本文将详细探讨如何通过拦截器实现登录校验,并介绍如何通过异常处理来确保系统的鲁棒性。我们将通过具体的示例,深入分析如何在Spring框架中配置拦截器与异常处理,以便为开发者提供一套高效、安全的登录校验和异常管理方案。
前言
本文将详细探讨如何通过拦截器实现登录校验,并介绍如何通过异常处理来确保系统的鲁棒性。我们将通过具体的示例,深入分析如何在Spring框架中配置拦截器与异常处理,以便为开发者提供一套高效、安全的登录校验和异常管理方案。
拦截器Interceptor
快速入门
拦截器(Interceptor)是一种用于动态拦截方法调用的机制,类似于过滤器。它主要用于在特定的业务逻辑执行前后,执行一些预先设定的操作。拦截器在Spring框架中广泛应用,特别是Spring MVC中,用来拦截HTTP请求,执行一些全局性的处理,比如权限验证、日志记录、性能监控等。
拦截器的作用
拦截器主要用于对控制器方法的执行进行拦截,并在请求处理过程中的不同阶段(如方法执行前后)执行一些操作。常见的应用场景包括:
- 权限验证:在请求到达控制器前,检查请求是否包含有效的身份认证信息(如JWT令牌、session等)。
- 日志记录:记录请求的详细信息,例如请求路径、请求参数、响应时间等。
- 性能监控:统计请求处理的时间,监控系统性能。
- 请求修改:在控制器执行前修改请求内容或参数,或者在返回响应后修改响应内容。
拦截器的使用步骤
拦截器的使用通常包括两大步骤:定义拦截器和注册拦截器。
- 定义拦截器
拦截器需要实现
HandlerInterceptor
接口,并重写它的三个方法:
preHandle(HttpServletRequest request, HttpServletResponse response, Object handler):该方法在请求处理之前调用,返回true表示继续执行,false表示请求被拦截,后续处理将不会执行。postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView):该方法在请求处理之后,但在视图渲染之前调用,常用于修改ModelAndView。afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex):该方法在整个请求处理完成后调用,适用于进行资源清理或记录请求处理的后续信息。
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class LoginInterceptor implements HandlerInterceptor {
// 请求处理之前调用,返回true表示继续执行,false表示拦截请求
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String token = request.getHeader("Authorization");
if (token == null || !isValidToken(token)) {
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); // 设置401未授权
response.getWriter().write("Unauthorized access");
return false; // 拦截请求
}
return true; // 放行请求
}
// 请求处理之后,视图渲染之前调用
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
// 可以在这里处理日志记录、修改视图数据等
}
// 请求完成后,清理工作
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
// 清理资源、记录请求处理日志等
}
private boolean isValidToken(String token) {
// 验证token的合法性
return "valid-token".equals(token); // 这里使用简单的示例验证
}
}
注意:
preHandle方法:目标资源方法执行前执行。 返回true:放行 返回false:不放行
postHandle方法:目标资源方法执行后执行
afterCompletion方法:视图渲染完毕后执行,最后执行
注册配置拦截器:实现WebMvcConfigurer接口,并重写addInterceptors方法
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 注册拦截器
registry.addInterceptor(new LoginInterceptor())
.addPathPatterns("/**") // 拦截所有请求
.excludePathPatterns("/login", "/register"); // 排除登录和注册请求
}
}
将拦截器中返回值改为false
使用postman,再次点击send发送请求后,没有响应数据,说明请求被拦截了没有放行。
Interceptor详解
拦截器的使用细节我们主要介绍两个部分:
- 拦截器的拦截路径配置
- 拦截器的执行流程
拦截路径
首先我们先来看拦截器的拦截路径的配置,在注册配置拦截器的时候,我们要指定拦截器的拦截路径,通过 addPathPatterns("要拦截路径") 方法,就可以指定要拦截哪些资源。
