spring AOP+注解方式实现登录验证(session+cookies)

最新推荐文章于 2023-06-07 16:03:20 发布
最新推荐文章于 2023-06-07 16:03:20 发布
阅读量1.3k 收藏 3
点赞数 1
分类专栏: web开发笔记 spring boot 项目实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mathew_leung/article/details/103331214
版权

学习总是在不断继续的,这次我将实现一个基于aop的的一个注解操作。

首先加依赖:

<dependency>
     <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter-aop</artifactId>
</dependency>

1.我们第一步就是要定义一个注解:

package com.shengxi.compent.aop.annotation;

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 登录状态验证
 *
 * @author matthew
 * @version 1.0.0
 * @date 2019-11-26 12:29:20
 * @see java.lang.annotation.Annotation
 */

@Documented
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginStatus {
    boolean value() default false;
}

这里使用一个value参数,主要也是应该自己想更多的记录关于注解和aop联合使用的知识点。事实上可以直接使用一个注解就好了,因为再解析一个参数,而不做任何有意义的操作。就是在浪费资源。

2、我们一定要理解一个问题,就是我们想要实现利用aop验证是否登录,就必须要进行登录状态的保存和更新。所以我进行了一个垃圾的登录状态保存和更新。

/**
     * 将用户名保存在session中
     *
     * @param request   请求
     * @param loginUser 登录用户
     */
    private Cookie saveToSessionAndCookies(HttpServletRequest request, User loginUser) {
        /* 将信息保存在session中,避免登录有效被篡改和私密信息被截取。 */
        String sha1 = SecureUtil.sha1(loginUser.getName());
        HttpSession session = request.getSession();
        session.setAttribute(sha1, new SessionMsgPojo(LocalDateTime.now(), loginUser.getName()));
        /*cookies只保留用户名的sha1值*/
        return new Cookie("user", sha1);
    }

这是在登录的时候将登陆状态信息保存在session,然后利用sha1哈希散列进行摘要生成。这样cookies保存的数据就不用担心被篡改了。然后sha1的加密强度不是很大,但是我们很多时候做出来的项目但是小型项目,不用担心会被资金充足的机构进行攻击。所以加密方案可以自行选择,这里只是一种作者在学习到这个时间点时的一个安全意识体现,而没有强制要求。

 

3、我们会对登录状态进行一个可持续的更新:

package com.shengxi.compent.utils.filter;

import cn.hutool.core.util.BooleanUtil;
import cn.hutool.core.util.ObjectUtil;
import com.shengxi.carblog.pojo.weak.SessionMsgPojo;
import java.io.IOException;
import java.time.LocalDateTime;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

/**
 * 自动更新登录有效期
 * @author matthew
 * @version 1.0.0
 * @date 2019-11-27 23:47:09
 * @see javax.servlet.Filter
 */
@WebFilter(filterName = "LoginTimeFilter")
public class LoginTimeFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws ServletException, IOException {
        /*获取cookies*/
        Cookie[] cookies = ((HttpServletRequest) req).getCookies();
        HttpSession session = ((HttpServletRequest) req).getSession();
        for (Cookie cookie : cookies) {
            String value = cookie.getValue();
            SessionMsgPojo attribute = (SessionMsgPojo) session.getAttribute(value);
            if (ObjectUtil.isNotNull(attribute)) {
                attribute.setLocalDateTime(LocalDateTime.now());
            }
        }


        chain.doFilter(req, resp);
    }


}

    这里会对已经登录的会话进行一个最后一次会话时间进行记录使其两个小时内不需要进行多次登录。选择使用过滤器进行登录的状态维持,是因为本着先实现,再优化的思想进行写bug。所以我也没有考虑那么多性能问题,而是先用一个简单的过滤器去实现这个登录时间的维持。

下面是aop源码:

package com.shengxi.compent.aop;

import cn.hutool.core.util.BooleanUtil;
import cn.hutool.core.util.ObjectUtil;
import com.shengxi.compent.aop.annotation.LoginStatus;
import javax.servlet.ServletContext;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import org.springframework.web.servlet.ModelAndView;

/**
 * @author yan
 * @version 1.0.0
 * @date 2019-11-26 17:00:23
 */
@Aspect
@Component
public class LoginStatusAspect {
    private final Logger logger = LoggerFactory.getLogger(LoginStatusAspect.class);

    @Pointcut()
    public void login() {
    }


    /**
     * 围绕注解进行切面编程
     *
     * @param joinPoint join point
     * @return
     * @throws Exception ex
     */
    @Around("@annotation(com.shengxi.compent.aop.annotation.LoginStatus)")
    public Object aroundManager(ProceedingJoinPoint joinPoint) throws Throwable {
        LoginStatus annotation = ((MethodSignature) joinPoint.getSignature()).getMethod().getAnnotation(LoginStatus.class);
        if (annotation.value()){
            boolean flag =false;
            HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
            Cookie[] cookies = request.getCookies();
            HttpSession session = request.getSession();
            if (ObjectUtil.isNotEmpty(cookies) && ObjectUtil.isNotEmpty(session)) {
                for (Cookie cookie : cookies) {
                    if (ObjectUtil.isNotEmpty(session.getAttribute(cookie.getValue()))) {
                        flag = !flag;
                    }
                }
            }
            if (BooleanUtil.isFalse(flag)){
                return new ModelAndView("/login");
            }
        }
        return joinPoint.proceed();
    }
}

