springboot拦截器鉴权

最新推荐文章于 2024-03-15 11:05:50 发布
最新推荐文章于 2024-03-15 11:05:50 发布
阅读量383 收藏 1
点赞数
文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38977651/article/details/130927999
版权

拦截器:作用类似于Servlet中的Filter,用于对处理器进行预处理和后处理。

public interface HandlerInterceptor {
	default boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {

		return true;
	}
	default void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
			@Nullable ModelAndView modelAndView) throws Exception {
	}
	default void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler,
			@Nullable Exception ex) throws Exception {
	}

}

其中 preHandle()实现处理器预处理,请求会先到这里,当这个方法返回值是true的时候表示处理器可以正常往下执行,返回false,则不会继续执行处理器的代码,一般用来身份验证和鉴权。
postHandle()是后处理回调方法,也就是控制器完成后执行。
afterCompletion()在视图渲染完毕时候调用,一般用来进行统一的异常处理,日志处理。

在springboot中可以通过实现HandlerInterceptor接口实现拦截器,这里主要介绍通过预处理做身份鉴权的方法。

  1. 定义注解
import java.lang.annotation.*;

/***
 * token校验拦截器
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Inherited
public @interface LoginRequired {

}
  1. 定义token校验方法
@Service
public class AccountAuthProxy {
	public boolean verifyToken(Long userId, String token){
		//定义校验规则
	}
}
  1. 定义拦截器
import com.xiaomi.gamecenter.misc.socialsquare.annotation.LoginRequired;
import com.xiaomi.gamecenter.misc.socialsquare.config.ConfigService;
import com.xiaomi.gamecenter.misc.socialsquare.constants.Err;
import com.xiaomi.gamecenter.misc.socialsquare.proxy.AccountAuthProxy;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


public class AccountInterceptor implements HandlerInterceptor {
    private static final Logger log = LoggerFactory.getLogger(AccountInterceptor.class);
    @Autowired
    AccountAuthProxy accountAuthProxy;

    public static final String USER_ID_NAME = "userId";
    public static final String TOKEN_NAME = "token";

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception{
        Err err;
        try{
            if (handler instanceof HandlerMethod) {
                String token = parseTokenFromReq(request);
                long uid = parseUserIdFromReq(request);
                HandlerMethod method = (HandlerMethod) handler;
                LoginRequired option = method.getMethodAnnotation(LoginRequired.class);
                //如果未加注解则直接放行
                if (option == null) {
                    return true;
                }
                boolean pass = accountAuthProxy.verifyToken(uid, token);
                log.info("token verify result---userId={}, token={}, pass={}", uid, token, pass);
                if (!pass) {
                    log.info("token verify error---userId={}, token={}", uid, token);
                     throw new ServiceException(RetCode.LOGIN_EXPIRE);
                }
            }else {
                //处理预检请求
                response.setStatus(HttpServletResponse.SC_OK);
                return true;
            }
        }catch (Exception e){
            log.error("login interceptor error---", e);
        }
        return true;
    }
    /**
     * 从HTTP请求解析中得到用户ID,兼容了不同参数名
     */
    private long parseUserIdFromReq(HttpServletRequest request) {
        if (StringUtils.isNumeric(request.getParameter(USER_ID_NAME))) {
            return Long.parseLong(request.getParameter(USER_ID_NAME));
        } else {
            return 0L;
        }
    }

    /**
     * 从HTTP请求参数中解析得到token
     */
    private String parseTokenFromReq(HttpServletRequest request) {
        String token = null;
        if (StringUtils.isNotBlank(request.getParameter(TOKEN_NAME))) {
            token = request.getParameter(TOKEN_NAME);
        }
        return token;
    }

}
  1. 添加拦截器配置
import com.xiaomi.gamecenter.misc.socialsquare.interceptor.AccountInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Bean
    public AccountInterceptor accountInterceptor(){
        return new AccountInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 添加账号拦截器
        registry.addInterceptor(accountInterceptor())
                .addPathPatterns("/**");
    }

