web项目中在处理客户请求的时候,大概分为对动态资源的请求和静态资源的请求。请求静态资源的时候直接返回静态资源;请求动态资源的时候则需要controller层处理以及视图解析器渲染,然后才返回视图。而有时候因业务需求,需要对操作动态资源的请求进行分类处理,这时候就需要拦截器拦截这类请求,在拦截器中加入执行请求前、中、后所需要的单独的逻辑,以达到对请求分类处理的目的。最典型的就是某些网页需要登录才能访问。
1、拦截器
拦截器是动态拦截Action调用的对象。它提供了一种机制可以定义在一个action执行的前后执行的代码,也可以在一个action执行前阻止其执行,同时也提供了一种可以提取action中可重用部分的方式。它的特性如下:
(1)拦截器是基于java反射机制来实现的。
(2)拦截器不依赖servlet容器。
(3)拦截器只对Action起作用。
(4)在Action的生命周期中,拦截器可以多次调用。
2、校验过程
按照session--cookie(cookieValue):name/validTime--自动登录的记录--用户是否存在--token:name、password、time、salt--账密的顺序一一进行验证。
3、设计两张表
(1)user。
这张表用来记录注册用户的信息,其中密码采用md5非对称加密。
(2)persistent_logins
这张表是用于校验用户自动登录的表。设计这张表的原因是我看过一些网上的文章介绍使用cookie自动登录,但是他们基本上都是将用户名、密码、salt等字符串拼接之后md5加密然后保存在cookie中。虽然使用了md5这类非对称加密方式,但是将密码这类关键信息保存在用户端,我觉得是不太靠谱的。因此设计了这张表,将用户名、密码等关键信息加密之后的token保存到这张表中,在用户的cookie里只保存了没有特殊含义的UUID值以及用户名。
对应的pojo,省略setter、getter以及构造函数
user
public class User { private Long id; @Size(min = 3, max = 20, message = "用户名长度错误", groups = {ILoginGroup.class, IRegisterGroup.class}) @NotBlank(message = "{user.name.blank.error}", groups = {ILoginGroup.class, IRegisterGroup.class}) private String name; @Size(min = 6, max = 20, message = "{user.password.length.error}", groups = {ILoginGroup.class, IRegisterGroup.class}) @NotBlank(message = "{user.password.blank.error}", groups = {ILoginGroup.class, IRegisterGroup.class}) private String password; @Email(message = "{user.email.error}", groups = IRegisterGroup.class) @NotBlank(message = "{user.email.blank.error}", groups = IRegisterGroup.class) private String email; private Long createAt;}
persistentLogins
public class PersistentLogins { private Integer id; private String username;//账号 private String series;//UUID.randomUUID().toString()生成的String类型的UUID private String token;//token private Date validtime;//过期时
4、拦截器中的逻辑,思维导图:
按照整理的思维导图一步一步将拦截器以及service层的逻辑编写出来,并且达到了自动登录验证的目的。