一、简介
前两天写了一篇用户登录会话设计的脑图,这次就把这个引入到项目中实现,总体来说需要几步先罗列一下:
1、需要一个Cookie工具类用于读写cookie
2、需要一个Cache工具类用于在服务端保存用户会话
3、需要一个UserSession管理类用于操作用户会话的登入与登出等
4、需要一个BaseController基类来为子类中的controller提供用户会话的使用,比如当前登录的loginUser.getUserId()
5、需要一个Interceptor拦截器来截获每一次请求来验证是否登录
6、需要一个再次登入的小逻辑来实现登录后自动跳回访问页的功能,此处分为两类请求:
(1)是非Ajax请求,这种直接重定向跳回登录,登录成功后再跳回原先的访问页;
(2)是Ajax请求,这种无法重定向,所以会返回这次请求的HttpStstusCode,配合封装好的ajax函数使用
上面的6步基本就可以完成这套用户结构了,不多说直接上代码,想看设计方案的看另一个博文吧
二、代码
1、Cookie工具类,不粘贴了,基本都哪些东西,很简单
2、Cache工具类我用的是Redis,不粘贴了,基本都哪些东西,很简单
3、UserSession管理类,这里我们有两个用户平台一个Admin一个Agent用户会话逻辑都一样,只是参数配置不一样所以建立了一个抽象类来实现主逻辑方法,各自去实现里面的参数配置方法
(1) UserSessionManage 抽象基类,这里简化为只保存UserId,真正应该还保存一些其他的用户信息只不过我用UserId就代表整体了
import com.google.common.base.Strings; import com.ysl.encryptHelper.RandomOptions; import com.ysl.encryptHelper.YSLEncryptTools; import com.ysl.ts.common.CookieUtil; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; /** * 用户会话管理类 * @author TaiYongHai * @version 20180724 */ public abstract class UserSessionManage { /** * 平台Cookie名-User */ protected abstract String cookieNameUser(); /** * 平台Cookie名-Token */ protected abstract String cookieNameToken(); /** * 平台Cookie名-Series */ protected abstract String cookieNameSeries(); /** * 平台加密Key */ protected abstract String encryptKey(); /** * 平台加密向量 */ protected abstract String encryptVector(); /** * 普通登录有效时间(秒)(非记住密码) */ protected abstract int generalValidTime(); /** * 特殊登录有效时间(秒)(记住密码) */ protected abstract int specialValidTime(); /* 1、登录成功向Response写入Cookie(非记住密码写User和Token)(记住密码写User、Token和Series) 2、获取登录Cookie返回用户信息或跳转登录页 3、退出向Response写入立即过期使Cookie失效 */ /** * 设置用户登录信息到Cookie * * @param response 响应对象 * @param userId 用户Id * @return */ public boolean setUserToCookies(HttpServletResponse response, int userId) { return setUserToCookies(response, userId, null, generalValidTime()); } /** * 设置用户登录信息到Cookie * * @param response 响应对象 * @param userId 用户Id * @param userSeries 用户序列 * @return */ public boolean setUserToCookies(HttpServletResponse response, int userId, String userSeries) { return setUserToCookies(response, userId, userSeries, specialValidTime()); } /** * 设置用户登录信息到Cookie * * @param response 响应对象 * @param userId 用户Id * @param userSeries 用户序列 * @param validTime 有效时间(秒) * @return */ private boolean setUserToCookies(HttpServletResponse response, int userId, String userSeries, int validTime) { boolean result = false; try { //用户标识Cookie双向加密 String user = YSLEncryptTools.aesEncrypt(String.valueOf(userId), encryptKey(), encryptVector());//参数1:加密内容,参数2:加密Key,参数3:加密向量;返回加密结果 CookieUtil.addCookie(response, cookieNameUser(), user, validTime); //用户TokenCookie单向加密 String random = YSLEncryptTools.createRandom(20, RandomOptions.Number);//参数1:随机数长度,参数2:随机结果类型;返回随机数 String token = YSLEncryptTools.md5Encrypt(random);//参数1:加密内容;返回32位、UTF-8编码的MD5值 CookieUtil.addCookie(response, cookieNameToken(), token, validTime); //用户序列Cookie单向加密 if (!Strings.isNullOrEmpty(userSeries)) { String series = YSLEncryptTools.md5Encrypt(encryptKey() + userSeries);//返回32位、UTF-8编码的MD5值;返回加密结果 CookieUtil.addCookie(response, cookieNameSeries(), series, validTime); } result = true; } catch (Exception e) { e.printStackTrace(); } return result; } /** * 从Cookies中获取用户登录信息 * * @param request 当前请求对象 * @return 0:代表用户未登录,-1:代表用户已在另一处登录,-2:代表用户更新密码需重新登录 */ public int getUserOfCookies(HttpServletRequest request) { int result = 0; //代表用户未登录 try { //用户标识Cookie双向加密 String user = CookieUtil.getCookieValue(request, cookieNameUser()); if (!Strings.isNullOrEmpty(user)) { user = YSLEncryptTools.aesDecrypt(user, encryptKey(), encryptVector());//参数1:解密内容,参数2:加密Key,参数3:加密向量;返回解密结果 result = Integer.valueOf(user); } //用户TokenCookie单向加密 String token = CookieUtil.getCookieValue(request, cookieNameToken()); if (!Strings.isNullOrEmpty(token)) { //从SessionCache中获取token进行对比 //result = -1;//代表用户已在另一处登录 } //用户序列Cookie单向加密 String series = CookieUtil.getCookieValue(request, cookieNameSeries()); if (!Strings.isNullOrEmpty(series)) { //从SessionCache中获取token进行对比 //result = -2;//代表用户更新密码需重新登录 } } catch (Exception e) { e.printStackTrace(); } return result; } /** * 从Cookies删除用户登录信息 * * @param request 当前请求对象 * @param response 当前响应对象 * @return */ public boolean deleteUserOfCookies(HttpServletRequest request, HttpServletResponse response) { boolean result = false; try { CookieUtil.removeCookie(request, response, cookieNameUser()); CookieUtil.removeCookie(request, response, cookieNameToken()); CookieUtil.removeCookie(request, response, cookieNameSeries()); result = true; } catch (Exception e) { e.printStackTrace(); } return result; } }
(2)AdminUserSessionManage Admin平台的实现类,实现各自的Cookie名称、加密Key、会话持续时间,这里我只提供一个平台的UserSessionManage另一个平台的就不提供了,大部分代码都一样
/** * Admin用户会话管理类 * @author TaiYongHai * @version 20180724 */ public class AdminUserSessionManage extends UserSessionManage { /** * Admin平台Cookie名-User */ @Override protected String cookieNameUser() { return "_admin_u"; } /** * Admin平台Cookie名-Token */ @Override protected String cookieNameToken() { return "_admin_t"; } /** * Admin平台Cookie名-Series */ @Override protected String cookieNameSeries() { return "_admin_s"; } /** * Admin平台加密Key */ @Override protected String encryptKey() { return "admin00000"; } /** * Admin平台加密向量 */ @Override protected String encryptVector() { return "admin11111"; } /** * 普通登录有效时间(秒)(非记住密码) */ @Override protected int generalValidTime() { return 24 * 60 * 60; } /** * 特殊登录有效时间(秒)(记住密码) */ @Override protected int specialValidTime() { return 168 * 60 * 60; } }
4、BaseController用于给各自平台的Controller当作基类提供当前登录用户信息,这里我只提供一个平台的BaseController另一个平台的就不提供了,大部分代码都一样
import org.springframework.beans.factory.annotation.Autowired; import javax.servlet.http.HttpServletRequest; /** * Controller基类Admin */ public class BaseController { @Autowired protected HttpServletRequest request; @Autowired private SysUserService service; /** * 当前登录用户 */ private AdminLoginUserModel loginUser; /** * 获取当前登录用户 * @return */ public AdminLoginUserModel getLoginUser() { AdminUserSessionManage userSession = new AdminUserSessionManage(); //解析用户cookie int userId = userSession.getUserOfCookies(request); if (userId > 0) { } //检查Cache中是否存在该信息,不存在去DB中获取 //do something...代码后续实现 //获取响应 ServiceResponse<SysUserModel> res = service.get(new ServiceRequest<>(userId)); //解析响应数据 SysUserModel model = ServiceResponse.getResponseData(res); //填充登录信息 model.setId(userId); // loginUser = new AdminLoginUserModel(); loginUser.setSysUser(model); return loginUser; } }
其中Model我就不说了就是用户信息表实体,AdminLoginUserModel就是当前登录用户信息的复合实体(可能登录信息需要不止一张表实体就够了,所以用复合实体可以多张表信息进行填充),ServiceResponse<>和ServiceRequest<>这两个是我们项目约定好使用Eureka与生产者通信用的统一请求响应实体可以忽略不重要。
5、使用HandlerInterceptor拦截器验证每次请求的用户会话
