使用filter进行登录的拦截,统一验证用户登录信息是否有效

最新推荐文章于 2022-12-17 16:01:18 发布
最新推荐文章于 2022-12-17 16:01:18 发布
阅读量2.4k 收藏 5
点赞数
分类专栏: filter 登录 文章标签: filter 登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzqtty/article/details/83857989
版权

1需求

在用户进行所有的操作之前都要验证当前用户是否登录有效,如果每个方法调用前都去验证显得比较蠢,于是使用filter在接口之前统一拦截验证;

2.方案的选择

简单的来说就是实现用户的登录。刚开始我是采用session和cookie进行用户登录的,可是涉及到跨域的问题。其实我在网上查了下,前端可以实现跨域的请求带上cookie。可是人家前端不改!!!!!!!!微笑。非得要用在请求中带入token,后端自己验证token是否有效的流程!再次告诉自己微笑。

刚开始我采用的是intercepter,拦截器,但是不行,后文会有介绍。于是采用了filter,过滤器。

3.实现

1.首先在web.xml文件中配置拦截路径

  <!-- 使用filter实现登录控制  -->
  <filter>
    <filter-name>SessionFilter</filter-name>
    <filter-class>com.aaa.bbb.controller.login.LoginInterceptor</filter-class>
    <init-param>
    <param-name>ignores</param-name>
    <param-value>/api/web/login,api/web/sso_login,/web/*</param-value>
    </init-param>

  </filter>
  <filter-mapping>
    <filter-name>SessionFilter</filter-name>
    <url-pattern>/api/web/*</url-pattern>
    <!-- <url-pattern>/api/no/*</url-pattern> -->
  </filter-mapping>

<param-name>ignores</param-name>
    <param-value>/api/web/login,api/web/sso_login,/web/*</param-value>

这里是不进行拦截的路径,会在com.aaa.bbb.controller.login.LoginInterceptor 中进行过滤

<url-pattern>/api/web/*</url-pattern> 进行拦截的路径

2.拦截器

import java.io.BufferedReader;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.web.bind.annotation.CrossOrigin;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.jf.cloud.config.StaticMapUserInfo;
import com.mysql.fabric.xmlrpc.base.Data;

 

 

/**
 * @Description
 * @Author
 * @Date 2018年11月2日
 */
@CrossOrigin(origins = "*", maxAge = 3600)
public class LoginInterceptor  implements Filter{
    
    
     private String excludedPage;
     private String[] excludedPages;
    
     //sso的访问地址
     @Value("${ssoURL}")
     String ssoURL;
        

     //定义filter不拦截的路径
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
         //此处的ignores就是在web.xml定义的名称一样。
         excludedPage = filterConfig.getInitParameter("ignores");
        
         if (excludedPage != null && excludedPage.length() > 0){
             excludedPages = excludedPage.split(",");
             }
        
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        
        //解决跨域问题,统一处理
        HttpServletResponse resp = (HttpServletResponse) response;
        resp.setHeader("Access-Control-Allow-Origin", "*");
        resp.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        resp.setHeader("Access-Control-Max-Age", "3600");
        resp.addHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
       
        
        //由于httprequest的getReader只能使用一次,这里将reader流保存下来
        BodyReaderHttpServletRequestWrapper requestWrapper = new BodyReaderHttpServletRequestWrapper((HttpServletRequest) request);
        //排除不使用filter的路径
        for (String page : excludedPages) {
            String url = ((HttpServletRequest) request).getServletPath();
            if (url.equals(page)) {
                chain.doFilter(requestWrapper, resp);
                return;
            }

        }
        
    
        //读取http request 请求体总body的数据
         BufferedReader br = null;
            StringBuilder sb = new StringBuilder("");
            try
            {
              
                br =  requestWrapper.getReader();
                String str;
                while ((str = br.readLine()) != null)
                {
                    sb.append(str);
                }
                br.close();
            }
            catch (IOException e)
            {
                e.printStackTrace();
            }
            finally
            {
                if (null != br)
                {
                    try
                    {
                        br.close();
                    }
                    catch (IOException e)
                    {
                        e.printStackTrace();
                    }
                }
            }
          
