Springboot 拦截器,拦截所有请求,判断是否登录,验证权限

已于 2023-06-09 14:25:07 修改
阅读量1.6w 收藏 75
点赞数 11
分类专栏: Java基础 文章标签: spring boot java spring
于 2022-05-09 13:14:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58696998/article/details/124663181
版权

Java的三大器

拦截器的作用

Java里的拦截器是动态拦截Action调用的对象,它提供了一种机制可以使开发者在一个Action执行的前后执行一段代码,也可以在一个Action执行前阻止其执行,同时也提供了一种可以提取Action中可重用部分代码的方式。

功能:可以进行权限验证,审计日志等。

代码实现

拦截器配置类

package com.thk.Interceptor;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.InterceptorRegistration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 拦截器的属性配置
 *
 */
@Configuration
public class InterceptorConfiguration implements WebMvcConfigurer {


    /**
     * 重写addCorsMappings()解决跨域问题
     * 配置:允许http请求进行跨域访问
     *
     * @param registry
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        //指哪些接口URL需要增加跨域设置
        registry.addMapping("/**")
                //.allowedOrigins("*")//指的是前端哪些域名被允许跨域
                .allowedOriginPatterns("*")
                //需要带cookie等凭证时,设置为true,就会把cookie的相关信息带上
                .allowCredentials(true)
                //指的是允许哪些方法
                .allowedMethods("GET", "HEAD", "POST", "PUT", "DELETE", "OPTIONS")
                //cookie的失效时间,单位为秒(s),若设置为-1,则关闭浏览器就失效
                .maxAge(3600);
    }
 
    /**
     * 重写addInterceptors()实现拦截器
     * 配置:要拦截的路径以及不拦截的路径
     *
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //注册Interceptor拦截器(Interceptor这个类是我们自己写的拦截器类)
        InterceptorRegistration registration = registry.addInterceptor(new Interceptor());
        //addPathPatterns()方法添加需要拦截的路径
        //所有路径都被拦截
        registration.addPathPatterns("/**");
        //excludePathPatterns()方法添加不拦截的路径
        //添加不拦截路径
        registration.excludePathPatterns(
                //登录
                "/login",
                //退出登录
                "/loginOut",
                //获取验证码
                "/getCode",
                //发送短信
                "/sendshortMessage",
                //重置账号
                "/unsealaccount",
                //文件上传
                "/uploadImg",
                //html静态资源
                "/**/*.html",
                //js静态资源
                "/**/*.js",
                //css静态资源
                "/**/*.css"
        );
    }
}

拦截器实现类

package com.thk.Interceptor;

import com.thk.controller.base.BaseController;
import com.thk.utils.RedisUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 拦截器
 */
public class Interceptor extends BaseController implements HandlerInterceptor {

    @Autowired
    private RedisUtil redisUtil;

    /**
     * 在请求处理之前进行调用(Controller方法调用之前)
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        try {
            //判断是否登录
            boolean verifyPermissions = verifyPermissions(request);
            //判断是否有权限
            boolean competence = competence(request);
            if (verifyPermissions && competence) {
                return true;
            }
            //这里设置拦截以后重定向的页面,一般设置为登陆页面地址
            response.sendRedirect(request.getContextPath() + "/error.html");
        } catch (Exception e) {
            e.printStackTrace();
        }
        return true;//如果设置为false时,被请求时,拦截器执行到此处将不会继续操作
        //如果设置为true时,请求将会继续执行后面的操作
    }
}

判断是否登录

1.从请求头中获取token

2.通过token从redis中获取当前登录对象(object)

3.判断object是否为空,如果为空就是未登录或者登录时间过期

 /**
     * 验证是否登录
     *
     * @param request
     * @return
     */
    public boolean verifyPermissions(HttpServletRequest request) {
        String token = request.getHeader(Constant.TOKEN);
        Object o = redisUtil.get(token);
        if (o != null) {
            return true;
        }
        return false;
    }

判断是否有权限

1.从请求头中获取token

2.通过token从redis中获取当前登录对象(object)

