前言:实际项目里面,对于一些只有登陆之后的才能访问的接口,我是如何进行登录校验的!
本人在项目里,实现登录校验 是采用 拦截器+自定义注解的方式!
框架使用spring-boot 。版本 :2.3.4
逻辑流程:
1.用户在登陆成功之后,后台会生成一个token并返回给客户端,客户端需要保存token。在调用其他请求时,携带此token,到请求头中或者参数里。
2.后台通过拦截器,拦截到请求后,判断请求的方法或方法所属类 中是否存在 我们 标注的 登录校验注解,如果存在,表示当前请求需要校验用户是否登录,
3.去请求头里获取 token 数据,拿到token 去数据库校验(可以优化:存到缓存中,就不用每次去请求数据库了)、如果正确,则放行请求, 如果找不到token 或者校验 token已过期 ,则向外抛出异常。
逻辑图:
代码
自定义注解:用于标注在某个方法或类上,起到标识的作用!
/**
* app登录效验 可作用方法 和类上 ,作用类上表示所有方法都会进行校验
*/
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface Login {
}
拦截器:拦截请求,判断请求目标方法是否标注了 @Login注解,无标注直接放行,有标注,则从请求头获取token 并校验合法性,校验通过放行,抛出异常!
/**
* 权限(Token)验证拦截器
*
*/
@Component
public class AuthorizationInterceptor extends HandlerInterceptorAdapter {
public static final String USER_KEY = "userId";
@Autowired
private UserTokenService userTokenService;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
Login annotation;
if (handler instanceof HandlerMethod) {
HandlerMethod handlerMethod = (HandlerMethod) handler;
//判断方法是否有标注注解
annotation = handlerMethod.getMethodAnnotation(Login.class);
if (annotation == null) {
//判断方法所属类是否有标注注解
annotation = handlerMethod.getMethod().getDeclaringClass().getAnnotation(Login.class);
if (annotation == null) {
//放行
return true;
}
}
} else {
//放行
return true;
}
//获取用户凭证
String token = request.getHeader("token");
if (StringUtils.isBlank(token)) {
//请求头不存在就从参数中获取一次,增强兼容性
token = request.getParameter("token");
}
//凭证为空
if (StringUtils.isBlank(token)) {
//向上抛出异常,需要全局异常处理器拦截该异常,并封装成统一的对象返回给前端
throw new RRException("token不能为空", 401);
}
//根据accessToken,查询用户信息
UserTokenService tokenEntity = userTokenService.queryByToken(token);
//校验token的有效期是否过期
if (tokenEntity == null || tokenEntity.getExpireTime().getTime() < System.currentTimeMillis()) {
//向上抛出异常,需要全局异常处理器拦截该异常,并封装成统一的对象返回给前端
throw new RRException("token失效,请重新登录", HttpStatus.UNAUTHORIZED.value());
}
//把用户id放到 request中 ,后续可以在方法中获取到
request.setAttribute(USER_KEY, tokenEntity.getEtlUserId());
return true;
}
}
配置好拦截器后,我们需要 配置 拦截哪些地址,这里我们需要创建一个 WebMvcConfig,代码如下
/**
* MVC配置
*/
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
//注入拦截器
@Autowired
private AuthorizationInterceptor authorizationInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
//添加拦截器以及对应的拦截地址规则 ,/app/** 表示拦截路径中有 /app/下的所有请求
registry.addInterceptor(authorizationInterceptor).addPathPatterns("/app/**");
}
@Override
public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
}
}
ok,以上就可以配置完毕了,剩下的就是使用了,在 /app/** 路径下的 接口上 打上 注解 @Login 注解 或者直接在类上打上@Login注解
/**
* 用户相关
*/
@RestController
@RequestMapping("app/user")
public class AppUserController {
/**
* 获取登录用户信息
*/
@Login//登录拦截注解
@GetMapping("/test")
public String test() throws IOException {
return "ok";
}
然后直接访问 http://localhost:8080/app/user/test ,不出意外 会直接返回 异常信息了,这里需要写一个全局异常处理器 拦截 RRException 自定义的异常信息和code码,然后组拼成 一个通用的返回值对象就可以了!
如果你在项目中使用了其他方案实现了 登录校验,请留言讨论,我们互相学习