2. 程式人生 > >SpringBoot AOP 基於前後端分離的登入攔截設計

SpringBoot AOP 基於前後端分離的登入攔截設計

阿新 發佈:2019-02-10

一、前言

前後端分離開發是目前軟體開發的主流,大大提高了開發效率
但也帶來了很多不方便之處。

1、優點:
① 傳統全棧開發的 MVC 模式將不適合,後臺採取 MVP 面向介面程式設計,耦合度大大降低

2、缺點:
① 跨域問題不勝其擾

3、原則:
① 一個合格的後臺應全力負責業務邏輯
② 前端不要參與過多的業務邏輯,專注於網頁的視覺建設
否則專案耦合度高、網站的安全性低

二、思路

學過計算機網路的,都知道,每個人的電腦的 ip 地址是全球唯一的,
我們可以利用 ip 地址在資料庫中的記錄中的 查詢、增加、刪除,來進行 攔截、登入、登出
使用 AOP 程式設計,對指定的方法進行登入攔截

三、程式碼

下面以個人最近開發的一個校園外賣網站的後臺程式碼為例(待續),抽取分享相關的程式碼

1、程式碼結構

這裡寫圖片描述
這裡寫圖片描述

2、登入實體 Login.java

package com.cun.entity;

import java.util.Date;

import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.GeneratedValue;
import javax.persistence.Id;
import javax.persistence.Table;

import
 
 io.swagger.annotations.ApiModelProperty;

@Entity
@Table(name = "t_login")
public class Login {

    @Id
    @GeneratedValue
    @ApiModelProperty(value = "主鍵id")
    private Integer id;

    @Column(length = 100)
    private String addressIp; //登入後的主機 ip

    private Date date; //登陸時間

    private Integer userId;  //關聯登入的使用者id
 


    public Integer getId() {
        return id;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public String getAddressIp() {
        return addressIp;
    }

    public void setAddressIp(String addressIp) {
        this.addressIp = addressIp;
    }

    public Date getDate() {
        return date;
    }

    public void setDate(Date date) {
        this.date = date;
    }

    public Integer getUserId() {
        return userId;
    }

    public void setUserId(Integer userId) {
        this.userId = userId;
    }

}

3、Dao層 LoginDao.java

package com.cun.dao;


import org.springframework.data.jpa.repository.JpaRepository;
import org.springframework.data.jpa.repository.Modifying;
import org.springframework.data.jpa.repository.Query;

import com.cun.entity.Login;

public interface LoginDao extends JpaRepository<Login, Integer>{

    // 注意:delete 操作,dao 介面層加 @Modifying ,在呼叫層使用 @Transactional
    @Modifying
    @Query(value = "delete from t_login where address_ip=?1", nativeQuery = true)
    void deleteLogin(String addressIp);

    @Query(value = "select * from t_login where address_ip=?1 order by date desc limit 1", nativeQuery = true)
    Login getLoginByIp(String addressIp);

}

4、安全控制 MySecurity.java

構思最為長久的地方

package com.cun.security;

import javax.servlet.http.HttpServletRequest;

import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.After;
import org.aspectj.lang.annotation.AfterReturning;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Pointcut;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import com.cun.dao.LoginDao;
import com.cun.entity.Login;
import com.cun.util.Json;

@Component
@Aspect
public class MySecurity {

    @Autowired
    private LoginDao loginDao;

    private final Logger logger = LoggerFactory.getLogger(MySecurity.class);

    @Pointcut("execution(public * com.cun.controller.admin.*.*(..))")
    public void log() {
    }

    @Before("log()")
    public void deoBefore(JoinPoint joinPoint) {
        logger.info("方法執行前...");

        ServletRequestAttributes sra = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = sra.getRequest();
        logger.info("url:" + request.getRequestURI());
        logger.info("ip:" + request.getRemoteHost());
        logger.info("method:" + request.getMethod());
        logger.info("class_method:" + joinPoint.getSignature().getDeclaringTypeName() + "."
                + joinPoint.getSignature().getName());
        logger.info("args:" + joinPoint.getArgs());
    }

    @After("log()")
    public void doAfter(JoinPoint joinPoint) {
        logger.info("方法執行後...");
    }

    @AfterReturning(returning = "result", pointcut = "log()")
    public void doAfterReturning(Object result) {
        logger.info("執行返回值:" + result);
    }

    @Around("log()")
    public Object trackInfo(ProceedingJoinPoint pjp) throws Throwable {

        ServletRequestAttributes sra = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = sra.getRequest();
        String remoteHost = request.getRemoteHost();
        Login loginByIp = loginDao.getLoginByIp(remoteHost);

        if (loginByIp == null) {
            logger.info("-------------沒有登入-------------");
            return Json.fail();
        } else {
            logger.info("-------------登入通過-------------");
        }
        return pjp.proceed();
    }

}

5、通用返回值工具類簡單設計

package com.cun.util;

import java.util.HashMap;
import java.util.Map;

public class Json {

    public static Map<String, Object> success(Object data) {
        Map<String, Object> map = new HashMap<String, Object>();
        map.put("code", 200);
        map.put("msg", "ok");
        map.put("data", data);
        return map;
    }

    public static Map<String, Object> fail() {
        Map<String, Object> map = new HashMap<String, Object>();
        map.put("code", 400);
        map.put("msg", "error");
        return map;
    }

}

四、最後

其實這種做法是不安全的,只能攔截沒有程式設計知識的小白群眾,使用者可以使用代理 ip 等技術,獲取他人的 ip 去登入

相關推薦

SpringBoot AOP 基於前後分離登入攔截設計

一、前言 前後端分離開發是目前軟體開發的主流,大大提高了開發效率 但也帶來了很多不方便之處。 1、優點: ① 傳統全棧開發的 MVC 模式將不適合,後臺採取 MVP 面向介面程式設計,耦合度大大降低 2、缺點: ① 跨域問題不勝其擾 3、原則:

shiro,基於springboot基於前後分離,從登入認證到鑑權,從入門到放棄

這個demo是基於springboot專案的。 名詞介紹: ShiroShiro 主要分為 安全認證 和 介面授權 兩個部分,其中的核心元件為 Subject、 SecurityManager、 Realms,公共部分 Shiro 都已經為我們封裝好了,我們只需要按照一定的規則去編寫響應的程式碼即可…

一套基於SpringBoot+Vue+Shiro 前後分離 開發的程式碼生成器

一、前言 最近花了一個月時間完成了一套基於Spring Boot+Vue+Shiro前後端分離的程式碼生成器,目前專案程式碼已基本

Springboot 框架 gateway 前後分離 實現 zuul Ribbon 負載均衡 脫離Eureka實現

專案後臺框架是使用的springboot ,前端使用的是angularJS,中間使用gateway做一層轉發。其實也是微服務的思想。那麼在gateway這層怎麼實現負載均衡。就使用到了zuul,那麼可以使用zuul 的Ribbon來實現負載均衡。 這個是我們專案原先做了一個配置。主要是zu

基於前後分離的身份認證方式——JWT

目錄: 一、什麼是JWT 二、我們為什麼要使用JWT(與傳統的session認證有何區別) 三、如何使用JWT 四、JWT的構成及原理 五、JWT加解密例項 一、什麼是JWT JWT——Json web token 是為了在網路應用環境間傳遞宣

Springboot+Vue 的前後分離與合併方案

摘要: springboot+vue的前後端分離與合併 springboot和vue結合的方案網路上的主要有以下兩種: 1. 【不推薦】在html中直接使用script標籤引入vue和一

基於前後分離的Nginx+Tomcat動靜分離

解壓 新建 動靜 bean 好處 val cdn view .config 1.什麽是動靜分離 “動”與“靜” 在弄清動靜分離之前,我們要先明白什麽是動,什麽是靜。 在Web開發中,通常來說,動態資源其實就是指那些後臺資源,而靜態資源就是指Html、img、js、css等文

Spring Security 前後分離登入,非法請求直接返回 JSON

hello 各位小夥伴,國慶節終於過完啦,鬆哥也回來啦,今天開始咱們繼續發乾貨! 關於 Spring Security,鬆哥之前發過多篇文章和大家聊聊這個安全框架的使用: 手把手帶你入門 Spring Security! Spring Security 登入新增驗證碼 SpringSecurity 登入使用

【筆記】總結Springboot和Vue前後分離的跨域問題

跨域一直是個很玄學的問題,SSM的時候又得前後端一起配置,sb的時候又不用。 前端 axios普通get請求 submitForm() { var v=this; this.$axios({ method: 'get', url: api.b