3.通过对象查询数据库是否存在当前对象

4.获取登录对象的登录名    判断是否是(admin或者总经理)这两个账号拥有最高权限

5.判断是否被授权,(获取临时授权时设置的开始时间,结束时间,当前时间),

获取这个三个时间的时间戳,判断当前时间是否在开始时间和结束时间之间

如果开始时间和结束时间为空的话表示当前登录对象未被临时授权,会执行后面的 4,5,6,

如果有时间,但是当前时间不在这个时间段也会执行 4,5,6

如果有时间,并且当前时间在这个时间段之中,就会直接返回true

6.从请求头中获取当前接口的地址,

7.通过当前登录对象的id查询权限

8.判断当前登录对象的权限中是否包含当前接口的地址,如果包含,允许当前登录对象访问,如果不包含,则不允许当前登录人访问

 /**
     * 判断是否有权限
     *
     * @param request
     * @return
     */
    public boolean competence(HttpServletRequest request) {
        //获取当前登录对象的全部信息
        People people = peopleMapper.selectById(getUserId(request.getHeader(Constant.TOKEN)));
        //管理员拥有全部权限
        if (Constant.SUPER_ADMIN.equals(people.getUserName())) {
            return true;
        }
        //判断是否被授权
        //防止空指针
        if (people.getStartDate() != null && people.getEndDate() != null) {
            if (dateUtils.ifDate(people.getStartDate(), people.getEndDate(), new Date())) {
                return true;
            }
        }
        //从请求头中获取的地址
        String requestURI = request.getRequestURI();
        //通过角色id查询当前登陆对象的所有权限
        List<Power> list = powerMapper.selectUrl(people.getRoleid());
        ArrayList<String> stringList = new ArrayList<>();
        if (!StringUtils.isEmpty(list)) {
            list.forEach(r -> {
                stringList.add(r.getUrl());
            });
            return lsitUtils.ifcontainString(stringList, requestURI);
        }
        return false;
    }

测试

1.获取验证码

 2.登录获取token

(eyJhbGciOiJIUzI1NiJ9eyJqdGkiOiIyMDFlNmY0MS1jM2NhLTRmODItYjAxNC01NWY3ZTU5ZmNkMzgiLCJpYXQiOjE2NTIwNzE1MTMsInN1YiI6InRoayIsImlzcyI6InN0YWZmIiwiZXhwIjoxNjUyMDczMzEzfQunBHUktwyuKpT6D0NDObrPmYGjQ_yU8-lNJ0NbAwHMI)

 3.查询全部用户

总结:

避坑问题:

       在拦截器中@autowired注入工具类,或者其他service,mapper会导致空指针异常

 解决方案:

原因:

因为拦截器是在spring创建controller之前运行的,这时候这些controller,service,实体类等等这些东西spring并没有去创建,所以会注入失败,并且报空指针异常

解决方法

 将这个拦截器类也交给spring来进行管理

1.写一个@bean 来创建拦截器类

 2.在addInterceptors 方法引用中调用这个bean

3.修改后的代码

package com.thk.Interceptor;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.InterceptorRegistration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 拦截器的属性配置
 *
 */
@Configuration
public class InterceptorConfiguration implements WebMvcConfigurer {

    /**
     * 把Interceptor这个实现类交给spring进行管理-------避坑!!!
     * @return
     */
    @Bean
    Interceptor getAdminInterceptor(){
        return new Interceptor();
    }


    /**
     * 重写addCorsMappings()解决跨域问题
     * 配置:允许http请求进行跨域访问
     *
     * @param registry
     * @Author 有梦想的肥宅
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        //指哪些接口URL需要增加跨域设置
        registry.addMapping("/**")
                //.allowedOrigins("*")//指的是前端哪些域名被允许跨域
                .allowedOriginPatterns("*")
                //需要带cookie等凭证时,设置为true,就会把cookie的相关信息带上
                .allowCredentials(true)
                //指的是允许哪些方法
                .allowedMethods("GET", "HEAD", "POST", "PUT", "DELETE", "OPTIONS")
                //cookie的失效时间,单位为秒(s),若设置为-1,则关闭浏览器就失效
                .maxAge(3600);
    }
 
    /**
     * 重写addInterceptors()实现拦截器
     * 配置:要拦截的路径以及不拦截的路径
     *
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //注册Interceptor拦截器(Interceptor这个类是我们自己写的拦截器类)
        InterceptorRegistration registration = registry.addInterceptor(getAdminInterceptor());
        //addPathPatterns()方法添加需要拦截的路径
        //所有路径都被拦截
        registration.addPathPatterns("/**");
        //excludePathPatterns()方法添加不拦截的路径
        //添加不拦截路径
        registration.excludePathPatterns(
                //登录
                "/login",
                //退出登录
                "/loginOut",
                //获取验证码
                "/getCode",
                //发送短信
                "/sendshortMessage",
                //重置账号
                "/unsealaccount",
                //文件上传
                "/uploadImg",
                //html静态资源
                "/**/*.html",
                //js静态资源
                "/**/*.js",
                //css静态资源
                "/**/*.css"
        );
    }
}

