SpringBoot中验证用户是否登陆有效的几种方法

最新推荐文章于 2025-07-04 14:23:33 发布
原创 最新推荐文章于 2025-07-04 14:23:33 发布 · 1.2w 阅读 · 32 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SpringBoot

本文介绍了SpringBoot中验证用户是否登录的有效方法,包括使用拦截器检查session中的loginUser或Token,通过切面进行参数校验,以及利用token进行参数验证。针对不同场景,如后台管理、分布式系统,提供了相应的解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

验证用户是否登陆有效的几种方法

最近在阅读几个开源项目的代码,总结一下各种风格的登陆校验

方案一.使用拦截器校验session中是否包含loginUser或Token等信息

结合代码说明:

@Component
public class AdminLoginInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
        String uri = request.getRequestURI();
        if (uri.startsWith("/admin") && null == request.getSession().getAttribute("loginUser")) {
            request.getSession().setAttribute("errorMsg", "请重新登陆");
            response.sendRedirect(request.getContextPath() + "/admin/login");
            return false;
        } else {
            request.getSession().removeAttribute("errorMsg");
            return true;
        }
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }
}

这是一个后台管理用的登陆校验器.

  • 大前提:人为的规范URL格式,后台管理操作URL以"/admin"开头

  • 首先从request中获取到URI链接,然后判断是否以admin开头

  • 然后判断session中的User是否为空 若为空 写入错误信息errormsg到session中,并重定向到登陆界面

  • 记得返回false

  • 若成功,则清除session其中的errorMsg并返回true

方案二 采用切面方式进行参数校验

这段代码出自慕课网廖师兄的SpringBoot的微信点餐系统,这里的情景时实现后台卖家端的是否登陆的校验

先看看代码:

@Aspect
@Component
@Slf4j
public class SellerAuthorizeAspect {
	//自动注入redisTemplate操作redis
    @Autowired
    private StringRedisTemplate redisTemplate;
	//定义一个切面,注意这里将卖家端中用户操作这块的排除了,因为这里包含用户登陆登出,不需要校验.
    @Pointcut("execution(public * com.imooc.controller.Seller*.*(..))" +
    "&& !execution(public * com.imooc.controller.SellerUserController.*(..))")
    public void verify() {}
	
    
    @Before("verify()")
    public void doVerify() {
        //获取request
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = attributes.getRequest();
		
        //查询cookie,使用封装好的工具类
        Cookie cookie = CookieUtil.get(request, CookieConstant.TOKEN);
        if (cookie == null) {
            //若为空说明没登陆
            log.warn("【登录校验】Cookie中查不到token");
            throw new SellerAuthorizeException();
        }

        //去redis里查询
        String tokenValue = redisTemplate.opsForValue().get(String.format(RedisConstant.TOKEN_PREFIX, cookie.getValue()));
        if (StringUtils.isEmpty(tokenValue)) {
            log.warn("【登录校验】Redis中查不到token");
            throw new SellerAuthorizeException();
        }
    }
}

其中,cookie的工具包代码:

package com.imooc.utils;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;

public class CookieUtil {

    /**
     * 设置
     * @param response
     * @param name
     * @param value
     * @param maxAge
     */
    public static void set(HttpServletResponse response,
                           String name,
                           String value,
                           int maxAge) {
        Cookie cookie = new Cookie(name, value);
        cookie.setPath("/");
        cookie.setMaxAge(maxAge);
        response.addCookie(cookie);
    }

    /**
     * 获取cookie
     * @param request
     * @param name
     * @return
     */
    public static Cookie get(HttpServletRequest request,
                           String name) {
        Map<String, Cookie> cookieMap = readCookieMap(request);
        if (cookieMap.containsKey(name)) {
            return cookieMap.get(name);
        }else {
            return null;
        }
    }

    /**
     * 将cookie封装成Map
     * @param request
     * @return
     */
    private static Map<String, Cookie> readCookieMap(HttpServletRequest request) {
        Map<String, Cookie> cookieMap = new HashMap<>();
        Cookie[] cookies = request.getCookies();
        if (cookies != null) {
            for (Cookie cookie: cookies) {
                cookieMap.put(cookie.getName(), cookie);
            }
        }
        return cookieMap;
    }
}

这种方式,适用于分布式的登陆校验

方案三.token进行参数校验

这一种方案相对复杂,一步步来吧

首先定义一个注解类

@Target({ElementType.PARAMETER})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface TokenToUser {

    /**
     * 当前用户在request中的名字
     *
     * @return
     */
    String value() default "user";
}

