在业务系统的开发过程中,有很多接口是需要登录后才可访问的,比如访问一些敏感数据,进行一些敏感操作等。常规思维是在需要验证登录的接口验证session来验证是否登录,但这样会造成大量的重复代码。所以增加一个Filter去做统一的登录验证是很有必要的。
首先,我将所有的接口做了一个简单的规范,需要登录验证的接口以/work/开头,而不需要登录就可访问的接口以/portal/开头。
Filter在web.xml中的配置如下:
<!-- 统一登录验证Filter -->
<filter>
<filter-name>sessionFilter</filter-name>
<filter-class>com.alien.almcenter.constant.LoginAuthenticationFilter</filter-class>
<init-param>
<param-name>sessionKey</param-name>
<param-value>userInfo</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>sessionFilter</filter-name>
<url-pattern>/work/*</url-pattern>
</filter-mapping>
这里预留了一个sessionKey的参数,用于用户自定义自己存放用户信息的session key。定义了这个Filter后,所有以/work/开头的请求都会先进会这个Fiter进行处理,若验证session失败,则直接退出。
package com.alien.almcenter.constant;
import java.io.IOException;
import java.io.OutputStreamWriter;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import com.alien.almcenter.vo.ResponseInfo;
import org.springframework.util.StringUtils;
import com.alibaba.fastjson.JSON;
public class LoginAuthenticationFilter implements Filter {
private String sessionKey;
@Override
public void destroy() {
}
@Override
public void doFilter(ServletRequest servletRequest,
ServletResponse servletResponse, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
if (StringUtils.isEmpty(sessionKey)){
chain.doFilter(servletRequest, servletResponse);
return;
}
HttpSession session = request.getSession();
if (session != null && session.getAttribute(sessionKey) != null) {
chain.doFilter(servletRequest, servletResponse);
return;
} else {
ResponseInfo<String> info = new ResponseInfo<String>();
info.setRtnCode(AlmRetConstant.code.NOT_LOGIN);
info.setRtnMsg(AlmRetConstant.msg.NOT_LOGIN);
String respString = JSON.toJSONString(info);
response.setContentType("text/html; charset=utf-8");
OutputStreamWriter ow = new OutputStreamWriter(response.getOutputStream(), "UTF-8");
ow.write(new String(respString.getBytes("UTF-8"),"UTF-8"));
ow.flush();
ow.close();
}
}
@Override
public void init(FilterConfig config) throws ServletException {
sessionKey = config.getInitParameter("sessionKey");
}
}
这样,统一登录校验的功能就完成了。可以在浏览器上直接访问URL,可以看到请求被拦截,由于现在前后端开发一般分离,所以我并没有通过后端去做跳转至登录页,而是返回特定的返回码,前端可通过这个特定返回码判断是由于未登录而被拦截的。