从零开始写项目第二篇【登陆注册、聊天、收藏夹模块】

登陆模块目标

我要将其弄成类似的登陆,功能是要比较完善的。

本来我是想做一步写一步的,但是发现这样文章就会太乱,因为要改的地方太多了。前面写过的,后边就被修改了。这样看起来太混乱了。因此我现在是写完代码才来补这篇记录的。尽可能把当时的思路记录下来,并且捋一捋看一下有没有不足的地方。

编写注册模块过程

我的登陆注册模块主要是使用邮箱,这部分之前是没有了解过的。因此去找了一点资料。想完成使用邮箱来激活用户的思路可看下面:

http://blog.csdn.net/u013863751/article/details/45600651

根据这个思路,我就创建数据库表了,数据库表的设计如下:

设计完数据库表之后就去写前台页面了。因为登陆注册这部分的Dao层并不难,就几个简单的方法。

注册页面和校验

前台我使用的是Bootstrap为主,登陆注册模块是使用bootstrap官网提供的模版。

导航栏是使用之前看见过别人博客上的导航条:

http://blog.csdn.net/iamcgt/article/details/72863303

有了导航条和bootstrap官网提供的登陆注册模版了,背景现在太过单薄了。我想到了一个开源的项目:https://github.com/VincentGarreau/particles.js。于是下载下来改了一下。我的首页样式就有了。

particles.js参考教程:

http://blog.csdn.net/csdn_yudong/article/details/53128570

使用时要注意的是:particles div中包含的内容需要绝对定位。

注册的时候需要做前台校验的。本来是想自己写正则表达式做校验的,后来发现有BootstrapValidation这样一个组件。于是就去下载使用了。

boostrapValidation参考教程:

http://www.cnblogs.com/huangcong/p/5335376.html

http://blog.csdn.net/nazhidao/article/details/51542508

bootstrapValidation有一个坑,submitHandler提交方法只有0.45版本才有效(亲测)。后来在寻找版本的时候发现了一个非常有用的网站:能够查询到多个版本,十分好用。

http://www.bootcdn.cn/

经过一顿整改,我的页面和验证效果如下:

注册后台

做了前台的校验是不够的。因为有可能别人是知道我们注册的url就直接对其进行访问了(绕过bootstrapValidation来注册),因此我们还需要做后台校验。后台校验我使用的是SpringMVC的校验。也就是 Hibernate Validator(和Hibernate的ORM无关)。

要使用springMVC校验就要导入对应的maven坐标:

        <!--spring Validation校验-->
        <dependency>
            <groupId>org.hibernate</groupId>
            <artifactId>hibernate-validator</artifactId>
            <version>4.3.0.Final</version>
        </dependency>
        <dependency>
            <groupId>org.jboss.logging</groupId>
            <artifactId>jboss-logging</artifactId>
            <version>3.1.0.CR2</version>
        </dependency>
        <dependency>
            <groupId>javax.validation</groupId>
            <artifactId>validation-api</artifactId>
            <version>1.0.0.GA</version>
        </dependency>

参考资料:

http://www.cnblogs.com/liukemng/p/3738055.html

https://zhongfucheng.bitcron.com/post/springmvc/springmvcdi-liu-pian-xiao-yan-tong-yi-chu-li-yi-chang

在写配置文件的时候虽然idea提示是红色的,但是无妨,还是可以或获取得到的。对其忽略就行

那么我们的后台校验也已经完成了。

还有需要做校验的就是,如果用户已经注册过了,我们就不能让它再注册了。为了达到更好的用户体检,在提交表单前使用ajax来做校验就行了

                //邮箱去做后台唯一性校验
                submitHandler: function (validator, form, submitButton) {
                    var $email = $("#userEmail").val();
                    console.log($email);
                    $.ajax({
                        url: path + "/user/validateEmail.do",
                        type: "post",
                        async: false,
                        data: {
                            "userEmail": $email
                        },
                        success: function (responseText) {
                            if (responseText == "noEmail") {
                                validator.defaultSubmit();
                                sweetAlert("请到您指定的邮箱完成激活");
                            } else {
                                sweetAlert("您的邮箱已注册过了");
                            }
                        },
                        error: function () {
                            sweetAlert("系统错误!");
                        }
                    });
                }

做这个唯一性校验其实就是比对数据库有没有该条邮箱的记录罢了

在寻找资料的时候发现了sweetAlert这么一个组件,发现比浏览器自带的alert要好看得多。因此又去下载来用了。值得一提的是,我使用的环境是windows下载zip的方式,在官网下载的css文件是自带有错的。后来还是去上面我说的那个网站直接找出它的css和js文件就好了。

资料如下:

http://mishengqiang.com/sweetalert/

效果如下:

