MVC过滤器

时间:2019-11-12
本文章向大家介绍MVC过滤器,主要包括MVC过滤器使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。

什么是拦截器

  Spring MVC中的拦截器(Interceptor)类似于Servlet中的过滤器(Filter),它主要用于拦截用户请求并作相应的处理。例如通过拦截器可以进行权限验证、记录请求信息的日志、判断用户是否登录等。在SpringMVC中通过实现HandlerInterceptor接口实现自定义拦截器类。

拦截器可以做什么

  拦截器可以用于权限验证、解决乱码、操作日志记录、性能监控、异常处理

自定义拦截器

public class MyInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
         //对浏览器的请求进行放行处理
        System.out.println("preHandle====");
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object o, ModelAndView modelAndView) throws Exception {
        System.out.println("postHandle====");
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object o, Exception e) throws Exception {
        System.out.println("afterCompletion====");
    }
}
View Code

接口中实现的三个方法

  preHandle() 方法:该方法会在控制器方法前执行,其返回值表示是否中 断后续操作。当其返回值为true时,表示继续向下执行;当其返回值为false时,会中断后续的所有操作(包括调用下一个拦截器和控 制器类中的方法执行等)。

  postHandle()方法:该方法会在控制器方法调用之后,且解析视图之前执 行。可以通过此方法对请求域中的模型和视图做出进一步的修改。

  afterCompletion()方法:该方法会在整个请求完成,即视图渲染结束之 后执行。可以通过此方法实现一些资源清理、记录日志信息等工作。

拦截器配置

<mvc:interceptors>
        <mvc:interceptor>
      <!--拦截器映射的URL-->
            <mvc:mapping path="/**"/>
           <!--配置拦截器类-->
            <bean class="com.cmy.inter.InterTest"></bean>
        </mvc:interceptor>
</mvc:interceptors>
View Code

拦截器和过滤器的区别

1、过滤器

  依赖于servlet容器。在实现上基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作,获取我们想要获取的数据,比如:在过滤器中修改字符编码;在过滤器中修改HttpServletRequest的一些参数,包括:过滤低俗文字、危险字符等。

2、拦截器

  依赖于web框架,在SpringMVC中就是依赖于SpringMVC框架。在实现上基于Java的反射机制,属于面向切面编程(AOP)的一种运用。由于拦截器是基于web框架的调用,因此可以使用Spring的依赖注入(DI)进行一些业务操作,同时一个拦截器实例在一个controller生命周期之内可以多次调用。但是缺点是只能对controller请求进行拦截,对其他的一些比如直接访问静态资源的请求则没办法进行拦截处理。

使用拦截器解决CSRF攻击

  1、CSRF:CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

  2、CSRF可以做什么:你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。

  

解决案例

  导入依赖:

<dependency>
  <groupId>org.apache.commons</groupId>
  <artifactId>commons-lang3</artifactId>
  <version>3.3.2</version>
</dependency>
View Code

  编写拦截器:

package com.cmy.inter;

import org.apache.commons.lang3.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

public class InterTest implements HandlerInterceptor {
    @Override
    //调用控制器方法之前调用的函数
    //鉴权 过滤敏感词的操作
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
        //获取session对象
        HttpSession session=httpServletRequest.getSession();
        //获取内部的安全随机数
        String session_csrf = String.valueOf(session.getAttribute("_csrf"));
        //根据用户请求传递而来的安全随机数
        String request_csrf = httpServletRequest.getParameter("_csrf");
        System.out.println(session_csrf+"===session");
        System.out.println(request_csrf+"===request");
        //移除安全随机数
        //session.removeAttribute("_csrf");
        //判断非空 安全的情况下
        if (StringUtils.isNotBlank(session_csrf)&&StringUtils.isNotBlank(request_csrf)&&session_csrf.equals(request_csrf)){
            return true;
        }else{
            httpServletResponse.setContentType("text/html;charset=utf-8");
            httpServletResponse.setStatus(403); //处理跨域状态码
            httpServletResponse.getWriter().write("请不要重复提交请求,如有疑问,请联系客服");
            return false;
        }
    }

    @Override
    //调用完控制器方法之后调用的函数
    //记录用户日志的功能
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
        System.out.println("postHandle控制器方法之后=====2222222222");
    }

    @Override
    //数据渲染到视图结束后调用的函数
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
        System.out.println("afterCompletion渲染视图之后=====3333333333");
    }
}
View Code

  spring-mvc配置:

<mvc:interceptors>
        <mvc:interceptor>
      <!--拦截器映射的URL-->
            <mvc:mapping path="/**"/>
           <!--配置拦截器类-->
            <bean class="com.cmy.inter.InterTest"></bean>
        </mvc:interceptor>
</mvc:interceptors>
View Code

原文地址:https://www.cnblogs.com/wnwn/p/11839873.html