在入门程序中我们配置的是 /** ,表示拦截所有资源,而在配置拦截器时,不仅可以指定要拦截哪些资源,还可以指定不拦截哪些资源,只需要调用 excludePathPatterns("不拦截路径") 方法,指定哪些资源不需要拦截。
@Configuration
public class WebConfig implements WebMvcConfigurer {
//拦截器对象
@Autowired
private LoginCheckInterceptor loginCheckInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
//注册自定义拦截器对象
registry.addInterceptor(loginCheckInterceptor)
.addPathPatterns("/**")//设置拦截器拦截的请求路径( /**
表示拦截所有请求)
.excludePathPatterns("/login");//设置不拦截的请求路径
}
}
在拦截器中除了可以设置 /** 拦截所有资源外,还有一些常见拦截路径设置:
拦截路径含义举例/* 一级路径能匹配/depts,/emps,/login,不能匹配
/depts/1/任意级路径 能匹配/depts,/depts/1,/depts/1/2/depts/*/depts下的一级路
径能匹配/depts/1,不能匹配/depts/1/2,/depts/depts//depts下的任意级
路径能匹配/depts,/depts/1,/depts/1/2,不能匹
配/emps/1
下面主要来演示下 /** 与 /* 的区别:
@Configuration
public class WebConfig implements WebMvcConfigurer {
//拦截器对象
@Autowired
private LoginCheckInterceptor loginCheckInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
//注册自定义拦截器对象
registry.addInterceptor(loginCheckInterceptor)
.addPathPatterns("/*")
.excludePathPatterns("/login");//设置不拦截的请求路径
}
}
控制台没有输出拦截器中的日志信息,说明 /* 没有匹配到拦截路径 /emp/1 。
执行流程
介绍完拦截路径的配置之后,接下来我们再来介绍拦截器的执行流程。通过执行流程,大家就能够清晰的知道过滤器与拦截器的执行时机。
当我们通过浏览器访问部署在Web服务器上的Web应用时,请求会首先经过一系列的处理链。特别是在Spring Boot中,我们定义的过滤器(Filter)会拦截到该请求。过滤器在处理请求时,首先会执行一些前置逻辑,然后再决定是否放行请求。由于我们是在Spring Boot环境下开发的,放行请求后,Spring的DispatcherServlet会接管该请求,进入到Spring的处理流程。
关键概念:
- DispatcherServlet:这是Spring MVC中的核心Servlet(前端控制器)。所有的HTTP请求都会首先进入DispatcherServlet,由它将请求分发给具体的Controller进行处理。DispatcherServlet是Spring MVC请求处理的中心,它负责解析请求并将其传递给相应的Controller。
- 拦截器:Spring中的拦截器(
HandlerInterceptor)是一种类似于过滤器的机制,但它专门用于拦截Spring MVC的请求,位于Controller执行之前和之后。拦截器的作用是在请求到达Controller之前执行一些操作,比如身份验证、日志记录等,或者在Controller处理请求后进行后续处理,比如修改响应数据或记录请求处理结果。处理流程:
- 请求到达Web服务器: 用户在浏览器中输入URL,浏览器发起请求到达Web服务器(如Tomcat)。
- 过滤器拦截请求: Web服务器接收到请求后,会先将其传递给我们定义的过滤器。过滤器会执行一些前置处理逻辑,比如检查是否有有效的授权信息。如果请求不符合条件,过滤器可能会拦截并返回响应;如果符合条件,则放行请求。
- DispatcherServlet接管请求: 如果过滤器放行请求,请求会继续向Spring的
DispatcherServlet发送。DispatcherServlet作为前端控制器,负责接收请求并将其分发给相应的Controller进行处理。- 拦截器拦截请求: 在请求被
DispatcherServlet分发给Controller之前,我们定义的拦截器会先执行。拦截器的preHandle()方法会被调用,用来执行一些前置操作,比如权限验证等。如果preHandle()返回false,请求会被拦截,后续的Controller方法不会执行;如果返回true,请求将继续传递到Controller。- Controller执行: 请求通过拦截器后,进入到Controller的方法进行处理。Controller根据请求的参数进行相应的业务处理,并生成响应数据。
- 拦截器执行后置逻辑: Controller执行完毕后,拦截器的
postHandle()方法会被调用。在这个阶段,可以对Controller的返回结果进行修改或增强操作。- 完成请求处理: 最后,拦截器的
