问题记录(四)——拦截器“失效”?null 还是“null“?
拦截器“失效”?null 还是"null"?
问题描述
这个问题本身并不复杂,但是却是一个容易被忽略的问题。
相信大家在项目中一定实现过强制登录的逻辑吧,巧了,所要介绍的问题就出现在测试强制登录接口的过程中,具体来说:
我的项目采用 JWT令牌 + LocalStorage的方式验证和保存会话信息,当用户以无令牌的方式访问除登录页面外的其他页面时,会被后端的拦截器拦截,拦截后会设置状态码401,前端接收到401的响应后会强制跳转到登录页面。
我执行的操作,清除本地存储的token信息,然后访问非登录页面。
预期结果:当用户以无令牌的方式访问除登录页面外的其他页面时,强制跳转到登录页面。
实际结果:当用户以无令牌的方式访问除登录页面外的其他页面时,没有强制跳转到登录页面
相关代码:
- 拦截器代码
@Slf4j
@Component
public class LoginInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//约定前端把用户的token放在header中String token = request.getHeader(Constants.HEADER_USER_TOKEN);log.info("拦截器:从header中获取token:" + token);if(token == null) {//用户未登录response.setStatus(401);return false;}Claims claim = JWTUtils.parseToken(token);if(claim == null) {//无效的tokenresponse.setStatus(401);return false;}return true;}
}
- 前端代码
//ajaxSend:在ajax请求即将发送前执行的方法,这里的逻辑是设置header信息,确保请求携带token
$(document).ajaxSend(function(event, xhr, options) {xhr.setRequestHeader("user_token", localStorage.getItem("userToken"));
});//当后端验证失败会将状态码设置为401(即用户非登录状态),此时希望直接跳转到登录页面
$(document).ajaxError(function(event, xhr, options, exc) {if(xhr.status == 401) {location.href = "blog_login.html";}
});
- 自定义JWT工具类中的验证方法
public static Claims parseToken(String token) {if(!StringUtils.hasLength(token)) {return null;}try {Claims claim = Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token).getBody();return claim;}catch (ExpiredJwtException e) {log.error("token已过期");throw new BlogException("内部错误,请联系管理员!");}catch (Exception e) {log.error("token解析失败:" + token);throw new BlogException("内部错误,请联系管理员!");}}
我的测试以及分析:
既然没有跳转,通过前端代码可知响应的状态码不是401,按理来说,在我清除了本地的token信息的情况下向后端发送请求,拦截器应该生效呀(即应当走进token == null中设置状态码401并拦截住)。实际上,观察IDEA的控制台日志,发现的确没有拦住,代码进入了Claims claim = JWTUtils.parseToken(token);,在这一行中,触发了catch语句,并抛出了BlogException,而该异常被项目中的统一异常处理器处理,处理逻辑相关代码:
- 统一异常处理器
@ExceptionHandlerpublic Result blogExceptionHandler(BlogException blogException) {log.error("异常信息:", blogException.getErrMsg());return Result.fail(blogException.getErrMsg());}
- 结果处理代码
public static Result fail(String errMsg) {Result result = new Result();result.setErrMsg(errMsg);result.setCode(ResultCodeEnum.FAIL);return result;}
也就是说当被统一异常处理器处理后,就变为了业务异常,请求理所应当是成功了,状态码是200(与我使用fiddler抓包的结果一致),而响应的状态码是200,也就没有触发前端的跳转逻辑。
问题是:我明明清除了token,为什么拦截器的
if(token == null)判断为false?