然后自定义一个参数解析

public class TokenToUserMethodArgumentResolver implements HandlerMethodArgumentResolver {
    @Resource
    private AdminUserService adminUserService;

    public TokenToUserMethodArgumentResolver() {
    }
	 @Override
    public boolean supportsParameter(MethodParameter parameter) {
        if (parameter.hasParameterAnnotation(TokenToUser.class)) {
            return true;
        }
        return false;
    }
	 @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
        if (parameter.getParameterAnnotation(TokenToUser.class) instanceof TokenToUser) {
            AdminUser user = null;
            //从Request头中获取token
            String token = webRequest.getHeader("token");
            //然后使用token去后台数据库中校验.
            if (null != token && !"".equals(token) && token.length() == 32) {
                user = adminUserService.getAdminUserByToken(token);
            }
            //返回结果
            return user;
        }
       //结果设置为空
        return null;
    }

    public static byte[] getRequestPostBytes(HttpServletRequest request)
            throws IOException {
        int contentLength = request.getContentLength();
        if (contentLength < 0) {
            return null;
        }
        byte buffer[] = new byte[contentLength];
        for (int i = 0; i < contentLength; ) {
            int readlen = request.getInputStream().read(buffer, i,
                    contentLength - i);
            if (readlen == -1) {
                break;
            }
            i += readlen;
        }
        return buffer;
    }

}

控制器中使用方法如下:

    /**
     * 保存
     */
    @RequestMapping("/save")
    public Result save(@RequestBody AdminUser user,@TokenToUser AdminUser loginUser) {
        //此处校验参数解析器解析出来的user是否为空,空则说明登陆校验失败.
        if (loginUser==null){
            return ResultGenerator.genErrorResult(Constants.RESULT_CODE_NOT_LOGIN, "未登录!");
        }
        if (StringUtils.isEmpty(user.getUserName()) || StringUtils.isEmpty(user.getPassword())) {
            return ResultGenerator.genErrorResult(Constants.RESULT_CODE_PARAM_ERROR, "参数异常!");
        }
        AdminUser tempUser = adminUserService.selectByUserName(user.getUserName());
        if (tempUser != null) {
            return ResultGenerator.genErrorResult(Constants.RESULT_CODE_PARAM_ERROR, "用户已存在勿重复添加!");
        }
        if ("admin".endsWith(user.getUserName().trim())) {
            return ResultGenerator.genErrorResult(Constants.RESULT_CODE_PARAM_ERROR, "不能添加admin用户!");
        }
        if (adminUserService.save(user) > 0) {
            return ResultGenerator.genSuccessResult();
        } else {
            return ResultGenerator.genFailResult("添加失败");
        }
    }

最后,如果是SpringBoot的话记得在配置类那里注册一下:

@SpringBootApplication
public class MyBootApplication extends WebMvcConfigurerAdapter{
    public static void main(String[] args) {
        SpringApplication.run(MyBootApplication.class, args);
    }
    
    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
        super.addArgumentResolvers(argumentResolvers);
        argumentResolvers.add(new TokenToUserMethodArgumentResolver());
    }
}

