统一登录验证过滤器

　

统一登录器

在业务系统的开发过程中，有很多接口是需要登录后才可访问的，比如访问一些敏感数据，进行一些敏感操作等。常规思维是在需要验证登录的接口验证session来验证是否登录，但这样会造成大量的重复代码。所以增加一个Filter去做统一的登录验证是很有必要的。

首先，我将所有的接口做了一个简单的规范，需要登录验证的接口以/work/开头，而不需要登录就可访问的接口以/portal/开头。

Filter在web.xml中的配置如下：

	<!-- 统一登录验证Filter -->
	<filter>
		<filter-name>sessionFilter</filter-name>
		<filter-class>com.alien.almcenter.constant.LoginAuthenticationFilter</filter-class>
		<init-param>
			<param-name>sessionKey</param-name>
			<param-value>userInfo</param-value>
		</init-param>
	</filter>
	<filter-mAPPing>
		<filter-name>sessionFilter</filter-name>
		<url-pattern>/work/*</url-pattern>
	</filter-mapping>

这里预留了一个sessionKey的参数，用于用户自定义自己存放用户信息的session key。定义了这个Filter后，所有以/work/开头的请求都会先进会这个Fiter进行处理，若验证session失败，则直接退出。

package com.alien.almcenter.constant;

import java.io.IOException;
import java.io.outputstreamwriter;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.filterconfig;
import javax.servlet.ServletException;
import javax.servlet.Servletrequest;
import javax.servlet.Servletresponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import com.alien.almcenter.vo.ResponseInfo;

import org.Springframework.util.StringUtils;

import com.alibaba.fastjson.JSON;

public class LoginAuthenticationFilter implements Filter {

	private String sessionKey;
	

	@Override
	public void destroy() {
	}

	@Override
	public void doFilter(ServletRequest servletRequest,
			ServletResponse servletResponse, FilterChain chain)
			throws IOException, ServletException { 
		HttpServletRequest request = (HttpServletRequest) servletRequest;
		HttpServletResponse response = (HttpServletResponse) servletResponse;
		if (StringUtils.isempty(sessionKey)){
			chain.doFilter(servletRequest, servletResponse);
			return;
		}
		HttpSession session = request.getSession();
		if (session != null && session.getattribute(sessionKey) != null) {
			chain.doFilter(servletRequest, servletResponse);
			return;
		} else {
			ResponseInfo<String> info = new ResponseInfo<String>();
			info.setRtnCode(AlmRetConstant.code.NOT_LOGIN);
			info.setRtnMsg(AlmRetConstant.msg.NOT_LOGIN);
			String respString = JSON.toJSONString(info);
			response.setcontenttype("text/html; charset=utf-8");
			outputstreamWriter ow = new OutputStreamWriter(response.getOutputStream(), "UTF-8");
			ow.write(new String(respString.getBytes("UTF-8"),"UTF-8"));
			ow.flush();
			ow.close();
		}
	}

	@Override
	public void init(FilterConfig config) throws ServletException {
		sessionKey = config.getInitparameter("sessionKey");
	}

}

    这样，统一登录校验的功能就完成了。可以在浏览器上直接访问URL，可以看到请求被拦截，由于现在前后端开发一般分离，所以我并没有通过后端去做跳转至登录页，而是返回特定的返回码，前端可通过这个特定返回码判断是由于未登录而被拦截的。

相关阅读

使用过滤器(Filter)实现用户自动登录

使用过滤器(Filter)实现用户自动登录应用场景:现在大部分网站都支持一段时间类用户自动登陆功能,移动端APP应用几乎都需要自动登

filter过滤器，filterchain的dofilter方法

tomcat责任链设计模式 FilterChain原理解析实现filterchain的dofilter方法里面存在这种机制，把自身接收到的请求request对象和resp

分布式缓存击穿（布隆过滤器 Bloom Filter）

缓存中无值（未宕机） 互斥锁 缓存永不过期 缓存宕机 白名单 布隆过滤器 代码实现 前面的文章介绍了缓存的分类和使用的场景

Spring MVC过滤器-字符集过滤器（CharacterEncodingFilt

Spring的字符集过滤通过用于处理项目中的乱码问题，该过滤器位于org.springframework.web.filter包中，指向类CharacterEncodingFilte

Wireshark图解教程（简介、抓包、过滤器）

Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。与很