解决步骤
我自己是晕了,屁颠屁颠的去找答疑老师,答疑老师一下就命中了要害:
当清除本地存储的token后,前端的如下代码有点小马脚:
//ajaxSend:在ajax请求即将发送前执行的方法,这里的逻辑是设置header信息,确保请求携带token
$(document).ajaxSend(function(event, xhr, options) {xhr.setRequestHeader("user_token", localStorage.getItem("userToken"));
});
这段代码就是在ajax请求发送前设置header信息,而依据我的代码,无论本地存储是否存在token的信息,都会为请求添加一个token的header信息,当本地不存在token信息时,localStorage.getItem("userToken")返回一个"null",也就是说,请求到后端的header中的token字段的值是一个"null"而非null(其实这么说也不太准确,可以直接看总结部分),这也就解释了为什么if(token == null)不生效。
老师给出的解决方案有两个:
- 修改判断条件
if(token.equals("null")),这样直接就可以命中"null" - 修改JWT工具类中验证token的方法,原方法验证失败直接抛出
BlogException异常再被异常处理器处理,现在修改当验证失败时直接返回null而不再抛出异常
我自己也想到了一个:
-
修改前端代码
当
localStorage.getItem返回的结果为null,直接不再在请求中设置header信息
稍加斟酌了一番,我修改了代码:体现了老师的两种思想,意味着前端保持不变:
- 拦截器:
@Slf4j
@Component
public class LoginInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//约定前端把用户的token放在header中String token = request.getHeader(Constants.HEADER_USER_TOKEN);log.info("拦截器:从header中获取token:" + token);// 问题就是,你前端删除token之后,传过来了一个null,字符串的null,“null”。而不是null// 所以有两种办法,// 1、校验不是字符串的“null”// 2、 校验token的有效性if(token.equals("null")) {System.out.println("字符串\"null\"判断成立");response.setStatus(401);return false;}
// if(token == null) {
// //用户未登录
// response.setStatus(401);
// return false;
// }Claims claim = JWTUtils.parseToken(token);if(claim == null) {//无效的tokenresponse.setStatus(401);return false;}return true;}
}
代码中有一行System.out.println("字符串\"null\"判断成立");,我们将验证被判断"null"拦截成功。
- 令牌验证方法
public static Claims parseToken(String token) {if(!StringUtils.hasLength(token)) {return null;}try {Claims claim = Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token).getBody();return claim;}catch (ExpiredJwtException e) {log.error("token已过期");
// throw new BlogException("内部错误,请联系管理员!");return null;}catch (Exception e) {log.error("token解析失败:" + token);
// throw new BlogException("内部错误,请联系管理员!");return null;}}
再次测试:
发现的确被if(token.equals("null"))拦截了,页面也是成功跳转。
总结
这个错误带来的警醒:
理解HttpServletRequest的getHeader(……)方法的行为:
- 如果请求中完全不存在该 header(即前端没有设置这个 header):
getHeader()会返回null
- 如果请求中存在该 header,但它的值是
null(比如前端显式设置了xhr.setRequestHeader("user_token", null)):- 实际上,HTTP 协议中 header 的值 永远是字符串,没有真正的
null值 - 浏览器会自动将
null转换成字符串"null"发送 - 因此
getHeader()会返回字符串"null",而不是 Java 的null
- 实际上,HTTP 协议中 header 的值 永远是字符串,没有真正的
回顾前端代码的行为:它总是会设置header信息,不论是否有必要,而当本地存储中不存在目标信息时,header中的值就将是null,
而这个null就被getHeader()认定为字符串。因此无法判断。
我认为这一点是最值得作为总结的。
完
相关文章:
问题记录(四)——拦截器“失效”?null 还是“null“?
拦截器“失效”?null 还是"null"? 问题描述 这个问题本身并不复杂,但是却是一个容易被忽略的问题。 相信大家在项目中一定实现过强制登录的逻辑吧,巧了,所要介绍的问题就出现在测试强制登录接口的过程中&am…...
前端面试-HTML5与CSS3
HTML5/CSS3 1. HTML5语义化标签的作用是什么?请举例说明5个常用语义化标签及其适用场景 解答: 语义化标签通过标签名称直观表达内容结构,有利于: 提升可访问性(屏幕阅读器识别)改善SEO(搜索引…...
blender 导出衣服mesh为fbx,随后导入UE5,坐标轴如何保存一致
When exporting a clothing mesh from Blender to UE5 as an FBX file, maintaining consistent coordinate axes is crucial for proper positioning and orientation. Heres how to ensure coordinate consistency throughout the workflow: 当从 Blender 导出衣服 mesh 为 U…...
)
前端开发中的问题排查与定位:HTML、CSS、JavaScript(报错的解决方式)
目录 1.html 1. 结构错误调试:标签未正确嵌套 2. 语法问题调试:缺失引号 3. 断点调试:动态生成内容时的 JavaScript 错误 4. 网络调试:资源加载错误 5. 性能调试:页面加载性能 总结: 2.CSS 1. 定位…...
图论整理复习
回溯: 模板: void backtracking(参数) {if (终止条件) {存放结果;return;}for (选择:本层集合中元素(树中节点孩子的数量就是集合的大小)) {处理节点;backtracking(路径,选择列表); // 递归回溯ÿ…...
