快捷導(dǎo)航

Spring Boot使用過濾器和攔截器分別實(shí)現(xiàn)REST接口簡(jiǎn)易安全認(rèn)證示例代碼詳解

更新時(shí)間：2018年06月06日 08:34:45 作者：JeffWong

這篇文章主要介紹了Spring Boot使用過濾器和攔截器分別實(shí)現(xiàn)REST接口簡(jiǎn)易安全認(rèn)證示例代碼，通過開發(fā)實(shí)踐，理解過濾器和攔截器的工作原理,需要的朋友可以參考下

本文通過一個(gè)簡(jiǎn)易安全認(rèn)證示例的開發(fā)實(shí)踐，理解過濾器和攔截器的工作原理。

很多文章都將過濾器（Filter）、攔截器（Interceptor）和監(jiān)聽器（Listener）這三者和Spring關(guān)聯(lián)起來講解，并認(rèn)為過濾器（Filter）、攔截器（Interceptor）和監(jiān)聽器（Listener）是Spring提供的應(yīng)用廣泛的組件功能。

但是嚴(yán)格來說，過濾器和監(jiān)聽器屬于Servlet范疇的API，和Spring沒什么關(guān)系。

因?yàn)檫^濾器繼承自javax.servlet.Filter接口，監(jiān)聽器繼承自javax.servlet.ServletContextListener接口，只有攔截器繼承的是org.springframework.web.servlet.HandlerInterceptor接口。

上面的流程圖參考自網(wǎng)上資料，一圖勝千言?？赐瓯疚囊院螅瑢?duì)過濾器和攔截器的調(diào)用過程會(huì)有更深刻理解。

一、安全認(rèn)證設(shè)計(jì)思路

有時(shí)候內(nèi)外網(wǎng)調(diào)用API，對(duì)安全性的要求不一樣，很多情況下外網(wǎng)調(diào)用API的種種限制在內(nèi)網(wǎng)根本沒有必要，但是網(wǎng)關(guān)部署的時(shí)候，可能因?yàn)槌杀竞蛷?fù)雜度等問題，內(nèi)外網(wǎng)要調(diào)用的API會(huì)部署在一起。

實(shí)現(xiàn)REST接口的安全性，可以通過成熟框架如Spring Security或者 shiro 搞定。

但是因?yàn)榘踩蚣芡鶎?shí)現(xiàn)復(fù)雜（我數(shù)了下Spring Security，洋洋灑灑大概有11個(gè)核心模塊，shiro的源碼代碼量也比較驚人）同時(shí)可能要引入復(fù)雜配置（能不能讓人痛快一點(diǎn)），不利于中小團(tuán)隊(duì)的靈活快速開發(fā)、部署及問題排查。

很多團(tuán)隊(duì)自己造輪子實(shí)現(xiàn)安全認(rèn)證，本文這個(gè)簡(jiǎn)易認(rèn)證示例參考自我所在的前廠開發(fā)團(tuán)隊(duì)，可以認(rèn)為是個(gè)基于token的安全認(rèn)證服務(wù)。

大致設(shè)計(jì)思路如下：

1、自定義http請(qǐng)求頭，每次調(diào)用API都在請(qǐng)求頭里傳人一個(gè)token值

2、token放在緩存（如redis）中，根據(jù)業(yè)務(wù)和API的不同設(shè)置不同策略的過期時(shí)間

3、token可以設(shè)置白名單和黑名單，可以限制API調(diào)用頻率，便于開發(fā)和測(cè)試，便于緊急處理異狀，甚至臨時(shí)關(guān)閉API

4、外網(wǎng)調(diào)用必須傳人token，token可以和用戶有關(guān)系，比如每次打開頁面或者登錄生成token寫入請(qǐng)求頭，頁面驗(yàn)證cookie和token有效性等

在Spring Security框架里有兩個(gè)概念，即 認(rèn)證 和 授權(quán) ，認(rèn)證指可以訪問系統(tǒng)的用戶，而授權(quán)則是用戶可以訪問的資源。