这里aop是环绕注解进行解析,然后获取注解中的参数(value),然后获取请求中的session和cookies。我还知道一种是利用ThreadLocal实现拦截器获取对应的ServletRequest和ServletResponse的方案,但是我觉得能直接使用接口就不要这么勤快的自己再写一个实体类和拦截器去实现了。毕竟这次学习的重点不是那个point。最后在session中没有对应数据的就返回到登录页面。

总结:

       这次写的主要是为了aop+注解,所以在很多逻辑上的东西还没有进行完善(完善可能要等以后的文章,但是遥遥无期......),如果各位觉得我写的有问题,请大方指正,不胜感激!

 

matthew_leung
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
AOP实现登录验证
weixin_38363851的博客
03-25 1440
AOP AOP面向切面编程,通过预编译方式和运行期间动态代理实现程序功能的统一维护的一种功能。 在实现管理系统的各种功能时,增删改查一般需要登录者的权限,以防用户直接输入链接地址,在未登录的情况下进行管理操作,保证系统的安全性。 一般可以在每个功能方法下编写验证功能,从session中获取用户,如果用户不存在,则返回主页面,这样代码重复量较大,也可以通过调用验证接口做,也有重复量。而AOP通过声明切面类,事先选取哪些方法的前后需要做一些操作(如用户验证),这些选出来的方法就是切点,而编写的验证操作为Advi
jersey学习笔记之AOP环境下COOKIE的读取
进军全栈攻城狮
06-30 661
jersey cookie的读取比较简单代码如下. public void before(JoinPoint jp) throws Exception { System.out.println("before start"); Map&lt;String, Cookie&gt; cookies = ((WebApplicationContext) jp.getArgs()[0]...
Aop检查Session,全局过滤器和No全局过滤器
dibeichan3033的博客
05-30 81
全局过滤器: using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Mvc; namespace UpdateService.Filter { public class AccessControl : Act...
SpringMVC+Cookie+Session实现自动登录
热门推荐
ZZHMMD957
01-25 1万+
实现自动登录其实并不是特别的困难,下面来介绍我所实现的自动登录的一种方式,首先,必须提到CookieSessionCookie是保存在客户端的而Session是保存在服务端的,每次客户端通过游览器访问服务端的时候,会有一个JSESSIONID作为key值保存在Cookie中,服务端就这样区分每一个客户端的Session,在自动登录的时候,Cookie保存了用户名(自动保存JSESSIONID)
Spring mvc session cookie实现自动登录
weixin_30416497的博客
04-09 147
设计过程 1. user表存储用户名密码等信息,login表存放用户登陆状态的表 user表中存储username,pwd,等信息 login表存username,series(UUID),token(过期时间,用户名,密码 加密后数据),validTime 过期时间。 2.调用用户登陆接口并且用户名密码验证成功之后, a.计算登陆最大过期时间 b.生成token,(我是用过...
springmvc+cookie+session实现的简单自动登录
m0_46517642的博客
11-21 676
学习了一天左右的cookiesession,用自己的理解写了个简单的登录 学习过程中遇到的问题: cookie中的JSESSIONID,暂时不懂作用 前端用ajax请求成功后使用location.replace方法跳转界面,能够成功跳转却无法阻止浏览器后退按钮(未解决) 使用cookie登录但没有session,导致被拦截器拦截登录请求(已解决) 用户登录成功后使用浏览器后退按钮或url回到登录页面导致重复登录(目前只能做到使用拦截器阻止用户通过url进入登录页面) 暂时还没想起其它,想到后在补充 不知
Spring AOP + 注解实现统一注解功能
08-27
"Spring AOP + 注解实现统一注解功能" 本文我们通过Spring AOP和Java的自定义注解实现日志的插入功能,该方案对原有业务入侵较低,实现较灵活。下面我们将详细介绍该功能的实现原理和相关知识点。 1. 概述 在...
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
SpringBoot 使用 AOP+注解实现简单的权限验证的方法 SpringBoot 框架提供了强大的权限验证机制,以确保应用程序的安全性。其中一种方法是使用 AOP(Aspect-Oriented Programming)和注解实现简单的权限验证。本文...
spring AOP自定义注解方式实现日志管理的实例讲解
08-28
Spring AOP 自定义注解方式实现日志管理的实例讲解 在本文中,我们将探讨如何使用 Spring AOP 实现日志管理,并使用自定义注解方式来记录日志信息。这种方式可以灵活地实现日志管理,提高系统的可维护性和可扩展性...
spring aop+自定义注解+反射实现统一校验脚手架
05-24
工程介绍:SpringBoot项目脚手架,利用spring aop+java反射实现自定义注解校验参数 源码里有使用都例子在DemoContorller example1:校验userName参数必填 @CheckParams(notNull = true) private String userName;...
springAop+自定义注解实现权限管理
09-14
一个简单的采用自定义注解结合SpringAop实现方法执行的权限管理,这个demo中并没有涉及到与数据库的交互和业务代码,用户权限在登陆时采用简单的手动初始化。该demo用的jdk1.7编译,Spring4.0版本,只想通过这个demo...
Cookie + Session 登入