4.问题解决

愿你是阳光 ^ _ ^
关注
  • 11
    点赞
  • 75
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot拦截所有请求校验特殊字符
qq_43147161的博客
09-05 3273
拦截请求参数重的特殊字符
springboot基于拦截器实现登录权限拦截
IT小跟班
03-26 4237
一、需求 系统中,除登录接口/login以外,其他所有接口,必须用户登录后才能访问。 二、实现 创建一个拦截器拦截除/login以外的所有请求,校验用户是否已登录,如果已登录,则放行,否则拦截请求,给出未登录信息提示。 创建LoginInterceptor类,实现HandlerInterceptor接口,重写preHandle方法 package com.yclouds.servic...
SpringBoot拦截器
最新发布
cool_tao6的博客
07-08 2481
拦截器Spring 框架提供的核心功能之一,主要用来拦截用户的请求,在指定的方法前后,根据业务需要执行预先设定的代码。也就是说,允许开发人员提前预定义一些逻辑,在用户的请求、响应前后执行。也可以在用户请求前阻止其执行。在拦截器当中,开发人员可以在应用程序中做一些通用性的操作,比如通过拦截器拦截前端发来的请求,判断Session中是否有登录用户的信息,如果有 -> 就放行,如果没有 -> 就进行拦截。如图:这种情况就类似我们去银行办理业务,
Spring Boot拦截器精讲
洛卡JAVA架构师每日分享Java架构师知识
06-02 1982
我们对拦截器并不陌生,无论是 Struts 2 还是 Spring MVC 中都提供了拦截器功能,它可以根据 URL 对请求进行拦截,主要应用于登陆校验、权限验证、乱码解决、性能监控和异常处理等功能上。Spring Boot 同样提供了拦截器功能。在 Spring Boot 项目中,使用拦截器功能通常需要以下 3 步: 定义拦截器; 注册拦截器; 指定拦截规则(如果是拦截所有,静态资源也会被拦截)。 定义拦截器Spring Boot 中定义拦截器十分的简单,只需要创建一个拦截器类,并实现 Handle
SpringBoot 请求拦截
风信子
04-26 4009
Spring Boot 中,请求拦截有如下三种方式切片(Aspect)过滤器(Filter)拦截器(Interceptor)
springboot拦截器
qq_52314126的博客
10-25 5065
springboot拦截器的使用
全面了解SpringBoot拦截器
热门推荐
万猫学社
06-28 1万+
拦截器(Interceptor)是一种特殊的组件,它可以在请求处理的过程中对请求和响应进行拦截和处理。拦截器可以在请求到达目标处理器之前、处理器处理请求之后以及视图渲染之前执行特定的操作。拦截器的主要目的是在不修改原有代码的情况下,实现对请求和响应的统一处理。本文详细介绍了SpringBoot中的拦截器,包括拦截器的概念、作用、实现方式、执行顺序、生命周期以及高级应用。我们还探讨了拦截器的性能优化策略和常见问题。希望本文能帮助您更好地理解和使用SpringBoot中的拦截器
SpringBoot 三种拦截http请求方式Filter,Interceptor和AOP
weixin_43960071的博客
03-25 1913
Filter Interceptor ControllerAdvice AOP
SpringBoot拦截器实现登录拦截的方法示例
08-25
SpringBoot拦截器可以用来进行权限验证、解决乱码问题、记录操作日志、性能监控、异常处理等。 首先,创建一个SpringBoot项目,可以在pom.xml文件中配置项目的依赖。如上文中的示例代码所示,项目包含了Spring Boot...
springboot拦截请求路径_SpringBoot拦截器如何获取http请求参数
weixin_36138385的博客
01-12 4560
1.1、获取http请求参数是一种刚需我想有的小伙伴肯定有过获取http请求的需要,比如想前置获取参数,统计请求数据做服务的接口签名校验敏感接口监控日志敏感接口防重复提交等等各式各样的场景,这时你就需要获取 HTTP 请求的参数或者请求body,一般思路有两种,一种就是自定义个AOP去拦截目标方法,第二种就是使用拦截器。整体比较来说,使用拦截器更灵活些,因为每个接口的请求参数定义不同,使用AOP很...
Springboot拦截器+http的4中请求小demo
07-30
其中包含了http的4中请求,put,delete,post和get。在什么情况下用到什么请求都会有相应的方法说明。包含了登录拦截器
springboot拦截器实现拦截器 权限校验,登录demo
11-14
本文将详细介绍如何在Spring Boot中实现拦截器以进行权限校验和登录验证,通过一个简单的Demo来阐述整个过程。 首先,我们需要创建一个自定义的拦截器类。这个类通常会继承`HandlerInterceptorAdapter`,这是一个...
