拦截器是Spring MVC框架提供的一种强大的机制,用于在请求到达控制器之前或之后进行预处理和后处理。它可以拦截并处理请求,对请求进行必要的修改或验证,以及在请求返回给客户端之前进行额外的操作。拦截器可以帮助我们实现各种需求,如身份验证、日志记录、性能监控等。
在本篇博文中,我们将深入研究拦截器的概念、工作原理和使用方法。我们将学习如何创建和配置拦截器,以及如何将其应用于Spring MVC应用程序中。最后,我们还将探讨一些实际应用场景,并给出一些拦截器的最佳实践。
org.springframework
spring-webmvc
5.3.23
org.projectlombok
lombok
1.18.30
ch.qos.logback
logback-classic
1.4.5
dispatcher
org.springframework.web.servlet.DispatcherServlet
1
dispatcher
/
用于配置 Servlet 的映射和加载。在 Spring MVC 中,它用于配置 DispatcherServlet 的初始化和请求映射。
具体来说,这段配置的作用如下:
- 定义了一个名为 "dispatcher" 的 Servlet,并指定了 org.springframework.web.servlet.DispatcherServlet 作为其处理类。
- 设置了 load-on-startup 属性为 1,表示在应用启动时就加载该 Servlet。
- 使用
元素将 "dispatcher" Servlet 映射到所有的请求路径上(即 / ),意味着所有的请求都会经过该 Servlet 进行处理。这段配置的作用是将所有的请求交给 DispatcherServlet 处理,并让它成为应用的核心控制器。DispatcherServlet 将根据请求的 URL 和其他配置信息,将请求分发给相应的处理器方法进行处理,然后返回响应结果。
@Data
public class User {
private String userName;
private String password;
}
public interface LoginService {
/**
* 登录认证
* @param userName
* @param password
* @return
*/
User auth(String userName,String password);
}
@Service
public class LoginServiceImpl implements LoginService {
@Override
public User auth(String userName, String password) {
if ("qiu".equals(userName) && "123".equals(password)){
User user = new User();
user.setUserName(userName);
user.setPassword(password);
return user;
}
throw new RuntimeException("账号密码错误");
}
}
在业务类这里做一个简单的业务处理,判断输出的账号密码是否正确,然后抛出一个账号或密码错误的异常。
首页
home page
用于登录跳转的页面。
@RestController
@RequiredArgsConstructor
public class UserController {
private final LoginService service;
@PostMapping("/auth")
public ResultVO login(String userName, String password, HttpSession session){
User auth = service.auth(userName, password);
session.setAttribute("user",auth);
return new ResultVO();
}
}
该类中定义了一个名为UserController的控制器类,它只包含一个成员变量service和一个方法login。成员变量service是一个LoginService类型的对象,它通过构造函数注入到UserController中。方法login用于处理POST请求,并将用户名、密码和会话信息作为参数传入。在方法中,它调用service对象的auth方法进行登录验证,并将验证结果保存到会话中。最后,它返回一个ResultVO对象,这个对象可以被转换成JSON格式的数据并返回给客户端。
用户登录
用户登录
该页面包含一个表单,用户需要输入账号和密码进行登录。表单中的数据通过serialize()方法序列化为字符串,并在点击登录按钮时发送到服务器。
在脚本部分,使用jQuery的(function())方法来确保页面加载完成后再执行代码。当用户点击登录按钮时,使用(function())方法来确保页面加载完成后再执行代码。当用户点击登录按钮时,使用.ajax()方法发送POST请求到服务器的'../auth'路径,并将表单数据作为请求参数。成功回调函数中判断返回结果的状态码是否为200,如果是,则跳转到'index.html'页面;错误回调函数中显示错误信息。
总体来说,这段代码实现了一个简单的用户登录功能,通过使用jQuery库简化了AJAX请求的编写过程,并在成功或失败时给予用户相应的提示。
/**
* @Date 2023-10-27
* @Author qiu
* 认证拦截器
* 拦截所有的请求,如果未登录则返回 401(未登录,未认证) 状态码
*/
@Slf4j
public class AuthInterceptor implements HandlerInterceptor {
/**
* 在调用 controller 的请求方法之前执行
* 如果此方法返回 false ,则请求不会继续往下执行
* @param request
* @param response
* @param handler
* @return
* @throws Exception
*/
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
log.info("执行 preHandle 方法");
HttpSession session = request.getSession();
// 如果 session 为 null 表示用户未登录
if ( session.getAttribute("user") == null ){
ResultVO resultVO = new ResultVO();
// 设置 401 状态码
resultVO.setCode(HttpStatus.UNAUTHORIZED.value());
resultVO.setMessage("未登录,请登录!");
response.setContentType("application/json;charset=utf-8");
String json = new ObjectMapper().writeValueAsString(resultVO);
response.getWriter().println(json);
return false;
}
return true;
}
/**
* 在调用 controller 方法之后,返回之前执行
* @param request
* @param response
* @param handler
* @param modelAndView
* @throws Exception
*/
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
log.info("执行 postHandle 方法");
}
/**
* 调用 controller 方法并返回之后执行
* (注意:只有在 preHandle 返回 TRUE ,才会执行)
* @param request
* @param response
* @param handler
* @param ex
* @throws Exception
*/
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
log.info("执行 afterCompletion 方法");
}
}
这段代码是一个认证拦截器的实现示例。拦截器是Spring MVC框架提供的一种机制,用于在请求到达控制器之前或之后进行预处理和后处理操作。
这个认证拦截器的作用是拦截所有的请求,在调用控制器方法之前进行认证操作。具体功能如下:
preHandle方法:
- 在调用控制器方法之前执行。
- 首先获取请求的session对象。
- 如果session中未存储用户信息(即用户未登录),则返回401状态码,并返回未登录提示信息。
- 通过设置response的内容类型为application/json;charset=utf-8,将结果以JSON格式返回给客户端。
- 如果preHandle方法返回false,则请求不会继续往下执行,即不会调用控制器方法;如果返回true,则请求会继续执行。
postHandle方法:
- 在调用控制器方法之后,返回之前执行。
- 这个方法可以对请求的结果进行一些处理,比如修改ModelAndView对象的数据等。
afterCompletion方法:
- 在调用控制器方法并返回之后执行。
- 注意,该方法只有在preHandle方法返回true的情况下才会执行。
- 可以进行一些清理工作,比如释放资源等。
这个认证拦截器的主要作用是在请求到达控制器之前检查用户是否已登录,如果未登录,则返回401状态码。使用拦截器可以很方便地实现对请求的统一认证、授权等处理,提高应用程序的安全性和可维护性。
这段代码是一个Spring MVC配置文件,用于配置Spring MVC框架的相关组件和拦截器。
具体功能如下:
component-scan:
- 配置组件扫描的基础包路径,使得Spring能够自动扫描并装配标有注解的组件(比如控制器、服务等)。
mvc:annotation-driven:
- 启用Spring MVC的注解驱动,使得控制器类中的注解生效,如@RequestMapping、@ResponseBody等。
mvc:default-servlet-handler:
- 配置静态资源的处理,默认的Servlet将会处理静态资源请求,如.css、.js、.jpg等文件。
InternalResourceViewResolver:
- 配置内部资源视图解析器,用于将逻辑视图名解析为实际的物理视图地址。
- 设置了视图前缀和后缀,例如将逻辑视图名"index"解析为"/WEB-INF/jsp/index.jsp"。
mvc:interceptors:
- 配置拦截器。
- 在这个示例中,定义了一个具体的拦截器AuthInterceptor,并设置了哪些请求会经过该拦截器。
- 使用mvc:mapping配置需要拦截的请求路径,使用mvc:exclude-mapping配置不需要拦截的请求路径。
- 这里的配置表示除了/static/login.html、/auth和/static/js/**这些路径外,其他所有请求都会经过AuthInterceptor拦截器。
通过这个配置文件,你可以实现以下功能:
- 启用Spring MVC框架的注解驱动,使得控制器类中的注解生效。
- 配置静态资源的处理,让默认的Servlet处理静态资源请求。
- 配置内部资源视图解析器,将逻辑视图名解析为实际的物理视图地址。
- 配置拦截器,对请求进行拦截并进行相应的处理,比如认证、授权、日志记录等。
总之,这段配置文件用于配置Spring MVC框架的相关组件和拦截器,以便实现Web应用程序的功能和需求。
在未登录的时候,我们是不能进到 index.html 页面的,因为我们的拦截器对它进行了拦截,只能登录了才能进去。
我们登录之后就可以跳转到首页了吧。
使用拦截器的好处包括:
统一处理:可以在拦截器中统一处理一些公共业务逻辑,比如权限校验、日志记录等,避免重复代码的出现。
粒度控制:可以根据具体的业务场景,选择拦截器拦截请求,实现粒度控制,从而更好地满足业务需求。
解耦合:通过拦截器可以将多个模块的功能解耦合,降低各组件之间的耦合度,提高代码可维护性和可扩展性。
提高安全性:通过拦截器可以对请求进行安全控制,比如防止SQL注入、XSS攻击等,提高Web应用系统的安全性。
性能优化:通过拦截器可以对请求进行缓存、预处理等操作,以提高Web应用系统的性能。
总之,使用拦截器可以帮助我们更好地管理请求,增强代码的可维护性和可读性,提高Web应用系统的安全性和性能。
地址:ch10 · qiuqiu/SpringMVC - 码云 - 开源中国 (gitee.com)