                    
    
        //判断是否已经登录            
        String data = sb.toString();
        
        //验证用户登录格式
        if(data.equals("")){
            resp.setCharacterEncoding("UTF-8");  
            resp.setContentType("application/json; charset=utf-8");
            PrintWriter out = null ;
            JSONObject res = new JSONObject();
            res.put("result",false);
            res.put("code","400");
            res.put("message","验证格式未正确输入");
            out = resp.getWriter();
            out.append(res.toString());
            return ;
        }
        
        JSONObject jvo  = JSONObject.parseObject(data).getJSONObject("vertification");
        
        //拿到用户登录的token
        String token = jvo.getString("tokenID");
        //type用于区分是手机登录还是电脑登录,走不同的验证
        String type = jvo.getString("type");
        
        if(type.equals("pc")){//web的验证
            
            if(StaticMapUserInfo.getUserInfoMap().containsKey(token)){//如果用户已经登录
                
                //判断用户登录信息是否失效
                Date lastTime = (Date) StaticMapUserInfo.getUserInfoMap().get(token+"_time");
                Date now = new Date();
                if((now.getTime()-lastTime.getTime())<60*2*1000*60){//2小时登录有效
                    StaticMapUserInfo.getUserInfoMap().put(token+"_time", now);
                    chain.doFilter(requestWrapper, resp);
                }else{//用户登录失效
                    //移除用户登录信息
                    StaticMapUserInfo.getUserInfoMap().remove(token);
                    StaticMapUserInfo.getUserInfoMap().remove(token+"_time");
                    
                    //提示用户登录
                    resp.setCharacterEncoding("UTF-8");  
                    resp.setContentType("application/json; charset=utf-8");
                    PrintWriter out = null ;
                    JSONObject res = new JSONObject();
                    res.put("result",false);
                    res.put("code","414");
                    res.put("message","当前用户登录已经失效,请重新登录");
                    out = resp.getWriter();
                    out.append(res.toString());
                }
                
                
                
            }else{
                resp.setCharacterEncoding("UTF-8");  
                resp.setContentType("application/json; charset=utf-8");
                PrintWriter out = null ;
                JSONObject res = new JSONObject();
                res.put("result",false);
                res.put("code","400");
                res.put("message","当前用户未登录,请登录");
                out = resp.getWriter();
                out.append(res.toString());
              
            }
            
            
        }else if(type.equals("app")){//手机的验证
            
            //封装sso token验证的参数
            Map<String, Object> param = new HashMap<String, Object>();
            //拿到用户登录的token
            Map<String, String> tokenmap = new HashMap<String, String>();
            tokenmap.put("TokenID", token);
            param.put("Method", "aaa.ssouserauth");
            param.put("Version","3.1");
            param.put("Certification", tokenmap);
            
            JSON json = (JSON) JSONObject.toJSON(param);
            
            
            //访问sso的登录,并返回登陆结果
            JSONObject rso = SSOLoginController.sendPost(ssoURL,json);
            if (rso.getBooleanValue("Result")) {//用户登录成功
                chain.doFilter(requestWrapper, resp);
            }else{
                resp.setCharacterEncoding("UTF-8");  
                resp.setContentType("application/json; charset=utf-8");
                PrintWriter out = null ;
                JSONObject res = new JSONObject();
                res.put("result",false);
                res.put("code","400");
                res.put("message",rso.getString("Message"));
                out = resp.getWriter();
                out.append(res.toString());
            }
            
            
            
            
        }else{
            resp.setCharacterEncoding("UTF-8");  
            resp.setContentType("application/json; charset=utf-8");
            PrintWriter out = null ;
            JSONObject res = new JSONObject();
            res.put("result",false);
            res.put("code","400");
            res.put("message","验证类型错误");
            out = resp.getWriter();
            out.append(res.toString());
          
        }
        
        

        
        
    
        

}
        
    

    @Override
    public void destroy() {
        // TODO Auto-generated method stub
        
    }
    
}


    

 

 

 //sso的访问地址
     @Value("${ssoURL}")
     String ssoURL;

其他系统的sso验证地址

 

//解决跨域问题,统一处理
        HttpServletResponse resp = (HttpServletResponse) response;
        resp.setHeader("Access-Control-Allow-Origin", "*");
        resp.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        resp.setHeader("Access-Control-Max-Age", "3600");
        resp.addHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");

这里对response最跨域的处理,必须加上

/**
 * @Description
 * @Author
 * @Date 2018年11月5日
 */

import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;

import javax.servlet.ServletInputStream;
import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class BodyReaderHttpServletRequestWrapper
        extends
            HttpServletRequestWrapper {
    

    private final byte[] body;

    public BodyReaderHttpServletRequestWrapper(HttpServletRequest request)
            throws IOException {
        
        super(request);
        body = toByteArray(request.getInputStream());
    }

    private byte[] toByteArray(InputStream in) throws IOException {
        ByteArrayOutputStream out = new ByteArrayOutputStream();
        byte[] buffer = new byte[1024 * 4];
        int n = 0;
        while ((n = in.read(buffer)) != -1) {
            out.write(buffer, 0, n);
        }
        return out.toByteArray();
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream bais = new ByteArrayInputStream(body);
        return new ServletInputStream() {

            @Override
            public int read() throws IOException {
                return bais.read();
            }
        };
    }
}

 

//由于httprequest的getReader只能使用一次,这里将reader流保存下来
        BodyReaderHttpServletRequestWrapper requestWrapper = new BodyReaderHttpServletRequestWrapper((HttpServletRequest) request);
   否则会报错   

getReader() has already been called for this request

 

 

import java.util.HashMap;
import java.util.Map;

 

/**
 * @Description 存储用户登录信息
 * @Author zengzhiqiang
 * @Date 2018年11月5日
 */

public class StaticMapUserInfo {
    
    public static  Map<String, Object> userInfoMap ;
    
    
    
    
    public static Map<String, Object> getUserInfoMap() {
        
        if(userInfoMap==null){
            userInfoMap = new HashMap<String, Object>();
        }
        return userInfoMap;
    }
    
    
    public static void setUserInfoMap(Map<String, Object> userInfoMap) {
        StaticMapUserInfo.userInfoMap = userInfoMap;
    }

    
}

 

这里使用了一个单列的map代替redis的存储作用

 

 /**
     * 向指定的 URL发送远程POST方法的请求
     *
     * @param url发送请求的  URL
     * @param json请求参数,
     * @return 所代表远程资源的响应结果
     */
    public static JSONObject sendPost(String url, JSON json) {
        PrintWriter out = null;
        BufferedReader in = null;
        JSONObject jsonObject = null;
        String result = "";
        try {
            URL realUrl = new URL(url);
            // 打开和URL之间的连接
            HttpURLConnection conn = (HttpURLConnection) realUrl.openConnection();
            // 设置通用的请求属性
            conn.setRequestMethod("POST");
            // 发送POST请求必须设置下面的属性
            conn.setDoOutput(true);
            conn.setDoInput(true);
            conn.setUseCaches(false);
            //设置请求属性
            conn.setRequestProperty("Content-Type", "application/json; charset=utf-8");
            conn.connect();
            // 获取URLConnection对象对应的输出流
            out = new PrintWriter(conn.getOutputStream());
            // 发送请求参数
            out.print(JSON.toJSONString(json));
            // flush输出流的缓冲
            out.flush();
            // 定义BufferedReader输入流来读取URL的响应
            in = new BufferedReader(new InputStreamReader(conn.getInputStream()));
            String line = "";
            while ((line = in.readLine()) != null) {
                result += line;
            }
            //将返回结果转换为字符串
            jsonObject = JSONObject.parseObject(result);
        } catch (Exception e) {
            throw new RuntimeException("远程通路异常" + e.toString());
        }
        // 使用finally块来关闭输出流、输入流
        finally {
            try {
                if (out != null) {
                    out.close();
                }
                if (in != null) {
                    in.close();
                }
            } catch (IOException ex) {
                ex.printStackTrace();
            }
        }
        return jsonObject;
    }

 

验证其他系统的token在本系统的使用

3.入参

 如果使用interceper,程序运行不会报错,但是会出现错误

Failed to read HTTP message Required request body is missing:

会解析不到处理后的request body,这可能会与标签 @requestbody,有关

 

结束!

=======================================

看云,看雨,看天,看未知的秋天 ----记录

 

 

 

 

使用Filter实现登录验证基础-不包含角色、权限等
雾林小妖的博客
11-12 394
javaWeb程序中通过Filter实现登录验证
过滤器、拦截器、全局统一异常处理器&登录验证的一些问题
最新发布
qywy_yztp的博客
08-06 183
Java Web开发中的一种技术,用于对HTTP请求和响应进行拦截和处理。过滤器在请求进入Servlet之前执行预处理操作,也可以在响应返回客户端之前执行后处理操作。过滤器一般完成一些通用的操作,比如:登陆鉴权、统一编码处理、敏感字符处理等等。执行流程登录校验实现步骤创建一个实现 javax.servlet.Filter 接口的过滤器类。在过滤器类中实现 doFilter() 方法,该方法是过滤器的主要逻辑。使用 @WebFilter 来配置过滤器的映射路径。
使用Filter实现登录权限验证
08-25
主要为大家详细介绍了使用Filter实现登录权限验证,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Filter过滤器-使用Filter进行登陆验证功能的开发
litengbin的博客
01-27 681
在Servlet中进行登陆验证的局限性 在用户是否登陆的验证中,我们可以通过在HeroListServlet中增加对session的判断代码来做到登陆验证。 但是按照这样的做法,所有的Servlet都要加上一样的代码,就会显得比较累赘。 与通过Filter处理中文问题一样,也可以通过Filter一次性解决所有的登陆验证问题使用Filter处理 创建一个AuthFilter 类 S
使用filter过滤器实现简单用户登录验证(不用配置web.xml文件)
辰风的博客
02-20 5147
一、filter过滤器的作用 如果想要获取中文字符,或者是显示提交的中文,就需要添加以下代码,来防止乱码的情况发生。 request.setCharacterEncoding("utf-8"); response.setCharacterEncoding("utf-8"); response.setContentType("text/html;charset=utf-8"); 如果只是设置...
Filter拦截器-登录
jq的博客
10-31 642
由于页面可以通过路径及文件名直接访问,出于安全考虑,使用Filter拦截进行拦截,判断是否已经登录,否则跳转到登陆页面通过实现Filter,关键代码如下 private FilterConfig config = null;     @Override     public void doFilter(ServletRequest request, ServletResponse respon...
filter拦截器-用户登录判断
qq_24241631的博客
03-05 1482
目录 第一步:创建SecurityServlet.java 第二步:修改web.xml,添加filter配置 但是,但是,跨域问题和tomcat的httponly=true,害死人。。。。。 还是不行,再提供俩种方案:若是set-cookies属性JSESSIONID后面没出现httponly 若是set-cookies属性JSESSIONID后面出现了httponly 还是不行...
MVC使用Controller代替Filter完成登录验证(Session校验)学习笔记5
10-21
在*** MVC框架中,登录验证通常涉及对用户的会话状态进行检查,以确保他们已经登录并且拥有进行后续操作的权限。传统的做法是使用过滤器(Filters)来拦截请求,并在每个需要保护的Action方法之前进行登录状态的校验...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
SpringBoot整合OAuth2和Gateway实现网关登录授权验证是一个复杂而关键的过程,它涉及到现代微服务架构中的安全性设计。OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为...
Filter过滤器登陆拦截
TxbLcy的博客
04-28 907
Filter过滤器 Filter:过滤器,用来过滤网站的数据 处理中文乱码 登陆验证使用过滤器实现登陆拦截,这样当我们点击注销后,登陆就无法直接进入结果页面了 过滤器的使用 导包 servlet下的Filter包 1 编写过滤器 public class CharacterEncodingFilter implements Filter { @Override ...
利用Filter拦截用户登录
04-19
用户在没有登录的情况下,无法浏览除登录页面之外的其他页面,并且如果用户名为空,也不能进如其他页面。
java filter 登陆访问_JavaEE中Filter实现用户登录拦截
weixin_39679370的博客
02-13 231
实现思路是编写过滤器,如果用户登录之后session中会存一个user。如果未登录就为null,就可以通过过滤器将用户重定向到登陆页面,让用户进行登陆,当然过滤器得判断用户访问的如果是登陆请求需要放行,如果不是就需要进行拦截进行验证。登陆成功再session存存入user,这样过滤器每次都会通过。1.首先编写验证登陆的过滤器packagedanger.filter;importjava.io.I...
SpringMVC--拦截器实现用户登录权限验证案例
吴声子夜歌的博客
11-03 2328
Spring MVC拦截器实现用户登录权限验证案例 1)创建应用并导入相关JAR包 2)创建 POJO 类 package pers.zhang.pojo; public class User { private String uname; private String upwd; public String getUname() { return uname;...
通过Filter来实现一个登录判断
qq_57740280的博客
05-07 553
阿巴阿巴阿巴阿巴 文章目录前言文件有login.jsploginFilterindex.jspweb.xml运行截图总结 前言 这里我将实现一个登录页面。 通过过滤器loginFilter,来验证密码是否正确,正确就跳转到index.jsp页面。 错误就返回到登录页面,并给出错误信息。 正确的账号和密码都是123456 实现的功能有: 如果你没有输入账号和密码会提示你输入 如果当账号或密码错误时提示错误,并保留账号,密码不保留 当账号或密码错误时会提醒你账号或密码错误 清空 成功登录 有两个值得注.
day4_Filter拦截器-登录验证
cnbj_bc的博客
07-09 103
思路: 1.查看有没有session 2.继续判断session里边的属性是不是想要的 3.全部符合就放行,不符合跳转到登录页面 package com.briup.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.serv...
通过Filter实现登录拦截
qq_45953233的博客
05-01 3605
Filter实现登录拦截
Filter过滤器实现登录权限拦截
m0_53253682的博客
06-28 2241
实现:用户登陆之后才能进入主页,注销之后就不能进入主页 1、用户登录后,向Session中存入用户数据。 2、进入主页的时候要判断用户是否已经登录。 例: 先编写主页.jsp,即用户登录后的页面 %@ page contentType="text/html;charset=UTF-8" language="java" %> <html> <head> <title>主页</title> <style> h1{
Filter案例--登录验证
weixin_44239550的博客
12-17 646
记录在跟随老师学习过程中学习心得。先上过滤器代码................
拦截器(Interceptor)过滤器(Filter) 简述,登录拦截
weixin_42361056的博客
04-07 945
一、过滤器和拦截器的区别: 拦截器是基于java的反射机制的,而过滤器是基于函数回调。 拦截器不依赖与servlet容器,过滤器依赖与servlet容器。 拦截器只能对action请求起作用,而过滤器则可以对几乎所有的请求起作用。 拦截器可以访问action上下文、值栈里的对象,而过滤器不能访问。 action的生命周期中,拦截器可以多次被调用,而过滤器只能在容器初始化时被调用一次。 截器可以获...
如何使用拦截器或者过滤器来统一处理token的验证和解析
03-29
拦截器和过滤器都可以用来统一处理token的验证和解析,下面分别介绍一下具体实现方法: 使用拦截器: 1. 创建一个拦截器类,实现HandlerInterceptor接口; 2. 在preHandle方法中,获取请求头中的token,并进行解析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值