Springboot 中使用拦截器
<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd
04-20 463
????????关注后回复“进群”,拉你进程序员交流群????????作者丨武哥来源丨武哥聊编程拦截器的原理很简单,是 AOP 的一种实现,专门拦截对动态资源的后台请求,即拦截对控制层...
spring 拦截器拦截所有的请求
ljyshiqihao的博客
09-25 2492
<mvc:interceptor> <mvc:mapping path="/**"/> <ref bean="_DotnetTicketLoginContextInterceptor"/> </mvc:interceptor> mapping path配置两个*, 否则拦截不住子目录 , 如/...
SpringBoot 全局请求拦截
一碗清深的博客
10-24 732
Spring Boot中,可以使用拦截器(Interceptor)来实现全局请求拦截。RequestBodyAdvice和ResponseBodyAdvice是Spring框架提供的两个接口,用于在请求处理过程中对请求体和响应体进行处理。
springboot拦截
Strangewu的博客
04-13 228
springboot项目实现登陆拦截器 通过拦截器可以进行权限验证、记录请求信息的日志、判断用户是否登录等。 功能说明 目的是避免在没登陆的情况下,直接通过路径名访问项目,其他人只要知道你项目路径也可以访问,这不是你想要的局面。 Controller层 package com.wq.myweb.controller; import com.wq.myweb.dao.LoginMapper; import com.wq.myweb.pojo.Login; import org.springframe
Spring-Boot框架拦截器请求进行拦截处理------Spring-Boot框架
春风若有怜花意,可否许我再少年
09-30 198
Spring-Boot框架拦截器请求进行拦截处理------Spring-Boot框架
SpringBoot拦截所有请求,记录日志表
l_mmf的博客
05-26 466
Springboot实现请求拦截异步记录日志落库
springboot 拦截器
08-13
Spring Boot中,拦截器(Interceptor)是一种用于拦截和处理请求的组件。Spring Boot拦截器使用了SpringMVC技术。拦截器主要用于对请求进行预处理和后处理操作,例如验证用户权限、记录日志、跳转页面等。 与过滤器(Filter)相比,拦截器有以下区别: 1. 归属不同:Filter属于Servlet技术,Interceptor属于SpringMVC技术。 2. 内容不同:Filter对所有访问进行增强,而Interceptor仅针对SpringMVC的访问进行增强。 在Spring Boot中配置拦截器需要通过创建一个配置类并实现WebMvcConfigurer接口来完成。在配置类中,可以使用addInterceptors方法添加拦截器,并通过addPathPatterns和excludePathPatterns方法来指定需要拦截和放行的请求路径。 例如,可以在配置类的addInterceptors方法中添加一个LoginInterceptor拦截器,并使用addPathPatterns("/**")来拦截所有请求,同时使用excludePathPatterns方法来放行某些请求路径,如"/login"。 代码示例: ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new LoginInterceptor()) .addPathPatterns("/**") .excludePathPatterns("/login", "/", "/retolo", "/static/**"); } } ``` 另外,可以创建多个拦截器,并在addInterceptors方法中按照顺序添加,每个拦截器可以针对不同的请求路径进行配置。 请注意,以上代码中的LoginInterceptor是一个自定义的拦截器类,需要根据实际需求进行编写和配置。 希望以上信息能够对你有所帮助。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Springboot——拦截器](https://blog.csdn.net/weixin_51351637/article/details/128058053)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [Springboot实现拦截器功能](https://blog.csdn.net/weixin_52875557/article/details/123793361)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值