import com.ysl.ts.common.userSessionManage.AdminUserSessionManage; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.net.URLEncoder; /** * 请求拦截器 */ public class AdminRequestInterceptor implements HandlerInterceptor { /** * Action执行前调用 */ @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { try { System.out.println("Admin调用拦截器"); AdminUserSessionManage userSession = new AdminUserSessionManage(); int userId = userSession.getUserOfCookies(request); if (userId > 0) { System.out.println("Admin拦截验证-已登录"); return true;//通过验证则返回true允许请求继续执行 } else { // *****此处判断userId可能为0、-1、-2 如果是0代表用户未登录,如果是-1代表用户在另一处登录,如果是-2代表用户更新密码需重新登录,
//分别判断一下返回不同的页面或返回不同的状态码,给前台的用户进行展示即可,此处直接简写了***** System.out.println("Admin拦截验证-未登录"); //根据header标识判断当前请求是否为Ajax请求 if (request.getHeader("x-requested-with") == null) { //如果不是Ajax请求则重定向 //整理回跳url地址 String backUrl; String url = request.getRequestURL().toString(); String params = request.getQueryString(); backUrl = url + (params == null ? "" : "?" + params); //重定向回登录页 response.sendRedirect("/admin?backUrl=" + URLEncoder.encode(backUrl, "utf-8"));//使用urlencode编码之后传递 } else { //如果是Ajax则更改状态码通知前端 response.setStatus(401);//登录异常(401) //response.setStatus(402);// 已在另一处登录(402) //response.setStatus(403);// 权限验证不通过(403) } return false;//未通过则返回false结束请求 } } catch (Exception e) { e.printStackTrace(); return false; } } /** * Action执行后,View渲染前调用 */ @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) { } /** * View渲染后调用,整个流程执行结束调用 */ @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) { } }
将拦截器注入WebConfig中
import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class BaseWebConfig implements WebMvcConfigurer { /** * 注入拦截器 * * @param registry */ @Override public void addInterceptors(InterceptorRegistry registry) { //可以注入多个拦截器 /* 使用addPathPatterns增加拦截规则,使用excludePathPatterns排除拦截规则 /admin/**:代表http://域名/admin/** 拦截该目录下的所有目录及子目录 /admin:代表http://域名/admin 仅拦截此形式访问(无法拦截/admin/ 形式) /admin/*:代表http://域名/admin/* 拦截该目录的所有下级目录不包含子目录(可以拦截/admin/ 形式) */ registry.addInterceptor(new AdminRequestInterceptor()).addPathPatterns("/admin/**").excludePathPatterns("/admin").excludePathPatterns("/admin/*").excludePathPatterns("/admin/content/**"); } }
6、后端判断出用户登录后前端需要有连续使用的小逻辑
(1)非Ajax请求这里拦截器已经获取到backUrl并跳回登录页了,只需要在登录页保存一下这个值,登录成功后跳转到这个url上即可
(2)Ajax请求则需要统一提供一个js ajax请求函数以便统一做用户判断
<script type="text/javascript">
//声明类对象
var yslCommon = {};
//对该类的对象声明Ajax函数(保留用户使用JQuery.ajax的习惯)
//传入一个参数对象,参数与JQuery.ajax一致
yslCommon.ajax = function (settings) {
//初始化默认参数设置
var defaultSettings = {
type: "post"
};
//初始化默认函数(此处增加对整体响应的控制便于判断此次ajax执行是否有效)
var defaultFunctions = {
//success请求成功回调方法(参数为返回数据)
success: function (data) {
console.log("defaultSuccess");
//直接将回调结果不作任何处理回调给用户传入的参数对象的success()中
settings.success(data);
},
//error请求错误回调方法(参数为响应对象)
error: function (res) {
console.log("defaultError");
//配合后端拦截器做用户会话或权限判断后错误返回不同的HTTP Status Code
console.log(res.status);
//如果是401代表用户会话失效,如果是402代表用户已在另一处登录,如果是403代表用户无权访问,其他错误直接回调用户传入的参数对象的error()中
if (res.status === 401) {
alert("用户登录失效请重新登录");//此处后续更改为弹出登录模态框
} else if (res.status === 402) {
alert("您已在另一处登录,如不是自己请更新密码");
} else if (res.status === 403) {
alert("用户没有该访问权限");
} else {
settings.error(res);
}
}
};
//先将用户设置参数合并到默认设置中
$.extend(defaultSettings, settings);
//再将我们需要控制重写的success()和error()合并到默认设置中
$.extend(defaultSettings, defaultFunctions);
//将合并好的设置参数传递到原生JQuery.ajax函数中执行
$.ajax(defaultSettings);
}
</script>
OK,至此这套用户会话解决方案就完成了,如有不足还望指出,谢谢
