SpringBoot HandlerInterceptor实战

2023-10-17 16:12
文章标签 java 实战 springboot spring handlerinterceptor

本文主要是介绍SpringBoot HandlerInterceptor实战,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

HandlerInterceptor

  • 1.拦截器介绍
    • 1.1 接口方法说明
      • 1.1.1 preHandle
      • 1.1.2 postHandle
      • 1.1.3 afterCompletion
    • 1.2 基本使用示例
      • 1.2.1 实现自定义拦截器
      • 1.2.2 注册拦截器
  • 2. 实战
    • 2.1 实战一:通过拦截器获取controller的方法注解鉴权
      • 2.1.1 定义权限注解
      • 2.1.2 实现权限拦截器(实现HandlerInterceptor接口)
      • 2.1.3 配置拦截器
      • 2.1.4 controller使用权限注解
    • 2.2 实战二:通过拦截器实现第三方HTTP请求签名
      • 2.2.1 接口签名工具类
      • 2.2.2 实现安全拦截器(实现HandlerInterceptor接口)
      • 2.2.3 注册拦截器
      • 2.2.4 application.yml配置
  • 3. 拓展
    • 3.1拦截器(Interceptor)和过滤器(Filter)的执行顺序和区别
      • 3.1.1 过滤器(Filter)
      • 3.1.2 拦截器(Interceptor)
      • 3.1.3 总结
  • 4. 参考文章

1.拦截器介绍

HandlerInterceptorAdapter 是 Spring MVC 中的拦截器(Interceptor)类,用于拦截请求的处理流程,包括请求的预处理、后处理和渲染视图等操作。它可以用于实现一些全局性的处理逻辑,例如日志记录、权限验证、请求参数预处理等

1.1 接口方法说明

1.1.1 preHandle

预处理回调方法,实现处理器的预处理。可以在这里进行权限验证、请求参数处理等。

  • 返回值:true表示继续流程;false表示流程中断,不会继续调用其他的拦截器或处理器

1.1.2 postHandle

后处理回调方法,实现处理器(controller)的后处理,但在渲染视图之前,此时我们可以通过modelAndView对模型数据进行处理或对视图进行处理

1.1.3 afterCompletion

整个请求处理完毕回调方法,即在视图渲染完毕时回调,如性能监控中我们可以在此记录结束时间并输出消耗时间,还可以进行一些资源清理,类似于try-catch-finally中的finally,但仅调用处理器执行链中

1.2 基本使用示例

1.2.1 实现自定义拦截器

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;public class MyInterceptor extends HandlerInterceptorAdapter {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)throws Exception {// 在请求处理之前执行,可以进行权限验证等操作System.out.println("Pre Handle method is Calling");return true; // 返回true表示继续执行后续操作,返回false将中断请求处理流程}@Overridepublic void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,org.springframework.web.servlet.ModelAndView modelAndView) throws Exception {// 在请求处理之后、视图渲染之前执行,可以修改数据模型等操作System.out.println("Post Handle method is Calling");}@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)throws Exception {// 在整个请求完成之后执行,可以用于清理资源等操作System.out.println("After Completion method is Calling");}
}

在上述示例中,MyInterceptor 继承了 HandlerInterceptorAdapter 类,并重写了其三个方法(preHandle、postHandle 和 afterCompletion)

1.2.2 注册拦截器

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class WebMvcConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(new MyInterceptor()).addPathPatterns("/**");}
}

在上述配置中,addInterceptors 方法中注册了 MyInterceptor 拦截器,并设置了拦截的路径为 “/**”,表示拦截所有请求。你可以根据实际需求修改拦截的路径

2. 实战

2.1 实战一:通过拦截器获取controller的方法注解鉴权

2.1.1 定义权限注解

@Retention(RUNTIME)
@Target(METHOD)
public @interface ApiPermission {String value() default "";//默认为空,因为名字是value,实际操作中可以不写"value="
}