搞了那么久,就剩下入数据库了。

    /**
     * 先对数据进行校验,再注册
     *
     * @param user
     * @return
     * @throws Exception
     */
    @RequestMapping("/register.do")
    public String register(@Validated User user, BindingResult bindingResult) throws Exception {


        //如果参数不对,就直接返回注册页面
        List<ObjectError> allErrors = bindingResult.getAllErrors();
        if (allErrors != null && allErrors.size() > 0) {
            return "redirect:/goURL/user/toRegister.do";
        }


        //对密码进行加密md5(密码+salt)后才存到数据库中
        userService.encryptedPassword(user);

        userService.insert(user);

        //提示用户发送了邮件,让用户激活账户
        String url = getProjectPath() + "/user/activate.do?userId=" + user.getUserId();
        emailService.sendEmail(user, "注册", url);

        return "redirect:/common/countDown.html";
    }

首次插入进数据库的时候,激活码默认值是0,还有uuid生成

  <!--insert被自定义了。-->
  <insert id="insert" parameterType="zhongfucheng.entity.User" >
    <selectKey keyProperty="userId" order="BEFORE" resultType="string">
      select uuid()
    </selectKey>
    insert into table_user (user_id, user_nickname, user_password,
    user_email, acti_state, acti_code,
    salt,token_exptime)
    values (#{userId}, #{userNickname,jdbcType=VARCHAR}, #{userPassword,jdbcType=VARCHAR},
    #{userEmail,jdbcType=VARCHAR}, 0,  uuid(),
    #{salt},now())
  </insert>

对密码加密也很简单:生成一个随机数作为salt,使用md5(用户传递进来的密码+salt)

发送邮件就涉及到了javaMail了,javaMail之前是没有接触过的。于是就去找了几篇资料:

http://www.cnblogs.com/leechenxiang/p/6367432.html

http://www.cnblogs.com/codeplus/archive/2011/11/03/2232893.html

我是使用qq邮箱去发送邮件的:要去qq邮箱申请授权码才能发送

在看上边资料的时候,发现邮件其实用freemarker来做模版会很不错(因为邮箱的只有少部分内容是变的),于是又去找freemarker与spring整合的资料:

http://blog.csdn.net/lpjishu/article/details/51902024

http://blog.csdn.net/u013111003/article/details/52118514

http://www.jb51.net/article/43200.htm

上诉的maven坐标:

        <!-- Javamail与Spring-context-support support包也与freemarker整合 -->
        <dependency>
            <groupId>javax.mail</groupId>
            <artifactId>mail</artifactId>
            <version>1.4.4</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context-support</artifactId>
            <version>3.2.3.RELEASE</version>
        </dependency>

        <!--freemarker-->
        <dependency>
            <groupId>org.freemarker</groupId>
            <artifactId>freemarker</artifactId>
            <version>2.3.18</version>
            <type>jar</type>
            <scope>compile</scope>
        </dependency>

首先构建出发送邮件的模版数据、然后使用JavaMail发送带HTML格式的数据就行了。

/**
 * 邮件服务类,提供发送邮件的功能
 */
@Service
public class EmailService {
    @Autowired
    private JavaMailSender mailSender;

    @Autowired
    private SimpleMailMessage simpleMailMessage;


    /**
     * 使用mimeMessage发送的HTML格式的邮件。
     * @param user
     * @param content
     * @throws Exception
     */
    public void sendEmail(User user, String content,String url) throws Exception {

        String returnText = createSendData(user, content,url);

        // TODO 问题是出在发送邮件很慢 6086ms,解析freemarker才60ms 待优化
        MimeMessage mimeMessage = mailSender.createMimeMessage();
        MimeMessageHelper messageHelper = new MimeMessageHelper(mimeMessage, true, "UTF-8");
        messageHelper.setFrom(simpleMailMessage.getFrom());
        messageHelper.setSubject(simpleMailMessage.getSubject());

        //接受人
        messageHelper.setTo(user.getUserEmail());

        //内容,是HTML格式
        messageHelper.setText(returnText, true);
        mailSender.send(mimeMessage);

    }

    /**
     * 使用freemarker创建要发送的邮件内容
     * @param user    封装了要发送邮件的信息
     * @param content  发送的目的是什么(一个模版、多种邮件)
     * @param url       操作的地址路径是什么
     * @return HTML页面的内容
     * @throws Exception
     */

    public String createSendData(User user, String content,String url) throws Exception {

        Map<String, Object> map = new HashMap();
        map.put("nickName", user.getUserNickname());
        map.put("content", content);
        map.put("url", url);
        map.put("encodeUrl", Base64Util.encodeData(url));

        String returnText = new FreeMarkerUtils().returnText("email.ftl", map);

        return returnText;
    }
}

freemarker在springmvc配置文件中的配置:

   <!-- 同时开启json格式的支持 -->
    <mvc:annotation-driven></mvc:annotation-driven>

    <!-- 扫描所有的controller 但是不扫描service -->
    <context:component-scan base-package="zhongfucheng">
        <context:include-filter type="annotation"
                                expression="org.springframework.stereotype.Controller"/>
        <context:exclude-filter type="annotation"
                                expression="org.springframework.stereotype.Service"/>
    </context:component-scan>


    <!-- 配置Freemarker屬性文件路徑 -->
    <bean id="freemarkerConfiguration" class="org.springframework.beans.factory.config.PropertiesFactoryBean">
        <property name="location" value="classpath:freemarker.properties"/>
    </bean>


    <!-- 配置freeMarker模板加載地址 -->
    <bean id="freemarkerConfig" class="org.springframework.web.servlet.view.freemarker.FreeMarkerConfigurer">
        <!-- 視圖解析器會在/WEB-INF/ftl/路徑下掃描視圖文件 -->
        <property name="templateLoaderPath" value="/WEB-INF/ftl"/>
        <!-- 设置页面中文乱码问题 -->
        <property name="freemarkerSettings">
            <props>
                <prop key="defaultEncoding">UTF-8</prop>
            </props>
        </property>
        <property name="freemarkerVariables">
            <map>
                <entry key="xml_escape" value-ref="fmXmlEscape"/>
            </map>
        </property>

    </bean>
    <bean id="fmXmlEscape" class="freemarker.template.utility.XmlEscape"/>
    <!-- 配置freeMarker視圖解析器 -->
    <bean id="freemakerViewResolver" class="org.springframework.web.servlet.view.freemarker.FreeMarkerViewResolver">

        <property name="viewClass" value="org.springframework.web.servlet.view.freemarker.FreeMarkerView"/>
        <!-- 掃描路徑內所有以ftl結尾的文件 -->
        <property name="viewNames">
            <array>
                <value>*.ftl</value>
            </array>
        </property>

        <!-- 设置相关属性 -->
        <property name="cache" value="true"/>
        <property name="contentType" value="text/html; charset=UTF-8"/>
        <property name="exposeRequestAttributes" value="true"/>
        <property name="exposeSessionAttributes" value="true"/>
        <property name="exposeSpringMacroHelpers" value="true"/>
        <property name="requestContextAttribute" value="request"/>

        <!-- 給視圖解析器配置優先級,你可以給之前jsp視圖解析器的值配為2 -->
        <property name="order" value="1"/>
    </bean>

    <!--通用视图解析器-->
    <bean id="viewResolverCommon"
          class="org.springframework.web.servlet.view.InternalResourceViewResolver">

        <property name="viewClass">
            <value>org.springframework.web.servlet.view.InternalResourceView
            </value>
        </property>
        <property name="order" value="2"/>
    </bean>

在设置freemaker路径的时候发现自己对Java路径的相对路径、绝对路径、项目路径已有些混乱了。后来通过一篇资料又好好地整理一下:

http://www.cnblogs.com/franson-2016/p/5728280.html

  • 我的总结:凡是以“/"开头的都代表绝对路径,在Controller里边"/"前面代表着http://localhost:8080/项目名
  • 无论通过Servlet、还是API获取得到都是在本机上的路径。

很多时候我们的项目路径在不同机器上是不一样的。因此要做到更好的通用性,可以将其在配置文件中配置起来。

提供一个工具类提取它就行了:

/**
 * 根据key读取配置文件的内容
 *
 */
public class ReadPropertiesUtil {
    public static String readProp(String key) {
        InputStream in = ReadPropertiesUtil.class.getClassLoader().getResourceAsStream("system.properties");
        Properties prop = new Properties();
        try {
            prop.load(in);
        } catch (IOException e) {
            e.printStackTrace();
        }

        return prop.getProperty(key);
    }
}

扯了这么一大堆,我们的邮件已经能够发出去了

url链接使用了base64进行编码了,其实没什么,就是为了装个逼而已..

maven坐标:

        <!--base64编码解码-->
        <dependency>
            <groupId>commons-codec</groupId>
            <artifactId>commons-codec</artifactId>
            <version>1.6</version>
        </dependency>

base64工具类:

/**
 * base64的编码解码
 */
public class Base64Util {


    private static final String UTF_8 = "UTF-8";
    /**
     * 对给定的字符串进行base64解码操作
     */
    public static String decodeData(String inputData) {
        try {
            if (null == inputData) {
                return null;
            }
            return new String(Base64.decodeBase64(inputData.getBytes(UTF_8)), UTF_8);
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }

        return null;
    }

    /**
     * 对给定的字符串进行base64加密操作
     */
    public static String encodeData(String inputData) {
        try {
            if (null == inputData) {
                return null;
            }
            return new String(Base64.encodeBase64(inputData.getBytes(UTF_8)), UTF_8);
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }
        return null;
    }

