SprinMVC 拦截器验证权限和登录与注销的实现
本文将介绍通过拦截器验证权限和后台登录与注销。
拦截器的作用在于,比如我们输入 xxx.com/admin 发起请求进入 网站后台或者其他后台页面。我们的拦截器会在 Controller 调用之前进行拦截,至于什么拦截,由我们来写。比如,判断用户是否登录(可以通过 session 判断),如果没有登录,我们让它跳转到登录页面。
一、拦截器的基本使用
1、新建一个 拦截器
SecurityInterceptor.java
- package com.liuyanzhao.blog.Interceptor;
- import org.springframework.web.servlet.HandlerInterceptor;
- import org.springframework.web.servlet.ModelAndView;
- import javax.servlet.http.HttpServletRequest;
- import javax.servlet.http.HttpServletResponse;
- public class SecurityInterceptor implements HandlerInterceptor {
- @Override
- public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
- System.out.println("SecurityInterceptor...preHandle...");
- //这里可以根据session的用户来判断角色的权限,根据权限来转发不同的页面
- if(request.getSession().getAttribute("userId") == null) {
- request.getRequestDispatcher("/login").forward(request,response);
- return false;
- }
- return true;
- }
- @Override
- public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
- }
- @Override
- public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
- }
- }
判断是否有 userId 这个session,如果没有(或者过期了)转发到登录页面
2、配置 springmvc.xml
通过使用 mvc:interceptors 标签来声明需要加入到SpringMVC拦截器链中的拦截器。
- <mvc:interceptors>
- <mvc:interceptor>
- <mvc:mapping path="/admin"/>
- <bean class="com.liuyanzhao.blog.Interceptor.SecurityInterceptor"/>
- </mvc:interceptor>
- <mvc:interceptor>
- <mvc:mapping path="/admin/**"/>
- <bean class="com.liuyanzhao.blog.Interceptor.SecurityInterceptor"/>
- </mvc:interceptor>
- </mvc:interceptors>
只需两步,我们已经能成功拦截 /admin 和其其前缀的如 /admin/article 等其他所有路径啦。
二、登录实现
登录主要是验证该用户是否存在,密码是否正确。然后添加 session 和页面跳转
1、登录表单
login.jsp
- <%
- String username = "";
- String password = "";
- //获取当前站点的所有Cookie
- Cookie[] cookies = request.getCookies();
- for (int i = 0; i < cookies.length; i++) {//对cookies中的数据进行遍历,找到用户名、密码的数据
- if ("username".equals(cookies[i].getName())) {
- username = cookies[i].getValue();
- } else if ("password".equals(cookies[i].getName())) {
- password = cookies[i].getValue();
- }
- }
- %>
- <form name="loginForm" id="loginForm" method="post">
- <input type="text" name="username" id="user_login"
- class="input" value="<%=username%>" size="20" required/></label>
- <input type="password" name="password" id="user_pass"
- class="input" value="<%=password%>" size="20" required/>
- <input name="rememberme" type="checkbox" id="rememberme" value="1" /> 记住密码
- <input type="button" name="wp-submit" id="submit-btn" class="button button-primary button-large" value="登录" />
- </form>
为了代码简洁,这里去掉了多余的标签和属性。我这里是扒了 wordpress 的登录页面,这里也用到了 cookie 。
注意:这里的 form 表单里没有 action 属性,最终发送数据通过 ajax 。同样,也没有 submit 按钮,为了防止 ajax+form+submit 导致 success 里无法页面跳转。
2、js 代码
- <%--登录验证--%>
- $("#submit-btn").click(function () {
- var user = $("#user_login").val();
- var password = $("#user_pass").val();
- if(user=="") {
- alert("用户名不可为空!");
- } else if(password==""){
- alert("密码不可为空!");
- } else {