2.1.2 实现权限拦截器(实现HandlerInterceptor接口)

@Component
public class PermissionInterceptor implements HandlerInterceptor {private static final Logger LOGGER = LoggerFactory.getLogger(PermissionInterceptor.class);@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)throws Exception {LOGGER.info("进入拦截器");if(handler instanceof HandlerMethod) {HandlerMethod h = (HandlerMethod)handler;ApiPermission apiPermission= h.getMethodAnnotation(ApiPermission.class);if (easyLog != null) {//TODO 判断当前用户是否拥有权限信息response.setStatus(HttpServletResponse.SC_FORBIDDEN);// 创建一个JSON对象JSONObject jsonObject = new JSONObject();jsonObject.put("code", "403");jsonObject.put("message", "用户无权限操作");// 设置响应内容类型为JSON,使用UTF-8编码(不使用中文会乱码)response.setContentType("application/json;charset=UTF-8");response.getWriter().print(jsonObject.toString());return false;}}return HandlerInterceptor.super.preHandle(request, response, handler);}}

获取controller类方法注解: h.getMethod().getDeclaringClass().getAnnotation(ApiPermission.class);

2.1.3 配置拦截器

@Component
public class WebMvcConfig implements WebMvcConfigurer {@Autowiredprivate PermissionInterceptor permissionInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(permissionInterceptor).addPathPatterns("/**");;}
}

2.1.4 controller使用权限注解

@Controller
@RequestMapping("/api/user")
public class UserController {@Autowiredprivate UserService userService;@ApiPermission("user:list")@RequestMapping(value = "/list", method=RequestMethod.GET)@ResponseBodypublic ApiResult<PageResult<Page<User>>> listByPage(User user, PageResult pageResult) {Page<User> page = this.userService.findListByPage(user, new Page(pageResult.getPageNum(), pageResult.getPageSize()));return ApiResult.wrapPage(page);}
}

2.2 实战二:通过拦截器实现第三方HTTP请求签名

签名是在Web开发中常用的一种安全验证方式,用于确保请求的来源和完整性

2.2.1 接口签名工具类

方法内部的步骤如下:

  1. 构建待签名字符串 toSign: 将HTTP请求的方法、URI和时间戳拼接成一个字符串。
  2. 初始化MAC算法: 使用HmacSHA256算法(一种基于哈希函数的消息认证码算法)进行签名。在这里,使用Mac类来初始化HmacSHA256算法,传入SecretKeySpec对象作为密钥。
  3. 计算签名: 将待签名字符串 toSign 使用UTF-8编码转换为字节数组,然后通过HMAC-SHA1算法进行计算,生成签名的字节数组。
  4. Base64编码: 将生成的签名字节数组进行Base64编码,得到最终的签名字符串。
  5. 返回签名结果: 返回生成的签名字符串。

最终,该方法返回一个基于给定HTTP请求方法、URI、时间戳和密钥生成的签名字符串。该签名字符串可以用于在服务器端验证请求的合法性,确保请求的来源和完整性,防止恶意请求和数据篡改。

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.util.Base64;/*** 服务认证签名工具类*/
public class ServiceSignUtil {public static final String HMAC_SHA1_ALGORITHM = "HmacSHA1";public static final String HMAC_SHA256_ALGORITHM = "HmacSHA256";// 定义其他算法常量...private ServiceSignUtil() {}/*** 生成服务认证签名** @param httpMethod  HTTP请求方法,例如GET、POST等* @param uri         请求的URI(路径)* @param utc         请求的时间戳(通常是UTC格式的时间戳)* @param secretKey   用于签名的密钥* @param algorithm   签名算法,使用上述定义的常量* @return            返回生成的签名字符串* @throws NoSuchAlgorithmException  如果指定的算法不存在* @throws InvalidKeyException       如果密钥无效*/public static String signature(String httpMethod, String uri, String utc, String secretKey, String algorithm)throws NoSuchAlgorithmException, InvalidKeyException {String toSign = httpMethod + uri + utc;Mac mac = Mac.getInstance(algorithm);mac.init(new SecretKeySpec(secretKey.getBytes(StandardCharsets.UTF_8), algorithm));byte[] signatureBytes = mac.doFinal(toSign.getBytes(StandardCharsets.UTF_8));return Base64.getEncoder().encodeToString(signatureBytes).trim();}
}

2.2.2 实现安全拦截器(实现HandlerInterceptor接口)

public class ApiSecurityInterceptor extends HandlerInterceptorAdapter {private static final Logger LOGGER = LoggerFactory.getLogger(ApiSecurityInterceptor.class);private String accessKey = "ak";private String secretKey = "sk";@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)  {String accessId = request.getHeader(RemoteCallConstants.HEADER_ACCESS_ID);String signature = request.getHeader(RemoteCallConstants.HEADER_SIGNATURE);String utc = request.getHeader(RemoteCallConstants.HEADER_TIMESTAMP);// 微服务标识暂时不用//String appService = request.getHeader(RemoteCallConstants.HEADER_APP_SERVICE);// 鉴权信息为空则认为时非法请求if (StringUtils.isBlank(accessId) || StringUtils.isBlank(signature) || StringUtils.isBlank(utc)) {throw new RuntimeException("MessageEnum.ILLEGAL_REQUEST");}DateTime dateTime = DateUtil.parseUTC(utc);// 5分钟内请求有效,超过则认为请求过期if (DateTime.now().between(dateTime).between(DateUnit.MINUTE) >= 5L) {throw new RuntimeException("MessageEnum.REQUEST_HAS_EXPIRED");}// access-key不匹配则为鉴权失败if (!StringUtils.equals(accessKey, accessId)) {throw new RuntimeException("MessageEnum.API_AUTHENTICATION_FAILED");}String uri = request.getServletPath();String httpMethod = request.getMethod();try {String currentSignature = ServiceSignUtil.signature(httpMethod, uri, utc, secretKey, "HmacSHA256");// 签名不一致if (!StringUtils.equals(currentSignature, signature)) {throw new RuntimeException("MessageEnum.API_AUTHENTICATION_FAILED");}} catch (NoSuchAlgorithmException | InvalidKeyException e) {// 签名生成失败throw new RuntimeException("MessageEnum.API_AUTHENTICATION_FAILED");}return true;}public String getAccessKey() {return accessKey;}public void setAccessKey(String accessKey) {this.accessKey = accessKey;}public String getSecretKey() {return secretKey;}public void setSecretKey(String secretKey) {this.secretKey = secretKey;}
}
  • 常量类
public class RemoteCallConstants {public static final String HEADER_ACCESS_ID = "accessId";public static final String HEADER_TIMESTAMP = "timestamp";public static final String HEADER_SIGNATURE = "signature";public static final String QUERY_LANG = "lang";public static final String UTC_TIME_PATTERN = "yyyy-MM-dd'T'HH:mm:ss.SSS'Z'";private RemoteCallConstants() {}
}

2.2.3 注册拦截器

@Configuration
public class InterceptorConfig {private static final Logger LOGGER = LoggerFactory.getLogger(InterceptorConfig.class);@Value("${easy-api.security.path-patterns:/**/api/**}")private String pathPatterns;/*** @ConfigurationProperties的第二种用法@Bean + @ConfigurationProperties* 注意!对应bean中的属性需要setter/getter方法,否则无法注入*/@Bean@ConfigurationProperties(prefix = "easy-api.security")public ApiSecurityInterceptor apiSecurityInterceptor() {return new ApiSecurityInterceptor();}@Beanpublic WebMvcConfigurer apiSecurityInterceptorConfigurer() {LOGGER.info("【easy-mode】@EnableEasyApiSecurity[apiSecurityInterceptor]--拦截:{}", pathPatterns);return new WebMvcConfigurer() {@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(apiSecurityInterceptor()).addPathPatterns(pathPatterns);}};}
}

