Java结合SpringBoot拦截器实现简单的登录认证模块

之前在做项目时需要实现一个简单的登录认证的功能，就寻思着使用Spring Boot的拦截器来实现，在此记录一下我的整个实现过程，源码见文章底部。

1. 环境搭建

IntelliJ IDEA + Java8 + Spring Boot + Tomcat
我将之前项目中的登录模块抽离出来，单独放在了一个新建的Spring Boot项目中；
整个项目的主要结构如下：

参考资料：使用IDEA创建Spring Boot项目

2. 代码详解

2.1 前端代码

之前项目里别的小伙伴已经写好了一个简单的登录框样式表（login.css）和一些image图，我这里就顺手拿来用了，希望哪天你见了眼熟别拍我…
login.vm代码：
注意前端传递给后端Controller的password值并不是用户实际输入的密码！
实际传递的是用户名 + 密码（统一小写）组合的字符串的md5信息值；
这样在前后台数据传递及后台数据保存时传递和保存的都不是用户的真实密码值，可以一定程度提升安全性及规避某些风险；

更多资料可参考：Web前端密码加密是否有意义

1.  
   <html>
2.  
   <head>
3.  
   <title>系统登录</title>
4.  
   <meta charset="utf-8"/>
5.  
   <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1" />
6.  
   <meta name="author" content="Dreamer-1">
7.  
   <meta name="renderer" content="webkit" />
8.  
    
9.  
   <link href="/css/login/login.css" rel="stylesheet">
10.  
    <script type="text/javascript" src="/js/login/jquery/jquery.min.js?v=20170207"></script>
11.  
    <script type="text/javascript" src="/js/login/md5/md5.js"></script>
12.  
    </head>
13.  
     
14.  
    <body>
15.  
    <form name="form1" method="post" action="/login" id="form1" onsubmit="return checkLogin();">
16.  
    <div id="main">
17.  
    <div class="wrapper">
18.  
    <div class="login-hd"></div>
19.  
    <div class="login-body">
20.  
    <div class="logo">
21.  
    <span class="icon-logo"></span>
22.  
    </div>
23.  
    <div class="box">
24.  
    <div class="login-item">
25.  
    <span class="icon-user"></span>
26.  
    <input name="username" type="text" id="username" class="login-input" tabindex="1" maxlength="50" placeholder="请输入用户名" />
27.  
     
28.  
    </div>
29.  
    <div class="login-item mt35">
30.  
    <span class="icon-pwd"></span>
31.  
    <input type="password" id="password" class="login-input" tabindex="2" maxlength="32" placeholder="请输入密码"/>
32.  
    <input type="hidden" id="hidePwd" name="password">
33.  
    </div>
34.  
    <div class="login-forget" style="visibility:hidden">
35.  
    <a href="#">忘记密码</a>
36.  
    </div>
37.  
     
38.  
    <input type="submit" name="Logon" value="登录" id="Logon" tabindex="3" class="login-btn" />
39.  
    <div class="login-bottom">
40.  
    <div class="msg" style="display:none;" >
41.  
    <span class="icon-err"></span>
42.  
    <span id="message"></span>
43.  
    </div>
44.  
    </div>
45.  
    </div>
46.  
    </div>
47.  
    </div>
48.  
    </div>
49.  
    </form>
50.  
     
51.  
    <script type="text/javascript">
52.  
    // onsubmit值为true时，提交表单，否则显示错误信息
53.  
    // 生成用户名+密码组合的md5值，并设置传给后端的密码为该md5值
54.  
    function checkLogin() {
55.  
    var name = $("#username").val().toLowerCase();
56.  
    var pwd = $("#password").val().toLowerCase();
57.  
    if(name.trim()=="" || pwd.trim()=="") {
58.  
    $("#message").text("请输入用户名和密码");
59.  
    $('.msg').show();
60.  
    return false;
61.  
    }else {
62.  
    $('.msg').hide();
63.  
    }
64.  
     
65.  
    var md5info = name + pwd;
66.  
    $('#hidePwd').val(md5(md5info));
67.  
    //$("#password").val();
68.  
    return true;
69.  
    }
70.  
    </script>
71.  
    </body>
72.  
    </html>

welcome.vm代码
登录成功后显示welcome.vm页的内容，这个页面很简单：

1.  
   <h1 align="center">登录成功！！！</h1>
2.  
    
3.  
   <br>
4.  
   <h3><a href="/loginout"><font color="red">退出登录</font></a></h3>

2.2 后端代码

后端代码相较于前端要复杂一些，让我们来一一拆解；

2.2.1 程序入口

ManApplication.java是整个程序的主入口，因为其上打了@SpringBootApplication的注解；
注意：Spring Boot项目在tomcat上部署运行时，ManApplication需要继承SpringBootServletInitializer类
ManApplication.java代码：

1.  
   /**
2.  
   * @SpringBootApplication 注解标明该类是本程序的入口
3.  
   */
4.  
   @SpringBootApplication
5.  
   public class ManApplication extends SpringBootServletInitializer {
6.  
    