}

那么接下来就是点击连接激活账户了,修改一下激活码值就行了。从上边我们已经写到了:激活链接24小时内有效,如果超过了一天用户再点击激活码的时候,那么我们就认为它无效,把数据库的记录删除了,让他重新注册。

    /**
     * 激活账户(实际上就是修改表字段的值)
     *
     * @param userId
     * @return
     * @throws Exception
     */
    @RequestMapping("/activate.do")
    public String activate(String userId) throws Exception {

        User user = userService.selectByPrimaryKey(userId);
        String title = "";
        String content = "";
        String subject = "";


        if (user != null) {

            //得到当前时间和邮件时间对比,24小时内
            if (System.currentTimeMillis() - user.getTokenExptime().getTime() < 86400000) {
                user.setActiState(User.ACTIVATION_SUCCESSFUL);
                userService.updateByPrimaryKeySelective(user);
                title = "用户激活页面";
                subject = "用户激活";
                content = "恭喜您成功激活账户";
            } else {
                title = "激活失败页面";
                subject = "用户激活";
                content = "激活链接已超时,请重新注册";

                //删除记录已便用户再次注册
                userService.deleteByPrimaryKey(userId);

            }
        }

        //根据模版生成页面,重定向到页面中
        Map<String, Object> map = new HashedMap();
        map.put("title", title);
        map.put("content", content);
        map.put("subject", subject);
        map.put("path", getProjectPath());
        createCommonHtml("promptPages.ftl", "promptPages.html", map);

        return "redirect:/promptPages.html";
    }

编写登陆模块是用了我比较多的时间的,因为用了首次用了Shiro框架来进行做验证。当时候学的时候并不是学得很深入,于是出现了很多bug,改了几天才把它捋顺了。

登陆页面

登陆页面和注册页面其实是非常类似的,具体的步骤都和注册页面差不多。只不过我在登陆页面中加入了一个验证码:该验证码是动态的gif,是我之前看github项目的时候发现的。觉得挺好看的就拿过来用了。要想使用它就要导入它的相关java类:

来源github项目:https://github.com/baichengzhou/SpringMVC-Mybatis-Shiro-redis-0.2

登陆后台

我引入了Shiro框架来帮我做认证…

maven坐标:

        <!--Shiro与Spring整合-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.2.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.3</version>
        </dependency>
        <dependency>
            <groupId>commons-beanutils</groupId>
            <artifactId>commons-beanutils</artifactId>
            <version>1.8.3</version>
        </dependency>
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.1.1</version>
        </dependency>

        <!--Shiro与ehcache整合-->
        <dependency>
            <groupId>net.sf.ehcache</groupId>
            <artifactId>ehcache-core</artifactId>
            <version>2.5.0</version>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.2.3</version>
        </dependency>

首先来post一下我的基础shiro博文:

https://zhongfucheng.bitcron.com/category/shiro

想要在shiro认证之前能够校验验证码的话,那么就需要我们去自定义表单过滤器了。

/**
 * 自定义一个表单过滤器的目的就是认证流程由自己控制
 */
public class UserFormAuthenticationFilter extends FormAuthenticationFilter {


}

当时候我重写了onAccessDenied()方法,在认证之前去校验验证码的正确性,并且使用ajax来进行提示用户是否有错误信息:

大致的错误代码如下:

    /**
     * 用户登陆,Shiro从Reaml中验证,返回JSON提示用户
     *
     * @param request
     * @return
     * @throws Exception
     */
    @RequestMapping("/login.do")
    @ResponseBody
    public Map<String, Object> login(HttpServletRequest request) throws Exception {

        Map<String, Object> resultMap = new LinkedHashMap<String, Object>();
        //如果登陆失败从request中获取认证异常信息,shiroLoginFailure就是shiro异常类的全限定名
        String exceptionClassName = (String) request.getAttribute("shiroLoginFailure");

        //根据shiro返回的异常类路径判断,抛出指定异常信息
        if (exceptionClassName != null) {
            if (UnknownAccountException.class.getName().equals(exceptionClassName)) {
                resultMap.put("message", "账号不存在");
            } else if (IncorrectCredentialsException.class.getName().equals(
                    exceptionClassName)) {
                resultMap.put("message", "用户名/密码错误");
            } else if ("captchaCodeError".equals(exceptionClassName)) {
                resultMap.put("message", "验证码错误");
            } else {
                throw new Exception();//最终在异常处理器生成未知错误
            }
        } else {
            resultMap.put("message", "登陆成功");

            //把用户信息写到session中
            Subject subject = SecurityUtils.getSubject();
            ActiveUser activeUser = (ActiveUser) subject.getPrincipal();
            request.getSession().setAttribute("activeUser", activeUser);
        }
        return resultMap;
    }
     $.ajax({
                url: path + "/user/login.do",
                type: "post",
                async: false,
                data: $("#loginForm").serialize(),
                success: function (responseText) {
                    console.log(responseText);
                    if(responseText.message=="验证码错误"){
                        alert("验证码错误");
                    }else if(responseText.message=="账号不存在") {
                        alert("账号不存在");
                    }else if(responseText.message=="用户名/密码错误") {
                        alert("用户名/密码错误");
                    }else if(responseText.message=="登陆成功") {
                        window.location.href = path + "/index.html";
                    }else {
                        console.log(responseText);
                        alert("未知错误");
                    }

                },
                error: function () {
                    alert("系统错误");
                }
            })

在测试的时候就有非常怪异的想象:登陆的时候,有时可以返回正常JSON的信息、有的时候直接不调用ajax(后台打断点并没有进入后台),但是能够经过sucess方法返回一个页面的内容。

这就令我感到非常惊奇了,于是乎,我一直在搜索“为什么ajax不调用、success方法却回调了”、”sucess回调方法返回一个页面“、”ajax常见错误“。显然,我一直认为是ajax的问题,并没有怀疑Shiro的认证流程。在此方面花费我很多的时间,我怀疑过jquery的版本,还有其他方面的冲突…..

直到后来我就在想:为什么有的时候JSON返回一个页面的内容呢???此时我想起Shiro的认证流程了。如果认证不通过,Shiro默认返回给login.do处理,如果验证通过,shiro默认返回上一级请求的url。

也就是说:我在login.do中返回一个JSON是不合理的。因为如果没有认证的话,Shiro默认是需要返回登陆界面的,而我擅自修改成JSON了。于是就造成了奇怪的现象了。

那问题又来了,如果认证失败的话,为了做到更好的用户体验是需要实时地告诉用户哪里错了,而不是直接返回页面内容。用户不知道还会一脸懵逼

因为login.do是专门处理异常的信息的,因此我们可以使用统一处理异常的方式去处理:

        if (exceptionClassName != null) {
            if (UnknownAccountException.class.getName().equals(exceptionClassName)) {

                throw new UserException("账号不存在");
            } else if (IncorrectCredentialsException.class.getName().equals(
                    exceptionClassName)) {
                throw new UserException("密码错误了");
            } else if ("captchaCodeError".equals(exceptionClassName)) {
                throw new UserException("验证码错误了");
            } else {
                throw new Exception();//最终在异常处理器生成未知错误
            }
        }
        return "redirect:/goURL/user/toLogin.do";

统一异常处理器:

/**
 * 统一异常处理类
 */
public class SysException implements HandlerExceptionResolver {


    public ModelAndView resolveException(HttpServletRequest request, HttpServletResponse response, Object o, Exception ex) {

        //输出异常
        ex.printStackTrace();

        String message = null;
        UserException userException = null;

        //如果ex是系统 自定义的异常,直接取出异常信息
        if (ex instanceof UserException) {
            userException = (UserException) ex;
        } else {
            //针对非UserException异常,对这类重新构造成一个UserException,异常信息为“未知错误”
            userException = new UserException("未知错误");
        }

        message = userException.getMessage();
        request.setAttribute("message", message);


        try {
            //根据模版生成页面,重定向到页面中
            Map<String, Object> map = new HashedMap();
            map.put("title", "错误页面");
            map.put("content", message);
            map.put("subject", "出错啦");
            map.put("path", ReadPropertiesUtil.readProp("projectPath"));
            FreeMarkerUtils markerUtils = new FreeMarkerUtils();
            markerUtils.ouputFile("promptPages.ftl", "promptPages.html", map);

            request.getRequestDispatcher("/promptPages.html").forward(request, response);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return new ModelAndView();
    }
}

上面已经解决了提示错误信息的问题了。可是我觉得不够好,因为错误信息跳转到别的页面了,用户需要重新回到登陆页面进行注册,这个也太麻烦了吧。ps(要是我登陆错误搞这么一个东西,我就认为这个是破网站…)。

于是乎,我就想在怎么实时把错误信息返回给登陆页面呢??ajax是否还能用呢??login方法是一定要返回一个页面的了。试了很多无用的方法,在网上也找不到相关的方法,当时搜索关键字”Shiro返回错误信息“…..。