- $.ajax({
- async: false,//同步,待请求完毕后再执行后面的代码
- type: "POST",
- url: '${pageContext.request.contextPath}/loginVerify',
- contentType: "application/x-www-form-urlencoded; charset=utf-8",
- data: $("#loginForm").serialize(),
- dataType: "json",
- success: function (data) {
- if(data.code==0) {
- alert(data.msg);
- } else {
- window.location.href="${pageContext.request.contextPath}/admin";
- }
- },
- error: function () {
- alert("数据获取失败")
- }
- })
- }
- })
这里 ajax 使用同步,防止出现后台没有返回值,就执行了后面的js代码,进而出现 ajax 执行 error:function() 里的代码。数据类型使用 json,当然也可以使用 text,只不过 text 只能 返回普通的字符串。
最后,如果验证通过,将跳转到 xxx.com/admin 页面(当然后台需要加入session,否则拦截器会拦截)。
3、控制器代码
- //登录页面显示
- @RequestMapping("/login")
- public ModelAndView loginView() {
- ModelAndView modelAndView = new ModelAndView();
- modelAndView.setViewName("/Admin/login");
- return modelAndView;
- }
- //登录验证
- @RequestMapping(value = "/loginVerify",method = RequestMethod.POST)
- @ResponseBody
- public String loginVerify(HttpServletRequest request, HttpServletResponse response) throws Exception {
- Map<String, Object> map = new HashMap<String, Object>();
- String username = request.getParameter("username");
- String password = request.getParameter("password");
- String rememberme = request.getParameter("rememberme");
- UserCustom userCustom = userService.getUserByNameOrEmail(username);
- if(userCustom==null) {
- map.put("code",0);
- map.put("msg","用户名无效!");
- } else if(!userCustom.getUserPass().equals(password)) {
- map.put("code",0);
- map.put("msg","密码错误!");
- } else {
- //登录成功
- map.put("code",1);
- map.put("msg","");
- //添加session
- request.getSession().setAttribute("user", userCustom);
- //添加cookie
- if(rememberme!=null) {
- //创建两个Cookie对象
- Cookie nameCookie = new Cookie("username", username);
- //设置Cookie的有效期为3天
- nameCookie.setMaxAge(60 * 60 * 24 * 3);
- Cookie pwdCookie = new Cookie("password", password);
- pwdCookie.setMaxAge(60 * 60 * 24 * 3);
- response.addCookie(nameCookie);
- response.addCookie(pwdCookie);
- }
- }
- String result = new JSONObject(map).toString();
- return result;
- }
这里登录验证方法内,getUserByNameOrEmail() 方法用来从数据库里查找是否有该用户(用户名或者邮箱)。如果有,而且密码正确,添加一条 session,要和拦截器里写的一致哦。并将信息添加到 Map 中,然后转成 JSON 数据,这里需要导入 对应JSON 的jar 哦。
- <dependency>
- <groupId>org.json</groupId>
- <artifactId>json</artifactId>
- <version>20170516</version>
- </dependency>
是
4、Service 和 DAO
这里就不贴 Service 和 Dao 的代码了,主要就是根据 字符串查找用户的操作啦。
三、注销实现
注销就比较简单了,清除 session 就行了。
1、jsp 页面
- <a href="${pageContext.request.contextPath}/admin/logout">退了</a>
2、控制器代码
- //退出登录
- @RequestMapping(value = "/admin/logout")
- public String logout(HttpSession session) throws Exception {
- session.removeAttribute("userId");
- session.invalidate();
- return "redirect:/login";
- }
本来准备录制GIF效果图,但是苦于图片太大就不上传了。
SprinMVC 拦截器验证权限和登录与注销的实现相关推荐
- 35.使用拦截器实现权限验证
转自:https://wenku.baidu.com/view/84fa86ae360cba1aa911da02.html 为了说明此问题,我们建立struts2auth项目,流程图如下: 简短说明: ...