7.  
   @Override
8.  
   protected SpringApplicationBuilder configure(SpringApplicationBuilder application) {
9.  
   return application.sources(ManApplication.class);
10.  
    }
11.  
     
12.  
    public static void main(String[] args) {
13.  
    SpringApplication.run(ManApplication.class, args);
14.  
    }
15.  
    }

2.2.2 Controller

IndexViewController.java类里就是简单的URL映射；

1.  
   /**
2.  
   * Created with logindemo.
3.  
   * Author: dreamer-1
4.  
   * Email: zhong--lei@outllok.com
5.  
   * Date: 2018/5/13
6.  
   * Time: 下午2:58
7.  
   * Description:
8.  
   */
9.  
   @Controller
10.  
    public class IndexViewController {
11.  
    /**
12.  
    * 登录
13.  
    * @return
14.  
    */
15.  
    @GetMapping("/")
16.  
    public String index() {
17.  
    return "login";
18.  
    }
19.  
     
20.  
    /**
21.  
    * 欢迎页
22.  
    * @return
23.  
    */
24.  
    @GetMapping("/welcome")
25.  
    public String welcome() {
26.  
    return "welcome";
27.  
    }
28.  
    }

LoginViewController.java类接收前端传过来的username和password，进行简单的校验和重定向；
此处为了简单就只设置了一个正确的账号和密码用于校验，你后续使用时可以结合自己的实际需求来扩充整个校验逻辑（比如通过专门的表来存储用户登录信息等）；
用户名和密码校验通过后会在当前会话的session中放入一个登录标识，以表示当前用户已经登录；在退出登录或会话超时时销毁该标识；

1.  
   /**
2.  
   * Created with logindemo.
3.  
   * Author: dreamer-1
4.  
   * Email: zhong--lei@outllok.com
5.  
   * Date: 2018/5/13
6.  
   * Time: 下午2:49
7.  
   * Description:
8.  
   */
9.  
   @Controller
10.  
    public class LoginViewController {
11.  
     
12.  
    // 预先设置好的正确的用户名和密码，用于登录验证
13.  
    private String rightUserName = "admin";
14.  
    private String rightPassword = "admin";
15.  
     
16.  
    /**
17.  
    * 登录校验
18.  
    *
19.  
    * @param request
20.  
    * @return
21.  
    */
22.  
    @RequestMapping("/login")
23.  
    public String login(HttpServletRequest request) {
24.  
    String username = request.getParameter("username");
25.  
    String password = request.getParameter("password");
26.  
    if (null == username || null == password) {
27.  
    return "redirect:/";
28.  
    }
29.  
     
30.  
    // 前端传回的密码实际为用户输入的：用户名（小写）+ 密码（小写）组合的字符串生成的md5值
31.  
    // 此处先通过后台保存的正确的用户名和密码计算出正确的md5值，然后和前端传回来的作比较
32.  
    String md5info = rightUserName.toLowerCase() + rightPassword.toLowerCase();
33.  
    String realPassword = DigestUtils.md5DigestAsHex(md5info.getBytes());
34.  
    if (!password.equals(realPassword)) {
35.  
    return "redirect:/";
36.  
    }
37.  
     
38.  
    // 校验通过时，在session里放入一个标识
39.  
    // 后续通过session里是否存在该标识来判断用户是否登录
40.  
    request.getSession().setAttribute("loginName", "admin");
41.  
    return "redirect:/welcome";
42.  
    }
43.  
     
44.  
    /**
45.  
    * 注销登录
46.  
    *
47.  
    * @param request
48.  
    * @return
49.  
    */
50.  
    @RequestMapping("/loginout")
51.  
    public String loginOut(HttpServletRequest request) {
52.  
    request.getSession().invalidate();
53.  
    return "redirect:/";
54.  
    }
55.  
     
56.  
    }

2.2.3 Interceptor

LoginInterceptor.java是整个登录认证模块中的核心类之一，它实现了HandlerInterceptor类，由它来拦截并过滤到来的每一个请求；它的三个方法能分别作用于每个请求的不同生命周期，你可以根据自己的需要来加入相应的处理逻辑；

1.  
   /**
2.  
   * Created with logindemo.
3.  
   * Author: dreamer-1
4.  
   * Email: zhong--lei@outllok.com
5.  
   * Date: 2018/5/13
6.  
   * Time: 下午2:58
7.  
   * Description:
8.  
   */
9.  
   public class LoginInterceptor implements HandlerInterceptor {
10.  
     