kwk3219的博客
01-16 460
在讲Cookie + Session 登入前,我们应该先来了解一下,为什么会有这两个东西
Spring Boot中如何使用Cookies详析
who7708的专栏
03-02 484
一、导读 本文大纲 读取 HTTP Cookie 设置 HTTP Cookie 读取所有 Cookie[] 为 Cookie 设置过期时间 Https 与 Cookie HttpOnly Cookie 删除Cookie HTTP Cookie(也称为Web cookie,浏览器cookie)是服务器在用户浏览器中存储的小部分数据。服务器端应用程序在返回浏览器请求响应的时候设置cookie,浏览...
Springboot】基于AOP机制的前置通知以及Cookies记录用户操作日志
最新发布
SKMIT的博客
06-07 1196
在一个项目中,想要能够记录用户敏感操作的功能。例如用户登录操作,删除某个模块的内容,系统能够将系统日志自动加入到数据库中。日志内容主要包括了,操作用户的id,用户的姓名、用户ip来源、操作内容是什么,执行了什么URL,执行耗时等等。其实日志记录,简单的实现实际上还是在用户执行敏感操作的时候,新增一个日志Controller,像其他业务一样实现数据库的增删改查。但是这种笨方法将会大大增加代码量。同时还要改动原项目代码,在执行写入数据库的控制类后还要写入数据库的日志类,如果不仔细审查会容易出错。
基于SpringBoot简单实现SpringAop+Redis+cookie 单点登录 和 用户登录检测
qq_38553333的博客
07-17 2732
一、新建一个Ascept(class ) /** * 测试: Spring Aop 切面编程 * @author Administrator * */ @Aspect @EnableAspectJAutoProxy @Configuration public class TestWebAspectConfig { private CookieUtil cookieUtil = new...
如何用Spring AOP和Java自定义注解实现登陆鉴权
qq_41931797的博客
03-09 322
如何用Spring AOP和Java自定义注解实现登陆鉴权 原文链接:https://blog.csdn.net/starlh35/article/details/78846980
使用Spring AOPCookie做网站免登陆
每天进步一点点
06-25 2543
在我们平时浏览网站的时候,会发现很多网站,在你登陆一次后,下次登陆就不需要重新登陆了。其原理就是登陆的时候将,用户名和密码用Cookie存储起来,每次访问的时候先从Cookie中取出并登陆。 function SetCookie(name, value) { var today = new Date(); var expires = new Date();
SpringBoot 根据 注解和切面(AOP) 实时验证用户登陆状态
帅气Dee海绵宝宝
07-20 1299
SpringBoot 根据 注解和切面(AOP)实时验证用户登陆状态
SpringAOP+自定义注解模拟shiro框架实现
06-06
首先,我们需要定义一个自定义注解 `@RequiresPermissions`,用于标识需要授权访问的方法,例如: ```java @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) public @interface RequiresPermissions { String[] value(); // 权限值 } ``` 然后,我们需要实现一个切面,用于拦截被 `@RequiresPermissions` 标识的方法,并进行权限校验,例如: ```java @Component @Aspect public class PermissionCheckAspect { @Autowired private AuthService authService; @Around("@annotation(requiresPermissions)") public Object checkPermission(ProceedingJoinPoint joinPoint, RequiresPermissions requiresPermissions) throws Throwable { // 获取当前用户 User user = authService.getCurrentUser(); if (user == null) { throw new UnauthorizedException("用户未登录"); } // 获取当前用户的权限列表 List<String> permissions = authService.getUserPermissions(user); // 校验权限 for (String permission : requiresPermissions.value()) { if (!permissions.contains(permission)) { throw new ForbiddenException("没有访问权限:" + permission); } } // 执行目标方法 return joinPoint.proceed(); } } ``` 在切面中,我们首先通过 `AuthService` 获取当前用户及其权限列表,然后校验当前用户是否拥有被 `@RequiresPermissions` 标识的方法所需的所有权限,如果没有则抛出 `ForbiddenException` 异常,如果有则继续执行目标方法。 最后,我们需要在 Spring 配置文件中启用 AOP 自动代理,并扫描切面所在的包,例如: ```xml <aop:aspectj-autoproxy /> <context:component-scan base-package="com.example.aspect" /> ``` 这样,我们就通过 Spring AOP 和自定义注解模拟实现了类似 Shiro 权限校验的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

matthew_leung

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值