SpringBoot添加拦截器,根据 token 获取当前用户,完成登录拦截,并注入到方法中

SpringBoot添加拦截器,根据 token 获取当前用户,完成登录拦截,并注入到方法中

Scroll Down

一、背景

目前流行的 RESTful API 在风格设计中,都会有一个 token 作为登录设计,本文就来简单搭建一个这样的接口设计实现。

二、需求

  • 需要用 token 来获取当前用户
  • 需要在方法中自动注入用户
  • 需要控制登录状态

三、分析

  • 利用拦截器来统一处理 token
  • 需要在拦截器需要处理某些不需要验证 token 的接口
  • 自动注入用户实体类

四、方案

  • 添加自定义注解两个,一个用于标识用户实体类入参,一个用户标识是否需要注入用户实体类
  • 添加拦截器,从 http header 里获取 token 从而获取当前登录用户,将登陆用户存到 HttpServletRequest 的 Attribute 中
  • 添加参数解析器实现 HandlerMethodArgumentResolver 接口
  • 注册拦截器和参数解析器在 WebMvcConfigurerAdapter 中

五、实现

  1. 添加自定义注释 @CurrentUser 用于标识用户实体类入参,参数级注解
@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface CurrentUser {
}
  1. 添加自定义注释 @IgnoreSecurity 用于标识是否忽略登录检查,方法级注解
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface IgnoreSecurity {
}
  1. 添加拦截器 AuthInterceptor 继承字 HandlerInterceptorAdapter 重写 preHandle 方法
@Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse httpServletResponse, Object handler) throws Exception {

        // 如果不是映射到方法直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }

        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        String requestPath = request.getRequestURI();
//        log.debug("requestIp: " + getIpAddress(request));
        log.debug("Method: " + method.getName() + ", IgnoreSecurity: " + method.isAnnotationPresent(IgnoreSecurity.class));
        log.debug("requestPath: " + requestPath);
        /*if (requestPath.contains("/v2/api-docs") || requestPath.contains("/swagger") || requestPath.contains("/configuration/ui")) {
            return true;
        }
        if (requestPath.contains("/error")) {
            return true;
        }*/
        if (method.isAnnotationPresent(IgnoreSecurity.class)) {
            return true;
        }
        String token = request.getHeader("ACCESS_TOKEN");
        log.debug("token: " + token);
        if (StringUtils.isEmpty(token)) {
            throw new DajiujiaoException(ResultEnum.ACCESS_TOKEN_ERROR);
        }
        UserLogInfoDto userInfo = userLogService.getUserByToken(token);
        request.setAttribute("currentUser", userInfo);
        return true;

    }
  1. 添加参数解析器 CurrentUserMethodArgumentResolver
public class CurrentUserMethodArgumentResolver implements HandlerMethodArgumentResolver {
        @Override
        public boolean supportsParameter(MethodParameter parameter) {
            return parameter.getParameterType().isAssignableFrom(UserInfo.class) && parameter.hasParameterAnnotation(CurrentUser.class);
        }

        @Override
        public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
            UserLogInfoDto userInfo = (UserLogInfoDto) webRequest.getAttribute("currentUser", RequestAttributes.SCOPE_REQUEST);
            if (userInfo != null) {
                return userInfo;
            }
            throw new MissingServletRequestPartException("currentUser");
        }
    }
  1. 注册拦截器和参数解析器在 WebMvcConfigurerAdapter 中,需要注意,拦截器中引用了 UserService 所以在注册时需要使用 @Bean 的形式以告诉 Spring 注入
@Configuration
    public class AppAuthConfiguration extends WebMvcConfigurerAdapter {

        //关键,将拦截器作为bean写入配置中
        @Bean
        public AppAuthInterceptor getSecurityInterceptor() {
            return new AppAuthInterceptor();
        }

        @Override
        public void addInterceptors(InterceptorRegistry registry) {
            // 注册拦截器
            InterceptorRegistration ir = registry.addInterceptor(getSecurityInterceptor());
            // 配置拦截的路径
            ir.addPathPatterns("/api/**");
            // 配置不拦截的路径
//        ir.excludePathPatterns("**/swagger-ui.html");
            // 还可以在这里注册其它的拦截器
//        registry.addInterceptor(new AppAuthInterceptor()).addPathPatterns("/api/**");
        }

        @Override
        public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
            argumentResolvers.add(currentUserMethodArgumentResolver());
            super.addArgumentResolvers(argumentResolvers);
        }

        @Bean
        public CurrentUserMethodArgumentResolver currentUserMethodArgumentResolver() {
            return new CurrentUserMethodArgumentResolver();
        }

    }

六、使用

  1. 在方法上面添加注解@IgnoreSecurity,该方法不会进行验证
  2. 在参数中添加注解@CurrentUser UserInfo userInfo 获取当前登录用户