java服务-springboot拦截器实现用户登录Token及权限校验

已于 2023-06-06 09:59:24 修改
阅读量4.4k 收藏 12
点赞数 1
分类专栏: java 文章标签: java spring boot spring
于 2022-05-30 09:16:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/philip502/article/details/125040405
版权

 java服务常用技术-拦截器-用户登录、token、权限校验

springboot拦截器主要目标:

  1. 拦截请求,验证请求的用户对访问的资源是否有访问权限;
  2. 需要排除一些不在权限控制范围内的url,如swagger的接口文档列表;
  3. 需要排除的url,在配置文件中进行配置;
  4. 双拦截器

一些不需要拦截的,通过addInterceptor.excludePathPatterns排除掉,排除路径通过配置项注入ignorePath

在配置文件application.properties里添加如下配置项

ignorePath=/swagger/**

需要拦截的正常拦截

这里我们通过双拦截器分别实现用户两个功能

  1. 校验用户token合法性;
  2. 判断用户对访问资源是否有权限;

这里是启动类,这里加入两个拦截器:WebMvcAuthorizationConfig.java



/**
 * @author ikong
 * @create 2019-06-01 15:22
 */
@ConditionalOnBean(EmployeeValidateInterceptor.class)
@Configuration
public class WebMvcAuthorizationConfig extends WebMvcConfigurerAdapter {

    @Value("${ignore-path}")
    private String ignorePath = "";

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        String pathPattern = "/**";
        String pathError = "/error";
        InterceptorRegistration addInterceptor = registry.addInterceptor(createTokenInterceptorConfig());
        addInterceptor.addPathPatterns("/**");
        addInterceptor.excludePathPatterns(new String[]{"/error"});
        if (!StringUtils.isEmpty(ignorePath)) {
            String[] paths = ignorePath.split(";");
            for (int i = 0; i < paths.length; i++) {
                addInterceptor.excludePathPatterns(new String[]{paths[i]});
            }
        }
        System.out.println("初始化注入过滤路径:" + JSONObject.toJSONString(ignorePath));
        InterceptorRegistration employeeInterceptor =registry.addInterceptor(createEmployeeInterceptorConfig());
        employeeInterceptor.addPathPatterns(pathPattern);
        employeeInterceptor.excludePathPatterns(pathError);
        super.addInterceptors(registry);
    }

    @Bean
    public TokenValidateInterceptor createTokenInterceptorConfig() {
        return new TokenValidateInterceptor();
    }

    @Bean
    public EmployeeValidateInterceptor createEmployeeInterceptorConfig() {
        return new EmployeeValidateInterceptor();
    }

}

验证token合法性:TokenValidateInterceptor.java

/**
 * @ClassName TokenValidateInterceptor
 * @Description: 拦截器
 * @Author ikong
 * @Date 2019/8/24
 * @Version V1.0
 **/
@Component
public class TokenValidateInterceptor implements HandlerInterceptor {

    private static final Logger logger = LoggerFactory.getLogger(TokenValidateInterceptor.class);

    @AutoWired
    private TokenService tokenService;
    

    @Override
    public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object o) throws Exception {

    	String token = getToken(HttpServletRequest req)
    	
    	bool valid = tokenService.validate(token);//验证token是否合法,token不存在或者不合法均返回false;
    	
    	return valid
    }


    private String getToken(HttpServletRequest req){

    	//从请求中获取到当前的token

    }


    @Override
    public void postHandle(HttpServletRequest req, HttpServletResponse resp, Object o, ModelAndView modelAndView) throws Exception {

    }


    @Override
    public void afterCompletion(HttpServletRequest req, HttpServletResponse resp, Object o, Exception e) throws Exception {

        

    }
}

验证登录的员工对当前应用是否有访问权限:EmployeeValidateInterceptor.java

/**
 * @ClassName EmployeeValidateInterceptor
 * @Description: 拦截器
 * @Author ikong
 * @Date 2019/8/21
 * @Version V1.0
 **/
@Component
public class EmployeeValidateInterceptor implements HandlerInterceptor {

    private static final Logger logger = LoggerFactory.getLogger(EmployeeValidateInterceptor.class);

    @AutoWired
    private EmployeeService employeeService;


    @Override
    public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object o) throws Exception {

    	String token = getToken(HttpServletRequest req);

    	String uri = req.getRequestURI();
    	
    	bool valid = employeeService.hasRight(token,uri);//验证token是否合法,token不存在或者不合法均返回false;
    	
    	return valid
    }


    private String getToken(HttpServletRequest req){

    	//从请求中获取到当前的token

    }


    @Override
    public void postHandle(HttpServletRequest req, HttpServletResponse resp, Object o, ModelAndView modelAndView) throws Exception {

    }


    @Override
    public void afterCompletion(HttpServletRequest req, HttpServletResponse resp, Object o, Exception e) throws Exception {

        

    }
}

回顾一下 HandlerInterceptor 几个实现方法的用途描述


1、preHandle
调用时间:Controller方法处理之前

执行顺序:链式Intercepter情况下,Intercepter按照声明的顺序一个接一个执行

若返回false,则中断执行,注意:不会进入afterCompletion

2、postHandle
调用前提:preHandle返回true

调用时间:Controller方法处理完之后,DispatcherServlet进行视图的渲染之前,也就是说在这个方法中你可以对ModelAndView进行操作

执行顺序:链式Intercepter情况下,Intercepter按照声明的顺序倒着执行。

备注:postHandle虽然post打头,但post、get方法都能处理

3、afterCompletion
调用前提:preHandle返回true

调用时间:DispatcherServlet进行视图的渲染之后

多用于清理资源,比如 自定义的localthread,清理当前web请求线程下的线程变量,以防止内存溢出

码者人生
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springmvc---day2
m0_63703905的博客
04-26 416
拦截器开发 步骤1:创建拦截器类 让类实现HandlerInterceptor接口,重写接口中的三个方法。 @Component //定义拦截器类,实现HandlerInterceptor接口 //注意当前类必须受Spring容器控制 public class ProjectInterceptor implements HandlerInterceptor { @Override //原始方法调用前执行的内容 public boolean preHandle(HttpServ...
SpringBoot继承JWT token实现权限的验证(从头开始)
最新发布
aabbbccc6788123的博客
05-27 2554
在开发后端接口时,数据的直接暴露可能会导致安全问题。为了应对这种情况,我们需要在访问接口时进行拦截验证,以确保只有经过身份验证的用户才能访问数据。为实现这一目的,我们需要编写一个拦截器,用于检查每次请求中是否携带有效的token(即身份验证令牌)。只有当用户携带有效token时,才能进行数据访问操作;否则,将对请求进行拦截并禁止访问敏感数据。通过编写拦截器实现身份验证,我们能够提高系统的安全性并保护数据免受未经授权的访问。这种做法有助于规避潜在的安全风险,有效保障系统的信息安全。
Java拦截器(Interceptor)和过滤器(Filter)实例详解
帅帅气气的黑猫警长
10-23 4551
过滤器和拦截器的区别,以及使用代码使用案例。
登录拦截场景-多种实现方式
chuyouyinghe的专栏
10-26 1180
除开一些集成困难,有兼容性的一些方案之外,其他的这些方案都是可以用的了,剩下的我们需要考虑的就是,此方案是否有更大的内存开销,是否有内存泄露风险,需要处理页面意外关闭的情况吗?本文是一个总纲或者说是总结,这里的几种方法我都只是简单的介绍了一下,具体的使用可以看看单独的文章,每一篇具体使用的方式之前都已经出了对应的文章,并附带了Demo,有兴趣的朋友可。相对其他的方案,此方案的思路就比较清奇,利用线程的等待与恢复来实现,当我们跳转到登录页面的时候我们让线程等待,然后等待登录完成之后我们再恢复等待。
spring boot +Sa-Token优雅的实现项目鉴权!
wcj_java的专栏
05-24 1291
Sa-Token是一个轻量级Java权限认证框架。主要解决的问题如下:登录认证权限认证单点登录OAuth2.0分布式Session会话微服务网关鉴权等一系列权限相关问题。Sa-Token框架是一个轻量级的登录、鉴权框架,有利于我们开发。
利用JWT、注解拦截请求并验证token
立刻有,不强求
06-16 375
在Web应用程序中,注解是一种方便的方式来拦截和处理请求。可以通过在代码中添加注解来定义一些特殊的行为,比如拦截器Interceptor)等。 拦截器是一种处理请求的技术,它可以在请求被处理之前或之后对请求进行处理。通过使用拦截器,可以在处理请求之前或之后添加额外的逻辑,例如身份验证、权限检查等
JavaWeb之拦截器Filter
奔跑的菜鸟的Run博客
03-06 1779
过滤器链是指在一个Web应用,可以配置多个过滤器,这多个过滤器称为过滤器链。如下图就是一个过滤器链执行Filter1的放行前逻辑代码执行Filter1的放行代码执行Filter2的放行前逻辑代码执行Filter2的放行代码访问到资源执行Filter2的放行后逻辑代码执行Filter1的放行后逻辑代码以上流程串起来就像一条链子,故称之为过滤器链。
JAVA中的拦截器、过滤器
热门推荐
qq_38254635的博客
06-14 1万+
相关解释:拦截器依赖于页面有访问controller的操作,且属于SpringMVC体系的动态拦截调用机制,是java中AOP思想的运用。来看看源码作者的注释:其中倒数第二段话,描述其类似于过滤器,但其特点只允许使用自定义预处理,不能处理程序本身。此处可体现AOP思想。过滤器是在web.xml中配置,web.xml是应用程序上下文中的HandlerInterceptor。最后一段话,则体现了拦截器常用情况,如常见处理程序代码和授权检查。