基於CAS的單點登入SSO[5]: 基於Springboot實現CAS客戶前後分離

基於CAS的單點登入SSO[5]: 基於Springboot實現CAS客戶端的前後端分離 作者:家輝,日期:2017-08-24 CSDN部落格: http://blog.csdn.net/gobitan 摘要:現在大部分系統的開發都已經

基於小程式開發的前後分離登入狀態

公司接了一個小程式的活。本來後臺想用的是session儲存登入狀態。後來發現登入存進去的sessionId和取時候的sessionId不一樣,匯入無法取到登入狀態,百度了一下才知道,原來是小程式端不支援儲存cookie,後來想到了在微信登入授權後,把openId加密(token),當做key,ope

SpringBoot使用SpringSecurity搭建基於非對稱加密的JWT及前後分離的搭建

安全問題是一個比較複雜的問題,之前使用過Shiro這個安全框架,確實挺簡單的,後來使用SpringSecurity,SpringSecurity更細粒度可控,現在做專案基本都使用前後端分離的,很少再使用Thymeleaf這類模板引擎,而基於前後端分離的許可權問題

springBoot + vue前後分離專案如何部署到伺服器(嘗試各種方法終究是路徑問題導致無法正常登入

第一步:命令列npm run build將前端打包成靜態檔案(一般會在dist目錄下生成static資料夾以及index.html檔案) 上圖為:config目錄index.js配置的build以及dev命令,如果你沒找到static資料夾及index.html,到這裡

【筆記】vue+springboot前後分離實現token登入驗證和狀態儲存的簡單實現方案

簡單實現 token可用於登入驗證和許可權管理。 大致步驟分為: 前端登入,post使用者名稱和密碼到後端。 後端驗證使用者名稱和密碼,若通過,生成一個token返回給前端。 前端拿到token用vuex和localStorage管理,登入成功進入首頁。 之後前端每一次許可權操作如跳轉路由,都需要判斷是否存

springBoot整合spring security+JWT實現單點登入與許可權管理前後分離--築基中期

## 寫在前面 在前一篇文章當中,我們介紹了springBoot整合spring security單體應用版,在這篇文章當中,我將介紹springBoot整合spring secury+JWT實現單點登入與許可權管理。 本文涉及的許可權管理模型是**基於資源的動態許可權管理**。資料庫設計的表有 user

基於原生JS+node.js+mysql打造的簡易前後分離用戶登錄系統

power 3.2 80端口 文檔 type ima 原生 倉庫 json 一、登錄頁面 這個沒什麽說的,就放兩張圖 二、服務器端 用express(文檔)搭建服務器,數據褲用mysql(基礎語句),新建一個users,再新建一張users表,我們用這張表。 服務器主要是

前後分離實踐:基於vue實現網站前臺的權限管理

Vue.js Javascript做為當下的熱門語言,用途很廣泛,從前端到後端處處可見其存在,該技術如今在我們項目內部也大量使用來開發諸如CMS系統以及其他其他一些數據分析系統的前端頁面,為此個人非常感興趣並將其作為帽子卡的擴展內容來進行課余學習。 Javascript框架鱗次櫛比,但基本原理大致相

基於NodeJS+Express+mongoDB+Bootstrap的全棧式工程化開發前後分離博客系統實戰

後臺管理 課程簡介 命令 查看 node.js 全棧 b+ 博客 代碼 課程目標本課程通過一個完整的項目,讓學員了解如何使用Jade+Node.js+Express+mongoDB+Bower+Gulp+Yeoman的組合開發Web應用。可以讓學員更深入地掌握Node.js

mui+vue微信版前後分離手機登入頁面佈局和呼叫資料

第一步:頁面效果圖如下,是一個很常用的頁面 第二:程式碼如下,頁面非常少,沒有用webpack和vue-li,用了最原始的方法 <!DOCTYPE html> <html> <head> <meta charset="utf-8">

1124——使用Springboot和Vue開發的CRM系統,真正前後分離的微服務架構,BAT網際網路公司主流技術的集大成者

使用Springboot和Vue開發的CRM系統,真正前後端分離的微服務架構,BAT網際網路公司主流技術的集大成者 2017年07月18日 22:16:54 李國才 閱讀數:37532 標籤: 微服務 更多 個人分類: java mysql 前後端分離 i18n springboot 微服