Springboot中登录后关于cookie和session拦截问题的案例分析
作者:幸子在神奈川 发布时间:2022-09-25 19:26:44
一、前言
1、简单的登录验证可以通过Session或者Cookie实现。
2、每次登录的时候都要进数据库校验下账户名和密码,只是加了cookie 或session验证后;比如登录页面A,登录成功后进入页面B,若此时cookie过期,在页面B中新的请求url到页面c,系统会让它回到初始的登录页面。(类似单点登录sso(single sign on))。
3、另外,无论基于Session还是Cookie的登录验证,都需要对HandlerInteceptor进行配置,增加对URL的拦截过滤机制。
二、利用Cookie进行登录验证
1、配置 * 代码如下:
public class CookiendSessionInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
log.debug("进入 * ");
Cookie[] cookies = request.getCookies();
if(cookies!=null && cookies.length>0){
for(Cookie cookie:cookies) {
log.debug("cookie===for遍历"+cookie.getName());
if (StringUtils.equalsIgnoreCase(cookie.getName(), "isLogin")) {
log.debug("有cookie ---isLogin,并且cookie还没过期...");
//遍历cookie如果找到登录状态则返回true继续执行原来请求url到controller中的方法
return true;
}
}
}
log.debug("没有cookie-----cookie时间可能到期,重定向到登录页面后请重新登录。。。");
response.sendRedirect("index.html");
//返回false,不执行原来controller的方法
return false; }
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
}
}
2、在Springboot中拦截的请求不管是配置 * (定义一个类实现一个接口HttpSessionListener )、过滤器、 * ,都要配置如下此类实现一个接口中的两个方法。
代码如下:
@Configuration
public class WebConfig implements WebMvcConfigurer {
// 这个方法是用来配置静态资源的,比如html,js,css,等等
@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
}
// 这个方法用来注册 * ,我们自己写好的 * 需要通过这里添加注册才能生效
@Override
public void addInterceptors(InterceptorRegistry registry) {
//addPathPatterns("/**") 表示拦截所有的请求
//excludePathPatterns("/firstLogin","/zhuce");设置白名单,就是 * 不拦截。首次输入账号密码登录和注册不用拦截!
//登录页面在 * 配置中配置的是排除路径,可以看到即使放行了,还是会进入prehandle,但是不会执行任何操作。
registry.addInterceptor(new CookiendSessionInterceptor()).addPathPatterns("/**").excludePathPatterns("/",
"/**/login",
"/**/*.html",
"/**/*.js",
"/**/*.css",
"/**/*.jpg");
}
}
3.前台登录页面index.html(我把这个html放在静态资源了,也让 * 放行了此路由url)
前端测试就是一个简单的form表单提交
<!--测试cookie和sessionid-->
<form action="/login" method="post">
账号:<input type="text" name="name1" placeholder="请输入账号"><br>
密码:<input type="password" name="pass1" placeholder="请输入密码"><br>
<input type="submit" value="登录">
</form>
4、后台控制层Controller业务逻辑:登录页面index.html,登录成功后 loginSuccess.html。
在loginSuccess.html中可提交表单进入次页demo.html,也可点击“退出登录”后台清除没有超时的cookie,并且回到初始登录页面。
@Controller
@Slf4j
@RequestMapping(value = "/")
public class TestCookieAndSessionController {
@Autowired JdbcTemplate jdbcTemplate;
/** * 首次登录,输入账号和密码,数据库验证无误后,响应返回你设置的cookie。再次输入账号密码登录或者首次登录后再请求下一个页面,就会在请求头中携带cookie, * 前提是cookie没有过期。 * 此url请求方法不管是首次登录还是第n次登录, * 都不会拦截。 * 但是每次(首次或者第N次)登录都要进行,数据库查询验证账号和密码。 * 做这个目的是如果登录页面A,登录成功后进页面B,页面B有链接进页面C,如果cookie超时,重新回到登录页面A。(类似单点登录) */
@PostMapping(value = "login")
public String test(HttpServletRequest request, HttpServletResponse response, @RequestParam("name1")String name,@RequestParam("pass1")String pass) throws Exception{
try {
Map<String, Object> result= jdbcTemplate.queryForMap("select * from userinfo where name=? and password=?", new Object[]{name, pass});
if(result==null || result.size()==0){
log.debug("账号或者密码不正确或者此人账号没有注册");
throw new Exception("账号或者密码不正确或者此人账号没有注册!");
}else{
log.debug("查询满足条数----"+result);
Cookie cookie = new Cookie("isLogin", "success");
cookie.setMaxAge(30);
cookie.setPath("/");
response.addCookie(cookie);
request.setAttribute("isLogin", name);
log.debug("首次登录,查询数据库用户名和密码无误,登录成功,设置cookie成功");
return "loginSuccess"; }
} catch (DataAccessException e) {
e.printStackTrace();
return "error1";
}
}
/**测试登录成功后页面loginSuccess ,进入次页demo.html*/
@PostMapping(value = "sub")
public String test() throws Exception{
return "demo";
}
/** 能进到此方法中,cookie一定没有过期。因为 * 在前面已经判断力。过期, * 重定向到登录页面。过期退出登录,清空cookie。*/
@RequestMapping(value = "exit",method = RequestMethod.POST)