springboot拦截器实现拦截器 权限校验,登录demo
11-14
本文将详细介绍如何在Spring Boot实现拦截器以进行权限校验和登录验证,通过一个简单的Demo来阐述整个过程。 首先,我们需要创建一个自定义的拦截器类。这个类通常会继承`HandlerInterceptorAdapter`,这是一个...
基于Dubbo实现的SOA分布式(没有实现分布式事务)-SpringBoot整合各种组件的JavaWeb脚手架+源代码+文档
11-29
- 注解形式的权限校验 - 拦截器 ## 文章管理模块 - 增改删查 # 整合注意点 1. 每个Mapper上都要加@Mapper 2. yaml文件 @Value获取xx.xx.xx不可行,必须使用@ConfigurationProperties,指定prefix,属性设置...
spring boot+shiro+mybatis实现不同用户登录显示不同的权限菜单
06-28
1. **配置Shiro**:首先需要在Spring Boot的配置文件中引入Shiro的相关配置,包括 Realm(自定义的权限认证类),以及过滤器链的定义,确保Shiro能正确拦截请求并进行权限校验。 2. **设计数据库表**:创建用户表、...
JWT-SpringBoot
04-07
4. **UserDetailsService**:Spring Security接口,实现该接口可以自定义用户详情服务,从数据库或其他数据源加载用户信息。 **SpringBoot集成JWT的步骤:** 1. 添加依赖:在`pom.xml`中添加Spring Security和JWT...
SpringBoot 整合Shiro 实现登录验证拦截功能
12-21
总结来说,通过以上步骤,SpringBoot结合Shiro 可以构建一个完整的用户身份验证和权限控制体系,提供登录验证、拦截未授权访问等功能。Shiro 的灵活性和易用性使其成为Java开发中的热门选择。在实际项目中,可以根据...
使用sa-token 进行权限控制
java大神起床啦
04-11 7174
sa-token
Java中基于JWT+拦截器实现的登录
weixin_48524022的博客
06-30 697
3.为实现所有接口进行登录校验,创建全局拦截器用于校验token。2.创建基于jwt生成、解析、校验token的工具类。4、将拦截器添加到SpringMvc中。6、验证其他接口是否有权限校验
Java web登录拦截器_springmvc拦截器拦截器演示、用户登录验证)
weixin_42515795的博客
02-16 1096
1、概述(1)概念springmvc的处理器拦截器类似于servlet中的过滤器filter,用于对处理器进行预处理和后处理。开发者可以自己定义一些拦截器(必须实现HandlerInterceptor)来实现特定的功能(2)过滤器与拦截器拦截器是AOP思想的具体应用。过滤器:servlet规范的一部分,任何javaweb工程都可以使用,在url-pattern中配置了/*之后,可以对所有要访问的资...
登录校验 2拦截器
ababaaai的博客
08-16 31
/ 返回浏览器错误提示。// 返回浏览器错误提示。// 如果字符串没有长度(null 或 空串),返回登录错误。配置类,配置哪部分不要被拦截 和哪些要被拦截。// 请求头中拿令牌。实现类,实现拦截没有令牌的请求。
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 7683
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证。
前端如何与springboot拦截器进行jwt的token校验
06-07
前端与SpringBoot拦截器进行JWT Token校验的具体实现步骤可以分为以下几步: 1. 前端登录成功后,后端返回JWT Token给前端。前端需要将Token存储在本地,比如存储在Local Storage中。 2. 前端每次请求后端接口时,需要将JWT Token携带在请求头中,比如Authorization: Bearer <JWT Token>。 3. 在SpringBoot中,需要编写一个拦截器实现JWT Token校验。可以通过实现HandlerInterceptor接口,并重写preHandle方法来实现拦截器。 4. 在preHandle方法中,可以通过HttpServletRequest对象获取请求头中的JWT Token,并使用对应的JWT库进行解析和校验。如果Token校验成功,则放行请求,否则返回401 Unauthorized错误。 5. 最后,在SpringBoot中需要将拦截器注册到拦截器链中,以便于拦截器可以拦截到所有的请求。 需要注意的是,JWT Token校验需要使用对应的JWT库,比如Java-JWT。同时,为了提高安全性,JWT Token需要设置过期时间,并定期更新Token。在前端实现JWT Token校验时,可以使用axios等HTTP请求库来发送请求,并设置请求头中的Authorization字段。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码者人生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值