Spring-Boot 添加拦截器,根据 token 获取当前用户,完成登录拦截,并注入到方法中

Spring-Boot / 更新于 / 2 条评论 / 13,327 次浏览 /

目前流行的 RESTful API 在风格设计中,都会有一个 token 作为登录设计,本文就来简单搭建一个这样的接口设计实现。

需求

  • 需要用 token 来获取当前用户
  • 需要在方法中自动注入用户
  • 不是所有接口都需要控制登录状态

分析

  • 利用拦截器来统一处理 token
  • 需要在拦截器需要处理某些不需要验证 token 的接口
  • 自动注入用户实体类

方案

  1. 添加自定义注解两个,一个用于标识用户实体类入参,一个用户标识是否需要注入用户实体类
  2. 添加拦截器,从 http header 里获取 token 从而获取当前登录用户,将登陆用户存到 HttpServletRequest 的 Attribute 中
  3. 添加参数解析器实现 HandlerMethodArgumentResolver 接口
  4. 注册拦截器和参数解析器在 WebMvcConfigurerAdapter 中

相关代码

  1. 添加自定义注释 @CurrentUser 用于标识用户实体类入参,参数级注解 
    @Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface CurrentUser {
}
  2. 添加自定义注释 @IgnoreSecurity 用于标识是否忽略登录检查,方法级注解 
    @Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface IgnoreSecurity {
}
  3. 添加拦截器 AuthInterceptor 继承字 HandlerInterceptorAdapter 重写 preHandle 方法 
    @Slf4j
@Component
public class AuthInterceptor extends HandlerInterceptorAdapter {
    @Autowired
    private UserService userService;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 如果不是映射到方法直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        String requestPath = request.getRequestURI();
        log.debug("requestIp: " + getIpAddress(request));
        log.debug("Method: " + method.getName() + ", IgnoreSecurity: " + method.isAnnotationPresent(IgnoreSecurity.class));
        log.debug("requestPath: " + requestPath);
        if (requestPath.contains("/v2/api-docs") || requestPath.contains("/swagger") || requestPath.contains("/configuration/ui")) {
            return true;
        }
        if (requestPath.contains("/error")) {
            return true;
        }
        if (method.isAnnotationPresent(IgnoreSecurity.class)) {
            return true;
        }
        String token = request.getHeader("ACCESS_TOKEN");
        log.debug("token: " + token);
        if (StringUtil.isEmpty(token)) {
            throw new ExeResultException("无效token");
        }
        UserInfo userInfo = userService.getUserByToken(token);
        request.setAttribute("currentUser", userInfo);
        return true;
    }
}
  4. 添加参数解析器 CurrentUserMethodArgumentResolver 
    public class CurrentUserMethodArgumentResolver implements HandlerMethodArgumentResolver {
    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        return parameter.getParameterType().isAssignableFrom(UserInfo.class)
                && parameter.hasParameterAnnotation(CurrentUser.class);
    }
    @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
        UserInfo userInfo = (UserInfo) webRequest.getAttribute("currentUser", RequestAttributes.SCOPE_REQUEST);
        if (userInfo != null) {
            return userInfo;
        }
        throw new MissingServletRequestPartException("currentUser");
    }
}
  5. 注册拦截器和参数解析器在 WebMvcConfigurerAdapter 中,需要注意,拦截器中引用了 UserService 所以在注册时需要使用 @Bean 的形式以告诉 Spring 注入 
    @Configuration
public class MyWebMvcConfigurerAdapter extends WebMvcConfigurerAdapter {
    //关键,将拦截器作为bean写入配置中
    @Bean
    public AuthInterceptor myAuthInterceptor() {
        return new AuthInterceptor();
    }
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册拦截器
        InterceptorRegistration ir = registry.addInterceptor(myAuthInterceptor());
        // 配置拦截的路径
        ir.addPathPatterns("/**");
        // 配置不拦截的路径
        // ir.excludePathPatterns("**/swagger-ui.html");
        // 还可以在这里注册其它的拦截器
        //registry.addInterceptor(new OtherInterceptor()).addPathPatterns("/**");
    }
    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
        argumentResolvers.add(currentUserMethodArgumentResolver());
        super.addArgumentResolvers(argumentResolvers);
    }
    @Bean
    public CurrentUserMethodArgumentResolver currentUserMethodArgumentResolver() {
        return new CurrentUserMethodArgumentResolver();
    }
}

测试验证

上述代码添加完毕后就可以开始进行测试接口了
新建一个 Controller 用于测试

@Slf4j
@RestController
@RequestMapping("/user")
@Api(tags = "用户模块", value = "用户模块")
public class UserController {
    @Autowired
    private UserService userService;

    @IgnoreSecurity
    @ApiOperation(value = "用户登录", notes = "用户登录")
    @RequestMapping(value = "/login", method = RequestMethod.POST)
    public ExeResult login(@RequestParam String userName, @RequestParam String password) {
        return ExeResult.getInstance(userService.login(userName, password));
    }
    @ApiOperation(value = "用户登出", notes = "用户登出")
    @RequestMapping(value = "/logout", method = RequestMethod.POST)
    public ExeResult logout(@CurrentUser UserInfo userInfo) {
        return ExeResult.getInstance(userService.logout(userInfo));
    }
}

参考文章

通过自定义 @CurrentUser 获取当前登录用户
使用 spring 拦截器和自定义注解进行登录拦截

赞赏
alipay支付宝赞赏
wechat微信赞赏

如果文章对您有帮助,欢迎给作者打赏

2 条评论

发表回复

*