實(shí)現(xiàn)上述簡(jiǎn)易安全認(rèn)證需求，你可能需要獨(dú)立出一個(gè)token服務(wù)，保證生成token全局唯一，可能包含的模塊有自定義流水生成器、CRM、加解密、日志、API統(tǒng)計(jì)、緩存等，但是和用戶（CRM）其實(shí)是弱綁定關(guān)系。某些和用戶有關(guān)系的公共服務(wù)，比如我們經(jīng)常用到的發(fā)送短信SMS和郵件服務(wù)，也可以通過token機(jī)制解決安全調(diào)用問題。

綜上，本文的簡(jiǎn)易安全認(rèn)證其實(shí)和Spring Security框架提供的認(rèn)證和授權(quán)有點(diǎn)不一樣，當(dāng)然，這種“安全”處理方式對(duì)專業(yè)人士沒什么新意，但是可以對(duì)外擋掉很大一部分小白用戶。

二、自定義Filter

和Spring MVC類似，Spring Boot提供了很多servlet過濾器（Filter）可使用，并且它自動(dòng)添加了一些常用過濾器，比如CharacterEncodingFilter（用于處理編碼問題）、HiddenHttpMethodFilter（隱藏HTTP函數(shù)）、HttpPutFormContentFilter（form表單處理）、RequestContextFilter（請(qǐng)求上下文）等。通常我們還會(huì)自定義Filter實(shí)現(xiàn)一些通用功能，比如記錄日志、判斷是否登錄、權(quán)限驗(yàn)證等。

1、自定義請(qǐng)求頭

很簡(jiǎn)單，在request header添加自定義請(qǐng)求頭authtoken：

@RequestMapping(value = "/getinfobyid", method = RequestMethod.POST)
 @ApiOperation("根據(jù)商品Id查詢商品信息")
 @ApiImplicitParams({
   @ApiImplicitParam(paramType = "header", name = "authtoken", required = true, value = "authtoken", dataType =
     "String"),
 })
 public GetGoodsByGoodsIdResponse getGoodsByGoodsId(@RequestHeader String authtoken, @RequestBody GetGoodsByGoodsIdRequest request) {
  return _goodsApiService.getGoodsByGoodsId(request);
 }
getGoodsByGoodsId

加了@RequestHeader修飾的authtoken字段就可以在swagger這樣的框架下顯示出來。

調(diào)用后，可以根據(jù)http工具看到請(qǐng)求頭，本文示例是authtoken（和某些框架的token區(qū)分開）：

備注：很多httpclient工具都支持動(dòng)態(tài)傳人請(qǐng)求頭，比如RestTemplate。

2、實(shí)現(xiàn)Filter

Filter接口共有三個(gè)方法，即init，doFilter和destory，看到名稱就大概知道它們主要用途了，通常我們只要在doFilter這個(gè)方法內(nèi)，對(duì)Http請(qǐng)求進(jìn)行處理：

package com.power.demo.controller.filter;
import com.power.demo.common.AppConst;
import com.power.demo.common.BizResult;
import com.power.demo.service.contract.AuthTokenService;
import com.power.demo.util.PowerLogger;
import com.power.demo.util.SerializeUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
@Component
public class AuthTokenFilter implements Filter {
 @Autowired
 private AuthTokenService authTokenService;
 @Override
 public void init(FilterConfig var1) throws ServletException {
 }
 @Override
 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
   throws IOException, ServletException {
  HttpServletRequest req = (HttpServletRequest) request;
  String token = req.getHeader(AppConst.AUTH_TOKEN);
  BizResult<String> bizResult = authTokenService.powerCheck(token);
  System.out.println(SerializeUtil.Serialize(bizResult));
  if (bizResult.getIsOK() == true) {
   PowerLogger.info("auth token filter passed");
   chain.doFilter(request, response);
  } else {
   throw new ServletException(bizResult.getMessage());
  }
 }
 @Override
 public void destroy() {
 }
}
AuthTokenFilter

注意，F(xiàn)ilter這樣的東西，我認(rèn)為從實(shí)際分層角度，多數(shù)處理的還是表現(xiàn)層偏多，不建議直接在Filter中直接使用數(shù)據(jù)訪問層Dao，雖然這樣的代碼一兩年前我在很多老古董項(xiàng)目中看到過很多次，而且<<Spring實(shí)戰(zhàn)>>的書里也有這樣寫的先例。

3、認(rèn)證服務(wù)

這里就是主要業(yè)務(wù)邏輯了，示例代碼只是簡(jiǎn)單寫下思路，不要輕易就用于生產(chǎn)環(huán)境：

package com.power.demo.service.impl;
import com.power.demo.cache.PowerCacheBuilder;
import com.power.demo.common.BizResult;
import com.power.demo.service.contract.AuthTokenService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
@Component
public class AuthTokenServiceImpl implements AuthTokenService {
  @Autowired
  private PowerCacheBuilder cacheBuilder;
  /*
   * 驗(yàn)證請(qǐng)求頭token是否合法
   * */
  @Override
  public BizResult<String> powerCheck(String token) {
    BizResult<String> bizResult = new BizResult<>(true, "驗(yàn)證通過");
    System.out.println("token的值為:" + token);
    if (StringUtils.isEmpty(token) == true) {
      bizResult.setFail("authtoken為空");
      return bizResult;
    }
    //處理黑名單
    bizResult = checkForbidList(token);
    if (bizResult.getIsOK() == false) {
      return bizResult;
    }
    //處理白名單
    bizResult = checkAllowList(token);
    if (bizResult.getIsOK() == false) {
      return bizResult;
    }
    String key = String.format("Power.AuthTokenService.%s", token);
    //cacheBuilder.set(key, token);
    //cacheBuilder.set(key, token.toUpperCase());
    //從緩存中取
    String existToken = cacheBuilder.get(key);
    if (StringUtils.isEmpty(existToken) == true) {
      bizResult.setFail(String.format("不存在此authtoken：%s", token));
      return bizResult;
    }
    //比較token是否相同
    Boolean isEqual = token.equals(existToken);
    if (isEqual == false) {
      bizResult.setFail(String.format("不合法的authtoken:%s", token));
      return bizResult;
    }
    //do something
    return bizResult;
  }
}
AuthTokenServiceImpl

用到的緩存服務(wù)可以參考這里，這個(gè)也是我在前廠的經(jīng)驗(yàn)總結(jié)。

4、注冊(cè)Filter

常見的有兩種寫法：

（1）、使用@WebFilter注解來標(biāo)識(shí)Filter

@Order(1)
@WebFilter(urlPatterns = {"/api/v1/goods/*", "/api/v1/userinfo/*"})
public class AuthTokenFilter implements Filter {

使用@WebFilter注解，還可以配合使用@Order注解，@Order注解表示執(zhí)行過濾順序，值越小，越先執(zhí)行，這個(gè)Order大小在我們編程過程中就像處理HTTP請(qǐng)求的生命周期一樣大有用處。當(dāng)然，如果沒有指定Order，則過濾器的調(diào)用順序跟添加的過濾器順序相反，過濾器的實(shí)現(xiàn)是責(zé)任鏈模式。

最后，在啟動(dòng)類上添加@ServletComponentScan 注解即可正常使用自定義過濾器了。

（2）、使用FilterRegistrationBean對(duì)Filter進(jìn)行自定義注冊(cè)

本文以第二種實(shí)現(xiàn)自定義Filter注冊(cè)：

package com.power.demo.controller.filter;
import com.google.common.collect.Lists;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.stereotype.Component;
import java.util.List;
@Configuration
@Component
public class RestFilterConfig {
  @Autowired
  private AuthTokenFilter filter;
  @Bean
  public FilterRegistrationBean filterRegistrationBean() {
    FilterRegistrationBean registrationBean = new FilterRegistrationBean();
    registrationBean.setFilter(filter);
    //設(shè)置（模糊）匹配的url
    List<String> urlPatterns = Lists.newArrayList();
    urlPatterns.add("/api/v1/goods/*");
    urlPatterns.add("/api/v1/userinfo/*");
    registrationBean.setUrlPatterns(urlPatterns);
    registrationBean.setOrder(1);
    registrationBean.setEnabled(true);
    return registrationBean;
  }
}
RestFilterConfig

請(qǐng)大家特別注意urlPatterns，屬性u(píng)rlPatterns指定要過濾的URL模式。對(duì)于Filter的作用區(qū)域，這個(gè)參數(shù)居功至偉。

注冊(cè)好Filter，當(dāng)Spring Boot啟動(dòng)時(shí)監(jiān)測(cè)到有javax.servlet.Filter的bean時(shí)就會(huì)自動(dòng)加入過濾器調(diào)用鏈ApplicationFilterChain。

