Spring-Boot 添加拦截器,根据 token 获取当前用户,完成登录拦截,并注入到方法中

目前流行的 RESTful API 在风格设计中,都会有一个 token 作为登录设计,本文就来简单搭建一个这样的接口设计实现。


需求

  • 需要用 token 来获取当前用户
  • 需要在方法中自动注入用户
  • 不是所有接口都需要控制登录状态

分析

  • 利用拦截器来统一处理 token
  • 需要在拦截器需要处理某些不需要验证 token 的接口
  • 自动注入用户实体类

方案

  1. 添加自定义注解两个,一个用于标识用户实体类入参,一个用户标识是否需要注入用户实体类
  2. 添加拦截器,从 http header 里获取 token 从而获取当前登录用户,将登陆用户存到 HttpServletRequest 的 Attribute 中
  3. 添加参数解析器实现 HandlerMethodArgumentResolver 接口
  4. 注册拦截器和参数解析器在 WebMvcConfigurerAdapter 中

相关代码

  1. 添加自定义注释 @CurrentUser 用于标识用户实体类入参,参数级注解
    @Target(ElementType.PARAMETER)
    @Retention(RetentionPolicy.RUNTIME)
    @Documented
    public @interface CurrentUser {
    }
    
  2. 添加自定义注释 @IgnoreSecurity 用于标识是否忽略登录检查,方法级注解
    @Target(ElementType.METHOD)
    @Retention(RetentionPolicy.RUNTIME)
    @Documented
    public @interface IgnoreSecurity {
    }
    
  3. 添加拦截器 AuthInterceptor 继承字 HandlerInterceptorAdapter 重写 preHandle 方法
    @Slf4j
    @Component
    public class AuthInterceptor extends HandlerInterceptorAdapter {
        @Autowired
        private UserService userService;
        @Override
        public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
            // 如果不是映射到方法直接通过
            if (!(handler instanceof HandlerMethod)) {
                return true;
            }
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            String requestPath = request.getRequestURI();
            log.debug("requestIp: " + getIpAddress(request));
            log.debug("Method: " + method.getName() + ", IgnoreSecurity: " + method.isAnnotationPresent(IgnoreSecurity.class));
            log.debug("requestPath: " + requestPath);
            if (requestPath.contains("/v2/api-docs") || requestPath.contains("/swagger") || requestPath.contains("/configuration/ui")) {
                return true;
            }
            if (requestPath.contains("/error")) {
                return true;
            }
            if (method.isAnnotationPresent(IgnoreSecurity.class)) {
                return true;
            }
            String token = request.getHeader("ACCESS_TOKEN");
            log.debug("token: " + token);
            if (StringUtil.isEmpty(token)) {
                throw new ExeResultException("无效token");
            }
            UserInfo userInfo = userService.getUserByToken(token);
            request.setAttribute("currentUser", userInfo);
            return true;
        }
    }
    
  4. 添加参数解析器 CurrentUserMethodArgumentResolver
    public class CurrentUserMethodArgumentResolver implements HandlerMethodArgumentResolver {
        @Override
        public boolean supportsParameter(MethodParameter parameter) {
            return parameter.getParameterType().isAssignableFrom(UserInfo.class)
                    && parameter.hasParameterAnnotation(CurrentUser.class);
        }
        @Override
        public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
            UserInfo userInfo = (UserInfo) webRequest.getAttribute("currentUser", RequestAttributes.SCOPE_REQUEST);
            if (userInfo != null) {
                return userInfo;
            }
            throw new MissingServletRequestPartException("currentUser");
        }
    }
    
  5. 注册拦截器和参数解析器在 WebMvcConfigurerAdapter 中,需要注意,拦截器中引用了 UserService 所以在注册时需要使用 @Bean 的形式以告诉 Spring 注入
    @Configuration
    public class MyWebMvcConfigurerAdapter extends WebMvcConfigurerAdapter {
        //关键,将拦截器作为bean写入配置中
        @Bean
        public AuthInterceptor myAuthInterceptor() {
            return new AuthInterceptor();
        }
        @Override
        public void addInterceptors(InterceptorRegistry registry) {
            // 注册拦截器
            InterceptorRegistration ir = registry.addInterceptor(myAuthInterceptor());
            // 配置拦截的路径
            ir.addPathPatterns("/**");
            // 配置不拦截的路径
            // ir.excludePathPatterns("**/swagger-ui.html");
            // 还可以在这里注册其它的拦截器
            //registry.addInterceptor(new OtherInterceptor()).addPathPatterns("/**");
        }
        @Override
        public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
            argumentResolvers.add(currentUserMethodArgumentResolver());
            super.addArgumentResolvers(argumentResolvers);
        }
        @Bean
        public CurrentUserMethodArgumentResolver currentUserMethodArgumentResolver() {
            return new CurrentUserMethodArgumentResolver();
        }
    }
    

测试验证

上述代码添加完毕后就可以开始进行测试接口了
新建一个 Controller 用于测试

@Slf4j
@RestController
@RequestMapping("/user")
@Api(tags = "用户模块", value = "用户模块")
public class UserController {
    @Autowired
    private UserService userService;

    @IgnoreSecurity
    @ApiOperation(value = "用户登录", notes = "用户登录")
    @RequestMapping(value = "/login", method = RequestMethod.POST)
    public ExeResult login(@RequestParam String userName, @RequestParam String password) {
        return ExeResult.getInstance(userService.login(userName, password));
    }
    @ApiOperation(value = "用户登出", notes = "用户登出")
    @RequestMapping(value = "/logout", method = RequestMethod.POST)
    public ExeResult logout(@CurrentUser UserInfo userInfo) {
        return ExeResult.getInstance(userService.logout(userInfo));
    }
}

参考文章

通过自定义 @CurrentUser 获取当前登录用户
使用 spring 拦截器和自定义注解进行登录拦截

2 条评论

发表回复

*