MIMO预编码与检测算法的对比
在MIMO系统中,预编码(发送端处理)和检测算法(接收端处理)的核心公式及其作用对比如下: 1. 预编码算法(发送端) 预编码的目标是通过对发送信号进行预处理,优化空间复用或…...
C++修炼:vector模拟实现
Hello大家好!很高兴我们又见面啦!给生活添点passion,开始今天的编程之路! 我的博客:<但凡. 我的专栏:《编程之路》、《数据结构与算法之美》、《题海拾贝》、《C修炼之路》 欢迎点赞,关注&am…...
案例-索引对于并发Insert性能优化测试
前言 最近因业务并发量上升,开发反馈对订单表Insert性能降低。应开发要求对涉及Insert的表进行分析并提供优化方案。 一般对Insert 影响基本都在索引,涉及表已按创建日期做了分区表,索引全部为普通索引未做分区索引。 优化建议: 1、将UNIQUE改为HASH(64) GLOBAL IND…...
[区块链lab2] 构建具备加密功能的Web服务端
实验目标: 掌握区块链中密码技术的工作原理。在基于Flask框架的服务端中实现哈希算法的加密功能。 实验内容: 构建Flash Web服务器,实现哈希算法、非对称加密算法的加密功能。 实验步骤: 哈希算法的应用:创建hash…...
muduo库源码分析: TcpConnection
一. 主要成员: socket_:用于保存已连接套接字文件描述符。channel_:封装了上面的socket_及其各类事件的处理函数(读、写、错误、关闭等事件处理函数)。这个Channel中保存的各类事件的处理函数是在TcpConnection对象构造函数中注册…...
RuoYi-Vue升级为https访问-后端安装SSL证书(单台Linux服务器部署)
一、前言 当Nginx已经作为反向代理并成功配置了SSL证书时,前端客户端与Nginx的通信已经是加密的。但Nginx和后端服务之间的连接可能仍然存在明文传输的风险。 如果Nginx和后端服务位于同一台物理机器或者通过安全的内部网络(如私有VLAN或防火墙保护的内网)进行通信,则可以…...
EasyExcel系列:读取空数据行的问题
定义Excel模板时,会生产空行问问题,可以自定义监听器过滤空行。以PageReadListener为例。 /*** 自定义读取监听器,解决无法空行问题**/ Slf4j public class MyPageReadListener<T> extends PageReadListener<T> {Overridepublic …...
博客文章文件名该怎么取?
文章目录 🧾 1. 博客文章文件名该怎么取?📌 2. 为什么文件名重要?✅ 3. 推荐命名规范✅ 3.1 使用 **小写英文 中划线(kebab-case)**✅ 3.2 简短但具备语义✅ 3.3 如果是系列文章,可加前缀序号或…...
【GIT】放弃”本地更改,恢复到远程仓库的状态git fetch origin git reset --hard origin/分支名
如果你想完全放弃本地更改,恢复到远程仓库的状态,可以按照以下步骤操作: 获取远程最新版本 首先执行: git fetch origin这条命令会把远程仓库的最新提交拉取到你的本地,但不会自动合并到你的当前分支。 硬重置你的当前…...
有哪些哲学流派适合创业二
好的,让我们更深入地探讨如何将哲学与数学深度融合,构建一套可落地的创业操作系统。以下从认知框架、决策引擎、执行算法三个维度展开,包含具体工具和黑箱拆解: 一、认知框架:用哲学重构商业本质 1. 本体…...
【Web API系列】Web Shared Storage API之WorkletSharedStorage深度解析与实践指南
前言 在现代Web开发领域,数据存储与隐私保护的矛盾始终存在。传统存储方案如LocalStorage和Cookies面临着日益严格的安全限制,而跨域数据共享的需求却在持续增长。正是在这样的背景下,Web Shared Storage API应运而生,其核心组件…...
UE5 制作方块边缘渐变边框效果
该效果基于之前做的(https://blog.csdn.net/grayrail/article/details/144546427)进行修改得到,思路也很简单: 1.打开实时预览 1.为了制作时每个细节调整方便,勾选Live Update中的三个选项,开启实时预览。…...
MyBatis 如何使用
1. 环境准备 添加依赖(Maven) 在 pom.xml 中添加 MyBatis 和数据库驱动依赖: <dependencies><!-- MyBatis 核心库 --><dependency><groupId>org.mybatis</groupId><artifactId>mybatis</artifactId&g…...
