快捷導(dǎo)航

java實(shí)現(xiàn)interceptor攔截登錄權(quán)限

更新時(shí)間：2023年09月16日 08:59:47 作者：Java小卷

Java里的攔截器是動(dòng)態(tài)攔截action調(diào)用的對象，本文主要介紹了java實(shí)現(xiàn)interceptor攔截登錄權(quán)限，具有一定的參考價(jià)值，感興趣的可以了解一下

我們只希望攔截一些需要檢查的controller請求url，而對于其他資源的請求都不攔截；并且我們希望在攔截處理邏輯中拋出異常的情況下，最終可以被處理目標(biāo)controller執(zhí)行方法的異常處理器所處理。因此，基于這樣的需求，我們很顯然想到用spring mvc家族中的重要一員——interceptor（攔截器）。

定義攔截器

這里我們沒有實(shí)現(xiàn)攔截器接口HandlerInterceptor，因?yàn)橛肏andlerInterceptorAdapter的好處是，我們只需要關(guān)注要重寫的方法：

package com.xiaojuan.boot.web.interceptor;
import ...
public class BasicAuthInterceptor extends HandlerInterceptorAdapter {
? ? @Override
? ? public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
? ? ? ? return super.preHandle(request, response, handler);
? ? }
}

實(shí)現(xiàn)BasicAuthInterceptor

package com.xiaojuan.boot.web.interceptor;
import ...
@Slf4j
public class BasicAuthInterceptor extends HandlerInterceptorAdapter {
? ? private final List<String> needLoginUrlPatterns;
? ? private final List<String> needAdminRoleUrlPatterns;
? ? private AntPathMatcher antPathMatcher;
? ? @Resource
? ? private UserService userService;
? ? public BasicAuthInterceptor() {
? ? ? ? needLoginUrlPatterns = new ArrayList<>();
? ? ? ? needAdminRoleUrlPatterns = new ArrayList<>();
? ? ? ? needLoginUrlPatterns.add("/user/profile");
? ? ? ? needLoginUrlPatterns.add("/user/signature");
? ? ? ? needLoginUrlPatterns.add("/admin/**");
? ? ? ? // 是needLoginUrlPatterns的子集
? ? ? ? needAdminRoleUrlPatterns.add("/admin/**");
? ? ? ? antPathMatcher = new AntPathMatcher();
? ? }
? ? @Override
? ? public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
? ? ? ? String uri = request.getRequestURI();
? ? ? ? UserInfoDTO userInfo = (UserInfoDTO) WebRequestUtil.getSessionAttribute(SessionConst.LOGIN_USER);
? ? ? ? if (matchUri(uri, needLoginUrlPatterns) && userInfo == null) {
? ? ? ? ? ? throw new BusinessException("需要登錄才能訪問", BusinessError.NO_LOGIN.getValue());
? ? ? ? }
? ? ? ? if (matchUri(uri, needAdminRoleUrlPatterns)) {
? ? ? ? ? ? userService.checkAdminRole(userInfo.getRole(), null);
? ? ? ? }
? ? ? ? return true;
? ? }
? ? private boolean matchUri(String uri, List<String> patterns) {
? ? ? ? for (String pattern : patterns) {
? ? ? ? ? ? if (antPathMatcher.match(pattern, uri)) return true;
? ? ? ? }
? ? ? ? return false;
? ? }
}

代碼說明

對于要過濾的請求地址，這里我們維護(hù)了兩個(gè)列表，一個(gè)代表所有要登錄檢查的url模式，一個(gè)代表在登錄前提下要檢查的管理員角色url模式，很顯然，后者是前者的子集。
我們可以在當(dāng)前類中直接注入需要的服務(wù)組件UserService，因?yàn)槲覀儗?huì)用@Bean的形式來實(shí)例化它，把它注冊到Spring容器中。
這里的請求url的模式匹配，我們使用了AntPathMatcher類，比如我們可以用這種模式：/**/admin/**來匹配/juan_mall/product/admin/category/add這樣的請求uri。
攔截到目標(biāo)請求后，我們要在實(shí)際業(yè)務(wù)處理前，先做一些校驗(yàn)工作，可以重寫HandlerInterceptor的preHandle方法，該方法如果校驗(yàn)失敗，我們可以返回false，也可以拋出異常，如果請求url匹配到目標(biāo)controller方法，會(huì)被攔截的全局異常處理器處理。只要返回true則表示放行，會(huì)由后面的controller來處理。

配置攔截器

定義一個(gè)WebConfig配置類，在其中通過@Bean注解一個(gè)實(shí)例化bean的方法，從而讓實(shí)例化出來的bean交給spring容器管理，這樣我們就可以在BasicAuthInterceptor中注入其他bean依賴了。

package com.xiaojuan.boot.web;
import ...
@Configuration
public class WebConfig implements WebMvcConfigurer {
? ? @Bean
? ? public BasicAuthInterceptor basicAuthInterceptor() {
? ? ? ? return new BasicAuthInterceptor();
? ? }
? ? @Override
? ? public void addInterceptors(InterceptorRegistry registry) {
? ? ? ? registry.addInterceptor(basicAuthInterceptor()).addPathPatterns("/user/**", "/admin/**");
? ? }
}

然后，我們實(shí)現(xiàn)WebMvcConfigurer的addInterceptors來注冊攔截器，并指定攔截器要攔截的請求路徑模式。

調(diào)整并測試controller

現(xiàn)在我們將UserController和UserAdminController中相關(guān)方法進(jìn)行邏輯簡化，只需要關(guān)注session中內(nèi)容的存取，改造的代碼這里省略。最后我們測試下WebControllerTest，測試ok！

存在的問題

現(xiàn)在我們來思考下，我們之前的實(shí)現(xiàn)中，有哪些可以改進(jìn)或者存在問題的地方。
很顯然，攔截器要攔截的url模式、需要登錄才能訪問的請求url模式和需要管理員角色才能訪問的請求url模式，這些最好配置起來，也就是說，我們可以把它們配置到application.yml中，這是一個(gè)可以改進(jìn)的點(diǎn)。

全局異常處理可能失效

使用攔截器，有一個(gè)需要注意的坑，當(dāng)我們的請求地址無法映射到目標(biāo)的controller服務(wù)方法，也就是，是一個(gè)無效的請求地址，發(fā)過來被攔截器攔截拋出異常后，無法被異常處理器接管時(shí)，會(huì)默認(rèn)返回500的錯(cuò)誤格式，如下：

說明我們的全局異常處理還是存在漏洞的，下一節(jié)我們將修復(fù)試著修復(fù)這個(gè)漏洞，實(shí)現(xiàn)一個(gè)更強(qiáng)大的全局異常處理方案

controller日志切面失效

當(dāng)請求被攔截后如果不放行，也就是說，沒機(jī)會(huì)執(zhí)行controller，那么自然針對controller方法執(zhí)行的切面就不會(huì)生效，因?yàn)閴焊鶅壕蜎]執(zhí)行目標(biāo)的controller方法，自然我們先前的WebLogAspect就不能工作了：

所以說，針對controller的aop日志輸出也是存在漏洞的，因?yàn)橐恍┩ㄟ^filter或interceptor的前置校驗(yàn)不通過，不會(huì)往后面的controller走，這也是我們要修復(fù)的問題。

到此這篇關(guān)于java實(shí)現(xiàn)interceptor攔截登錄權(quán)限的文章就介紹到這了,更多相關(guān)java interceptor攔截登錄權(quán)限內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: