拦截器实现登录拦截和跨域问题

最新推荐文章于 2023-09-02 20:04:17 发布
最新推荐文章于 2023-09-02 20:04:17 发布
阅读量192 收藏
点赞数
分类专栏: springboot 文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45807943/article/details/131934013
版权

一、什么是拦截器:

什么是拦截器:在AOP(Aspect-Oriented Programming)中用于在某个方法或字段被访问之前,进行拦截然后在之前或之后加入某些操作。拦截是AOP的一种实现策略

为什么需要拦截器:在做身份认证或者是进行日志的记录时,我们需要通过拦截器达到我们的目的。最常用的登录拦截、或是权限校验、或是防重复提交、或是根据业务像12306去校验购票时间,总之可以去做很多的事情

如何用拦截器:在spring中用拦截器需要实现HandlerInterceptor接口或者它的实现子类:HandlerInterceptorAdapter,同时在applicationContext.xml文件中配置拦截器

二、定义实现类

定义一个Interceptor 非常简单方式有:
1、类要实现Spring 的HandlerInterceptor 接口
2、类继承实现了HandlerInterceptor 接口的类,例如 已经提供的实现了HandlerInterceptor 接口的抽象类HandlerInterceptorAdapter

三、HandlerInterceptor方法

boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
		throws Exception;

void postHandle(
		HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView)
		throws Exception;

void afterCompletion(
		HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
		throws Exception;

preHandle:在业务处理器处理请求之前被调用。预处理,可以进行编码、安全控制、权限校验等处理;
postHandle:在业务处理器处理请求执行完成后,生成视图之前执行。后处理(调用了Service并返回ModelAndView,但未进行页面渲染),有机会修改ModelAndView (这个博主就基本不怎么用了);
afterCompletion:在DispatcherServlet完全处理完请求后被调用,可用于清理资源等。返回处理(已经渲染了页面);

四、实战演练

1.配置yml

spring:
  application:
    name: web
  profiles:
    active: dev
visit:
  allowWebHost:
  1. 写一个拦截器 实现HandlerInterceptor 接口

import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;
import java.net.URI;
import java.util.Arrays;
import java.util.UUID;

/**
 * @author 
 * @version V1.0
 * @Package 
 * @Description:  用于登录拦截
 * @date 
 */
@Component
@Slf4j
public class AuthorizeInterceptor implements HandlerInterceptor {

    @Value("${spring.profiles.active}")
    private String SPRING_PROFILES_ACTIVE;
    // ip白名单,如果配置了白名单,则只有白名单可以访问,其他地址非法跨域
    @Value("${visit.allowWebHost}")
    private String allowWebHostStr;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        //CSRF 跨站攻击简单Referer验证
        String referer = request.getHeader("referer");
        if (StringUtils.isNotEmpty(referer)) {
            URI refererUrl = new URI(referer);
            String[] allowWebHostList = allowWebHostStr.split(",");
            if (null != allowWebHostList && allowWebHostList.length > 1 && !Arrays.asList(allowWebHostList).contains(refererUrl.getHost())) {
                log.error("非法跨站请求URL:" + refererUrl);
                response.setCharacterEncoding("UTF-8");
                response.setContentType("text/html;charset=UTF-8");
                try (PrintWriter pw = response.getWriter()) {
                    pw.print(R.error(ResultCodeEnum.ILLEGAL_REQUEST.getMsg(), ResultCodeEnum.ILLEGAL_REQUEST.getCode()));
                    pw.flush();
                }
                return false;
            }
        }
        //安全header添加
        response.setHeader("XSS-Protection", "1; mode=block");
        response.setHeader("X-Content-Type-Options", "nosniff");
        response.setHeader("Content-Security-Policy", ""); // 不设置
        response.setHeader("x-frame-options", "ALLOW-FROM");
        response.setHeader("Access-Control-Allow-Credentials","true");
        response.setHeader("Access-Control-Allow-Origin",request.getHeader("Origin"));
        //从cookie获取自定义sessionID,不存在则放置
        String sessinIdFromCookie = getSessionIdFromCookie(request, response);
        //从redis 中获取usersession信息
        UserSessionVo userSessionVo = JedisUtils.getBean(CacheKey.CRM_JDM_USER_SESSION_KEY + sessinIdFromCookie, UserSessionVo.class);
        // 登录session 验证
        if (userSessionVo == null) {
            response.setCharacterEncoding("UTF-8");
            response.setContentType("text/html;charset=UTF-8");
            try (PrintWriter pw = response.getWriter()) {
                pw.print(R.error(ResultCodeEnum.UNAUTHORIZED.getMsg(), ResultCodeEnum.UNAUTHORIZED.getCode()));
                pw.flush();
            }
            return false;
        } else {
            return true;
        }
    }

