SpringBoot+Session 实现接口验证(过滤器+拦截器)

已于 2022-08-13 11:23:13 修改
阅读量1.4k 收藏 15
点赞数 1
分类专栏: Spring Boot Java 文章标签: spring boot java
于 2022-08-12 20:45:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45917176/article/details/126310427
版权

需求:只有用户登录成功后,才能访问其它接口,否则提示需要进行登录
项目仓库地址:https://gitee.com/aiw-nine/springboot_session_verify

添加pom.xml

新建Spring Boot(2.7.2)项目,添加如下依赖:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.7.2</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.aiw</groupId>
    <artifactId>waimai</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>waimai</name>
    <description>waimai</description>
    <properties>
        <java.version>17</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.76</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <configuration>
                    <excludes>
                        <exclude>
                            <groupId>org.projectlombok</groupId>
                            <artifactId>lombok</artifactId>
                        </exclude>
                    </excludes>
                </configuration>
            </plugin>
        </plugins>
    </build>

</project>

创建简单的测试接口

package com.aiw.springboot_session_verify.controller;

import com.aiw.springboot_session_verify.entity.User;
import com.aiw.springboot_session_verify.response.R;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import java.util.Objects;

@RestController
@RequestMapping("/user")
public class UserController {
    /**
     * 登录,此处只做简单测试
     *
     * @param user
     * @param request
     * @return
     */
    @RequestMapping(value = "/login", method = RequestMethod.POST)
    public R<User> login(@RequestBody User user, HttpServletRequest request) {
    	// 此处应该和数据库进行交互判断,为做测试,简单写死
        if (Objects.equals(user.getId(), 1) && Objects.equals(user.getName(), "Aiw")) {
            // 登录成功,将id存入session并返回登录成功结果
            request.getSession().setAttribute("user", user.getId());
            request.getSession().setMaxInactiveInterval(1800);  // 设置session失效时间为30分钟
            return R.success("登录成功", user);
        }
        return R.fail("登录失败");
    }

    /**
     * 退出登录
     *
     * @param request
     * @return
     */
    @RequestMapping(value = "/logout", method = RequestMethod.POST)
    public R<String> logout(HttpServletRequest request) {
        request.getSession().removeAttribute("user");
        return R.success("退出成功");
    }

    /**
     * 此处做测试,看用户在未登录时,能否访问到此接口
     *
     * @return
     */
    @RequestMapping(value = "/index", method = RequestMethod.GET)
    public R<String> index() {
        return R.success("首页,访问成功");
    }

}

使用过滤器实现

创建LoginCheckFilter.java类,实现Filter接口

package com.aiw.springboot_session_verify.filter;

import com.aiw.springboot_session_verify.response.R;
import com.alibaba.fastjson.JSON;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.AntPathMatcher;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Objects;

/**
 * 检查用户是否已经完成登录(方式一:过滤器)
 * 需要在启动类上加上@ServletComponentScan注解,这样才会扫描@WebFilter注解
 */
@Slf4j
@WebFilter
public class LoginCheckFilter implements Filter {
    // 路径匹配器,支持通配符
    public static final AntPathMatcher PATH_MATCHER = new AntPathMatcher();

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        log.info("拦截到的请求:{}", request.getRequestURI());
        // 1、获取本次请求的URI
        String requestURI = request.getRequestURI();
        // 定义不需要处理的请求路径
        String[] urls = new String[]{"/user/login", "/user/logout"};

        // 2、判断本次请求是否需要处理
        boolean check = check(urls, requestURI);

        // 3、如果不需要处理,则直接放行
        if (check) {
            log.info("本次请求{}不需要处理", requestURI);
            filterChain.doFilter(request, response);
            return;
        }

        // 4、判断登录状态,如果已登录,则直接放行
        if (Objects.nonNull(request.getSession().getAttribute("user"))) {
            log.info("用户已登录,用户id为:{}", request.getSession().getAttribute("user"));
            filterChain.doFilter(request, response);
            return;
        }

