java實現interceptor攔截登錄權限

更新時間：2023年09月16日 08:59:47 作者：Java小卷

Java里的攔截器是動態(tài)攔截action調用的對象，本文主要介紹了java實現interceptor攔截登錄權限，具有一定的參考價值，感興趣的可以了解一下

我們只希望攔截一些需要檢查的controller請求url，而對于其他資源的請求都不攔截；并且我們希望在攔截處理邏輯中拋出異常的情況下，最終可以被處理目標controller執(zhí)行方法的異常處理器所處理。因此，基于這樣的需求，我們很顯然想到用spring mvc家族中的重要一員——interceptor（攔截器）。

定義攔截器

這里我們沒有實現攔截器接口HandlerInterceptor，因為用HandlerInterceptorAdapter的好處是，我們只需要關注要重寫的方法：

package com.xiaojuan.boot.web.interceptor;
import ...
public class BasicAuthInterceptor extends HandlerInterceptorAdapter {
? ? @Override
? ? public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
? ? ? ? return super.preHandle(request, response, handler);
? ? }
}

實現BasicAuthInterceptor

package com.xiaojuan.boot.web.interceptor;
import ...
@Slf4j
public class BasicAuthInterceptor extends HandlerInterceptorAdapter {
? ? private final List<String> needLoginUrlPatterns;
? ? private final List<String> needAdminRoleUrlPatterns;
? ? private AntPathMatcher antPathMatcher;
? ? @Resource
? ? private UserService userService;
? ? public BasicAuthInterceptor() {
? ? ? ? needLoginUrlPatterns = new ArrayList<>();
? ? ? ? needAdminRoleUrlPatterns = new ArrayList<>();
? ? ? ? needLoginUrlPatterns.add("/user/profile");
? ? ? ? needLoginUrlPatterns.add("/user/signature");
? ? ? ? needLoginUrlPatterns.add("/admin/**");
? ? ? ? // 是needLoginUrlPatterns的子集
? ? ? ? needAdminRoleUrlPatterns.add("/admin/**");
? ? ? ? antPathMatcher = new AntPathMatcher();
? ? }
? ? @Override
? ? public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
? ? ? ? String uri = request.getRequestURI();
? ? ? ? UserInfoDTO userInfo = (UserInfoDTO) WebRequestUtil.getSessionAttribute(SessionConst.LOGIN_USER);
? ? ? ? if (matchUri(uri, needLoginUrlPatterns) && userInfo == null) {
? ? ? ? ? ? throw new BusinessException("需要登錄才能訪問", BusinessError.NO_LOGIN.getValue());
? ? ? ? }
? ? ? ? if (matchUri(uri, needAdminRoleUrlPatterns)) {
? ? ? ? ? ? userService.checkAdminRole(userInfo.getRole(), null);
? ? ? ? }
? ? ? ? return true;
? ? }
? ? private boolean matchUri(String uri, List<String> patterns) {
? ? ? ? for (String pattern : patterns) {
? ? ? ? ? ? if (antPathMatcher.match(pattern, uri)) return true;
? ? ? ? }
? ? ? ? return false;
? ? }
}

代碼說明

對于要過濾的請求地址，這里我們維護了兩個列表，一個代表所有要登錄檢查的url模式，一個代表在登錄前提下要檢查的管理員角色url模式，很顯然，后者是前者的子集。
我們可以在當前類中直接注入需要的服務組件UserService，因為我們將會用@Bean的形式來實例化它，把它注冊到Spring容器中。
這里的請求url的模式匹配，我們使用了AntPathMatcher類，比如我們可以用這種模式：/**/admin/**來匹配/juan_mall/product/admin/category/add這樣的請求uri。
攔截到目標請求后，我們要在實際業(yè)務處理前，先做一些校驗工作，可以重寫HandlerInterceptor的preHandle方法，該方法如果校驗失敗，我們可以返回false，也可以拋出異常，如果請求url匹配到目標controller方法，會被攔截的全局異常處理器處理。只要返回true則表示放行，會由后面的controller來處理。