此时,我就在想ajax和Shiro是否能结合起来…后来去搜索了一下”ajax和Shiro“才知道网上也有人遇到我这种情况。

参考资料:

http://blog.csdn.net/haiyang0735/article/details/51278387

https://my.oschina.net/WMSstudio/blog/162594

大致的思路就知道了:重写自定义表单过滤器的方法,判断是否为ajax请求来进行处理

期间找了很多相关的资料,每个人的实现都参差不齐。表单过滤器方法中的retrun truereturn false也把我搞得一头雾水。最后,回归到搜索关键字“Shiro认证流程“,找到了一篇解决我问题的博文:

http://www.cnblogs.com/leechenxiang/p/7070229.html

经过上面的资料和阅读了Shiro相关的源码,我基本能知道shiro认证流程了,下面是我画的一张流程图:

根据流程可以判断在验证码失败时如果是ajax请求返回JSON数据。如果登陆失败,重写onLoginFailure方法,也判断是否为ajax请求。,

package zhongfucheng.shiro;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import zhongfucheng.entity.ActiveUser;
import zhongfucheng.utils.ReadPropertiesUtil;
import zhongfucheng.utils.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


/**
 * Created by ozc on 2017/10/27.
 */

/**
 * 自定义一个表单过滤器的目的就是认证流程由自己控制
 */
public class UserFormAuthenticationFilter extends FormAuthenticationFilter {


    /**
     * 只要请求地址不是post请求和不是user/login(处理登陆的url),那么就返回登陆页面上
     *
     * @param request
     * @param response
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;

        //判断是否是登陆页面地址请求地址、如果不是那么重定向到controller的方法中
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {

                //在提交给realm查询前,先判断验证码
                if (WebUtils.validateCaptcha(httpRequest)) {
                    return executeLogin(request, response);

                } else {
                    if (isAjax(httpRequest)) {

                        //这里要使用标准的JSON格式
                        WebUtils.printCNJSON("{\"message\":\"验证码错误\"}", httpServletResponse);

                        return false;

                    } else {
                        // 放行 allow them to see the login page ;)
                        httpRequest.setAttribute("shiroLoginFailure", "captchaCodeError");
                        return true;
                    }
                }

            } else {
                // 放行 allow them to see the login page ;)
                return true;
            }
        } else {

            // TODO AJAX请求用户扩展。以后再补
            if (isAjax(httpRequest)) {
                //httpServletResponse.sendError(ShiroFilterUtils.HTTP_STATUS_SESSION_EXPIRE);
                return false;
            } else {

                //返回配置的user/login.do,该方法会重定向到登陆页面地址,再次发送请求给本方法
                saveRequestAndRedirectToLogin(request, response);
            }

            return false;
        }
    }

    /**
     * 认证成功,把用户认证信息保存在session中,判断是否为ajax请求
     * @param token
     * @param subject
     * @param request
     * @param response
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request, ServletResponse response) throws Exception {

        //在跳转前将数据保存到session中
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        ActiveUser activeUser = (ActiveUser) subject.getPrincipal();
        WebUtils.setValue2Session(httpRequest, "activeUser", activeUser);


        //如果是ajax请求,那么我们手动跳转
        //如果不是ajax请求,那么由Shiro帮我们跳转
        if (isAjax(httpRequest)) {
            WebUtils.printCNJSON("{\"message\":\"登陆成功\"}", httpServletResponse);
        } else {
            //设置它跳转到首页路径,如果不设置它还会停留在登陆页面。
            String indexPath = ReadPropertiesUtil.readProp("projectPath") + "/index.html";
            org.apache.shiro.web.util.WebUtils.redirectToSavedRequest(request, response, indexPath);
        }
        return false;

    }

    /**
     * 认证失败、如果ajax请求则返回json数据
     * 如果非ajax请求、则默认返回给login.do处理异常
     * @param token
     * @param e
     * @param request
     * @param response
     * @return
     */
    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {


        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;

        // 不是ajax请求,就按照源码的方式去干(返回异常给controller,controller处理异常)
        if (!isAjax(httpServletRequest)) {
            setFailureAttribute(request, e);
            return true;
        }

        //是ajax请求,我们返回json给浏览器

        String message = e.getClass().getSimpleName();

        if ("IncorrectCredentialsException".equals(message)) {
            WebUtils.printCNJSON("{\"message\":\"密码错误\"}", httpServletResponse);
        } else if ("UnknownAccountException".equals(message)) {
            WebUtils.printCNJSON("{\"message\":\"账号不存在\"}", httpServletResponse);
        } else if ("captchaCodeError".equals(message)) {
            WebUtils.printCNJSON("{\"message\":\"验证码错误\"}", httpServletResponse);
        } else {
            WebUtils.printCNJSON("{\"message\":\"未知错误\"}", httpServletResponse);
        }

        return false;

    }
    /**
     * 判断ajax请求
     *
     * @param request
     * @return
     */
    boolean isAjax(HttpServletRequest request) {
        return (request.getHeader("X-Requested-With") != null && "XMLHttpRequest".equals(request.getHeader("X-Requested-With").toString()));
    }
}

