统一登录验证过滤器

        在业务系统的开发过程中，有很多接口是需要登录后才可访问的，比如访问一些敏感数据，进行一些敏感操作等。常规思维是在需要验证登录的接口验证session来验证是否登录，但这样会造成大量的重复代码。所以增加一个Filter去做统一的登录验证是很有必要的。

        首先，我将所有的接口做了一个简单的规范，需要登录验证的接口以/work/开头，而不需要登录就可访问的接口以/portal/开头。

        Filter在web.xml中的配置如下：

<!-- 统一登录验证Filter --><filter><filter-name>sessionFilter</filter-name><filter-class>com.alien.almcenter.constant.LoginAuthenticationFilter</filter-class><init-param><param-name>sessionKey</param-name><param-value>userInfo</param-value></init-param></filter><filter-mapping><filter-name>sessionFilter</filter-name><url-pattern>/work/*</url-pattern></filter-mapping>

        这里预留了一个sessionKey的参数，用于用户自定义自己存放用户信息的session key。定义了这个Filter后，所有以/work/开头的请求都会先进会这个Fiter进行处理，若验证session失败，则直接退出。

package com.alien.almcenter.constant;import java.io.IOException;import java.io.OutputStreamWriter;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import javax.servlet.http.HttpSession;import com.alien.almcenter.vo.ResponseInfo;import org.springframework.util.StringUtils;import com.alibaba.fastjson.JSON;public class LoginAuthenticationFilter implements Filter {private String sessionKey;@Overridepublic void destroy() {}@Overridepublic void doFilter(ServletRequest servletRequest,ServletResponse servletResponse, FilterChain chain)throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) servletRequest;HttpServletResponse response = (HttpServletResponse) servletResponse;if (StringUtils.isEmpty(sessionKey)){chain.doFilter(servletRequest, servletResponse);return;}HttpSession session = request.getSession();if (session != null && session.getAttribute(sessionKey) != null) {chain.doFilter(servletRequest, servletResponse);return;} else {ResponseInfo<String> info = new ResponseInfo<String>();info.setRtnCode(AlmRetConstant.code.NOT_LOGIN);info.setRtnMsg(AlmRetConstant.msg.NOT_LOGIN);String respString = JSON.toJSONString(info);response.setContentType("text/html; charset=utf-8");OutputStreamWriter ow = new OutputStreamWriter(response.getOutputStream(), "UTF-8");ow.write(new String(respString.getBytes("UTF-8"),"UTF-8"));ow.flush();ow.close();}}@Overridepublic void init(FilterConfig config) throws ServletException {sessionKey = config.getInitParameter("sessionKey");}}

    这样，统一登录校验的功能就完成了。可以在浏览器上直接访问URL，可以看到请求被拦截，由于现在前后端开发一般分离，所以我并没有通过后端去做跳转至登录页，而是返回特定的返回码，前端可通过这个特定返回码判断是由于未登录而被拦截的。