SpringMVC拦截器中通过反射得到Controller方法注解时ClassCastException解决方案

版权声明:本文为博主原创文章,转载请注明出处和原作者。 https://blog.csdn.net/tracker_w/article/details/46458987

错误应用场

Controller中,我们自定义了一个@Auth注解来实现权限控制功能,如:

@Auth(verifyLogin=false,verifyURL=false)
    @RequestMapping("/login")
    public ModelAndView  login(HttpServletRequest request,HttpServletResponse response) throws Exception{
        Map<String,Object>  context = getRootMap();
        return forword("login", context);
    }

表示该方法不需要登陆验证,也不需要URL权限验证。

  • AOP. 通过Spring AOP拦截方法调用实现
  • Interceptor. 注册一个拦截器,在拦截器中通过反射得到被调用的控制器方法的@Auth注解,从而实现业务功能

显然使用拦截器更方便,代码量更少。看一下拦截器的preHandle()方法的签名:

public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response, Object handler) throws Exception;

通过文档得知,第三个参数就是即将调用的控制器方法。于是我们可以通过反射得到@Auth注解:

HandlerMethod method = (HandlerMethod)handler;
Auth  auth = method.getMethod().getAnnotation(Auth.class);

但是实际运行中发现很严重的问题,那就是handler的实际类型并不总是HandlerMethod类型,因此第一行代码经常会扔ClassCastException。经过研究发现,只有当GET请求是请求静态文件时(在spring配置文件里会配置静态文件的URI),handler的实际类型会是DefaultServletHttpRequestHandler,此时强制转换就会报错。

解决方法

在执行强制转换之前用instanceof检查参数handler的实际类型,如果不是HandlerMethod类型,则拦截器不执行任何验证逻辑,直接放行。

为什么要记录一下?因为我发现老外给的Demo中都没有执行类型检查,误导了很多人,让使用者以为handler一定是HandlerMethod类型。这里也提醒我们养成良好的编程习惯,执行强制转换之前一定要做类型检查。

展开阅读全文

没有更多推荐了,返回首页