public String exit(HttpServletRequest request,HttpServletResponse response) throws Exception{
Cookie[] cookies = request.getCookies();
for(Cookie cookie:cookies){
if("isLogin".equalsIgnoreCase(cookie.getName())){
log.debug("退出登录时,cookie还没过期,清空cookie");
cookie.setMaxAge(0);
cookie.setValue(null);
cookie.setPath("/");
response.addCookie(cookie);
break;
}
}
//重定向到登录页面
return "redirect:index.html";
}
}
5、效果演示:
①在登录“localhost:8082”输入账号登录页面登录:
② * 我设置了放行/login,所以请求直接进Controller相应的方法中:
日志信息如下:
下图可以看出,浏览器有些自带的不止一个cookie,这里不要管它们。
③在loginSuccess.html,进入次页demo.html。cookie没有过期顺利进入demo.html,并且/sub方法经过 * (此请求请求头中携带cookie)。
过期的话直接回到登录页面(这里不展示了)
④在loginSuccess.html点击“退出登录”,后台清除我设置的没过期的cookie=isLogin,回到登录页面。
三、利用Session进行登录验证
1、修改 * 配置略微修改下:
Interceptor也略微修改下:还是上面的preHandle方法中:
2.核心
前端我就不展示了,就是一个form表单action="login1"
后台代码如下:
/**利用session进行登录验证*/
@RequestMapping(value = "login1",method = RequestMethod.POST)
public String testSession(HttpServletRequest request,
HttpServletResponse response,
@RequestParam("name1")String name,
@RequestParam("pass1")String pass) throws Exception{
try {
Map<String, Object> result= jdbcTemplate.queryForMap("select * from userinfo where name=? and password=?", new Object[]{name, pass});
if(result!=null && result.size()>0){
String requestURI = request.getRequestURI();
log.debug("此次请求的url:{}",requestURI);
HttpSession session = request.getSession();
log.debug("session="+session+"session.getId()="+session.getId()+"session.getMaxInactiveInterval()="+session.getMaxInactiveInterval());
session.setAttribute("isLogin1", "true1");
}
} catch (DataAccessException e) {
e.printStackTrace();
return "error1";
}
return "loginSuccess";
}
//登出,移除登录状态并重定向的登录页
@RequestMapping(value = "/exit1", method = RequestMethod.POST)
public String loginOut(HttpServletRequest request) {
request.getSession().removeAttribute("isLogin1");
log.debug("进入exit1方法,移除isLogin1");
return "redirect:index.html";
}
}
日志如下:可以看见springboot内置的tomcat中sessionid就是请求头中的jsessionid,而且默认时间1800秒(30分钟)。
我也不清楚什么进入 * 2次,因为我login1设置放行了,肯定不会进入 * 。可能是什么静态别的什么资源吧。
session.getId()=F88CF6850CD575DFB3560C3AA7BEC89F==下图的JSESSIONID
//点击退出登录,请求退出url的请求头还是携带JSESSIONID,除非浏览器关掉才消失。(该session设置的属性isLogin1移除了,session在不关浏览器情况下或者超过默认时间30分钟后,session才会自动清除!)
四、完结
来源:https://www.cnblogs.com/tenghw/p/13557327.html
猜你喜欢
- Unity Shader学习:裁切效果,供大家参考,具体内容如下之前看到有人问关于物体裁切方面的问题,初学shader的话可能搞得不是很明白
- 前言当系统的并发比较高的时候,日志的处理输出也是一种性能的开销负担,所以,选择一个中间件来处理消费日志必不可少!下面是spring boot
- Java实现并发的几种方法Java程序默认以单线程方式运行。synchronizedJava 用过synchronized 关键字来保证一次
- 本来就是基础知识,不能丢的太干净,今天竟然花了那么长的时间才写出来,记一下。有如下的一颗完全二叉树:先序遍历结果应该为:1 2&
- The error simply says, “you've made changes in files in your works
- 1、 定义头和根元素部署描述符文件就像所有XML文件一样,必须以一个XML头开始。这个头声明可以使用的XML版本并给出文件的字符编码。DOC
- 我们有时用C#需要实现锁住文件的功能,该如何锁住文件呢?下面小编给大家介绍一下。首先大家需要到码云里面找到如下图所示的文件锁的项目,如下图所
- 本文将带领大家使用基于JAX-RS REST风格的实现Jersey来上传文件到服务器制定的文件夹,如果是图片并读取显示出该图片。准备工作:准
- 要求环境信息:WIN2008SERVER 开发工具:VS2015 开发语言:C#要求: 1.点击同步数据后接口获取数
- 今天给大家提供一个由今天给大家提供一个由Java swing实现的酒店管理系统,数据库采用sqlserver,我会贴上部分代码,完整的代码请
- java 中模式匹配算法-KMP算法实例详解朴素模式匹配算法的最大问题就是太低效了。于是三位前辈发表了一种KMP算法,其中三个字母分别是这三
- 实现步骤:工具:IDEA数据库版本:mysql5.7一、环境搭建1.创建springboot项目pom.xml2.pom.xml : spr
- 定义最短路问题的定义为:下图左侧是一幅带权有向图,以顶点 0 为起点到各个顶点的最短路径形成的最短路径树如下图右侧所示:带权有向图的实现在实
- 前言看 WMS 代码的时候看到了 Handler.runWithScissors 方法,所以来恶补一下public static Windo
- Java 静态绑定与动态绑定 最
- 客户端代码using System;using System.Collections.Generic;using System.Compon
- 前言: 由于前段时间,项目组长分配的任务是要完成一个在线编写SQL并要实现查询功能的需求,最终需要将查询到的数据以JSON格式显示到响应数据
- 用类加载器的5中形式读取.properties文件(这个.properties文件一般放在src的下面)用类加载器进行读取:这里采取先向大家
- 目录一、前言二、正文2.1 注解2.1.1 注解1:@Target({ElementType.TYPE})2.1.2 注解2:@Retent
- list stream: reduce的使用stream 中的 reduce 的主要作用就是stream中元素进行组合,组合的方式可以是加减