afterCompletion()方法会被执行。这个方法通常用于处理一些清理工作,比如释放资源、记录日志等。- 返回响应: 请求处理完毕后,最终的响应会通过
DispatcherServlet返回给浏览器,用户在浏览器中看到响应结果。
演示下过滤器和拦截器同时存在的执行流程:
@Component
public class LoginCheckInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
System.out.println("preHandle .... ");
return true; //true表示放行
}
@Override
public void postHandle(HttpServletRequest request,
HttpServletResponse response, Object handler, ModelAndView
modelAndView) throws Exception {
System.out.println("postHandle ... ");
}
@Override
public void afterCompletion(HttpServletRequest request,
HttpServletResponse response, Object handler, Exception ex) throws
Exception {
System.out.println("afterCompletion .... ");
}
}
@Configuration
public class WebConfig implements WebMvcConfigurer {
//拦截器对象
@Autowired
private LoginCheckInterceptor loginCheckInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
//注册自定义拦截器对象
registry.addInterceptor(loginCheckInterceptor)
.addPathPatterns("/**")//拦截所有请求
.excludePathPatterns("/login");//不拦截登录请求
}
}
开启DemoFilter过滤器
@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter {
@Override
public void doFilter(ServletRequest servletRequest,
ServletResponse servletResponse, FilterChain filterChain) throws
IOException, ServletException {
System.out.println("DemoFilter 放行前逻辑.....");
//放行请求
filterChain.doFilter(servletRequest,servletResponse);
System.out.println("DemoFilter 放行后逻辑.....");
}
}
以上就是拦截器的执行流程。通过执行流程分析,大家应该已经清楚了过滤器和拦截器之间的区别,其实它们之间的区别主要是两点:
- 接口规范不同:过滤器需要实现Filter接口,而拦截器需要实现HandlerInterceptor接口。
- 拦截范围不同:过滤器Filter会拦截所有的资源,而Interceptor只会拦截Spring环境中的资源。
登录校验- Interceptor
登录校验拦截器
//自定义拦截器
@Component //当前拦截器对象由Spring创建和管理
@Slf4j
public class LoginCheckInterceptor implements HandlerInterceptor {
//前置方式
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
System.out.println("preHandle .... ");
//1.获取请求url
//2.判断请求url中是否包含login,如果包含,说明是登录操作,放行
//3.获取请求头中的令牌(token)
String token = request.getHeader("token");
log.info("从请求头中获取的令牌:{}",token);
//4.判断令牌是否存在,如果不存在,返回错误结果(未登录)
if(!StringUtils.hasLength(token)){
log.info("Token不存在");
//创建响应结果对象
Result responseResult = Result.error("NOT_LOGIN");
//把Result对象转换为JSON格式字符串 (fastjson是阿里巴巴提供的
用于实现对象和json的转换工具类)
String json = JSONObject.toJSONString(responseResult);
//设置响应头(告知浏览器:响应的数据类型为json、响应的数据编码
表为utf-8)
response.setContentType("application/json;charset=utf-
8");
//响应
response.getWriter().write(json);
