Spring-boot添加Interceptor进行认证验证

小灰灰 2022-06-05 00:16 145阅读 0赞

个人开发的基于内存的请求监控系统。欢迎star和一同参与。[https://github.com/standup-jb/tortoise][https_github.com_standup-jb_tortoise]

背景：自己在做一个Agile的管理系统，需要做到用户认证和页面拦截跳转。所以需要验证是否有Session和Cookie的信息。如果没有就重新定向到登录页面，然后为了这个问题各种在网上找解决方法，说到这里真的很生气呀。网上大家写博客真的是内容参差不齐，很多博客即不说清楚原理也不说清楚解决的方法。一边看一边生气，既然写出来给大家看就得要保证博客的质量吧。不然就是浪费时间，如果你只想是把博客当做是记事本的话，我建议用有道云笔记或许更好用。好了不说了，只希望大家可以写出高质量的博客共建和谐美好的IT社区。既然我自己都这么说了，我肯定要保证博客的质量了，下面我会用最详细让大家都能看到，而且保证可以解决。

问题重现：1、在登录之前不管是那个链接，都跳转到登录界面。

2、在登录之后如果认证成功会添加Session信息。

3、如果在有Session认证的情况下可以可以访问。

解决方法：我们先学习两个东西，HandlerInterceptor 和  WebMvcConfigurerAdapter

HandleIntercepotr: 在Spring中定义一个Interceptor是非常简单的，主要有两种方式：

第一种：实现HandlerInterceptor 接口，或者是继承实现了HandlerInterceptor 接口的类，例如HandlerInterceptorAdapter；   
第二种：实现Spring的WebRequestInterceptor接口，或者是继承实现了WebRequestInterceptor的类。

HandlerInterceptor接口中定义了三个方法。

boolean preHandle() 该方法在处理请求之前进行调用，就是在执行Controller的任务之前。如果返回true就继续往下执行，返回false就放弃执行。

void postHandle()该方法将在请求处理之后，DispatcherServlet进行视图返回渲染之前进行调用，可以在这个方法中对Controller 处理之后的ModelAndView 对象进行操作。

void afterCompletion()该方法也是需要当前对应的Interceptor的preHandle方法的返回值为true时才会执行，该方法将在整个请求结束之后，也就是在DispatcherServlet 渲染了对应的视图之后执行。用于进行资源清理。

public class SessionInterceptor implements HandlerInterceptor{
    
        /*在执行Controller的任务之前判断是否有Session信息
          如果有Session信息就往下执行，去调用Controller。
          如果没有Session就跳转到登录页面
        */
        @Override
        public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    
            HttpSession session=request.getSession();
            if(session.getAttribute("User")!=null){
                return true;
            }
            String url = "/login.html";
            request.getRequestDispatcher(url).forward(request,response);
            return false;
        }
    
        @Override
        public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
    
        }
    
        @Override
        public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
    
        }
    }

WebMvcConfigurerAdapter：对Spring进行配置

@Configuration
    public class WebSecurityConfig extends WebMvcConfigurerAdapter {
    
    
        @Bean
        public SessionInterceptor getSessionInterceptor() {
            return new SessionInterceptor();
        }
    
        @Override
        public void addInterceptors(InterceptorRegistry registry) {
            /*调用我们创建的SessionInterceptor。
            * addPathPatterns("/api/**)的意思是这个链接下的都要进入到SessionInterceptor里面去执行
            * excludePathPatterns("/login")的意思是login的url可以不用进入到SessionInterceptor中，直接
            * 放过执行。
            * 
            * 注意：如果像注释那样写是不可以的。这样等于是创建了多个Interceptor。而不是只有一个Interceptor
            * 所以这里有个大坑，搞了很久才发现问题。
            * 
            * */
            SessionInterceptor sessionInterceptor=new SessionInterceptor();
            registry.addInterceptor(sessionInterceptor).addPathPatterns("/api/**")
                    .excludePathPatterns("/login","/verify");
    //        registry.addInterceptor(sessionInterceptor).excludePathPatterns("/login");
    //        registry.addInterceptor(sessionInterceptor).excludePathPatterns("/verify");
            super.addInterceptors(registry);
        }
    }

上面的代码就是实现这个功能的。来回顾一下需求和解决方法。

需求1、在登录前不管那个链接都跳转到Login页面。从WebMvcConfigurationAdapter里面看到，除了/login和verify其他的页面都要进入到Interceptor里面。

需求2、在登录验证成功里面添加Session就好了。

需求3、在Interceptor里面我们可以看到如果有Session就会通过，如果没有就会跳转到登录页面。

总结：在登录和验证拦截方面这个方法是可以的。但是有保证安全性，还需要加入token和x-csrf-token等一系列的认证和验证条件。所以还有很多的东西需要学习，如果看完博客有不懂的地方可以留言，我如果上线看到了都会做相应的回复的。

PS：最烦那些自己解决了问题，不说出来怎么解决的。

[https_github.com_standup-jb_tortoise]: https://github.com/standup-jb/tortoise