一、前言
1、簡單的登入驗證可以通過Session或者Cookie實現。
2、每次登入的時候都要進資料庫校驗下賬戶名和密碼,只是加了cookie 或session驗證後;比如登入頁面A,登入成功後進入頁面B,若此時cookie過期,在頁面B中新的請求url到頁面c,系統會讓它回到初始的登入頁面。(類似單點登入sso(single sign on))。
3、另外,無論基於Session還是Cookie的登入驗證,都需要對HandlerInteceptor進行配置,增加對URL的攔截過濾機制。
二、利用Cookie進行登入驗證
1、配置攔截器程式碼如下:
public class CookiendSessionInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
log.debug("進入攔截器");
Cookie[] cookies = request.getCookies();
if(cookies!=null && cookies.length>0){
for(Cookie cookie:cookies) {
log.debug("cookie===for遍歷"+cookie.getName());
if (StringUtils.equalsIgnoreCase(cookie.getName(), "isLogin")) {
log.debug("有cookie ---isLogin,並且cookie還沒過期...");
//遍歷cookie如果找到登入狀態則返回true繼續執行原來請求url到controller中的方法
return true;
}
}
}
log.debug("沒有cookie-----cookie時間可能到期,重定向到登入頁面後請重新登入。。。");
response.sendRedirect("index.html");
//返回false,不執行原來controller的方法
return false; }
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
}
}
2、在Springboot中攔截的請求不管是配置監聽器(定義一個類實現一個介面HttpSessionListener )、過濾器、攔截器,都要配置如下此類實現一個介面中的兩個方法。
程式碼如下:
@Configuration
public class WebConfig implements WebMvcConfigurer {
// 這個方法是用來配置靜態資源的,比如html,js,css,等等
@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
}
// 這個方法用來註冊攔截器,我們自己寫好的攔截器需要通過這裡新增註冊才能生效
@Override
public void addInterceptors(InterceptorRegistry registry) {
//addPathPatterns("/**") 表示攔截所有的請求
//excludePathPatterns("/firstLogin","/zhuce");設定白名單,就是攔截器不攔截。首次輸入賬號密碼登入和註冊不用攔截!
//登入頁面在攔截器配置中配置的是排除路徑,可以看到即使放行了,還是會進入prehandle,但是不會執行任何操作。
registry.addInterceptor(new CookiendSessionInterceptor()).addPathPatterns("/**").excludePathPatterns("/",
"/**/login",
"/**/*.html",
"/**/*.js",
"/**/*.css",
"/**/*.jpg");
}
}
3.前臺登入頁面index.html(我把這個html放在靜態資源了,也讓攔截器放行了此路由url)
前端測試就是一個簡單的form表單提交
<!--測試cookie和sessionid-->
<form action="/login" method="post">
賬號:<input type="text" name="name1" placeholder="請輸入賬號"><br>
密碼:<input type="password" name="pass1" placeholder="請輸入密碼"><br>
<input type="submit" value="登入">
</form>
4、後臺控制層Controller業務邏輯:登入頁面index.html,登入成功後 loginSuccess.html。
在loginSuccess.html中可提交表單進入次頁demo.html,也可點選“退出登入”後臺清除沒有超時的cookie,並且回到初始登入頁面。
@Controller
@Slf4j
@RequestMapping(value = "/")
public class TestCookieAndSessionController {
@Autowired JdbcTemplate jdbcTemplate;
/** * 首次登入,輸入賬號和密碼,資料庫驗證無誤後,響應返回你設定的cookie。再次輸入賬號密碼登入或者首次登入後再請求下一個頁面,就會在請求頭中攜帶cookie, * 前提是cookie沒有過期。 * 此url請求方法不管是首次登入還是第n次登入,攔截器都不會攔截。 * 但是每次(首次或者第N次)登入都要進行,資料庫查詢驗證賬號和密碼。 * 做這個目的是如果登入頁面A,登入成功後進頁面B,頁面B有連結進頁面C,如果cookie超時,重新回到登入頁面A。(類似單點登入) */
@PostMapping(value = "login")
public String test(HttpServletRequest request, HttpServletResponse response, @RequestParam("name1")String name,@RequestParam("pass1")String pass) throws Exception{
try {
Map<String, Object> result= jdbcTemplate.queryForMap("select * from userinfo where name=? and password=?", new Object[]{name, pass});
if(result==null || result.size()==0){
log.debug("賬號或者密碼不正確或者此人賬號沒有註冊");
throw new Exception("賬號或者密碼不正確或者此人賬號沒有註冊!");
