "richTextImgUpload")) {
                    //如果是富文本上传
                    Map resultMap = Maps.newHashMap();
                    resultMap.put("success", false);
                    resultMap.put("msg", "请登录管理员");//未登录情况
                    out.print(JsonUtil.obj2String(resultMap));
                } else {
                    //其他普通请求
                    out.print(JsonUtil.obj2String(ServerResponse.createByErrorMessage("拦截器拦截,用户未登录")));
                }
            }else {
                if (StringUtils.equals(className, "ProductManageController") && StringUtils.equals(methodName, "richTextImgUpload")) {
                    Map resultMap = Maps.newHashMap();
                    resultMap.put("success", false);
                    resultMap.put("msg", "无权限操作");//登录但不是管理员
                    out.print(JsonUtil.obj2String(resultMap));
                } else {
                    out.print(JsonUtil.obj2String(ServerResponse.createByErrorMessage("用户无权限操作")));
                }
            }
            out.flush();    //关闭前要清空流
            out.close();    //out流关闭
            return false;
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
        log.info("postHandle");
    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
        log.info("afterCompletion");
    }
}

这样就完成拦截器啦,接下来就是去各个方法中去掉那些冗余的权限验证代码块了。

像开头的那段代码,优化后就成为这样:

@RequestMapping("/manage/category/add_category.do")
@ResponseBody
public ServerResponse addCategory(HttpServletRequest httpServletRequest, String categoryName, @RequestParam(value = "parentId", defaultValue = "0") int parentId){
    