值得一提的是:手动返回JSON格式数据、要是标准的JSON格式。否则会出错

参考资料:

http://www.cnblogs.com/54td/p/6074456.html

login.do代码:

    @RequestMapping("/login.do")
    public String login(HttpServletRequest request, HttpServletResponse response) throws Exception {

        /**
         * 如果在shiro配置文件中配置了authc的话,那么所点击的url就需要认证了才可以访问
         * a:如果url是登陆请求地址(user/login.do),不是post请求的话,流程是不会去Realm中的。那么会返回到该方法中,也就是会返回登陆页面
         * b:如果url是登陆页面地址,是post请求的话,那么去realm中对比,如果成功了那么跳转到在表单过滤器中配置的url中
         *
         * c:如果url不是登陆页面地址,那么表单过滤器会重定向到此方法中,该方法返回登陆页面地址。并记住是哪个url被拦截住了
         * d:用户填写完表单之后,会进入b环节,此时登陆成功后跳转的页面是c环节记住的url。
         */

        //如果登陆失败从request中获取认证异常信息,shiroLoginFailure就是shiro异常类的全限定名
        String exceptionClassName = (String) request.getAttribute("shiroLoginFailure");

        //根据shiro返回的异常类路径判断,抛出指定异常信息
        if (exceptionClassName != null) {
            if (UnknownAccountException.class.getName().equals(exceptionClassName)) {

                throw new UserException("账号不存在");
            } else if (IncorrectCredentialsException.class.getName().equals(
                    exceptionClassName)) {
                throw new UserException("密码错误了");
            } else if ("captchaCodeError".equals(exceptionClassName)) {
                throw new UserException("验证码错误了");
            } else {
                throw new Exception();//最终在异常处理器生成未知错误
            }
        }
        return "redirect:/goURL/user/toLogin.do";
    }

忘记密码

对于忘记密码这个功能并不难,就跳转到忘记密码页面,让用户输入邮箱,去邮箱所给的超链接修改密码就行了。

记住我功能

本来我是想在登陆的时候勾选“记住我”,那么下次访问的时候,就可以直接访问了(因为我设置了一些链接是需要认证后才能访问的)。

原本是想使用Shiro的rememberMe这个功能的。发现它其实并没有为我们自动实现登陆

具体的参考链接如下:

http://blog.csdn.net/nsrainbow/article/details/36945267

查了挺多资料的,发现Shiro的rememberMe这个功能并不好用,但我的系统是基于Shiro来进行开发的。

根据源码的文档说明:

public interface RememberMeAuthenticationToken extends AuthenticationToken {

    /**
     * Returns {@code true} if the submitting user wishes their identity (principal(s)) to be remembered
     * across sessions, {@code false} otherwise.
     *
     * @return {@code true} if the submitting user wishes their identity (principal(s)) to be remembered
     *         across sessions, {@code false} otherwise.
     */
    boolean isRememberMe();

}

只有在当前用户的session(Shiro的Session)存储了已认证的用户,那么才承认当前的用户是已登陆的。

我也想要实现rememberMe这个功能,那么只能手动去弄了

我是通过拦截器来实现的:

public class LoginInterceptor implements HandlerInterceptor {
    @Autowired
    private UserService userService;

    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {



        Subject currentUser = SecurityUtils.getSubject();

        //如果 isAuthenticated 为 false 证明不是登录过的,同时 isRememberd 为true 证明是没登陆直接通过记住我功能进来的
        if (!currentUser.isAuthenticated() && currentUser.isRemembered()) {

            ActiveUser activeUser = (ActiveUser) SecurityUtils.getSubject().getPrincipal();


            //获取session看看是不是空的
            Session session = currentUser.getSession();
            if (session.getAttribute("currentUser") == null) {

                User user = userService.validateUserExist(activeUser.getUsercEmail());

                UsernamePasswordToken token = new UsernamePasswordToken(user.getUserEmail(), activeUser.getPassword(), currentUser.isRemembered());

                //把当前用户放入session
                currentUser.login(token);

                session.setAttribute("currentUser",user);
                //设置会话的过期时间--ms,默认是30分钟,设置负数表示永不过期
                session.setTimeout(-1000l);

                //这是httpSession、用户页面获取数据的。
                httpServletRequest.getSession().setAttribute("activeUser", activeUser);

            }
        }

        return true;
    }

    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }

    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }
}

那么就可以实现当用户即使关闭了浏览器之后,再次打开浏览器访问我们的页面还是登陆状态!