2.2.4 application.yml配置

easy-api:security:access-key: aksecret-key: skpath-patterns: /**

访问接口ak sk及鉴权接口 通过配置文件灵活定义。(这里演示方便就写死, 生产环境一般每个调用方一对)

3. 拓展

3.1拦截器(Interceptor)和过滤器(Filter)的执行顺序和区别

3.1.1 过滤器(Filter)

  • 容器:它依赖于Servlet容器,属于Servlet规范的一部分,而拦截器则是独立存在的,可以在任何情况下使用。
  • 技术:在实现上,基于函数回调。
  • 优缺点:它可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时init一次。
  • 使用过滤器的目的: 是用来做一些过滤操作,获取我们想要获取的数据,比如:在JavaWeb中,对传入的request、response提前过滤掉一些信息,或者提前设置一些参数,然后再传入servlet或者Controller进行业务逻辑操作。
  • 常用的场景是:
    • 过滤: 在过滤器中修改字符编码(CharacterEncodingFilter)、在过滤器中修改HttpServletRequest的一些参数(XSSFilter(自定义过滤器)),如:过滤低俗文字、危险字符等。
    • 身份认证: 服务器提供的资源如果是受保护,在过滤器实现session认证, 比如shiro(权限框架)
    • 请求转发: 改变特定请求路径, 比如SSO的cas的客户端filter, 302转发cas登录页,登录后带ticket参数发起校验并获取用户信息。
    • 日志记录: 结合log4j的MDC记录请求的IP/用户等信息,创建requestId用于请求链路的追踪

3.1.2 拦截器(Interceptor)

  • 容器:依赖于web框架,在SpringMVC中就是依赖于SpringMVC框架
  • 技术:在实现上基于Java的反射机制,属于面向切面编程(AOP)的一种运用。
  • 优缺点:由于拦截器是基于web框架的调用,因此可以使用Spring的依赖注入(DI)进行一些业务操作,同时一个拦截器实例在一个controller生命周期之内可以多次调用。缺点:依赖于web框架
  • 使用拦截器目的: 一般filter会配置在执行web框架之前,控制范围比较大,基本filter能满足大部分需求,拦截器使用一般在filter实现起来不够友好地方。比如获取容器上下文信息
  • 常用的场景是:
    • 权限认证: 通过拦截器的HandlerMethod可以很容易获取controller类或者方法的注解,对于接口的权限控制十分便利。

3.1.3 总结

Interceptor结合容器更"靠近"业务, filter更倾向基础通用的配置。

4. 参考文章

  1. SpringMVC拦截器中获得Controller方法名和注解信息(用于验证权限)
  2. 拦截器(Interceptor)和过滤器(Filter)的执行顺序和区别
  3. 过滤器 和 拦截器 6个区别,别再傻傻分不清了

这篇关于SpringBoot HandlerInterceptor实战的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!

原文地址:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/226524

相关文章

Spring Boot 整合 SSE的高级实践(Server-Sent Events)

Spring Boot 整合 SSE的高级实践(Server-Sent Events)

《SpringBoot整合SSE的高级实践(Server-SentEvents)》SSE(Server-SentEvents)是一种基于HTTP协议的单向通信机制,允许服务器向浏览器持续发送实... 目录1、简述2、Spring Boot 中的SSE实现2.1 添加依赖2.2 实现后端接口2.3 配置超时时
阅读更多...
Spring Boot读取配置文件的五种方式小结

