转(拦截器)

最近项目中需要做web版视频通话项目,所以组长一直考虑接口安全这方面的问题。因为项目就是一个已经成形的项目,我第一步就是看现有的项目中接口安全方面是如何做的。

我发现,项目中第一步应用的就是拦截器,接着就好好学习了下。

一、拦截器是什么?

 

二、demo例子

1.ApiConfigurer

[java] view plain copy
 
  1. package com.rcplatform.livechat.config;  
  2.   
  3. import org.springframework.context.annotation.Bean;  
  4. import org.springframework.context.annotation.Configuration;  
  5. import org.springframework.web.servlet.config.annotation.InterceptorRegistry;  
  6. import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;  
  7. import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;  
  8.   
  9. @Configuration  
  10. public class ApiConfigurer  extends WebMvcConfigurerAdapter {  
  11.   
  12.     @Bean  
  13.      public  WebApiInterceptor  webApiInterceptor(){  
  14.         return  new WebApiInterceptor();  
  15.      }  
  16.   
  17.      @Override  
  18.      public  void addInterceptors(InterceptorRegistry registry){  
  19.          //多个拦截器组成一个拦截器链  
  20.          //addPathPattern 用于添加拦截规则 路径,是带api接口的  
  21.          //用于排除用户的拦截  
  22.          registry.addInterceptor(webApiInterceptor())  
  23.                  .addPathPatterns("/api/**")  
  24.                  .excludePathPatterns("/api/login");  
  25.          super.addInterceptors(registry);  
  26.      }  
  27.   
  28.   
  29. }  

2.WebApiInterceptor

[java] view plain copy
 
  1. package com.rcplatform.livechat.config;  
  2.   
  3. import org.springframework.web.servlet.HandlerInterceptor;  
  4. import org.springframework.web.servlet.ModelAndView;  
  5. import javax.servlet.http.HttpServletRequest;  
  6. import javax.servlet.http.HttpServletResponse;  
  7.   
  8. public class WebApiInterceptor  implements HandlerInterceptor{  
  9.   
  10.     //方法之前拦截  
  11.     @Override  
  12.     public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {  
  13.         System.out.println("========方法执行之前开始调用拦截器===============");  
  14.         return true;  
  15.     }  
  16.   
  17.     @Override  
  18.     public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {  
  19.   
  20.     }  
  21.       
  22.     //方法执行之后拦截  
  23.     @Override  
  24.     public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {  
  25.         System.out.println("========方法执行之后 开始调用===============");  
  26.     }  
  27. }  

3.测试例子

[java] view plain copy
 
  1. //要走拦截器拦截  
  2.     @RequestMapping(value = "/register",method = RequestMethod.GET )  
  3.     @ApiOperation(value = "用户注册接口")  
  4.     public  void  register(){  
  5.         List<User> userList= userService.selectUsers();  
  6.         log.info("============"+userList.get(0));  
  7.     }  
  8.     //不需要拦截器拦截  
  9.     @RequestMapping(value = "/login",method = RequestMethod.GET)  
  10.     @ApiOperation(value = "用户登录接口")  
  11.     public  void  Login(){  
  12.         log.info("=====拦截器的是否拦截======否=====");  
  13.     }  

测试结果

拦截接口register接口

不需要拦截login接口

三、总结

拦截器,对于所有的接口做了信息验证拦截,这只是做了安全方面的第一步。接下来接口安全方面,还需要登录tocken信息的校验,MD5  token的加密和解密,接下来,需要继续总结。

 

 

1、首选创建一个继承HandlerInterceptor的拦截器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
 
 
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
/**
 * 拦截器
 */
public class MyInterceptor implements HandlerInterceptor{
    //在请求处理之前进行调用(Controller方法调用之前
    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
        HttpSession session = httpServletRequest.getSession();
        String user = (String) session.getAttribute("user"); //获取登录的session信息
        if(user!=null){
            return true;
        }
        else{
httpServletResponse.sendRedirect(httpServletRequest.getContextPath()+"/login/index");  //未登录自动跳转界面
            return false;
        }
    }
 
    //请求处理之后进行调用,但是在视图被渲染之前(Controller方法调用之后)
    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
 
        System.out.println("postHandle被调用\n");
    }
 
    //在整个请求结束之后被调用,也就是在DispatcherServlet 渲染了对应的视图之后执行(主要是用于进行资源清理工作)
    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
        System.out.println("afterCompletion被调用\n");
    }
}

  2、继承WebMvcConfigureAdapter类,覆盖其addInterceptors接口,注册自定义的拦截器:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
 
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
 
    /**
     * 注册拦截器
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
    //addPathPattern后跟拦截地址,excludePathPatterns后跟排除拦截地址
    registry.addInterceptor(new MyInterceptor()).addPathPatterns("/**").excludePathPatterns("/login/index").excludePathPatterns("/login/login");
    }
}

  

这样我们就可以在用户请求到达controller层实现登录拦截了,所有用户请求都会被拦截,在prehandle方法进行登录判断,返回true则验证通过,否则失败

 

拦截器 

  resgistry.addInterceptor(new MyInterceptor()).addPathPatterns("/**").excludePathPatterns(new String[]{"/index","/login"});

 

posted @ 2018-06-08 16:00  _陈昱先  阅读(198)  评论(0)    收藏  举报