springMVC中Interceptor拦截器的使用

1.环境配置

首先，这是在所有SSM环境都部署好的情况下操作：

1.在springMVC的配置文件spring-servlet.xml中配置自动扫描的包(为了使用springMVC注解)

<context:component-scan base-package="controller"/>

2.在web.xml中配置拦截对象

<servlet-mapping>

     <servlet-name>spring</servlet-name>

     <url-pattern>/back/*.do</url-pattern>

</servlet-mapping>

这里会拦截所有back为前缀，do为后缀的请求

2.前端页面

1.编写index.jsp前端代码

<p><a href="login.html">登录</a></p>

<p><a href="user/home.html">用户中心</a></p>

（请求为.do后缀）

2.编写login.jsp登录页面（提交到dologin.html）,userhome.jsp用户中心界面（用于测试权限）

<%@ page language="java" contentType="text/html; charset=UTF-8"

    pageEncoding="UTF-8"%>

<%@taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

<title>admin</title>

</head>

<body>

    <form action="${pageContext.request.contextPath}/checkAdmin.do" method="post">

        <table>

            <tr><td>用户名</td><td><input type="text" name="userName"/></td></tr>

            <tr><td>密码</td><td><input type="password" name="userPwd"></td></tr>

            <tr><td colspan="2"><input type="submit" value="登录"></td></tr>

        </table>

    </form>

</body>

</html>

3.Interceptor类

package interceptor;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

import model.Admin;

//拦截器

public class AuthorizationInterceptor implements HandlerInterceptor {

    //不拦截的页面

    private static final String[] IGNORE_URI={"/adminPage","/uploadPage"};   //填写XX.do 

    /**

     * 请求之后执行，用于清理资源

     * 在Interceptor的preHandle返回为true时执行

     */

    @Override

    public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)

            throws Exception {

        System.out.println("方法AuthorizationInterceptor  afterCompletion()");

    }

    /**

     * Controller调用之后执行，可对ModelAndView操作

     * 当Interceptor的preHandle返回为true时执行

     */

    @Override

    public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, ModelAndView arg3)

            throws Exception {

        System.out.println("方法AuthorizationInterceptor  postHandle()");

    }

    /**

     * preHandle拦截使用，在controller执行之前

     * 返回值为true才会向下执行，false的话请求就结束

     */

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object arg2) throws Exception {

        System.out.println("方法AuthorizationInterceptor  preHandle()");

        boolean flag=false;   //用于存储判断登录的结果

        //对请求路径进行判断

        String servletPath=request.getServletPath(); 

        //判断请求是否需要拦截

        for(String s:IGNORE_URI){

            if(servletPath.contains(s)){

                flag=true;    //如果是不拦截的网站，flag为true,跳出循环，转向下个方法

                break;

            }

        }

        //拦截请求

        if(!flag){   //如果是非公开的页面↓

            Admin admin=(Admin)request.getSession().getAttribute("ADMIN");

            if(admin==null){

                System.out.println("AuthorizationInterceptor拦截请求");

                request.setAttribute("message", "请先登录管理员后再访问网站");

                request.getRequestDispatcher("/error.jsp").forward(request, response);

            }else{

                //用户登陆过，验证通过，放行

                System.out.println("AuthorizationInterceptor放行请求");

                flag=true;

            }

        }

        return flag;

    }

}

4.运行测试

到这里环境的配置和代码的准备就完成了。用户点击前端页面的登录按钮之后，就会执行checkAdmin.do。（因为web.xml配置的拦截为/back/*,所以该请求不会被拦截），验证通过的话，页面会跳转到用户管理页，用户名会存入session。

验证用户的代码：

    @RequestMapping("/checkAdmin.do")

    public void checkAdmin(Admin admin,HttpSession session,HttpServletRequest request,HttpServletResponse response) throws ServletException, IOException{

        System.out.println("进入了checkAmin的controller方法");

        String path="/error.jsp";

        if(adminDAO.checkAdmin(admin)){

            session.setAttribute("ADMIN",Global.ADMIN);  //将整个对象存入ADMIN的session中

            path="/back/index.do";     //通过.do跳转才能发挥拦截器

        }

        request.getRequestDispatcher(path).forward(request, response);

    }

这里就要提到拦截器的作用了，当用户没有登录（session没存入用户名），直接用/back/index.do访问用户管理页时，Interceptor就会先判断该页面是否是权限页面，是的话进一步判断用户是否已经存入session。如果没有存入，跳转到error页面。有存入session用户名则返回true放行。

这里有两个注意点：

1.有权限限制的XX.jsp页面的文件名不允许在前端代码出现，否者会被用户绕过X.do的拦截。如果非要在前端展示跳转链接，因使用*.do调用，在后台进行跳转：

<a href="${pageContext.request.contextPath}/back/uploadPage.do">上传页面</a>

专门写一个controller方法进行跳转：

/**

 * 跳转到上传页面

 * @param request

 * @param response

 */

    @RequestMapping("/back/uploadPage.do")

    public void toPlayUpload(HttpServletRequest request,HttpServletResponse response){

        try {

            request.getRequestDispatcher("/admin/yuleruanjianUpload.jsp").forward(request, response);

        } catch (ServletException | IOException e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }

    }

2.当我们把信息存入session中的时候，使用一个类进行静态常量的管理

package constan;

//这个类用来放置全局常量

public class Global {

      public static final String ADMIN="ADMIN";    //存储管理员对象

}

使用以下方式存入：

session.setAttribute(Global.ADMIN，admin);  //将整个对象存入ADMIN的session中