    /**
     * 获取自定义sessionId
     * @param request
     * @return
     */
    private String getSessionIdFromCookie(HttpServletRequest request, HttpServletResponse response){
        String sessionId = null;
        // 开发环境缓存注入方式登陆商家后台
        String localLoginSession = JedisUtils.getString(CacheKey.CRM_JDM_LOCAL_LOGIN_SESSION);
        if ("dev".equals(SPRING_PROFILES_ACTIVE) && !StringUtils.isEmpty(localLoginSession)) {
            return localLoginSession;
        }
        Cookie[] cookies = request.getCookies();
        if(null!=cookies){
            for(Cookie cookie : cookies){
                if(CacheKey.CRM_JDM_COOKIE_SESSION_ID.equals(cookie.getName())){
                    sessionId = cookie.getValue();
                    break;
                }
            }
        }
        if(StringUtils.isEmpty(sessionId)){
            sessionId =  UUID.randomUUID().toString();;
            Cookie cookie = new Cookie(CacheKey.CRM_JDM_COOKIE_SESSION_ID, sessionId);
            cookie.setHttpOnly(true);
            cookie.setPath("/");
            response.addCookie(cookie);
        }
        return sessionId;
    }
}
栗栗子~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot配置拦截器实现跨域访问的方法
08-26
主要介绍了Spring Boot配置拦截器实现跨域访问的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
解决跨域的拦截器InterceptorConfig
06-22
解决跨域的拦截器InterceptorConfig
SpringBoot 之AOP实现过滤器、拦截器、切面
const_
03-25 5637
文章目录AOP概述过滤器、拦截器、切面区别过滤器 Filter使用过滤器统一请求耗时拦截器 Interceptor使用拦截器判断是否登录切面 AspectJ AOP概述 AOP表示面向切面编程(Aspect-Oriented Programming)。 首先AOP不是一项技术,它是一种编程思想。 过滤器、拦截器、切面都可以理解为AOP的实现方式。 过滤器、拦截器、切面区别 过滤器 拦截器 Aspect 关注的点 所有web请求 部分web请求 偏向于业务层面的拦截 实现原理 函数回调
Java】跨域处理拦截器 (以及中文乱码问题)
weixin_41979605的博客
07-23 1771
问题背景 有个项目有两部分: h5+大屏展示,两个人做,分了两个前段项目,后端一个 解决方案: 1、Nginx 代理,支持两个域名访问同一个后端(✅) 2、支持跨域,不限制跨域(????????,最后还是采用了这个) 配置跨域支持 两个前段一个后台,如果用Nginx配置一下不同的域名转发一下也没有问题,但由于合作方基本不用Nginx,全靠slb拦截之类的骚操作,导致后端只能开放为允许跨域。 配置方式很简单,直接给贴个全的,感动不感动,-,- @Configuration public class WebMv
WEB应用内容安全策略(Content Security Policy)
A_991128a的博客
01-15 1018
它通过让开发者对自己WEB应用声明一个外部资源加载的白名单,使得客户端在运行WEB应用时对外部资源的加载做出筛选和识别,只加载被允许的网站资源.对于不被允许的网站资源不予加载和执行.同时,还可以将WEB应用中出现的不被允许的资源链接和详情报告给我们指定的网址.如此,大大增强了WEB应用的安全性.使得攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的服务器.使用这种模式,将会直接阻止非法的外部资源加载,同时也可以选择是否配置将非法资源加载的链接和行为报告给我们指定的网址。
使用拦截器解决跨域问题
城陌者的博客
07-10 812
/响应客户端的头部 允许携带Token 等等 response . setHeader("Access-Control-Allow-Credentials" , "true");// 允许携带cookie response . setHeader("Access-Control-Max-Age" , "3600");// 预检请求的结果缓存时间 return true;} }
拦截器、过滤器、跨域配置
zqy123456_123的博客
12-12 2969
解决单个controller跨域问题,直接在需要跨域的Controller的类上添加 @CrossOrigin 跨域注解即可。一个网关管理多个服务时,设置此配置类对象,可以从网关层面解决多个服务的跨域问题,这就不需要每个服务都写一遍跨域了。,进行跨域设置,'' FilterRegistrationBean ''。当一个模块中controlller过多时,添加注解过于繁琐,可以创建一个配置。
vue中axios解决跨域问题拦截器的使用方法
01-19
vue中axios不支持vue.use()方式声明使用。 所以有两种方法可以解决这点: 第一种: 在main.js中引入axios,然后将其设置为vue原型链上的属性,这样在组件中就可以直接 this.axios使用了 import axios from 'axios';...
Javascript实现跨域后台设置拦截的方法详解
10-19
主要给大家介绍了关于Javascript实现跨域后台设置拦截的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面跟着小编来一起学习学习吧。
vue项目中实现登录拦截
aaa123aaasqw的博客
04-07 2246
当前的导航被中断,然后进行一个新的导航。你可以向 next 传递任意位置对象,且允许设置诸如 replace: true、name: ‘home’ 之类的选项以及任何用在 router-link 的 to prop 或 router.push 中的选项。(2.4.0+) 如果传入 next 的参数是一个 Error 实例,则导航会被终止且该错误会被传递给 router.onError() 注册过的回调。进行管道中的下一个钩子。如果全部钩子执行完了,则导航的状态就是 confirmed (确认的)。
过滤器或拦截器跨域CORS处理
05-01
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2409765
【Token】使用HandlerInterceptor拦截器解决Vue项目中跨域时预请求问题
qq_61903414的博客
06-05 901
在项目中使用token取代session实现登录鉴权时,Vue中每次请求都会带有携带token的请求头,此时前端会发送两次请求,在跨域请求中,浏览器会首先发送一个预检请求(Preflight Request)来检查服务器是否允许跨域请求。预检请求是一个 OPTIONS 请求,其中包含一个头部信息,用于列出实际请求中会包含的请求头。服务器需要正确响应预检请求,并在响应中包含头部信息,以允许实际请求中包含列出的请求头。
springboot整合拦截器、过滤器、解决跨域问题
scj0725的博客
06-19 959
通过在应用程序的配置类中注册拦截器,你可以告诉Spring Boot应该使用哪些拦截器,并定义它们的顺序。通过以上代码,可以实现拦截器、过滤器和跨域处理。当用户发起请求时,拦截器将在请求处理之前调用,过滤器将在拦截器之前进行请求处理,然后拦截器将在请求处理完成后调用。通过将拦截器注册到配置类中,Spring Boot会在请求到达时自动调用相应的拦截器方法,并按照注册的顺序依次执行。因此,拦截器的注册是为了将其纳入Spring Boot的请求处理流程中,以便拦截器能够对请求进行相应的处理操作。
中级漏洞处理
最新发布
hzjhss的博客
09-02 826
看源码我们可以看到,在DefaultWebSessionManager这个类有2个属性,其中有一个就是Cookie,它的构造方法可以去改变cookie的值,从而给cookie加上SameSite属性。CSP的设置可以在一定程度上限制XSS攻击,有2种方式可以设置。遇到这种低危漏洞,一般来说就是去网上找一找处理方法,当找不到有效方法的时候,根据扫描结果和修复建议,可以尝试通过看源码解决。所以这里就对数据库后台的查询进行拦截,做一个统一的异常处理,使前台看不到这种报错,类似下图这种,具体的样式可以自己设计。
Spring Boot 使用HandlerInterceptorAdapter拦截跨域问题
weixin_42429220的博客
08-09 2145
问题 联调接口时,报了一个以下错误: Access to XMLHttpRequest at 'http://localhost:8299/login' from origin 'http://localhost:3000' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is
拦截器解决跨域问题
weixin_45155235的博客
03-03 7918
拦截器解决跨域问题 注:本文是用SpringBoot + Dubbo搭建的分布式工程,前后端分离,前端工程和后端工程的端口号不同,所以产生了前端请求跨域问题拦截器定义 注意,前端的请求域名如果是80端口,直接指定为"http://localhost",其他端口才具体指定。 如果你的项目有多个客户端域名,那么可以指定一个数组,如下: // 设置允许多个域名请求 String[] allowDomains = {"http://localhost:8081","http://localhost:80
SpringBoot 拦截器返回false前端显示跨域问题
李佳航的博客
02-21 903
SpringBoot 拦截器返回false前端显示跨域
Java通过拦截器返回跨域问题的解决
Dbh321的博客
07-07 947
Java通过拦截器返回跨域问题的解决 通常在controller中加入@CrossOrigin注解即可实现跨域请求,但是有些时候在使用interceptor拦截器后,重新返回Response则又会重新出现跨域问题。 解决方法:在重新返回的Response中加入返回头: // 支持跨域 response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "GET,P
java 拦截器 跨域
06-10
Java 拦截器可以用来处理跨域请求。在拦截器中,你可以设置响应头来允许跨域请求。具体来说,你可以在拦截器的 `preHandle` 方法中添加以下代码: ```java response.setHeader("Access-Control-Allow-Origin", "*")...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值