Spring MVC中的拦截器(Interceptor)类似于Servlet中的过滤器(Filter),它主要用于拦截用户请求并作相应的处理。例如通过拦截器可以进行权限验证、记录请求信息的日志、判断用户是否登录等。在SpringMVC中通过实现HandlerInterceptor接口实现自定义拦截器类。
拦截器可以用于权限验证、解决乱码、操作日志记录、性能监控、异常处理
public class MyInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception { //对浏览器的请求进行放行处理 System.out.println("preHandle===="); return true; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object o, ModelAndView modelAndView) throws Exception { System.out.println("postHandle===="); } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object o, Exception e) throws Exception { System.out.println("afterCompletion===="); } }
接口中实现的三个方法
preHandle() 方法:该方法会在控制器方法前执行,其返回值表示是否中 断后续操作。当其返回值为true时,表示继续向下执行;当其返回值为false时,会中断后续的所有操作(包括调用下一个拦截器和控 制器类中的方法执行等)。
postHandle()方法:该方法会在控制器方法调用之后,且解析视图之前执 行。可以通过此方法对请求域中的模型和视图做出进一步的修改。
afterCompletion()方法:该方法会在整个请求完成,即视图渲染结束之 后执行。可以通过此方法实现一些资源清理、记录日志信息等工作。
<mvc:interceptors>
<mvc:interceptor>
<!--拦截器映射的URL-->
<mvc:mapping path="/**"/>
<!--配置拦截器类-->
<bean class="com.cmy.inter.InterTest"></bean>
</mvc:interceptor>
</mvc:interceptors>
1、过滤器
依赖于servlet容器。在实现上基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作,获取我们想要获取的数据,比如:在过滤器中修改字符编码;在过滤器中修改HttpServletRequest的一些参数,包括:过滤低俗文字、危险字符等。
2、拦截器
依赖于web框架,在SpringMVC中就是依赖于SpringMVC框架。在实现上基于Java的反射机制,属于面向切面编程(AOP)的一种运用。由于拦截器是基于web框架的调用,因此可以使用Spring的依赖注入(DI)进行一些业务操作,同时一个拦截器实例在一个controller生命周期之内可以多次调用。但是缺点是只能对controller请求进行拦截,对其他的一些比如直接访问静态资源的请求则没办法进行拦截处理。
1、CSRF:CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
2、CSRF可以做什么:你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。
导入依赖:
<dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-lang3</artifactId> <version>3.3.2</version> </dependency>
编写拦截器:
package com.cmy.inter; import org.apache.commons.lang3.StringUtils; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; public class InterTest implements HandlerInterceptor { @Override //调用控制器方法之前调用的函数 //鉴权 过滤敏感词的操作 public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception { //获取session对象 HttpSession session=httpServletRequest.getSession(); //获取内部的安全随机数 String session_csrf = String.valueOf(session.getAttribute("_csrf")); //根据用户请求传递而来的安全随机数 String request_csrf = httpServletRequest.getParameter("_csrf"); System.out.println(session_csrf+"===session"); System.out.println(request_csrf+"===request"); //移除安全随机数 //session.removeAttribute("_csrf"); //判断非空 安全的情况下 if (StringUtils.isNotBlank(session_csrf)&&StringUtils.isNotBlank(request_csrf)&&session_csrf.equals(request_csrf)){ return true; }else{ httpServletResponse.setContentType("text/html;charset=utf-8"); httpServletResponse.setStatus(403); //处理跨域状态码 httpServletResponse.getWriter().write("请不要重复提交请求,如有疑问,请联系客服"); return false; } } @Override //调用完控制器方法之后调用的函数 //记录用户日志的功能 public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception { System.out.println("postHandle控制器方法之后=====2222222222"); } @Override //数据渲染到视图结束后调用的函数 public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception { System.out.println("afterCompletion渲染视图之后=====3333333333"); } }
spring-mvc配置:
<mvc:interceptors>
<mvc:interceptor>
<!--拦截器映射的URL-->
<mvc:mapping path="/**"/>
<!--配置拦截器类-->
<bean class="com.cmy.inter.InterTest"></bean>
</mvc:interceptor>
</mvc:interceptors>
原文:https://www.cnblogs.com/wnwn/p/11839873.html