• Springboot中登录后关于cookie和session拦截案例


    一、前言

    1、简单的登录验证可以通过Session或者Cookie实现。
    2、每次登录的时候都要进数据库校验下账户名和密码,只是加了cookie 或session验证后;比如登录页面A,登录成功后进入页面B,若此时cookie过期,在页面B中新的请求url到页面c,系统会让它回到初始的登录页面。(类似单点登录sso(single sign on))。
    3、另外,无论基于Session还是Cookie的登录验证,都需要对HandlerInteceptor进行配置,增加对URL的拦截过滤机制。

    二、利用Cookie进行登录验证

    1、配置拦截器代码如下:

    public class CookiendSessionInterceptor implements HandlerInterceptor {     
    
    @Override     
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {         
          log.debug("进入拦截器");         
          Cookie[] cookies = request.getCookies();         
          if(cookies!=null && cookies.length>0){             
                for(Cookie cookie:cookies) {                
                      log.debug("cookie===for遍历"+cookie.getName());                 
                      if (StringUtils.equalsIgnoreCase(cookie.getName(), "isLogin")) {                     
                            log.debug("有cookie ---isLogin,并且cookie还没过期...");                     
                           //遍历cookie如果找到登录状态则返回true继续执行原来请求url到controller中的方法                     
                            return true;                 
                                  }             
                            }         
                      }         
                log.debug("没有cookie-----cookie时间可能到期,重定向到登录页面后请重新登录。。。");         
                response.sendRedirect("index.html");         
                //返回false,不执行原来controller的方法         
                return false;     }     
    
      @Override     
      public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {   
         }     
      @Override   
      public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {    
          }  
    
    }
    
    

    2、在Springboot中拦截的请求不管是配置监听器(定义一个类实现一个接口HttpSessionListener )、过滤器、拦截器,都要配置如下此类实现一个接口中的两个方法。
    代码如下:

    @Configuration 
    public class WebConfig implements WebMvcConfigurer {     
    // 这个方法是用来配置静态资源的,比如html,js,css,等等     
    @Override     
    public void addResourceHandlers(ResourceHandlerRegistry registry) {   
      }    
    
     // 这个方法用来注册拦截器,我们自己写好的拦截器需要通过这里添加注册才能生效    
    @Override     
    public void addInterceptors(InterceptorRegistry registry) {         
    //addPathPatterns("/**") 表示拦截所有的请求         
    //excludePathPatterns("/firstLogin","/zhuce");设置白名单,就是拦截器不拦截。首次输入账号密码登录和注册不用拦截!       
    //登录页面在拦截器配置中配置的是排除路径,可以看到即使放行了,还是会进入prehandle,但是不会执行任何操作。         
    registry.addInterceptor(new CookiendSessionInterceptor()).addPathPatterns("/**").excludePathPatterns("/",                                      
                                                                                                         "/**/login",                                     
                                                                                                         "/**/*.html",                                     
                                                                                                         "/**/*.js",                                     
                                                                                                         "/**/*.css",                                      
                                                                                                         "/**/*.jpg");   
       } 
    
     }
    
    

    3.前台登录页面index.html(我把这个html放在静态资源了,也让拦截器放行了此路由url)
    前端测试就是一个简单的form表单提交

    <!--测试cookie和sessionid--> 
    <form action="/login" method="post">     
      账号:<input type="text" name="name1" placeholder="请输入账号"><br>     
      密码:<input type="password" name="pass1" placeholder="请输入密码"><br>     
      <input type="submit" value="登录"> 
    </form>
    

    4、后台控制层Controller业务逻辑:登录页面index.html,登录成功后 loginSuccess.html。
    在loginSuccess.html中可提交表单进入次页demo.html,也可点击“退出登录”后台清除没有超时的cookie,并且回到初始登录页面。

    @Controller 
    @Slf4j 
    @RequestMapping(value = "/") 
    public class TestCookieAndSessionController {     
    @Autowired     JdbcTemplate jdbcTemplate;     
    /**      * 首次登录,输入账号和密码,数据库验证无误后,响应返回你设置的cookie。再次输入账号密码登录或者首次登录后再请求下一个页面,就会在请求头中携带cookie,      * 前提是cookie没有过期。      * 此url请求方法不管是首次登录还是第n次登录,拦截器都不会拦截。      * 但是每次(首次或者第N次)登录都要进行,数据库查询验证账号和密码。      * 做这个目的是如果登录页面A,登录成功后进页面B,页面B有链接进页面C,如果cookie超时,重新回到登录页面A。(类似单点登录)      */     
    
    @PostMapping(value = "login")     
    public String test(HttpServletRequest request, HttpServletResponse response, @RequestParam("name1")String name,@RequestParam("pass1")String pass) throws Exception{         
      try {             
        Map<String, Object> result= jdbcTemplate.queryForMap("select * from userinfo where name=? and password=?", new Object[]{name, pass});             
          if(result==null || result.size()==0){                 
             log.debug("账号或者密码不正确或者此人账号没有注册");                 
             throw new Exception("账号或者密码不正确或者此人账号没有注册!");             
          }else{                 
             log.debug("查询满足条数----"+result);                 
             Cookie cookie = new Cookie("isLogin", "success");                 
             cookie.setMaxAge(30);                 
             cookie.setPath("/");                
             response.addCookie(cookie);                 
             request.setAttribute("isLogin", name);                 
             log.debug("首次登录,查询数据库用户名和密码无误,登录成功,设置cookie成功");                 
             return "loginSuccess";             }         
      } catch (DataAccessException e) {             
             e.printStackTrace();             
             return "error1";         
          }    
      } 
        
    /**测试登录成功后页面loginSuccess ,进入次页demo.html*/     
    @PostMapping(value = "sub")     
    public String test() throws Exception{        
      return  "demo";     
     }     
    /** 能进到此方法中,cookie一定没有过期。因为拦截器在前面已经判断力。过期,拦截器重定向到登录页面。过期退出登录,清空cookie。*/    
    @RequestMapping(value = "exit",method = RequestMethod.POST)     
    public String exit(HttpServletRequest request,HttpServletResponse response) throws Exception{         
      Cookie[] cookies = request.getCookies();         
      for(Cookie cookie:cookies){            
        if("isLogin".equalsIgnoreCase(cookie.getName())){                
          log.debug("退出登录时,cookie还没过期,清空cookie");                 
          cookie.setMaxAge(0);                 
          cookie.setValue(null);                 
          cookie.setPath("/");                
          response.addCookie(cookie);                
          break;             
           }         
         }         
      //重定向到登录页面         
       return  "redirect:index.html";     
         } 
    
    }
    

    5、效果演示:
    ①在登录“localhost:8082”输入账号登录页面登录:

    ②拦截器我设置了放行/login,所以请求直接进Controller相应的方法中:
    日志信息如下:

    下图可以看出,浏览器有些自带的不止一个cookie,这里不要管它们。

    ③在loginSuccess.html,进入次页demo.html。cookie没有过期顺利进入demo.html,并且/sub方法经过拦截器(此请求请求头中携带cookie)。
    过期的话直接回到登录页面(这里不展示了)

    ④在loginSuccess.html点击“退出登录”,后台清除我设置的没过期的cookie=isLogin,回到登录页面。


    三、利用Session进行登录验证

    1、修改拦截器配置略微修改下:

    Interceptor也略微修改下:还是上面的preHandle方法中:

    2.核心
    前端我就不展示了,就是一个form表单action="login1"
    后台代码如下:

    /**利用session进行登录验证*/    
    @RequestMapping(value = "login1",method = RequestMethod.POST)     
    public String testSession(HttpServletRequest request,
                              HttpServletResponse response,
                              @RequestParam("name1")String name,                        
                              @RequestParam("pass1")String pass) throws Exception{         
      try {            
        Map<String, Object> result= jdbcTemplate.queryForMap("select * from userinfo where name=? and password=?", new Object[]{name, pass});             
          if(result!=null && result.size()>0){                 
            String requestURI = request.getRequestURI();                 
            log.debug("此次请求的url:{}",requestURI);                 
            HttpSession session = request.getSession();                 
            log.debug("session="+session+"session.getId()="+session.getId()+"session.getMaxInactiveInterval()="+session.getMaxInactiveInterval());                 
            session.setAttribute("isLogin1", "true1");             
         }         
       } catch (DataAccessException e) {             
           e.printStackTrace();            
           return "error1";        
     }      
        return  "loginSuccess";    
      }    
    
     //登出,移除登录状态并重定向的登录页     
    @RequestMapping(value = "/exit1", method = RequestMethod.POST)     
    public String loginOut(HttpServletRequest request) {         
      request.getSession().removeAttribute("isLogin1");         
      log.debug("进入exit1方法,移除isLogin1");         
      return "redirect:index.html";     
      }
     }
    

    日志如下:可以看见springboot内置的tomcat中sessionid就是请求头中的jsessionid,而且默认时间1800秒(30分钟)。
    我也不清楚什么进入拦截器2次,因为我login1设置放行了,肯定不会进入拦截器。可能是什么静态别的什么资源吧。

    session.getId()=F88CF6850CD575DFB3560C3AA7BEC89F==下图的JSESSIONID

    //点击退出登录,请求退出url的请求头还是携带JSESSIONID,除非浏览器关掉才消失。(该session设置的属性isLogin1移除了,session在不关浏览器情况下或者超过默认时间30分钟后,session才会自动清除!)

    四、完结

    文章如有错误的地方,还请指教一下!
    我是码农小伟,谢谢小伙伴观看,给我关注点个赞,谢谢大家!

  • 相关阅读:
    向表中添加列 ALTER TABLE ADD Column_name
    向表中添加列 ALTER TABLE ADD Column_name
    C#类和结构(C# 编程指南)
    C#类和结构(C# 编程指南)
    SQL大小写转换
    SQL大小写转换
    (最新)IIS Express发布网站,实现IP,域名访问站点
    (最新)IIS Express发布网站,实现IP,域名访问站点
    IIS Express允许外部访问(外部调试)
    IIS Express允许外部访问(外部调试)
  • 原文地址:https://www.cnblogs.com/tenghw/p/13557327.html
Copyright © 2020-2023  润新知