对登陆注册优化

最开始在页面使用路径都是自己手写:http://localhost:8080/zhongfucheng/这样子的。这样并不通用。想要做得通用的话,那么就要使用变量了。而我又不想使用JSP页面。于是我的项目统一使用freemarker

跳转到某个url的逻辑其实是一样的,没必要为每个跳转都写一个方法。于是我将其抽取出来:

    /**
     * 通用的页面跳转
     *
     * @param folder 模块
     * @param file   具体文件
     * @return
     */
    @RequestMapping("/goURL/{folder}/{file}.do")
    public String goURL(@PathVariable("folder") String folder, @PathVariable("file") String file) {

        return "/" + folder + "/" + file + ".ftl";
    }

对于首页而言我们可以使用监听器来对其进行初始化

public class ProjectListener implements ServletContextListener {



    /**
     * 当项目启动的时候,我们就根据模版生成我们的index页面
     *
     * @param servletContextEvent
     */
    public void contextInitialized(ServletContextEvent servletContextEvent) {

        System.out.println(servletContextEvent.getServletContext().getRealPath("/"));
        try {
            FreeMarkerUtils markerUtils = new FreeMarkerUtils();
            Map map = new HashMap();
            map.put("path", ReadPropertiesUtil.readProp("projectPath"));
            markerUtils.ouputFile("index.ftl", "index.html", map);
        } catch (Exception e) {
            e.printStackTrace();
        }

    }

    public void contextDestroyed(ServletContextEvent servletContextEvent) {

    }
}

在JavaScript中可能也需要用到http://localhost:8080/zhongfucheng/路径,我们可以使用JavaScript来获取项目的该路径,而不用写死:

    <!--使用JS获取项目根路径-->
    <script>
        var path = "";
        $(function () {
            var strFullPath = window.document.location.href;
            var strPath = window.document.location.pathname;
            var pos = strFullPath.indexOf(strPath);
            var prePath = strFullPath.substring(0, pos);
            var postPath = strPath.substring(0, strPath.substr(1).indexOf('/') + 1);
            path = prePath + postPath;
        });
    </script>

比如我们在获取用户信息的时候就很方便了。

在代码会重复的情况下封装一些常用的Utils,或者使用别人写好的Utils

原文发布于微信公众号 - Java3y(gh_085b56c42174)

原文发表时间:2018-03-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏岑玉海

Spark源码系列(一)spark-submit提交作业过程

前言 折腾了很久,终于开始学习Spark的源码了,第一篇我打算讲一下Spark作业的提交过程。 ? 这个是Spark的App运行图,它通过一个Driver来和集...

4956
来自专栏非典型程序猿

Golang任务队列machinery使用与源码剖析(二)

在Golang任务队列machinery使用与源码剖析(一)一文中,我们主要对golang中任务队列machinery的设计结构以及具体模块的功能与源码实现进行...

1.4K8
来自专栏Java3y

WebService就是这么简单

WebService介绍 首先我们来谈一下为什么需要学习webService这样的一个技术吧…. 问题一 如果我们的网站需要提供一个天气预报这样一个需求的话,那...

4.4K15
来自专栏Java帮帮-微信公众号-技术文章全总结

Web-第十天 Cookie&Session学习

当用户访问某些Web应用时,经常会显示出该用户上一次的访问时间。例如,QQ登录成功后,会显示用户上次的登录时间。通过本任务,读者将学会如何使用Cookie技术实...

1573
来自专栏Linux驱动

15.linux-LCD层次分析(详解)

如果我们的系统要用GUI(图形界面接口),这时LCD设备驱动程序就应该编写成frambuffer接口,而不是像之前那样只编写操作底层的LCD控制器接口。 什么是...

2656
来自专栏Java3y

Java高并发秒杀系统【观后总结】

项目简介 在慕课网上发现了一个JavaWeb项目,内容讲的是高并发秒杀,觉得挺有意思的,就进去学习了一番。 记录在该项目中学到了什么玩意.. 该项目源码对应的g...

1.8K8
来自专栏坚毅的PHP

jersey处理支付宝异步回调通知的问题:java.lang.IllegalArgumentException: Error parsing media type 'application/x-www

tcpflow以流为单位分析请求内容,非常适合服务器端接口类服务查问题 这次遇到的问题跟支付宝支付后的回调post结果有关 淘宝的代码例子: publi...

6065
来自专栏木木玲

Netty 那些事儿 ——— 心跳机制

7569
来自专栏Hellovass 的博客

社交化分享组件踩坑

问题是这样的,项目里的社交化分享是基于 UMShare 封装成的一个 ShareLib module,为了让这个 module 对调用者说更透明,我将 WXEn...

3135
来自专栏实战docker

修改,编译,GDB调试openjdk8源码(docker环境下)

在上一章《在docker上编译openjdk8》里,我们在docker容器内成功编译了openjdk8的源码,有没有读者朋友产生过这个念头:“能不能修改open...

5349

扫码关注云+社区

领取腾讯云代金券