配置攔截器

定義一個WebConfig配置類，在其中通過@Bean注解一個實例化bean的方法，從而讓實例化出來的bean交給spring容器管理，這樣我們就可以在BasicAuthInterceptor中注入其他bean依賴了。

package com.xiaojuan.boot.web;
import ...
@Configuration
public class WebConfig implements WebMvcConfigurer {
? ? @Bean
? ? public BasicAuthInterceptor basicAuthInterceptor() {
? ? ? ? return new BasicAuthInterceptor();
? ? }
? ? @Override
? ? public void addInterceptors(InterceptorRegistry registry) {
? ? ? ? registry.addInterceptor(basicAuthInterceptor()).addPathPatterns("/user/**", "/admin/**");
? ? }
}

然后，我們實現WebMvcConfigurer的addInterceptors來注冊攔截器，并指定攔截器要攔截的請求路徑模式。

調整并測試controller

現在我們將UserController和UserAdminController中相關方法進行邏輯簡化，只需要關注session中內容的存取，改造的代碼這里省略。最后我們測試下WebControllerTest，測試ok！

存在的問題

現在我們來思考下，我們之前的實現中，有哪些可以改進或者存在問題的地方。
很顯然，攔截器要攔截的url模式、需要登錄才能訪問的請求url模式和需要管理員角色才能訪問的請求url模式，這些最好配置起來，也就是說，我們可以把它們配置到application.yml中，這是一個可以改進的點。

全局異常處理可能失效

使用攔截器，有一個需要注意的坑，當我們的請求地址無法映射到目標的controller服務方法，也就是，是一個無效的請求地址，發(fā)過來被攔截器攔截拋出異常后，無法被異常處理器接管時，會默認返回500的錯誤格式，如下：

說明我們的全局異常處理還是存在漏洞的，下一節(jié)我們將修復試著修復這個漏洞，實現一個更強大的全局異常處理方案

controller日志切面失效

當請求被攔截后如果不放行，也就是說，沒機會執(zhí)行controller，那么自然針對controller方法執(zhí)行的切面就不會生效，因為壓根兒就沒執(zhí)行目標的controller方法，自然我們先前的WebLogAspect就不能工作了：

所以說，針對controller的aop日志輸出也是存在漏洞的，因為一些通過filter或interceptor的前置校驗不通過，不會往后面的controller走，這也是我們要修復的問題。

到此這篇關于java實現interceptor攔截登錄權限的文章就介紹到這了,更多相關java interceptor攔截登錄權限內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

SpringBoot集成P6spy實現自定義SQL日志打印
本文主要介紹了SpringBoot集成P6spy實現自定義SQL日志打印，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2023-07-07
深入理解Java對象的序列化與反序列化的應用
本篇文章是對Java中對象的序列化與反序列化進行了詳細的分析介紹，需要的朋友參考下
2013-05-05
java中javamail收發(fā)郵件實現方法
這篇文章主要為大家詳細介紹了java中javamail收發(fā)郵件實現方法，實例分析了javamail的使用方法與相關注意事項,非常具有實用價值，感興趣的小伙伴們可以參考一下
2016-02-02
java實現優(yōu)酷視頻地址解析示例代碼分享
最近做了一個在線視頻的下載器，需要解析youku的視頻，獲得真正的視頻地址，現在把解析過程記錄下來以供參考
2014-01-01
java中Map遍歷的四種方式總結
Map集合遍歷日常開發(fā)最常使用,下面這篇文章主要給大家總結介紹了關于java中Map遍歷的四種方式,文中通過實例代碼介紹的非常詳細,對大家學習或者使用java具有一定的參考學習價值,需要的朋友可以參考下
2023-03-03
java 中Object與Objects的區(qū)別在哪里
這篇文章主要介紹了java 中Object與Objects的區(qū)別說明，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2021-05-05
mybatis水平分表實現動態(tài)表名的項目實例
本文主要介紹了mybatis水平分表實現動態(tài)表名的項目實例，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2022-07-07
全面解析java中的hashtable
以下是對java中的hashtable進行了詳細的分析介紹。需要的朋友可以過來參考下
2013-08-08
詳解Spring工廠特性
今天帶大家學習Spring的特性-工廠特性,文中有非常詳細的介紹及代碼示例,對正在學習java的小伙伴們有很好地幫助,需要的朋友可以參考下
2021-05-05
Spring Boot如何讀取自定義外部屬性詳解
這篇文章主要給大家介紹了關于Spring Boot如何讀取自定義外部屬性的相關資料，這個功能實現介紹的很詳細，需要的朋友可以參考下
2021-05-05