AskMe Spring项目登录注册 拦截器Intercepto
注册功能实现
- 密码加Salt后MD5加密
就是在设置的密码后面加上一串随机字符,然后调用加密MD5进行加密,到时候登录验证时,只需要将用户输入的密码加上salt,再MD5判断是否相等就可以了 - 检查用户名不重复,用户名和密码不为空
- 在UserService中编写register函数,如果为空或重复就在map的msg字段添加相关信息,否则向数据库中写入数据。
- 在Controller中调用Userservice中的方法,获取注册函数的结果,如果有msg字段,说明注册不成功,向login模板传递错误信息,之后返回login页面,此时就带有注册失败原因的消息;否则跳转到主页
- 在HTML中,要写入表单提交的方式为method="POST",id="对应处理register信息的那个函数的RequestMapping中的路径",在对应的按钮中添加onclick="form=document.getElementById('regloginform');form.action='/reglogin/'"表示按了这个按钮之后从id为regloginform中获取表单,表单的操作为路径为/reglogin的函数
public Map<String,String> register(String name,String password)
{
Map<String,String> map=new HashMap<String,String>();
if(StringUtils.isEmpty(name))
{
map.put("msg","用户名不能为空");
return map;
}
if(StringUtils.isEmpty(password))
{
map.put("msg","密码不能为空");
return map;
}
if(userdate.selectname(name)!=null)
{
map.put("msg","用户名已经被占用");
return map;
}
User user=new User();
user.setName(name);
user.setSalt(UUID.randomUUID().toString().substring(0,5));
user.setHeadUrl(String.format("http://images.nowcoder.com/head/%dt.png",new Random().nextInt(1000)));
user.setPassword(MD5(password+user.getSalt()));
userdate.insertuser(user);
return map;
}
@Controller
public class LoginController {
@Autowired
private UserService userservice;
private static final Logger logger= LoggerFactory.getLogger(LoginController.class) ;
@RequestMapping(path={"/reglogin/"},method = {RequestMethod.POST})
public String register(Model model, @RequestParam("username") String username,@RequestParam("password") String password)
{
int i=10;
System.out.println(i);
try {
Map<String, String> map = userservice.register(username, password);
if (map.containsKey("msg")) {
model.addAttribute("msg", map.get("msg"));
return "login";
} else
return "redirect:/index";
}
catch(Exception e)
{
logger.error("注册异常"+e);
return "login";
}
}
@RequestMapping(path={"/reglogin"},method = {RequestMethod.GET})
public String reglogin()
{
return "login";
}
}
登录功能实现
引入Token
计算机身份认证中是令牌(临时)
客户端在登录之后,浏览器会存储Token,即Cookie,这样服务器通过下一节说的拦截器,可以知道用户是否处于一个登录状态,来决定它是跳转到登录界面还是继续它的操作,此外建立user_id和token之间的映射,就可以根据token知道是那一个用户
我们需要做的是
1. 建立ticket数据库
2. 在Model中建立ticket类型
3. 在DAO层中加入ticketdao实现数据库的insert和select等操作
4. 在UserService中加入addticket函数, 其中ticket的生成是使用UUID生成随机序列,expired为过期时间,设置方法为在当前时间上加上一段时间,status为0表示有效,0表示无效等,将生成的ticket加入数据库中
public String addticket(int user_id)
{
LoginTicket lgticket=new LoginTicket();
lgticket.setUser_id(user_id);
Date date=new Date();
date.setTime(3600*24*100+date.getTime());
lgticket.setExpired(date);
lgticket.setStatus(0);
lgticket.setTicket(UUID.randomUUID().toString().replaceAll("-",""));
ticketdata.insertticket(lgticket);
return lgticket.getTicket();
}
5. 登录注册函数中将生成的ticket返回给客户 调用addCookie函数,要注意普通的cookie只在当前路径下有效,这时需要用cookie.setpath来设置路径,表示这些路径下也可以用这个cookie,cookie.setPath("/")表示可以在所有路径下共享cookie
Cookie cookie=new Cookie("ticket",map.get("ticket"));
cookie.setPath("/");
response.addCookie(cookie);
Interceptor拦截器
能够进行权限控制,或者信息读取,如未付费者无法使用付费项目,就是通过拦截器控制的;某些网页根据IP地址的不同会提供不同的语言,或者内容,也是通过拦截器先获取IP地址信息,然后进行分发;未登录无法进行某些操作等。
三个回调函数
preHandle:请求开始之前,即Controller之前,如果返回false请求结束,被拦截器拦截了,实现一些初步信息的获取或验证
postHandle:请求处理完之后(Controller之后,渲染之前),调用它,向模板传递参数等工作
afterCompletion:渲染完成后,调用(如清除数据等)
Cookie获取用户信息Interceptor
1. preHandle
我们要在这个handler中实现ticket的验证,通过从cookie中查找是否后名为ticket的cookie,再到数据库中查找该ticket是否过期,存在或者有效,如果无效返回true(不能返回false,否则请求就无法继续下去了).
如果ticket有效,我们就需要从ticket信息中的user_id字段获取用户的信息,这是要求有一个容器可以存放我们的用户信息
- 此时在Model中添加一个叫做HostHolder的类来存放数据,注意为了考虑到线程安全的问题,不能简单地设置为private User user,而要用ThreadLoacal<>,这看上去是一个类似List的结构,实际上每个线程都有一个这个的副本,通过调用get,set,remove三个函数,线程可以根据当前的线程,返回当前线程的那个结果,或者对当前线程的user进行操作,类似Map<ThreadID,user>的结构。
- 这样如果多个线程同时想要返回user时就不会出错。
- 有了这个HostHolder之后,通过依赖注入的方式就都可以访问这个变量(将用户信息放入到ThreadLocal中),拦截器在最早的时候就将用户的信息放进去了,之后Controller和渲染就都可以使用这个user变量了。
2. postHandle
其中有一个叫做modelAndView的参数,model就是写Controller时候的参数Model即传递给templates的参数,而view是视图,即模板中的一些文件。
这时候就可以直接把用户信息add到这个modelAndView中,相当于统一给所有渲染的模板提供了参数,这样的所有的模板中有一个user的变量,可以用freemarker的${user}来直接访问这个变量
3. afterCompletion
结束后要将当前user信息清出去,调用clear函数,否则ThreadLocal中的用户越来越多
将写好的拦截器导入Configuration
此时任何向Controller传递的请求都会先经过pre拦截器,拦截器获取cookie信息,并由此得到用户信息添加到ThreadLocal中,之后执行Controller代码,结束后经过post拦截器,拦截器向Model中添加根据ticket得到的user,此时进行渲染,Freemarker读取user信息,最后结束后经过after拦截器,将ThreadLocal中的user删除
方法如下面代码所示
@Component
public class AskMeConfiguration extends WebMvcConfigurerAdapter {
@Autowired
PassportInterceptor passport;
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(passport);
super.addInterceptors(registry);
}
}
登录检查Interceptor(即判断用户是否处在登录状态)
在Interceptor中注入上面的HostHolder,调用GETUSER接口,判断是否当前线程存在user,如果存在,就return true,继续后续操作,如果不存在,就需要将当前的访问路径寄存在next变量中,进行redirect
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
if(host.getuser()==null)
{
httpServletResponse.sendRedirect("/reglogin?next="+httpServletRequest.getRequestURI());
}
return true;
}
同样,该Interceptor需要再Congfiguration中进行注册
registry.addInterceptor(login).addPathPatterns("/user/*");
注意,因为这个Interceptor并不是访问任何网页时都需要执行的,只有部分网址要求登录才能操作,那么就需要添加addPathPatterns,来确定执行该拦截器的路径
在LoginController中要进行调整
- reglogin需要在Model中添加next变量
- 在HTML模板中将next变量放在表单中的一个hidden类型的Input中,这样提交表单的时候,就可以将next变量提交给login,register函数,这样登录成功后,就可以根据这个变量来进行跳转,如果不成功,需要将next再次放入Model,保证next变量不论经过多少次失败的操作都依然被记得