return false;//不放行
}
//5.解析token,如果解析失败,返回错误结果(未登录)
try {
JwtUtils.parseJWT(token);
}catch (Exception e){
log.info("令牌解析失败!");
//创建响应结果对象
Result responseResult = Result.error("NOT_LOGIN");
//把Result对象转换为JSON格式字符串 (fastjson是阿里巴巴提供的
用于实现对象和json的转换工具类)
String json = JSONObject.toJSONString(responseResult);
//设置响应头
response.setContentType("application/json;charset=utf-
8");
//响应
response.getWriter().write(json);
return false;
}
//6.放行
return true;
}
}
注册配置拦截器
@Configuration
public class WebConfig implements WebMvcConfigurer {
//拦截器对象
@Autowired
private LoginCheckInterceptor loginCheckInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
//注册自定义拦截器对象
registry.addInterceptor(loginCheckInterceptor)
.addPathPatterns("/**")
.excludePathPatterns("/login");
}
}
异常处理
当前问题
我们打开浏览器,访问系统中的新增部门操作,系统中已经有了 "就业部" 这个部门,我们再来增加一个就业部,看看会发生什么现象。
点击确定之后,窗口关闭了,页面没有任何反应,就业部也没有添加上。 而此时,大家会发现,网络请求报错了。
上述错误信息的含义是,dept部门表的name字段的值 就业部 重复了,因为在数据库表dept中已经有了就业部,我们之前设计这张表时,为name字段建议了唯一约束,所以该字段的值是不能重复的。而当我们再添加就业部,这个部门时,就违反了唯一约束,此时就会报错。
响应回来的数据是一个JSON格式的数据。但这种JSON格式的数据还是我们开发规范当中所提到的统一响应结果Result吗?显然并不是。由于返回的数据不符合开发规范,所以前端并不能解析出响应的JSON数据。
接下来我们需要思考的是出现异常之后,当前案例项目的异常是怎么处理的?
答案:没有做任何的异常处理
- Mapper接口在操作数据库的时候出错了,此时异常会往上抛(谁调用Mapper就抛给谁),会抛给service。
- service 中也存在异常了,会抛给controller。
- 而在controller当中,我们也没有做任何的异常处理,所以最终异常会再往上抛。最终抛给框架之后,框架就会返回一个JSON格式的数据,里面封装的就是错误的信息,但是框架返回的JSON格式的数据并不符合我们的开发规范。
解决方案
那么在三层构架项目中,出现了异常,该如何处理?
方案一:在所有Controller的所有方法中进行try…catch处理
缺点:代码臃肿(不推荐)
方案二:全局异常处理器
好处:简单、优雅(推荐)
全局异常处理器
- 定义全局异常处理器非常简单,就是定义一个类,在类上加上一个注解@RestControllerAdvice,加上这个注解就代表我们定义了一个全局异常处理器。
- 在全局异常处理器当中,需要定义一个方法来捕获异常,在这个方法上需要加上注解@ExceptionHandler。通过@ExceptionHandler注解当中的value属性来指定我们要捕获的是哪一类型的异常。
@RestControllerAdvice
public class GlobalExceptionHandler {
//处理异常
@ExceptionHandler(Exception.class) //指定能够处理的异常类型
public Result ex(Exception e){
e.printStackTrace();//打印堆栈中的异常信息
//捕获到异常之后,响应一个标准的Result
return Result.error("对不起,操作失败,请联系管理员");
}
}
@RestControllerAdvice = @ControllerAdvice + @ResponseBody
处理异常的方法返回值会转换为json后再响应给前端
此时,我们可以看到,出现异常之后,异常已经被全局异常处理器捕获了。然后返回的错误信息,被前端程序正常解析,然后提示出了对应的错误提示信息。
以上就是全局异常处理器的使用,主要涉及到两个注解:
- @RestControllerAdvice //表示当前类为全局异常处理器
- @ExceptionHandler //指定可以捕获哪种类型的异常进行处理
总结
总的来说,登录校验、拦截器和异常处理是保证系统安全性和稳定性的重要措施。在实际开发中,合理运用这些机制,不仅能够有效保护用户数据和系统资源,还能提升系统的健壮性与可维护性。通过本文的探讨,希望开发者能够更加清晰地理解如何实现一个高效、安全、易扩展的登录校验体系。
版权归原作者 程序猿零零漆 所有, 如有侵权,请联系我们删除。