調(diào)用一個(gè)API試試效果：

通常情況下，我們?cè)赟pring Boot下都會(huì)自定義一個(gè)全局統(tǒng)一的異常管理增強(qiáng) GlobalExceptionHandler （和上面這個(gè)顯示會(huì)略有不同）。

根據(jù)我的實(shí)踐，過濾器里拋出異常，不會(huì)被全局唯一的異常管理增強(qiáng)捕獲到并進(jìn)行處理，這個(gè)和攔截器Inteceptor以及下一篇文章介紹的自定義AOP攔截不同。

到這里，一個(gè)通過自定義Filter實(shí)現(xiàn)的簡(jiǎn)易安全認(rèn)證服務(wù)就搞定了。

三、自定義攔截器

1、實(shí)現(xiàn)攔截器

繼承接口HandlerInterceptor，實(shí)現(xiàn)攔截器，接口方法有下面三個(gè)：

preHandle是請(qǐng)求執(zhí)行前執(zhí)行

postHandle是請(qǐng)求結(jié)束執(zhí)行

afterCompletion是視圖渲染完成后執(zhí)行

package com.power.demo.controller.interceptor;
import com.power.demo.common.AppConst;
import com.power.demo.common.BizResult;
import com.power.demo.service.contract.AuthTokenService;
import com.power.demo.util.PowerLogger;
import com.power.demo.util.SerializeUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/*
 * 認(rèn)證token攔截器
 * */
@Component
public class AuthTokenInterceptor implements HandlerInterceptor {
  @Autowired
  private AuthTokenService authTokenService;
  /*
   * 請(qǐng)求執(zhí)行前執(zhí)行
   * */
  @Override
  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    boolean handleResult = false;
    String token = request.getHeader(AppConst.AUTH_TOKEN);
    BizResult<String> bizResult = authTokenService.powerCheck(token);
    System.out.println(SerializeUtil.Serialize(bizResult));
    handleResult = bizResult.getIsOK();
    PowerLogger.info("auth token interceptor攔截結(jié)果：" + handleResult);
    if (bizResult.getIsOK() == true) {
      PowerLogger.info("auth token interceptor passed");
    } else {
      throw new Exception(bizResult.getMessage());
    }
    return handleResult;
  }
  /*
   * 請(qǐng)求結(jié)束執(zhí)行
   * */
  @Override
  public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
  }
  /*
   * 視圖渲染完成后執(zhí)行
   * */
  @Override
  public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
  }
}
AuthTokenInterceptor

示例中，我們選擇在請(qǐng)求執(zhí)行前進(jìn)行token安全認(rèn)證。

認(rèn)證服務(wù)就是過濾器里介紹的AuthTokenService，業(yè)務(wù)邏輯層實(shí)現(xiàn)復(fù)用。

2、注冊(cè)攔截器

定義一個(gè)InterceptorConfig類，繼承自WebMvcConfigurationSupport，WebMvcConfigurerAdapter已經(jīng)過時(shí)。

將AuthTokenInterceptor作為bean注入，其他設(shè)置攔截器攔截的URL和過濾器非常相似：

package com.power.demo.controller.interceptor;
import com.google.common.collect.Lists;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.config.annotation.DefaultServletHandlerConfigurer;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;
import java.util.List;
@Configuration
@Component
public class InterceptorConfig extends WebMvcConfigurationSupport { //WebMvcConfigurerAdapter已經(jīng)過時(shí)
  private static final String FAVICON_URL = "/favicon.ico";
  /**
   * 發(fā)現(xiàn)如果繼承了WebMvcConfigurationSupport，則在yml中配置的相關(guān)內(nèi)容會(huì)失效。
   *
   * @param registry
   */
  @Override
  public void addResourceHandlers(ResourceHandlerRegistry registry) {
    registry.addResourceHandler("/").addResourceLocations("/**");
    registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");
  }
  /**
   * 配置servlet處理
   */
  @Override
  public void configureDefaultServletHandling(DefaultServletHandlerConfigurer configurer) {
    configurer.enable();
  }
  @Override
  public void addInterceptors(InterceptorRegistry registry) {
    //設(shè)置（模糊）匹配的url
    List<String> urlPatterns = Lists.newArrayList();
    urlPatterns.add("/api/v1/goods/*");
    urlPatterns.add("/api/v1/userinfo/*");
    registry.addInterceptor(authTokenInterceptor()).addPathPatterns(urlPatterns).excludePathPatterns(FAVICON_URL);
    super.addInterceptors(registry);
  }
  //將攔截器作為bean寫入配置中
  @Bean
  public AuthTokenInterceptor authTokenInterceptor() {
    return new AuthTokenInterceptor();
  }
}
InterceptorConfig