    //全部通过拦截器验证是否登录以及权限
    return iCategoryService.addCategory(categoryName, parentId);
}
makersy
关注
专栏目录
2018.8.2 java电商从1到2--chapter10 SpringMVC拦截器实现权限统一验证
七月流火滋滋滋
08-02 393
目录 第10章 SpringMVC拦截器实现权限统一验证 10.1 总览 10.2 一期代码回顾 10.3 拦截器的配置 10.4 拦截器的使用 10.5 重构代码 第10章 SpringMVC拦截器实现权限统一验证 10.1 总览 一期代码关于权限判定的演进 SpringMVC拦截流程图 拦截器配置与使用 HttpServletResponse的重置 登录不拦截 代码...
Dubbo框架、用户注册、单点登录系统、用户登出、购物车系统、设置拦截器,实现用户权限校验、ThreadLocal、订单系统模块
xiaolu_0的博客
10-21 1294
1、Dubbo框架 2、重构京淘项目:JT-WEB/JT-SSO 3、用户注册 4、单点登录系统 5、用户登出/完成用户数据 6、封装cookie工具 7、实现商品信息远程调用 8、购物模块:jt-cart,CRUD操作
SpringMVC拦截器-用户登录权限控制
LCreator的博客
08-26 887
06-SpringMVC拦截器-用户登录权限控制分析(理解) 需求概述:用户没有登录的情况下,不能对后台菜单进行访问操作,点击菜单跳转到登录页面,只有用户登录成功后才能进行后台功能的操作 07-SpringMVC拦截器-用户登录权限控制代码实现1(应用) 判断用户是否登录 本质:判断session中有没有user,如果没有登陆则先去登陆,如果已经登陆则直接放行访问目标资源 先编写拦截器如下: public class PrivilegeInterceptor implements HandlerInter
springMVC使用拦截器检查用户登录
weixin_33881753的博客
08-16 156
参考文章 编写拦截器类 package cultivate_web.interceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSessi...
SpringMVC拦截器用户登录权限中的应用
nuist_NJUPT的博客
09-30 340
SpringMVC拦截器用户登录权限中的应用 在开发一个网站时可能有这样的需求,某些页面只希望有几个特定的用户浏览,对于这样的访问权限,该如何实现呢?拦截器就可以实现上述需求。 SpringMVC拦截器和Java Servlet的过滤器类似,它主要用于拦截用户的请求并作相应的处理,通常应用在权限验证,记录请求日志信息,判断用户是否登录功能SpringMVC框架中定义一个拦截器需要对拦截器进行定义和配置,定义一个拦截器可以通过两种方式:一种是通过实现HandlerInterceptor接口或者继承H
SpringMVC拦截器
weixin_44551909的博客
09-29 389
开发工具与关键技术:IDEA/SpringMVC 作者:落白 撰写时间:2020年9月28日 SpringMVC的处理器拦截器类似于Servlet开发中的过滤器Filter,用于对处理器进行预处理和后处理。开发者可以自己定义一些拦截器来实现特定的功能。 过滤器与拦截器的区别:拦截器是Aop思想的具体应用 过滤器:servlet规范中的一部分,任何java工程都可以使用,在url-pattern中配置了/*之后,可以对所有要访问的资源进行拦截 拦截器拦截器SpringMVC框架自己的,只有使用了Sprin
Android MVC,MVP,MVVM模式入门——重构登陆注册功能
weixin_30919919的博客
08-24 222
一 MVC模式: M:model,业务逻辑 V:view,对应布局文件 C:Controllor,对应Activity 项目框架: 代码部分:   layout文件(适用于MVC和MVP两个Demo): <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="htt...
springmvc 改造
01-20
如果改造涉及到全局的行为,如登录检查或权限控制,可能会用到SpringMVC拦截器。通过自定义Interceptor并将其注册到DispatcherServlet,可以在请求到达Controller之前或之后执行特定逻辑。 5. **视图解析器...
springmvc项目骨架
03-05
可以利用Spring的AOP特性实现全局事务管理、日志记录等功能,或者通过自定义拦截器实现特定功能,如权限控制、性能监控。 总结,本SpringMVC项目骨架涵盖了Web应用的基础结构和配置,无论是XML还是JavaConfig方式...
德力商城系统SpringMVC + Hibernate
07-15
- **拦截器**:可以定义自定义拦截器来处理全局性的事务、权限验证等。 - **视图解析**:通过视图解析器如InternalResourceViewResolver,将逻辑视图名转换为实际的物理视图。 2. **Hibernate ORM** - **对象...
关于登录拦截器的实现
fawn_stone的博客
06-29 1309
一、分析当用户提交订单时必须要求用户登录,可以使用拦截器来实现。拦截器的处理流程:1、拦截请求的url2、从Cookie中取token 3、如果没有token,跳转到登录页面4、取到token,需要调用sso系统的服务查询用户信息5、如果用户Session已经过期,跳转到登录页面6、如果用户Session没有过期,放行二、Service根据token取用户信息,如果取到返回User对象。如果取不到...
Spring MVC - 拦截器实现 和 用户登陆例子
热门推荐
原小明
01-08 4万+
1.拦截器   SpringMvc中的拦截器实现了HandlerInterceptor接口,通常使用与身份认证,授权和校验,模板视图,统一处理等;    public class HanderInterceptor1 implements HandlerInterceptor { @Override public void afterCompletion(HttpServletReque
SpringMVC 拦截器实现权限统一校验(重点)
Richard_666的博客
12-14 501
Spring MVC拦截器流程图: 第一步:在springmvc.xml里面配置拦截器 <mvc:interceptors> <!-- 定义在这里的,所有的都会拦截--> <mvc:interceptor> <!--manage/a.do /manage/*--> ...
SpringMVC验证用户登录信息代码
12-26 511
error.jsp <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <% String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request
解决Spring Boot 拦截器注入service为空的问题
weixin_34260991的博客
08-29 324
问题:在自定义拦截器中,使用了@Autowaire注解注入了封装JPA方法的Service,结果发现无法注入,注入的service为空 0.原因分析 拦截器加载的时间点在springcontext之前,所以在拦截器中注入自然为null 1.需要在拦截器上加@Component package com.fdzang.mblog.interceptor;import com.fdz...
springboot自定义拦截器实现接口调用前的登陆校验
万米高空的博客
05-03 6341
最近用springboot项目开发了一个后端的接口应用层。但是业务上要有最基本的登陆状态的校验,就选择用拦截器来实现这个功能。因为拦截器本身的特性就是在进入controller和业务层前会拦截每次请求,在这个拦截中进行判断登陆信息在合适不过。 自定义拦截器实现比较简单。分为两步: 1.通过implements HandlerInterceptor来实现自定义拦截器。 2.通过 implement...
拦截器中无法使用service 解决方法
qflyIT的博客
03-31 1264
使用手动加载bean, BeanFactory factory = WebApplicationContextUtils .getRequiredWebApplicationContext(request.getServletContext()); userService = (UserService) factory .getBean(“userService”); @Component @Slf4j public class UserInterceptor implements HandlerInter
springboot拦截器验证token实现登陆
sgycoder的博客
12-12 5998
最近在做一个官网登陆认证项目,因为登陆以后无需太多的角色校验,所以改成角色简单实现就好,没有用太多框架组件,只用原声写。 直接上代码: 首先我用的是前后端分离的,所以要解决跨域问题 @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMa...
SpringMVC--拦截器实现用户登录权限验证案例
吴声子夜歌的博客
11-03 2325
Spring MVC拦截器实现用户登录权限验证案例 1)创建应用并导入相关JAR包 2)创建 POJO 类 package pers.zhang.pojo; public class User { private String uname; private String upwd; public String getUname() { return uname;...
springmvc使用拦截器实现用户登录权限验证
最新发布
01-06
SpringMVC使用拦截器可以很方便地实现用户登录权限验证。 首先,我们可以创建一个实现HandlerInterceptor接口的拦截器类,该类可以在请求处理前或处理后执行特定的操作。在拦截器类中,我们可以实现preHandle方法来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值