一、背景
目前流行的 RESTful API 在风格设计中,都会有一个 token 作为登录设计,本文就来简单搭建一个这样的接口设计实现。
二、需求
- 需要用 token 来获取当前用户
- 需要在方法中自动注入用户
- 需要控制登录状态
三、分析
- 利用拦截器来统一处理 token
- 需要在拦截器需要处理某些不需要验证 token 的接口
- 自动注入用户实体类
四、方案
- 添加自定义注解两个,一个用于标识用户实体类入参,一个用户标识是否需要注入用户实体类
- 添加拦截器,从 http header 里获取 token 从而获取当前登录用户,将登陆用户存到 HttpServletRequest 的 Attribute 中
- 添加参数解析器实现 HandlerMethodArgumentResolver 接口
- 注册拦截器和参数解析器在 WebMvcConfigurerAdapter 中
五、实现
- 添加自定义注释 @CurrentUser 用于标识用户实体类入参,参数级注解
@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface CurrentUser {
}
- 添加自定义注释 @IgnoreSecurity 用于标识是否忽略登录检查,方法级注解
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface IgnoreSecurity {
}
- 添加拦截器 AuthInterceptor 继承字 HandlerInterceptorAdapter 重写 preHandle 方法
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse httpServletResponse, Object handler) throws Exception {
// 如果不是映射到方法直接通过
if (!(handler instanceof HandlerMethod)) {
return true;
}
HandlerMethod handlerMethod = (HandlerMethod) handler;
Method method = handlerMethod.getMethod();
String requestPath = request.getRequestURI();
// log.debug("requestIp: " + getIpAddress(request));
log.debug("Method: " + method.getName() + ", IgnoreSecurity: " + method.isAnnotationPresent(IgnoreSecurity.class));
log.debug("requestPath: " + requestPath);
/*if (requestPath.contains("/v2/api-docs") || requestPath.contains("/swagger") || requestPath.contains("/configuration/ui")) {
return true;
}
if (requestPath.contains("/error")) {
return true;
}*/
if (method.isAnnotationPresent(IgnoreSecurity.class)) {
return true;
}
String token = request.getHeader("ACCESS_TOKEN");
log.debug("token: " + token);
if (StringUtils.isEmpty(token)) {
throw new DajiujiaoException(ResultEnum.ACCESS_TOKEN_ERROR);
}
UserLogInfoDto userInfo = userLogService.getUserByToken(token);
request.setAttribute("currentUser", userInfo);
return true;
}
- 添加参数解析器 CurrentUserMethodArgumentResolver
public class CurrentUserMethodArgumentResolver implements HandlerMethodArgumentResolver {
@Override
public boolean supportsParameter(MethodParameter parameter) {
return parameter.getParameterType().isAssignableFrom(UserInfo.class) && parameter.hasParameterAnnotation(CurrentUser.class);
}
@Override
public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
UserLogInfoDto userInfo = (UserLogInfoDto) webRequest.getAttribute("currentUser", RequestAttributes.SCOPE_REQUEST);
if (userInfo != null) {
return userInfo;
}
throw new MissingServletRequestPartException("currentUser");
}
}
- 注册拦截器和参数解析器在 WebMvcConfigurerAdapter 中,需要注意,拦截器中引用了 UserService 所以在注册时需要使用 @Bean 的形式以告诉 Spring 注入
@Configuration
public class AppAuthConfiguration extends WebMvcConfigurerAdapter {
//关键,将拦截器作为bean写入配置中
@Bean
public AppAuthInterceptor getSecurityInterceptor() {
return new AppAuthInterceptor();
}
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 注册拦截器
InterceptorRegistration ir = registry.addInterceptor(getSecurityInterceptor());
// 配置拦截的路径
ir.addPathPatterns("/api/**");
// 配置不拦截的路径
// ir.excludePathPatterns("**/swagger-ui.html");
// 还可以在这里注册其它的拦截器
// registry.addInterceptor(new AppAuthInterceptor()).addPathPatterns("/api/**");
}
@Override
public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
argumentResolvers.add(currentUserMethodArgumentResolver());
super.addArgumentResolvers(argumentResolvers);
}
@Bean
public CurrentUserMethodArgumentResolver currentUserMethodArgumentResolver() {
return new CurrentUserMethodArgumentResolver();
}
}
六、使用
- 在方法上面添加注解@IgnoreSecurity,该方法不会进行验证
- 在参数中添加注解@CurrentUser UserInfo userInfo 获取当前登录用户