}else{
log.debug("查詢滿足條數----"+result);
Cookie cookie = new Cookie("isLogin", "success");
cookie.setMaxAge(30);
cookie.setPath("/");
response.addCookie(cookie);
request.setAttribute("isLogin", name);
log.debug("首次登入,查詢資料庫使用者名稱和密碼無誤,登入成功,設定cookie成功");
return "loginSuccess"; }
} catch (DataAccessException e) {
e.printStackTrace();
return "error1";
}
}
/**測試登入成功後頁面loginSuccess ,進入次頁demo.html*/
@PostMapping(value = "sub")
public String test() throws Exception{
return "demo";
}
/** 能進到此方法中,cookie一定沒有過期。因為攔截器在前面已經判斷力。過期,攔截器重定向到登入頁面。過期退出登入,清空cookie。*/
@RequestMapping(value = "exit",method = RequestMethod.POST)
public String exit(HttpServletRequest request,HttpServletResponse response) throws Exception{
Cookie[] cookies = request.getCookies();
for(Cookie cookie:cookies){
if("isLogin".equalsIgnoreCase(cookie.getName())){
log.debug("退出登入時,cookie還沒過期,清空cookie");
cookie.setMaxAge(0);
cookie.setValue(null);
cookie.setPath("/");
response.addCookie(cookie);
break;
}
}
//重定向到登入頁面
return "redirect:index.html";
}
}
5、效果演示:
①在登入“localhost:8082”輸入賬號登入頁面登入:
②攔截器我設定了放行/login,所以請求直接進Controller相應的方法中:
日誌資訊如下:
下圖可以看出,瀏覽器有些自帶的不止一個cookie,這裡不要管它們。
③在loginSuccess.html,進入次頁demo.html。cookie沒有過期順利進入demo.html,並且/sub方法經過攔截器(此請求請求頭中攜帶cookie)。
過期的話直接回到登入頁面(這裡不展示了)
④在loginSuccess.html點選“退出登入”,後臺清除我設定的沒過期的cookie=isLogin,回到登入頁面。
三、利用Session進行登入驗證
1、修改攔截器配置略微修改下:
Interceptor也略微修改下:還是上面的preHandle方法中:
2.核心
前端我就不展示了,就是一個form表單action="login1"
後臺程式碼如下:
/**利用session進行登入驗證*/
@RequestMapping(value = "login1",method = RequestMethod.POST)
public String testSession(HttpServletRequest request,
HttpServletResponse response,
@RequestParam("name1")String name,
@RequestParam("pass1")String pass) throws Exception{
try {
Map<String, Object> result= jdbcTemplate.queryForMap("select * from userinfo where name=? and password=?", new Object[]{name, pass});
if(result!=null && result.size()>0){
String requestURI = request.getRequestURI();
log.debug("此次請求的url:{}",requestURI);
HttpSession session = request.getSession();
log.debug("session="+session+"session.getId()="+session.getId()+"session.getMaxInactiveInterval()="+session.getMaxInactiveInterval());
session.setAttribute("isLogin1", "true1");
}
} catch (DataAccessException e) {
e.printStackTrace();
return "error1";
}
return "loginSuccess";
}
//登出,移除登入狀態並重定向的登入頁
@RequestMapping(value = "/exit1", method = RequestMethod.POST)
public String loginOut(HttpServletRequest request) {
request.getSession().removeAttribute("isLogin1");
log.debug("進入exit1方法,移除isLogin1");
return "redirect:index.html";
}
}
日誌如下:可以看見springboot內建的tomcat中sessionid就是請求頭中的jsessionid,而且預設時間1800秒(30分鐘)。
我也不清楚什麼進入攔截器2次,因為我login1設定放行了,肯定不會進入攔截器。可能是什麼靜態別的什麼資源吧。
session.getId()=F88CF6850CD575DFB3560C3AA7BEC89F==下圖的JSESSIONID
//點選退出登入,請求退出url的請求頭還是攜帶JSESSIONID,除非瀏覽器關掉才消失。(該session設定的屬性isLogin1移除了,session在不關瀏覽器情況下或者超過預設時間30分鐘後,session才會自動清除!)
四、完結
文章如有錯誤的地方,還請指教一下!
我是碼農小偉,謝謝小夥伴觀看,給我關注點個贊,謝謝大家!