啟動(dòng)應(yīng)用后，調(diào)用接口就可以看到攔截器攔截的效果了。全局統(tǒng)一的異常管理 GlobalExceptionHandler 捕獲異常后處理如下：

和過濾器顯示的主要錯(cuò)誤提示信息幾乎一樣，但是堆棧信息更加豐富。

四、過濾器和攔截器區(qū)別

主要區(qū)別如下：

1、攔截器主要是基于java的反射機(jī)制的，而過濾器是基于函數(shù)回調(diào)

2、攔截器不依賴于servlet容器，過濾器依賴于servlet容器

3、攔截器只能對(duì)action請(qǐng)求起作用，而過濾器則可以對(duì)幾乎所有的請(qǐng)求起作用

4、攔截器可以訪問action上下文、值棧里的對(duì)象，而過濾器不能訪問

5、在action的生命周期中，攔截器可以多次被調(diào)用，而過濾器只能在容器初始化時(shí)被調(diào)用一次

參考過的一些文章，有的說“攔截器可以獲取IOC容器中的各個(gè)bean，而過濾器就不行，這點(diǎn)很重要，在攔截器里注入一個(gè)service，可以調(diào)用業(yè)務(wù)邏輯”，經(jīng)過實(shí)際驗(yàn)證，這是不對(duì)的。

注意：過濾器的觸發(fā)時(shí)機(jī)是容器后，servlet之前，所以過濾器的 doFilter (ServletRequest request, ServletResponse response, FilterChain chain)的入?yún)⑹荢ervletRequest，而不是HttpServletRequest，因?yàn)檫^濾器是在HttpServlet之前。下面這個(gè)圖，可以讓你對(duì)Filter和Interceptor的執(zhí)行時(shí)機(jī)有更加直觀的認(rèn)識(shí)：

只有經(jīng)過DispatcherServlet 的請(qǐng)求，才會(huì)走攔截器鏈，自定義的Servlet請(qǐng)求是不會(huì)被攔截的，比如我們自定義的Servlet地址http://localhost:9090/testServlet是不會(huì)被攔截器攔截的。但不管是屬于哪個(gè)Servlet，只要符合過濾器的過濾規(guī)則，過濾器都會(huì)執(zhí)行。

根據(jù)上述分析，理解原理，實(shí)際操作就簡(jiǎn)單了，哪怕是ASP.NET過濾器亦然。

問題：實(shí)現(xiàn)更加靈活的安全認(rèn)證

在Java Web下通過自定義過濾器Filter或者攔截器Interceptor通過urlPatterns，可以實(shí)現(xiàn)對(duì)特定匹配的API進(jìn)行安全認(rèn)證，比如匹配所有API、匹配某個(gè)或某幾個(gè)API等，但是有時(shí)候這種匹配模式對(duì)開發(fā)人員相對(duì)不夠友好。

我們可以參考Spring Security那樣，通過注解+SpEL實(shí)現(xiàn)強(qiáng)大功能。

又比如在ASP.NET中，我們經(jīng)常用到Authorized特性，這個(gè)特性可以加在類上，也可以作用于方法上，可以更加動(dòng)態(tài)靈活地控制安全認(rèn)證。

我們沒有選擇Spring Security，那就自己實(shí)現(xiàn)類似Authorized的靈活的安全認(rèn)證，主要實(shí)現(xiàn)技術(shù)就是我們所熟知的AOP。

通過AOP方式實(shí)現(xiàn)更靈活的攔截的基礎(chǔ)知識(shí)本文就先不提了，更多的關(guān)于AOP的話題將在下篇文章分享。

總結(jié)

以上所述是小編給大家介紹的Spring Boot使用過濾器和攔截器分別實(shí)現(xiàn)REST接口簡(jiǎn)易安全認(rèn)證，希望對(duì)大家有所幫助，如果大家有任何疑問請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！

您可能感興趣的文章: