登录 注册

【Spring MVC】Spring MVC,阻止直接访问jsp,使用Interceptor登录拦截

本贴最后更新于 3223 天前,其中的信息可能已经水流花落

问题描述:

在Java Web项目中,用户可访问Url一般只有一个,即index或login。而用户的其他Url请求都会引导到index页。如何来避免未登录用户直接访问Spring的Conroller和jsp文件?

解决方案:

一、阻止用户访问jsp。

Spring的MVC模式是不提倡直接通过URL形式访问.jsp页面的,建议通过Controller跳转至View页面。

把jsp文件放在WEB-INF目录下,js和css等资源文件放在WEB-INF的同级目录下,WEB-INF对用户不可见,可以起到隔离作用。

同时修改mvc配置文件,配置jsp的路径。

1     <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
2         <property name="prefix" value="/WEB-INF/jsp/" />
3         <property name="suffix" value=".jsp" />
4     </bean>

配置资源文件夹的路径,以便jsp能访问到所引用的静态资源文件。

<mvc:resources mapping="/**" location="/resources" />

二、Interceptor登录拦截

Spring拦截器介绍:

SpringMVC中使用Interceptor拦截器

拦截器HandlerInterceptor接口有三个回调方法

1.preHandle方法,顾名思义,该方法将在请求处理之前进行调用。SpringMVC 中的Interceptor 是链式的调用的,在一个应用中或者说是在一个请求中可以同时存在多个Interceptor 。每个Interceptor 的调用会依据它的声明顺序依次执行,而且最先执行的都是Interceptor 中的preHandle 方法,所以可以在这个方法中进行一些前置初始化操作或者是对当前请求的一个预处理,也可以在这个方法中进行一些判断来决定请求是否要继续进行下去。该方法的返回值是布尔值Boolean类型的,当它返回为false 时,表示请求结束,后续的Interceptor 和Controller 都不会再执行;当返回值为true 时就会继续调用下一个Interceptor 的preHandle 方法,如果已经是最后一个Interceptor 的时候就会是调用当前请求的Controller 方法。

2.postHandle方法,由preHandle 方法的解释我们知道这个方法包括后面要说到的afterCompletion 方法都只能是在当前所属的Interceptor 的preHandle 方法的返回值为true 时才能被调用。postHandle 方法,顾名思义就是在当前请求进行处理之后,也就是Controller 方法调用之后执行,但是它会在DispatcherServlet 进行视图返回渲染之前被调用,所以我们可以在这个方法中对Controller 处理之后的ModelAndView 对象进行操作。postHandle 方法被调用的方向跟preHandle 是相反的,也就是说先声明的Interceptor 的postHandle 方法反而会后执行。

3.afterCompletion方法,该方法也是需要当前对应的Interceptor 的preHandle 方法的返回值为true 时才会执行。顾名思义,该方法将在整个请求结束之后,也就是在DispatcherServlet 渲染了对应的视图之后执行。这个方法的主要作用是用于进行资源清理工作的。

 1 package org.springframework.web.servlet;  
 2 public interface HandlerInterceptor {  
 3     boolean preHandle(  
 4             HttpServletRequest request, HttpServletResponse response,   
 5             Object handler)   
 6             throws Exception;  
 7   
 8     void postHandle(  
 9             HttpServletRequest request, HttpServletResponse response,   
10             Object handler, ModelAndView modelAndView)   
11             throws Exception;  
12   
13     void afterCompletion(  
14             HttpServletRequest request, HttpServletResponse response,   
15             Object handler, Exception ex)  
16             throws Exception;  
17 }

 

写自己的拦截器:

 1 public class LoginInterceptor extends HandlerInterceptorAdapter {
 2     private List<String> excludedUrls;
 3     public void setExcludeUrls(List<String> excludeUrls) {
 4         this.excludedUrls = excludeUrls;
 5     }
 6     @Override
 7     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
 8         String requestUri = request.getRequestURI();
 9         for (String url : excludedUrls) {
10             if (requestUri.endsWith(url)) {
11                 return true;
12             }
13         }
14         HttpSession session = request.getSession();
15         if (session.getAttribute("login")==null) {
16             throw new WebAuthException();
17         } else {
18             return true;
19         }
20     }
21 }

HandlerInterceptorAdapter是适配器模式的接口,这里允许我们只实现一个方法即可。excludedUrls中声明了不需要拦截的URL,如果访问的URL以指定字符串结尾,preHandle将返回true,他们将不被拦截而直接访问到对应的Controller。声明方式可以在Spring配置文件中,如下

 1     <mvc:interceptors>
 2         <mvc:interceptor>
 3             <mvc:mapping path="/*"/>
 4             <bean id="loginInterceptor" class="LoginInterceptor">
 5                 <property name="excludeUrls">
 6                     <list>
 7                         <value>/index</value>
 8                        
 9                         <value>/</value>
10                     </list>
11                 </property>
12             </bean>
13         </mvc:interceptor>
14     </mvc:interceptors>

也就是说“http://xxxxxxxxxx/index”,“http://xxxxxxxxxx/login”,“http://xxxxxxxxxx/”是不会被拦截的。

如果URL不以指定字符串结尾,那么将判断session中是否已经有登录信息(用户是否已经登录),如果登录了,正常跳转到Controller。如果没有登录则抛出异常。该异常是自定义的:

1 public class WebAuthException extends Exception {
2 }

然后再配置文件中指定,抛出异常时,重定向到登录页。

1     <bean id="handlerExceptionResolver"
2           class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
3         <property name="exceptionMappings">
4             <props>
5                 <prop key="com.thisone.apiserver.exception.WebAuthException">redirect:/index</prop>
6             </props>
7         </property>
8     </bean>

注意,如果没有redirect:,则直接跳转至名为index.jsp的页面。有redirect则会由Controller中@RequestMapping(value="/login")的方法来处理它。

1 @Controller
2 public class SystemController {
3     @RequestMapping(value = {"/index","/"},
4             method = RequestMethod.GET)
5     public String home() {
6         return "login";  //返回到login.jsp登录页,而不是Controller的方法。
7     }
8 }
 1     @RequestMapping(value = "/login",
 2             method = RequestMethod.POST)
 3     public String login(HttpServletRequest request,
 4                         @RequestParam String loginname,
 5                         @RequestParam String password) throws Exception {
 6         if (!loginname.equals("xxxx")) {
 7             request.getSession().setAttribute("loginReply", "用户名错误, 请重新登录");
 8             return "login";
 9         }
10         if (!password.equals("xxxx")) {
11             request.getSession().setAttribute("loginReply", "密码错误, 请重新登录");
12             return "login";
13         }
14         request.getSession().setAttribute("login", "yes");
15         return "welcome";
16     }

 

这样,用户只能通过/index,/,三个URL后缀来正常访问到页面,其他都是会重定向到/index,再有Cntroller方法引导至login.jsp。

 

转:http://blog.csdn.net/a568078283/article/details/51333615

  • Spring

    Spring 是一个开源框架,是于 2003 年兴起的一个轻量级的 Java 开发框架,由 Rod Johnson 在其著作《Expert One-On-One J2EE Development and Design》中阐述的部分理念和原型衍生而来。它是为了解决企业应用开发的复杂性而创建的。框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为 JavaEE 应用程序开发提供集成的框架。

    948 引用 • 1460 回帖 • 2 关注
2.6k 11 388 242 1 300 88 16 92 1.5k

相关帖子

回帖
【Spring MVC】Spring MVC,阻止直接访问jsp,使用Interceptor登录拦截

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
justdoit
回帖
0
 帖子
54
 积分
135

近期热议

推荐标签 标签

  • FFmpeg

    FFmpeg 是一套可以用来记录、转换数字音频、视频,并能将其转化为流的开源计算机程序。

    23 引用 • 32 回帖 • 1 关注
  • WebSocket

    WebSocket 是 HTML5 中定义的一种新协议,它实现了浏览器与服务器之间的全双工通信(full-duplex)。

    48 引用 • 206 回帖 • 295 关注
  • JSON

    JSON (JavaScript Object Notation)是一种轻量级的数据交换格式。易于人类阅读和编写。同时也易于机器解析和生成。

    52 引用 • 190 回帖
  • JVM

    JVM(Java Virtual Machine)Java 虚拟机是一个微型操作系统,有自己的硬件构架体系,还有相应的指令系统。能够识别 Java 独特的 .class 文件(字节码),能够将这些文件中的信息读取出来,使得 Java 程序只需要生成 Java 虚拟机上的字节码后就能在不同操作系统平台上进行运行。

    180 引用 • 120 回帖
  • C++

    C++ 是在 C 语言的基础上开发的一种通用编程语言,应用广泛。C++ 支持多种编程范式,面向对象编程、泛型编程和过程化编程。

    107 引用 • 153 回帖
  • Hexo

    Hexo 是一款快速、简洁且高效的博客框架,使用 Node.js 编写。

    22 引用 • 148 回帖 • 16 关注
  • 笔记

    好记性不如烂笔头。

    310 引用 • 794 回帖
  • Visio
    1 引用 • 2 回帖 • 4 关注
  • 数据库

    据说 99% 的性能瓶颈都在数据库。

    345 引用 • 742 回帖
  • 设计模式

    设计模式(Design pattern)代表了最佳的实践,通常被有经验的面向对象的软件开发人员所采用。设计模式是软件开发人员在软件开发过程中面临的一般问题的解决方案。这些解决方案是众多软件开发人员经过相当长的一段时间的试验和错误总结出来的。

    200 引用 • 120 回帖 • 3 关注
  • Log4j

    Log4j 是 Apache 开源的一款使用广泛的 Java 日志组件。

    20 引用 • 18 回帖 • 32 关注
  • Solidity

    Solidity 是一种智能合约高级语言,运行在 [以太坊] 虚拟机(EVM)之上。它的语法接近于 JavaScript,是一种面向对象的语言。

    3 引用 • 18 回帖 • 438 关注
  • 架构

    我们平时所说的“架构”主要是指软件架构,这是有关软件整体结构与组件的抽象描述,用于指导软件系统各个方面的设计。另外还有“业务架构”、“网络架构”、“硬件架构”等细分领域。

    143 引用 • 442 回帖 • 3 关注
  • 尊园地产

    昆明尊园房地产经纪有限公司,即:Kunming Zunyuan Property Agency Company Limited(简称“尊园地产”)于 2007 年 6 月开始筹备,2007 年 8 月 18 日正式成立,注册资本 200 万元,公司性质为股份经纪有限公司,主营业务为:代租、代售、代办产权过户、办理银行按揭、担保、抵押、评估等。

    1 引用 • 22 回帖 • 786 关注
  • Unity

    Unity 是由 Unity Technologies 开发的一个让开发者可以轻松创建诸如 2D、3D 多平台的综合型游戏开发工具,是一个全面整合的专业游戏引擎。

    25 引用 • 7 回帖 • 131 关注
  • 大疆创新

    深圳市大疆创新科技有限公司(DJI-Innovations,简称 DJI),成立于 2006 年,是全球领先的无人飞行器控制系统及无人机解决方案的研发和生产商,客户遍布全球 100 多个国家。通过持续的创新,大疆致力于为无人机工业、行业用户以及专业航拍应用提供性能最强、体验最佳的革命性智能飞控产品和解决方案。

    2 引用 • 14 回帖 • 1 关注
  • Windows

    Microsoft Windows 是美国微软公司研发的一套操作系统,它问世于 1985 年,起初仅仅是 Microsoft-DOS 模拟环境,后续的系统版本由于微软不断的更新升级,不但易用,也慢慢的成为家家户户人们最喜爱的操作系统。

    227 引用 • 476 回帖 • 1 关注
  • Shell

    Shell 脚本与 Windows/Dos 下的批处理相似,也就是用各类命令预先放入到一个文件中,方便一次性执行的一个程序文件,主要是方便管理员进行设置或者管理用的。但是它比 Windows 下的批处理更强大,比用其他编程程序编辑的程序效率更高,因为它使用了 Linux/Unix 下的命令。

    124 引用 • 74 回帖 • 1 关注
  • C

    C 语言是一门通用计算机编程语言,应用广泛。C 语言的设计目标是提供一种能以简易的方式编译、处理低级存储器、产生少量的机器码以及不需要任何运行环境支持便能运行的编程语言。

    85 引用 • 165 回帖 • 2 关注
  • 运维

    互联网运维工作,以服务为中心,以稳定、安全、高效为三个基本点,确保公司的互联网业务能够 7×24 小时为用户提供高质量的服务。

    151 引用 • 257 回帖 • 1 关注
  • H2

    H2 是一个开源的嵌入式数据库引擎,采用 Java 语言编写,不受平台的限制,同时 H2 提供了一个十分方便的 web 控制台用于操作和管理数据库内容。H2 还提供兼容模式,可以兼容一些主流的数据库,因此采用 H2 作为开发期的数据库非常方便。

    11 引用 • 54 回帖 • 667 关注
  • Ubuntu

    Ubuntu(友帮拓、优般图、乌班图)是一个以桌面应用为主的 Linux 操作系统,其名称来自非洲南部祖鲁语或豪萨语的“ubuntu”一词,意思是“人性”、“我的存在是因为大家的存在”,是非洲传统的一种价值观,类似华人社会的“仁爱”思想。Ubuntu 的目标在于为一般用户提供一个最新的、同时又相当稳定的主要由自由软件构建而成的操作系统。

    127 引用 • 169 回帖 • 2 关注
  • 新人

    让我们欢迎这对新人。哦,不好意思说错了,让我们欢迎这位新人!
    新手上路,请谨慎驾驶!

    52 引用 • 228 回帖
  • 996

    “工作 996, 生病 ICU”

    13 引用 • 200 回帖 • 2 关注
  • 链滴

    链滴是一个记录生活的地方。

    记录生活,连接点滴

    173 引用 • 3849 回帖 • 1 关注
  • NetBeans

    NetBeans 是一个始于 1997 年的 Xelfi 计划,本身是捷克布拉格查理大学的数学及物理学院的学生计划。此计划延伸而成立了一家公司进而发展这个商用版本的 NetBeans IDE,直到 1999 年 Sun 买下此公司。Sun 于次年(2000 年)六月将 NetBeans IDE 开源,直到现在 NetBeans 的社群依然持续增长。

    78 引用 • 102 回帖 • 701 关注
  • OnlyOffice
    4 引用 • 20 关注

最新标签