背景:自己在做一个Agile的管理系统,需要做到用户认证和页面拦截跳转。所以需要验证是否有Session和Cookie的信息。如果没有就重新定向到登录页面,然后为了这个问题各种在网上找解决方法,说到这里真的很生气呀。网上大家写博客真的是内容参差不齐,很多博客即不说清楚原理也不说清楚解决的方法。一边看一边生气,既然写出来给大家看就得要保证博客的质量吧。不然就是浪费时间,如果你只想是把博客当做是记事本的话,我建议用有道云笔记或许更好用。好了不说了,只希望大家可以写出高质量的博客共建和谐美好的IT社区。既然我自己都这么说了,我肯定要保证博客的质量了,下面我会用最详细让大家都能看到,而且保证可以解决。
问题重现:1、在登录之前不管是那个链接,都跳转到登录界面。
2、在登录之后如果认证成功会添加Session信息。
3、如果在有Session认证的情况下可以可以访问。
解决方法:我们先学习两个东西,HandlerInterceptor 和 WebMvcConfigurerAdapter
HandleIntercepotr: 在Spring中定义一个Interceptor是非常简单的,主要有两种方式:
第一种:实现HandlerInterceptor 接口,或者是继承实现了HandlerInterceptor 接口的类,例如HandlerInterceptorAdapter;
第二种:实现Spring的WebRequestInterceptor接口,或者是继承实现了WebRequestInterceptor的类。
HandlerInterceptor接口中定义了三个方法。
boolean preHandle() 该方法在处理请求之前进行调用,就是在执行Controller的任务之前。如果返回true就继续往下执行,返回false就放弃执行。
void postHandle()该方法将在请求处理之后,DispatcherServlet进行视图返回渲染之前进行调用,可以在这个方法中对Controller 处理之后的ModelAndView 对象进行操作。
void afterCompletion()该方法也是需要当前对应的Interceptor的preHandle方法的返回值为true时才会执行,该方法将在整个请求结束之后,也就是在DispatcherServlet 渲染了对应的视图之后执行。用于进行资源清理。
public class SessionInterceptor implements HandlerInterceptor{ /*在执行Controller的任务之前判断是否有Session信息 如果有Session信息就往下执行,去调用Controller。 如果没有Session就跳转到登录页面 */ @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { HttpSession session=request.getSession(); if(session.getAttribute("User")!=null){ return true; } String url = "/login.html"; request.getRequestDispatcher(url).forward(request,response); return false; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { } }
WebMvcConfigurerAdapter:对Spring进行配置
@Configuration public class WebSecurityConfig extends WebMvcConfigurerAdapter { @Bean public SessionInterceptor getSessionInterceptor() { return new SessionInterceptor(); } @Override public void addInterceptors(InterceptorRegistry registry) { /*调用我们创建的SessionInterceptor。 * addPathPatterns("/api/**)的意思是这个链接下的都要进入到SessionInterceptor里面去执行 * excludePathPatterns("/login")的意思是login的url可以不用进入到SessionInterceptor中,直接 * 放过执行。 * * 注意:如果像注释那样写是不可以的。这样等于是创建了多个Interceptor。而不是只有一个Interceptor * 所以这里有个大坑,搞了很久才发现问题。 * * */ SessionInterceptor sessionInterceptor=new SessionInterceptor(); registry.addInterceptor(sessionInterceptor).addPathPatterns("/api/**") .excludePathPatterns("/login","/verify"); // registry.addInterceptor(sessionInterceptor).excludePathPatterns("/login"); // registry.addInterceptor(sessionInterceptor).excludePathPatterns("/verify"); super.addInterceptors(registry); } }
上面的代码就是实现这个功能的。来回顾一下需求和解决方法。
需求1、在登录前不管那个链接都跳转到Login页面。从WebMvcConfigurationAdapter里面看到,除了/login和verify其他的页面都要进入到Interceptor里面。
需求2、在登录验证成功里面添加Session就好了。
需求3、在Interceptor里面我们可以看到如果有Session就会通过,如果没有就会跳转到登录页面。
总结:在登录和验证拦截方面这个方法是可以的。但是有保证安全性,还需要加入token和x-csrf-token等一系列的认证和验证条件。所以还有很多的东西需要学习,如果看完博客有不懂的地方可以留言,我如果上线看到了都会做相应的回复的。
PS:最烦那些自己解决了问题,不说出来怎么解决的。