其实,这种方法也可以改进一下,从cookie中获取token值,然后在redis中校验是否有效,以减轻mysql的压力。

spring boot 使用AOP实现是否已登录检测
ganyuanmen的博客
02-16 2418
前后端分离的开发中,用户http请求应用服务的接口时, 如果要求检测该用户是否已登录。可以实现的方法有多种, 本示例是通过aop 的方式实现,简单有效。4 建立api接口,在需要检测的方法上加入@Interceptor 就完成切入的检测。约定:前端http的post 请求。1、在pom.xml 引用。
SpringBoot---登录校验
m0_62486174的博客
08-05 1851
● 该浏览器在后续的请求中,每一次请求都会将该令牌携带到服务端,然后接下来在服务端,我们可以通过Filter或Interceptor对所有的请求进行拦截,然后进行校验,获取到请求中携带过来的令牌,进行判断,如果令牌正确合法,则放行,如果令牌不合法,则直接返回错误信息给前端,前端跳转到登录页面。如果查询到的用户不存在,则说明用户输入的用户名和密码错误。中的信息,如果有登录成功的信息,就说明用户登录成功,放行请求,如果发现登录标记中没有登录成功的标记,则给前端返回错误信息,跳转至登录页面。
springboot项目中登录校验
qq_58216887的博客
05-08 2361
springboot项目登录相关问题及解决方案
SpringBoot项目实现登录验证验证
最新发布
🌱「码路小匠」:以代码为凿,刻出技术的形状
07-04 399
本文介绍了在SpringBoot项目中实现登录验证验证的完整方案。主要内容包括:1)生成验证码图片并存储在Session中;2)创建验证码控制器提供验证码接口;3)修改登录逻辑加入验证码校验;4)前端实现验证码显示与提交。通过验证码工具类生成随机验证码和图片,前端获取并显示验证码,用户登录时先校验验证码正确性,再执行账号密码验证。该方案可以有效防止暴力破解攻击,提升系统安全性。
springboot拦截器 根据session判断是否已登录
hello world
01-26 5623
介绍 项目环境: springboot,通过session判断用户是否登录 需求:当用户访问每个需要登录才能访问的页面前,我们判断一下该用户是否已经登陆,也就是session中是否存在user,如果没有登录也就是掉线状态下,那么重定向到/login登录页面。 代码 拦截器 LoginInterceptor @Component public class LoginInterceptor extends HandlerInterceptorAdapter { @Override public
SpringBoot拦截器实现登录验证
呆萌很的博客
03-09 688
SpringBoot拦截器实现登录验证
springboot中实现滑块验证demo
09-23
在Spring Boot应用中,滑块验证是一种常见的用户交互方式,用于防止自动机器人或者恶意脚本进行非法操作,比如注册、登录等。滑块验证通常包括一个可移动的滑块和一个目标位置,用户需要将滑块拖动到正确的位置才能...
SpringBoot跨系统单点登陆的实现方法
08-25
SpringBoot 跨系统单点登录的实现方法 单点登录(Single Sign-On,SSO)是一种访问控制属性,允许用户在多个系统中使用同一个身份验证来访问所有系统,而不需要在每个系统中都输入用户名和密码。SpringBoot 提供了...
SpringBoot中读取配置的几种方法总结
cnzzs的博客
08-24 1054
引言在Spring Boot应用中,读取配置是一项基础且重要的任务。Spring Boot提供了多种灵活的方式来读取配置,以满足不同场景下的需求。本文将详细介绍Spring Boot中读取配置的几种常用方法.1. 使用@Value注解@Value注解是最直接且常用的读取配置的方式。它可以将配置文件中的属性值注入到Sprin...
SpringBoot整合SpringSecurity实现用户登录(一)用户验证及JWT令牌生成
qq_45607971的博客
04-21 951
SpringSecurity入门级使用(一) 用户登录以及JWT生成
SpringBootSpringBoot 接口参数校验几种实用技巧
永远保持随时离开的技术能力!
05-16 921
SpringBoot 接口参数校验几种实用技巧
Springboot 拦截器,拦截所有请求,判断是否登录,验证权限
fwdwqdwq的博客
08-02 1597
在拦截器中@autowired注入工具类,或者其他service,mapper会导致空指针异常。
SpringBoot系列之使用自定义注解校验用户是否登录
weixin_33915554的博客
10-17 632
记得今年年初刚开始面试的时候,被问的最多的就是你知道Spring的两大核心嘛?那你说说什么是AOP,什么是IOC?我相信你可能也被问了很多次了。1、到底是什么是AOP?所谓AOP也就是面向切面编程,能够让我们在不影响原有业务功能的前提下,横切扩展新的功能。这里面有一个比较显眼的词我们需要注意一下,横切,它是基于横切面对程序进行扩展的。2、AOP相关术语在Spring的AOP中有很多的术语,而且容易...
java判断登陆状态_SpringBoot29 登录逻辑、登录状态判断
weixin_36319219的博客
02-23 1745
1 知识点扫盲浏览器和服务器之间时通过session来确定连接状态的,浏览器第一次请求时服务端会自动生成一个session,并将这个sessionId传回给浏览器,浏览器将这个sessionId存放在cookie中,下一次浏览器访问服务器时就会将这个sessionId以cookie的形式传递到服务器,服务器接送到这个sessionId后就可以判断发送这个请求的浏览器之前是否访问过。在进行登录认证逻...
SpringBoot 根据 注解和切面(AOP) 实时验证用户登陆状态
帅气Dee海绵宝宝
07-20 1459
SpringBoot 根据 注解和切面(AOP)实时验证用户登陆状态
springboot拦截器判断是否登录
zyp的博客
07-28 9936
实现拦截器的两个步骤 自定义拦截器实现HandlerInterceptor接口 创建一个配置类继承WebMvcConfigurerAdapter类并重写addInterceptors方法 代码 1、自定义拦截器 @Component public class AdminLoginInterceptor implements HandlerInterceptor { // 在请求处...
SpringBoot拦截器实现判断用户是否登录
qq_29869663的博客
09-26 5417
1、拦截器拦截请求处理 public class UserLoginVerifyInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) th...
#SpringBoot的登录验证
欲穷java洞的博客
07-11 349
实现,而Filter是基于Servlet程序实现的,因此他可以在请求到达servlet容器之前也就是我们的web服务器之前进行拦截,也可以在请求离开容器之前进行拦截,基于servlet容器中的FilterChain机制,其可以用在任何一个框架中;,会话技术说的通俗一点就是当用户开始访问服务器资源便形成了一次会话,可是http是无状态的,那么这次请求之后当我再次·请求是需要重新登录的,,因此获得该令牌的用户再次登录之时(发起请求)就会携带这个令牌,这样服务器通过检查便会获得该用户的状态信息,实现免登录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值