【MySQL】索引分类、聚簇与非聚簇索引,索引优化,常见explain分析索引案例,type字段
索引基本概念 索引是数据库中用于加速数据检索的数据结构,类似于书籍的目录。它通过建立额外的数据结构来存储部分数据,从而加快查询速度。 索引的优缺点 优点缺点加快数据检索速度占用额外存储空间保证数据唯一性(唯一索引)插…...
MySQL Binlog 数据恢复总结
🌲 总入口:你想恢复什么? 恢复类型 ├── 表结构 表数据(整张表被 DROP) │ ├── Binlog 中包含 CREATE TABLE │ │ └── ✅ 直接用 mysqlbinlog 提取建表 数据语句,回放即可 │ └── B…...
STM32 HAL库内部 Flash 读写实现
一、STM32F407 内部 Flash 概述 1.1 Flash 存储器的基本概念 Flash 存储器是一种非易失性存储器,它可以在掉电的情况下保持数据。STM32F407 系列微控制器内部集成了一定容量的 Flash 存储器,用于存储程序代码和数据。Flash 存储器具有擦除和编程次数的…...
2.3 Spark运行架构与流程
Spark运行架构与流程包括几个核心概念:Driver负责提交应用并初始化作业,Executor在工作节点上执行任务,作业是一系列计算任务,任务是作业的基本执行单元,阶段是一组并行任务。Spark支持多种运行模式,包括单…...
Redisson分布式锁全攻略:用法、场景与要点
目录 1. 普通可重入锁(RLock) 2. 公平锁(RFairLock) 3. 读写锁(RReadWriteLock) 4. 多重锁(RedissonMultiLock) 1. 普通可重入锁(RLock) import org.redisson.Redisson; import org.redisson.api.RLoc…...
软件测试——BUG概念
目录 一、软件测试生命周期 二、BUG 2.1BUG概念 2.2BUG要素 2.3BUG级别 2.4 BUG的生命周期 2.5测试人员与开发人员因为BUG发生争执 2.6BUG评审 一、软件测试生命周期 软件测试贯穿于软件的整个生命周期 软件测试的生命周期指测试流程,每个阶段有不同的目标…...
二、Android Studio环境安装
一、下载安装 下载 Android Studio 和应用工具 - Android 开发者 | Android DevelopersAndroid Studio 提供了一些应用构建器以及一个已针对 Android 应用进行优化的集成式开发环境 (IDE)。立即下载 Android Studio。https://developer.android.google.cn/studio?hlzh-c…...
Hyperlane:重新定义Rust Web开发的未来 [特殊字符][特殊字符]
Hyperlane:重新定义Rust Web开发的未来 🚀🔥 大家好!👋 今天我要向各位技术爱好者介绍一个令人兴奋的Rust HTTP服务器库——Hyperlane 🌟。作为一个轻量级、高性能的框架,Hyperlane正在悄然改变…...
从零构建机器学习流水线:Dagster+PyTorch实战指南
本文将系统讲解机器学习流水线的核心原理,并通过Dagster编排框架与PyTorch深度学习库的实战结合,手把手演示从数据预处理到生产部署的全流程。文中包含可运行的代码示例、最佳实践和性能对比分析,帮助开发者快速构建可扩展、易维护的机器学习…...
RabbitMQ架构原理及消息分发机制
RabbitMQ架构原理及消息分发机制 在现代分布式系统中,消息队列是不可或缺的组件之一。它不仅能够解耦系统模块,还能实现异步通信和削峰填谷。在众多消息队列中,RabbitMQ 因其高并发、高可靠性和丰富的功能而备受青睐。本文将从 RabbitMQ 的基…...
React 项目src文件结构
SCSS 组件库 SCSS为预处理器 支持除原生CSS外的其他语句 别名路径 在项目下的第一级目录就加入craco.config.js文件并且修改packpage.js 中的部分 // 扩展webpage的配置const path require(path)module.exports {// exports配置webpack:{// 配置别名alias:{:path.resolve(__d…...
Redis --- 基本数据类型
Redis --- 基本数据类型 Redis Intro5种基础数据类型 Redis Intro Redis(Remote Dictionary Server)是一款开源的高性能键值存储系统,常用于缓存、消息中间件和实时数据处理场景。以下是其核心特点、数据类型及典型使用场景: 核心…...