Spring Boot读取配置文件的五种方式小结

《SpringBoot读取配置文件的五种方式小结》SpringBoot提供了灵活多样的方式来读取配置文件,这篇文章为大家介绍了5种常见的读取方式,文中的示例代码简洁易懂,大家可以根据自己的需要进... 目录1. 配置文件位置与加载顺序2. 读取配置文件的方式汇总方式一:使用 @Value 注解读取配置方式二
阅读更多...
一文详解Java异常处理你都了解哪些知识

一文详解Java异常处理你都了解哪些知识

《一文详解Java异常处理你都了解哪些知识》:本文主要介绍Java异常处理的相关资料,包括异常的分类、捕获和处理异常的语法、常见的异常类型以及自定义异常的实现,文中通过代码介绍的非常详细,需要的朋... 目录前言一、什么是异常二、异常的分类2.1 受检异常2.2 非受检异常三、异常处理的语法3.1 try-
阅读更多...
Java中的@SneakyThrows注解用法详解

Java中的@SneakyThrows注解用法详解

《Java中的@SneakyThrows注解用法详解》:本文主要介绍Java中的@SneakyThrows注解用法的相关资料,Lombok的@SneakyThrows注解简化了Java方法中的异常... 目录前言一、@SneakyThrows 简介1.1 什么是 Lombok?二、@SneakyThrows
阅读更多...
Java中字符串转时间与时间转字符串的操作详解

Java中字符串转时间与时间转字符串的操作详解

《Java中字符串转时间与时间转字符串的操作详解》Java的java.time包提供了强大的日期和时间处理功能,通过DateTimeFormatter可以轻松地在日期时间对象和字符串之间进行转换,下面... 目录一、字符串转时间(一)使用预定义格式(二)自定义格式二、时间转字符串(一)使用预定义格式(二)自
阅读更多...
Spring 请求之传递 JSON 数据的操作方法

Spring 请求之传递 JSON 数据的操作方法

《Spring请求之传递JSON数据的操作方法》JSON就是一种数据格式,有自己的格式和语法,使用文本表示一个对象或数组的信息,因此JSON本质是字符串,主要负责在不同的语言中数据传递和交换,这... 目录jsON 概念JSON 语法JSON 的语法JSON 的两种结构JSON 字符串和 Java 对象互转
阅读更多...
JAVA保证HashMap线程安全的几种方式

JAVA保证HashMap线程安全的几种方式

《JAVA保证HashMap线程安全的几种方式》HashMap是线程不安全的,这意味着如果多个线程并发地访问和修改同一个HashMap实例,可能会导致数据不一致和其他线程安全问题,本文主要介绍了JAV... 目录1. 使用 Collections.synchronizedMap2. 使用 Concurren
阅读更多...
Java Response返回值的最佳处理方案

Java Response返回值的最佳处理方案

《JavaResponse返回值的最佳处理方案》在开发Web应用程序时,我们经常需要通过HTTP请求从服务器获取响应数据,这些数据可以是JSON、XML、甚至是文件,本篇文章将详细解析Java中处理... 目录摘要概述核心问题:关键技术点:源码解析示例 1:使用HttpURLConnection获取Resp
阅读更多...
Java的栈与队列实现代码解析

Java的栈与队列实现代码解析

《Java的栈与队列实现代码解析》栈是常见的线性数据结构,栈的特点是以先进后出的形式,后进先出,先进后出,分为栈底和栈顶,栈应用于内存的分配,表达式求值,存储临时的数据和方法的调用等,本文给大家介绍J... 目录栈的概念(Stack)栈的实现代码队列(Queue)模拟实现队列(双链表实现)循环队列(循环数组
阅读更多...
Java中Switch Case多个条件处理方法举例

Java中Switch Case多个条件处理方法举例

《Java中SwitchCase多个条件处理方法举例》Java中switch语句用于根据变量值执行不同代码块,适用于多个条件的处理,:本文主要介绍Java中SwitchCase多个条件处理的相... 目录前言基本语法处理多个条件示例1:合并相同代码的多个case示例2:通过字符串合并多个case进阶用法使用
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2