11.  
    /**
12.  
    * 在请求被处理之前调用
13.  
    * @param request
14.  
    * @param response
15.  
    * @param handler
16.  
    * @return
17.  
    * @throws Exception
18.  
    */
19.  
    @Override
20.  
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
21.  
    // 检查每个到来的请求对应的session域中是否有登录标识
22.  
    Object loginName = request.getSession().getAttribute("loginName");
23.  
    if (null == loginName || !(loginName instanceof String)) {
24.  
    // 未登录，重定向到登录页
25.  
    response.sendRedirect("/");
26.  
    return false;
27.  
    }
28.  
    String userName = (String) loginName;
29.  
    System.out.println("当前用户已登录，登录的用户名为： " + userName);
30.  
    return true;
31.  
    }
32.  
     
33.  
    /**
34.  
    * 在请求被处理后，视图渲染之前调用
35.  
    * @param request
36.  
    * @param response
37.  
    * @param handler
38.  
    * @param modelAndView
39.  
    * @throws Exception
40.  
    */
41.  
    @Override
42.  
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
43.  
     
44.  
    }
45.  
     
46.  
    /**
47.  
    * 在整个请求结束后调用
48.  
    * @param request
49.  
    * @param response
50.  
    * @param handler
51.  
    * @param ex
52.  
    * @throws Exception
53.  
    */
54.  
    @Override
55.  
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
56.  
     
57.  
    }
58.  
    }

2.2.4 Configuration

LoginConfiguration.java是另一个核心类之一，它继承自WebMvcConfigurerAdapter类，负责注册并生效我们自己定义的拦截器配置；
在这里要注意定义好拦截路径和排除拦截的路径；

WebMvcConfigurerAdapter其实还可以做很多其他的事，包括添加自定义的视图控制器等等，详见这里

1.  
   /**
2.  
   * Created with logindemo.
3.  
   * Author: dreamer-1
4.  
   * Email: zhong--lei@outllok.com
5.  
   * Date: 2018/5/13
6.  
   * Time: 下午2:58
7.  
   * Description:
8.  
   */
9.  
   @Configuration
10.  
    public class LoginConfiguration implements WebMvcConfigurer {
11.  
    @Override
12.  
    public void addInterceptors(InterceptorRegistry registry) {
13.  
    // 注册拦截器
14.  
    LoginInterceptor loginInterceptor = new LoginInterceptor();
15.  
    InterceptorRegistration loginRegistry = registry.addInterceptor(loginInterceptor);
16.  
    // 拦截路径
17.  
    loginRegistry.addPathPatterns("/**");
18.  
    // 排除路径
19.  
    loginRegistry.excludePathPatterns("/");
20.  
    loginRegistry.excludePathPatterns("/login");
21.  
    loginRegistry.excludePathPatterns("/loginout");
22.  
    // 排除资源请求
23.  
    loginRegistry.excludePathPatterns("/css/login/*.css");
24.  
    loginRegistry.excludePathPatterns("/js/login/**/*.js");
25.  
    loginRegistry.excludePathPatterns("/image/login/*.png");
26.  
    }
27.  
    }

3. 踩坑与填坑

3.1 多次重定向与Circle view path错误

刚开始程序部署至tomcat里运行时，理所当然的出现了意想不到的情况，详情如下：
启动时localhost:8080显示：

后台一直报错：

通过断点调试，发现启动后不停地进入IndexViewController中的“/”这个URL映射里;
手动指定访问路径为 localhost:8080/welcome 时后台报错：

解决办法：

1. 在pom文件中导入thymeleaf依赖：

1.  
   <dependency>
2.  
   <groupId>org.springframework.boot</groupId>
3.  
   <artifactId>spring-boot-starter-thymeleaf</artifactId>
4.  
   </dependency>

1. 在application.properties里添加如下配置：

1.  
   spring.thymeleaf.prefix=classpath:/templates/
2.  
   spring.thymeleaf.suffix=.vm

我猜想可能是我的view文件都以.vm结尾，thymeleaf默认找的是.html结尾的视图，所以一直找不到；
有知道的大神可以在下面留言详细讲解一下 ^_^

4. 大功告成

运行截图：
未登录情况下访问 localhost:8080/welcome 等非登录页面时会自动跳转到登录页面：

http://www.vxjezfv.cn/
http://news.vxjezfv.cn/
http://www.xibiyo.com.cn/
http://news.xibiyo.com.cn/
http://www.9208361.org.cn/
http://news.9208361.org.cn/
http://www.9111316.cn/
http://news.9111316.cn/
http://www.bluelf.com.cn/
http://news.bluelf.com.cn/
http://www.qqq136com.cn/
http://news.qqq136com.cn/
http://www.2819w.cn/
http://news.2819w.cn/
http://www.9019758.org.cn/
http://news.9019758.org.cn/
http://www.wydaogou.cn/
http://news.wydaogou.cn/
http://www.ralhys.cn/
http://news.ralhys.cn/