轉自:枕邊書
文章介紹了spring-boot中實現通用auth的四種方式,包括 傳統AOP、攔截器、引數解析器和過濾器,並提供了對應的例項程式碼,最後簡單總結了下他們的執行順序。
前言
最近一直被無盡的業務需求淹沒,沒時間喘息,終於接到一個能讓我突破程式碼舒適區的活兒,解決它的過程非常曲折,一度讓我懷疑人生,不過收穫也很大,程式碼方面不明顯,但感覺自己抹掉了 java、Tomcat、Spring 一直擋在我眼前的一層紗。對它們的理解上了一個新的層次。 好久沒輸出了,於是挑一個方面總結一下,希望在梳理過程中再瞭解一些其他的東西。
由於 Java 繁榮的生態,下面每一個模組都有大量的文章專門講述。所以我選了另外一個角度,從實際問題出發,將這些分散的知識串聯起來,各位可以作為一個綜述來看。各個模組的極致詳細介紹,大家可以去翻官方文件或看網路上的其他部落格。 需求很簡單清晰,跟產品們提的妖豔需求一點也不一樣:在我們的 web 框架裡新增一個 通用的 appkey 白名單校驗功能,希望它的擴充套件性更好一些。
這個 web 框架是部門前驅者基於 spring-boot 實現的,介於業務和 Spring 框架之間,做一些偏向於業務的通用性功能,如 日誌輸出、功能開關、通用引數解析等。平常是對業務透明的,最近一直忙於把需求做好,程式碼寫好,甚至從沒注意過它的存在。
傳統AOP
對於這種需求,首先想到的當然是 Spring-boot 提供的 AOP 介面,只需要在 Controller 方法前新增切點,然後再對切點進行處理即可。
實現
其使用步驟如下:
- 使用
@Aspect宣告一下切面類WhitelistAspect; - 在切面類內新增一個切點
whitelistPointcut(),為了實現此切點靈活可裝配的能力,這裡不使用execution全部攔截,而是新增一個註解@Whitelist,被註解的方法才會校驗白名單。 - 在切面類中使用 spring 的 AOP 註解
@Before宣告一個通知方法checkWhitelist()在 Controller 方法被執行之前校驗白名單。
切面類虛擬碼如下:
@Aspect
public class WhitelistAspect {
@Before(value = "whitelistPointcut() && @annotation(whitelist)")
public void checkAppkeyWhitelist(JoinPoint joinPoint, Whitelist whitelist) {
checkWhitelist();
// 可使用 joinPoint.getArgs() 獲取Controller方法的引數
// 可以使用 whitelist 變數獲取註解引數
}
@Pointcut("@annotation(com.zhenbianshu.Whitelist)")
public void whitelistPointCut() {
}
}在Controller方法上新增 @Whitelist 註解實現功能。
擴充套件
本例中使用了 註解 來宣告切點,並且我實現了通過註解引數來宣告要校驗的白名單,如果之後還需要新增其他白名單的話,如通過 UID 來校驗,則可以為此註解新增 uid() 等方法,實現自定義校驗。 此外,spring 的 AOP 還支援 execution(執行方法) 、bean(匹配特定名稱的 Bean 物件的執行方法)等切點宣告方法和 @Around(在目標函式執行中執行) 、@After(方法執行後) 等通知方法。 如此,功能已經實現了,但領導並不滿意=\_=,原因是專案中 AOP 用得太多了,都用濫了,建議我換一種方式。嗯,只好搞起。
Interceptor
Spring 的 攔截器(Interceptor) 實現這個功能也非常合適。顧名思義,攔截器用於在 Controller 內 Action 被執行前通過一些引數判斷是否要執行此方法,要實現一個攔截器,可以實現 Spring 的 HandlerInterceptor 介面。
實現
實現步驟如下:
- 定義攔截器類
AppkeyInterceptor類並實現 HandlerInterceptor 介面。 - 實現其
preHandle()方法; - 在 preHandle 方法內通過註解和引數判斷是否需要攔截請求,攔截請求時介面返回
false; - 在自定義的
WebMvcConfigurerAdapter類內註冊此攔截器;
AppkeyInterceptor 類如下:
@Component
public class WhitelistInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
Whitelist whitelist = ((HandlerMethod) handler).getMethodAnnotation(Whitelist.class);
// whitelist.values(); 通過 request 獲取請求引數,通過 whitelist 變數獲取註解引數
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
// 方法在Controller方法執行結束後執行
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
// 在view檢視渲染完成後執行
}
}擴充套件
要啟用 攔截器還要顯式配置它啟用,這裡我們使用 WebMvcConfigurerAdapter 對它進行配置。需要注意,繼承它的的 MvcConfiguration 需要在 ComponentScan 路徑下。
@Configuration
public class MvcConfiguration extends WebMvcConfigurerAdapter {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new WhitelistInterceptor()).addPathPatterns("/*").order(1);
// 這裡可以配置攔截器啟用的 path 的順序,在有多個攔截器存在時,任一攔截器返回 false 都會使後續的請求方法不再執行
}
}還需要注意,攔截器執行成功後響應碼為 200,但響應資料為空。Spring Boot 基礎教程和示例原始碼在這裡學習:https://github.com/javastacks...,非常全了。 當使用攔截器實現功能後,領導終於祭出大招了:我們已經有一個 Auth 引數了,appkey 可以從 Auth 引數裡取到,可以把在不在白名單作為 Auth 的一種方式,為什麼不在 Auth 時校驗?emmm… 吐血中。