        // 5、如果未登录则返回未登录结果,通过输出流方式向客户端页面响应数据
        log.info("用户未登录");
        response.setContentType("application/json; charset=utf-8");
        // 1、使用Fastjson(默认过滤null值)
        response.getWriter().write(JSON.toJSONString(R.error("未登录")));
        // 2、使用默认的Jackson,此处关于Jackson配置的相关属性会失效(即若在配置文件中配置过滤null值,这里返回时不会过滤)
        // response.getWriter().write(new ObjectMapper().writeValueAsString(R.error("未登录")));
        return;
    }

    /**
     * 路径匹配,检查本次请求是否需要放行
     *
     * @param urls
     * @param requestURI
     * @return
     */
    public boolean check(String[] urls, String requestURI) {
        for (String url : urls) {
            boolean match = PATH_MATCHER.match(url, requestURI);
            if (match) return true;
        }
        return false;
    }
}

修改启动类

package com.aiw.springboot_session_verify;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;

@ServletComponentScan
@SpringBootApplication
public class SpringbootSessionVerifyApplication {

    public static void main(String[] args) {
        SpringApplication.run(SpringbootSessionVerifyApplication.class, args);
    }

}

启动项目,使用ApiPost进行接口测试。首先在未登录状态下,访问/user/index接口
在这里插入图片描述

可以看到在未登录时,访问其它接口会失败

此时先进行登录,访问/user/login接口
在这里插入图片描述
再次访问/user/index接口
在这里插入图片描述

即登录成功后,可以成功访问该接口;为保证后续操作,此处再访问/user/logout接口,删除后端的session

使用拦截器实现

创建LoginCheckInterceptor.java类,实现HandlerInterceptor接口

package com.aiw.springboot_session_verify.interceptor;

import com.aiw.springboot_session_verify.response.R;
import com.alibaba.fastjson.JSON;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.util.Objects;

/**
 * 检查用户是否已经完成登录(方式二:拦截器)
 * 需要在实现WebMvcConfigurer接口的配置类中重写addInterceptors方法,将拦截器注册到容器,并指定拦截规则
 */
@Slf4j
public class LoginCheckInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //1.获取请求
        log.info("拦截的请求:{}", request.getRequestURI());
        //2.判断用户是否登录
        HttpSession session = request.getSession();
        // 若存在,则放行
        if (Objects.nonNull(session.getAttribute("user"))) return true;
        //拦截住,并给前端页面返回未登录信息,以输出流的方式,json格式返回
        response.setContentType("application/json; charset=utf-8");
        // 1、使用Fastjson(默认过滤null值)
        response.getWriter().write(JSON.toJSONString(R.error("未登录")));
        // 2、使用默认的Jackson,在配置文件中关于Jackson配置的相关属性会失效
        //response.getWriter().write(new ObjectMapper().writeValueAsString(R.error("未登录")));
        return false;
    }
}

注册拦截器,新建配置类WebConfig.java,实现WebMvcConfigurer接口

package com.aiw.springboot_session_verify.config;

import com.aiw.springboot_session_verify.interceptor.LoginCheckInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {
    /**
     * 注册拦截器
     *
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new LoginCheckInterceptor())
                .addPathPatterns("/**")
                // 排除的请求路径
                .excludePathPatterns("/user/login", "/user/logout");
    }

}

注释掉LoginCheckFilter.java类,再注释掉启动类上的@ServletComponentScan注解,防止过滤器的干扰,启动项目。首先在未登录状态下,访问/user/index接口
在这里插入图片描述进行登录,访问/user/login接口
在这里插入图片描述
再次访问/user/index接口
在这里插入图片描述

至此,全部完成,当然后期可以使用Spring Boot+JWT实现接口验证

杼蛘
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot登录校验
HunYuanXing的博客
08-06 413
(1)概念:Filter 过滤器,是 JavaWeb 三大组件(Servlet、Filter、Listener)之一(2)过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能(3)过滤器一般完成一些通用的操作,比如:登陆鉴权、统一编码处理、敏感字符处理等等…拦截器:(Interceptor)是一种动态拦截方法调用的机制,类似于过滤器。在SpringMVC中动态拦截控制器方法的执行作用:在指定的方法调用前后执行预先设定的代码,完成功能增强。
spring boot 拦截器拦截/Filter 过滤session案例
06-28
本案例中 使用maven 搭建spring boot 基本案例 其中实现了 用户登录功能实现Filter 和 拦截器两种方式 来过滤session登录,后续会使用token方式,请大家关注
Spring Boot实现网页会话(Session )】
最新发布
武帝为此的博客
06-09 759
会话管理允许服务器在多次HTTP请求之间保持用户的状态信息,以便用户可以进行认证、保持登录状态等操作。网页会话是一种用于在Web应用程序中跟踪用户状态的机制。它通过在服务器端存储用户数据,然后为每个用户分配一个唯一的会话标识来实现。这个会话标识通常存储在用户的浏览器中的Cookie中,以便在每次请求都可以将其发送回服务器。
springboot使用session进行登录验证
LINYONGBIN
03-25 2万+
当我们想登录一次之后,在一定间内可以不用再次登录就能访问一些界面,那么这个候,我们便可以在用户第一次登陆的候对用户名(唯一)进行存贮到服务器的session当中,下次访问,便可以对session中的用户名进行判断,看是否有存在该用户,如果存在,就不拦截,如果不存在,就进行重定向到登录界面 第一步,先添加拦截器 import org.springframework.context.an...
SpringBootWeb 登录认证[Cookie + Session + Token + Filter + Interceptor]
weixin_53622554的博客
08-25 2595
登录认证,那什么是认证呢?在前面的案例中,我们已经实现了部门管理、员工管理的基本功能,但是大家会发现,我们并没有登录,就直接访问到了Tlias智能学习辅助系统的后台。 这是不安全的,所以我们今天的主题就是登录认证。 最终我们要实现的效果就是用户必须登录之后,才可以访问后台系统中的功能。要想实现用户登录功能,我们需要两步操作来实现:注意:登录校验是整个登录功能的核心! 在登录界面中,我们可以输入用户的用户名以及密码,然后点击 "登录" 按钮就要请求服务器,服务端判断用户输入的用户名或者密码是否正确。如果正确
SpringBoot 拦截器接口验证实现
编程者说的博客专栏
07-13 1125
在企业内部实现To B端的服务接口调用,我们使用了自己的验证规则,需要借助SpringBoot拦截器实现(To C端的可以考虑OAuth2)。 1、创建 Interceptor 类,实现HandlerInterceptor 接口 @Component @Slf4j public class SignInterceptor implements HandlerInterceptor { @Autowired private SignService signService; .
spring boot使用过滤器(以session校验为例)
热门推荐
炫封的博客
03-12 4万+
一.新建过滤器 这里我以session登录校验为例写了一个过滤器的例子 1.先写一个通过用户名密码登录的小栗子(用户名、密码都是root) @Controller @RestController public class LoginController { @RequestMapping(&amp;quot;login&amp;quot;) public String login(String...
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
2. **权限控制**:用户登录后,所有请求都会经过Shiro的过滤器链,Shiro会根据Subject中的权限信息判断用户是否有权限访问资源。 3. **前端展示**:LayuiMini根据Shiro的权限信息动态渲染界面,比如隐藏无权限的按钮...
SpringBoot实现拦截器过滤器、监听器过程解析
08-25
SpringBoot 实现拦截器过滤器、监听器过程解析 SpringBoot 框架中提供了多种方式来拦截和过滤请求,包括拦截器过滤器和监听器。以下是对这三种机制的详细解析: 一、拦截器SpringBoot 中,拦截器是通过...
Java SpringBoot实现过滤器(和拦截器)控制登录页面跳转
04-13
SpringBoot中,我们可以通过实现HandlerInterceptor接口创建自定义拦截器。 5. **登录验证**: 登录验证是Web应用中的核心功能,用于确保只有合法用户才能访问受保护的资源。通过过滤器拦截器,我们可以检查每...
springboot+shiro+redis整合
03-12
5. **设置过滤器**:配置ShiroFilterFactoryBean,设置各个过滤器链,例如anon(匿名访问)、authc(身份验证)等,并指定对应的URL路径。 6. **会话管理**:在Shiro配置类中,配置SessionManager的sessionDAO为...
springboot+拦截器 实现简单的单点登录
Zealones的博客
11-26 594
实现 简单的单点登录
SpringBoot :API接口拦截器验证(Token验证)并将数据存入Request中供接口调用
HelloQ的博客
04-29 1万+
一、为什么需要拦截器? 在前后端分离的现在,项目中的所有的前端的页面都需要通过调用后台的Api进行获取数据 接口功能点不同,就会有很多种情况,比如说 涉及敏感数据(登录,获取个人信息,个人金额修改)相关的接口需要token验证 获取不敏感数据则不需要进行校验 vue等前端调用后台api,如果没有引入(nginx),则有可能有跨域问题 所以说需要一个拦截器去区分哪些路径下需要token校验,那...
SpringBoot 整合 Spring-Session 实现分布式会话(实战篇)
长安明月的博客
07-25 3703
Spring提供了处理分布式会话的解决方案Spring-Session提供了对Redis、MongoDB、MySQL等常用存储的支持,Spring-Session提供与HttpSession的透明整合,这意味着开发人员可以使用Spring-Session支持的实现方式,切换HttpSessionSpring-Session。本文采用Redis作为第三方存储,总结下SpringBoot整合Spring-Session实现分布式会话的实战方式及测试过程。...
SpringBootsession拦截器
tian_tian_gong的博客
11-26 1万+
Session: 在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服...
SpringBoot(八)SpringBoot整合springsession实现分布式session共享
NickWU博客
12-02 1万+
Maven配置 <!-- springboot - Redis --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dep
Springboot +spring security,实现session并发控制及实现原理分析
weixin_40991408的博客
05-25 1769
Springboot +spring security,实现session并发控制及实现原理分析
Springboot学习06 :验证用户登录Session方式
小文的博客
10-06 1万+
一、验证流程思路 1、访问请求【透过拦截器】到登录页面再【透过拦截器】到验证程序存入用户名到Sesion, 2、访问请求【通过拦截器Sesion验证】 访问任意权限页面 3、只有普通页面的请求可以透过拦截器 4、权限页面的请求要通过【拦截器验证Sesion】,通过就放行,不通过会被重定向到登录页面。 二、springboot用户验证 1、模板页面 login模板 &amp;amp;amp;amp;amp;lt;!DOCTYPE html...
Springboot--使用filter过滤session
qq_20466567的博客
10-09 1024
import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.annotation.WebFi...
springboot+mybatis+springsession+redis实现session共享及单点登录
09-01
使用SpringBoot框架结合MyBatis实现Session共享和单点登录可以借助SpringSession和Redis来实现。 首先,需要配置SpringSession使用Redis作为存储方式。可以在SpringBoot的配置文件中添加以下配置: ``` spring.session.store-type=redis spring.session.redis.namespace=spring:session spring.redis.host=127.0.0.1 spring.redis.port=6379 ``` 这样配置后,SpringSession会自动将session信息存储到Redis中。 接着,在登录验证成功后,将用户信息存储到Redis中,并将该用户的唯一标识存储到当前Session的属性中,以便后续验证是否登录。例如: ``` @RequestMapping("/login") public String login(@RequestParam("username") String username, @RequestParam("password") String password, HttpSession session) { // 验证用户名和密码 // ... // 验证通过后,将用户信息存储到Redis中,并设置Session属性 redisTemplate.opsForHash().put("user:" + username, "username", username); session.setAttribute("username", username); return "success"; } ``` 在后续的请求中,可以通过拦截器过滤器验证Session是否有效。例如: ``` @Component public class SessionInterceptor implements HandlerInterceptor { @Autowired private RedisTemplate<String, Object> redisTemplate; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { HttpSession session = request.getSession(); String username = (String) session.getAttribute("username"); if (StringUtils.isEmpty(username)) { response.sendRedirect("/login"); return false; } String storedUsername = (String) redisTemplate.opsForHash().get("user:" + username, "username"); if (!StringUtils.equals(storedUsername, username)) { response.sendRedirect("/login"); return false; } return true; } } ``` 以上代码片段展示了如何通过拦截器验证Session的有效性。首先从当前Session中获取用户名,如果为空则重定向到登录页面。然后从Redis中获取存储的用户名,如果与当前用户名不匹配,则重定向到登录页面。 这样就实现SpringBoot、MyBatis、SpringSession和Redis共同完成Session共享和单点登录功能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

杼蛘

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值