- 项目一:第十二天 1、常见权限控制方式 2、基于shiro提供url拦截方式验证权限 3、在realm中授权 5、总结验证权限方式(四种) 6、用户注销7、基于treegrid实现菜单展示...
1 课程计划 1. 常见权限控制方式 2. 基于shiro提供url拦截方式验证权限 3. 在realm中授权 4. 基于shiro提供注解方式验证权限 5. 总结验证权限方式(四种) 6. 用户注销 ...
- Spring MVC使用拦截器实现权限控制
1.首先准备对应的架包 2.看看项目的架构 3.基本的web.xml文件 <!--?xml version="1.0" encoding="UTF-8"? ...
- mybatis拦截器实现权限管理
框架设计 基于Spring Security+JWT技术实现登录认证和访问授权,基于Mybatis 拦截器实现数据权限的控制.由于已有前文介绍Spring Security如有兴趣可以查看,在此将重点 ...
- Struts2拦截器实例-权限拦截器
查看本例之前首先要大概了解struts2的理论知识(点击查看) 本例实现了一个权限拦截器! 需求:要求用户登录,且必须为指定用户名才可以查看系统中的某个视图资源,如果不满足这两个条件,系统直接转入登录 ...
- 使用session监听+spring MVC拦截器禁止用户重复登录
在许多web项目中,需要禁止用户重复登录.一般来说有两种做法: 一是在用户表中维护一个字段isOnLine(是否在线),用户登录时,设定值为true,用户退出时设定为false,在重复登录时,检索到该 ...
- SpringMVC应用拦截器判断用户是否登录
拦截器定义 实现HandlerInterceptor接口,实现接口方法. import javax.servlet.http.HttpServletRequest; import javax.serv ...
- vue 项目 axios 响应拦截器 统一判断401 (登录)过期
背景: 为了模拟token 过期,专门把token 设置错误,为401 界面 把axios 官网里的 复制到拦截器里 放置到request.js 里 在响应器里进行判断4**, 5** 状态码错误 ...
- springboot拦截器验证token实现登陆
最近在做一个官网登陆认证项目,因为登陆以后无需太多的角色校验,所以改成角色简单实现就好,没有用太多框架组件,只用原声写. 直接上代码: 首先我用的是前后端分离的,所以要解决跨域问题 @Configur ...
- android aop 权限检查,AOP简单拦截实现验证权限功能
普通的权限验证一般都是写一个方法,然后再执行方法之前检查一下权限 这样做的坏处是每个地方都需要修改加权限验证 而用AOP的方式来做的话就很方便 网上找了一个例子,测试通过,感觉蛮好用的,记录一下[At ...
最新文章
- The Long-Term Stability of Ecosystems
- c#_Func和Action委托简介
- php5.2.10安装_安装 | 起步 | Laravel 5.2 中文文档
- 分子排列不同会导致_刘珏文: DNA寡核苷酸的冷冻定向拉伸和排列
- c语言fread malloc,流操作之读写(fread、fwrite、fopen、malloc)
- 小程序解决方案 Westore - 组件、纯组件、插件开发
- 【Codeforces 851D Arpa and a list of numbers】
- HackerRank and MiniMax
- ios 的ASIHTTPRequest学习
- Qt 启动应用程序的3种方式
- 已知空间三点求圆心坐标,在matlab中的实现方法
- 计算机开机提示dll,电脑开机提示dll文件出错怎么办
- 测试吃鸡游戏帧数软件,帧数暴涨10%+ RX 560D开核“吃鸡”测试
- 命令行 - 很好的工具,很强大
- 第十章 项目沟通管理和干系人管理
- 南海云课堂春季10(T)K3
- 【迁移学习】Self Paced Adversarial Training for Multimodal Few-shot Learning论文解读
- 利用命令简单检查网络
- 数据分析师八大能力之八:总结汇报的能力
- 在 Lenovo G360 笔记本上安装 Debian Squeeze AMD64