ArgumentResolver
引數解析器是 Spring 提供的用於解析自定義引數的工具,我們常用的 @RequestParam 註解就有它的影子,使用它,我們可以將引數在進入Controller Action之前就組合成我們想要的樣子。 Spring 會維護一個 ResolverList, 在請求到達時,Spring 發現有自定義型別引數(非基本型別), 會依次嘗試這些 Resolver,直到有一個 Resolver 能解析需要的引數。要實現一個引數解析器,需要實現 HandlerMethodArgumentResolver 介面。
實現
- 定義自定義引數型別
AuthParam,類內有 appkey 相關欄位; - 定義
AuthParamResolver並實現 HandlerMethodArgumentResolver 介面; - 實現
supportsParameter()介面方法將 AuthParam 與 AuthParamResolver 適配起來; - 實現
resolveArgument()介面方法解析 reqest 物件生成 AuthParam 物件,並在此校驗 AuthParam ,確認 appkey 是否在白名單內; - 在 Controller Action 方法上簽名內新增 AuthParam 引數以啟用此 Resolver;
實現的 AuthParamResolver 類如下:
@Component
public class AuthParamResolver implements HandlerMethodArgumentResolver {
@Override
public boolean supportsParameter(MethodParameter parameter) {
return parameter.getParameterType().equals(AuthParam.class);
}
@Override
public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
Whitelist whitelist = parameter.getMethodAnnotation(Whitelist.class);
// 通過 webRequest 和 whitelist 校驗白名單
return new AuthParam();
}
}擴充套件
當然,使用引數解析器也需要單獨配置,我們同樣在 WebMvcConfigurerAdapter內配置:
@Configuration
public class MvcConfiguration extends WebMvcConfigurerAdapter {
@Override
public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
argumentResolvers.add(new AuthParamResolver());
}
}這次實現完了,我還有些不放心,於是在網上查詢是否還有其他方式可以實現此功能,發現常見的還有 Filter。
Filter
Filter 並不是 Spring 提供的,它是在 Servlet 規範中定義的,是 Servlet 容器支援的。被 Filter 過濾的請求,不會派發到 Spring 容器中。它的實現也比較簡單,實現 javax.servlet.Filter介面即可。 由於不在 Spring 容器中,Filter 獲取不到 Spring 容器的資源,只能使用原生 Java 的 ServletRequest 和 ServletResponse 來獲取請求引數。 另外,在一個 Filter 中要顯示呼叫 FilterChain 的 doFilter 方法,不然認為請求被攔截。實現類似:
public class WhitelistFilter implements javax.servlet.Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
// 初始化後被呼叫一次
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
// 判斷是否需要攔截
chain.doFilter(request, response); // 請求通過要顯示呼叫
}
@Override
public void destroy() {
// 被銷燬時呼叫一次
}
}擴充套件
Filter 也需要顯示配置:
@Configuration
public class FilterConfiguration {
@Bean
public FilterRegistrationBean someFilterRegistration() {
FilterRegistrationBean registration = new FilterRegistrationBean();
registration.setFilter(new WhitelistFilter());
registration.addUrlPatterns("/*");
registration.setName("whitelistFilter");
registration.setOrder(1); // 設定過濾器被呼叫的順序
return registration;
}
}小結
四種實現方式都有其適合的場 景,那麼它們之間的呼叫順序如何呢? Filter 是 Servlet 實現的,自然是最先被呼叫,後續被呼叫的是 Interceptor 被攔截了自然不需要後續再進行處理,然後是 引數解析器,最後才是切面的切點。
推薦2個原創springboot+Vue專案,有完整視訊講解與文件和原始碼:
【VueAdmin】手把手教你開發SpringBoot+Jwt+Vue的前後端分離後臺管理系統
- 視訊講解:https://www.bilibili.com/video/BV1af4y1s7Wh/
- 完整開發文件前端:https://www.zhuawaba.com/post/18
- 完整開發文件後端:https://www.zhuawaba.com/post/19
【VueBlog】基於SpringBoot+Vue開發的前後端分離部落格專案完整教學
有任何疑問,來我的公眾號【Java問答社】問我