}
  1. token校验
    在需要校验token的接口上面添加注解 @LoginRequired ,则在请求接口的时候会走拦截器里面校验token的方法,接口捕获异常,返回前端登录错误的状态码。
    例如:
    /***
     * 获取该用户的帖子列表
     */
    @PostMapping("/user/list")
    @TokenCheck
    public BaseDataVo<UserContentVo> contentList(@RequestBody UserContentReq req){
        BaseDataVo<UserContentVo> responseVo = new BaseDataVo<>();
        try{
            responseVo = contentService.getUserContentList(req.getUserId(), req.getPage(), req.getPageSize());
            responseVo.setRetCode(RetCode.SUCCESS);
        }catch (ServiceException e){
            responseVo.setRetCode(e.getRetCode());
        }
        return responseVo;
    }
    ```
H. Watson
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot搭建的shiro的最简单的登录demo(绝对可用)
09-04
直接把项目导入idea就能打开使用,该项目在简单实现shiro登录的基础上,还实现了接收数据的统一加工处理模块,在接收post或者get请求后,能返回固定模板格式的json数据给前端,对于初期的学习与应用很有帮助。对了数据库需要自己布置一下,有问题的话可以给我留言
SpringBoot项目的 4 种方案
程序员闪充宝
10-22 2886
大家好,我是宝哥!‍最近在重构公司以前产品的前端代码,摈弃了以前的session-cookie方式,采用token,忙里偷闲觉得有必要对几种常见的方式整理一下。目前我们常用的有四种:HTTP Basic Authenticationsession-cookieToken 验证OAuth(开放授)一.HTTP Basic Authentication这种授方式是浏览遵守http...
springboot项目jwt认证(企业级实现方案)
最新发布
qq_45443475的博客
03-15 455
Resource@Override// 从 http 请求头中取出 token// 如果不是映射到方法直接通过if(!//检查是否有passtoken注释,有则跳过认证logger.info("=====pass token 跳过token 拦截=====");// 执行认证logger.info("请求路径:" + httpServletRequest.getRequestURI());
Spring Boot整合Spring Security实现认证
weixin_57392053的博客
06-24 1969
Spring Security是一个基于Spring框架的安全性框架,可以为Web应用程序提供身份验证(Authentication)、授(Authorization)、攻击防御等安全功能。Spring Security框架提供了一整套的身份验证、授、ACL(访问控制列表)等模块和类库,还提供了一系列的安全过滤、安全标签等,可以方便地实现常见的安全性控制。
SpringBoot工具篇--使用拦截
拽着尾巴的鱼儿的博客
12-14 1017
使用拦截
Springboot整合SpringSecurity实现登录认证和
weixin_44068320的博客
08-12 9642
springboot整合springsecurity实现用户登录认证和
4 种 SpringBoot 项目方式
java_atguigu的博客
04-07 3667
传统 AOP 对于这种需求,首先想到的当然是 Spring-boot 提供的 AOP 接口,只需要在 Controller 方法前添加切点,然后再对切点进行处理即可。 实现 其使用步骤如下: 使用 @Aspect 声明一下切面类 WhitelistAspect; 在切面类内添加一个切点 whitelistPointcut(),为了实现此切点灵活可装配的能力,这里不使用 execution 全部拦截,而是添加一个注解 @Whitelist,被注解的方法才会校验白名单。 在切面类中使用 spring
SpringBoot AOP各种注解、自定义注解、使用案例(免费下载)
02-24
SpringBoot AOP各种注解、自定义注解、使用案例SpringBoot AOP各种注解、自定义注解、使用案例SpringBoot AOP各种注解、自定义注解、使用案例
springboot拦截实现拦截 限校验,登录demo
11-14
不知道为啥不能设置0。这个是demo,有时间博主吧git整理下 链接发出来
基于 springboot、ant-design-vue 的开源框架+源代码+文档说明
11-29
前端axios请求拦截自动把令牌放入head,axios响应拦截中检查有`newToken`标记,有就更新保存的令牌。后端shiro拦截需要限的接口,每次都拿到JWT进行认证。采用CAS机制+刚过期令牌续期30秒,实现用户无感知刷新...
springboot-wx:微信小程序-基于SpringBoot的实现Maven聚合,分为core核心模块,service服务模块,gateway对外网关模块,目前已经实现Shriojwt监控,为小程序提供统一规范接口,以及小程序配套后台
05-14
代码模块的具体划分1.wx-apps-core一些基本的Core信息,登录校验,全局的常量,枚举类,base基类的抽取,通用的工具类的抽取,全局的响应状态码的定义,监听初始化数据的加载配置和初始化拦截登录信息的校验,系统...
认证starter
02-23
系统与系统间,api调用,需要认证,基于springboot的starter自动加载机制,完成似本地调用代码,基于feign的拦截实现,做到用户零代码,使用非常简单,改配置,maven引入,spring注入客户端api类,本地方法...
【应用】SpringBoot -- Shiro 实现认证与
情绪瓜皮皮丶的学习之路
09-24 1184
SpringBoot 中使用 Shiro 框架实现账号认证与
简单几行代码,优雅的实现 SpringBoot
公众号-老炮说Java
07-25 198
最近在做登录、授的功能,一开始考虑到的是spring boot + spring security,但spring security太重,而我们是轻量级的项目,所以,spring security不适合我们。而后考虑spring boot + shiro,但shiro自带的aop会影响spring boot的aop,所以,shiro也不适合我们。后来浏览github时,发现Sa-Token这个框...
Spring Boot 项目的 4 种方式
weixin_43805579的博客
12-29 984
的4种实现方式
Spring拦截实现
qq_32473523的博客
06-27 1728
拦截(Interceptor)类似于Servlet中的过滤,主要用于拦截用户请求并做出相应的处理,例如拦截可以进行限验证、记录请求信息的日志、判断用户是否登录等。拦截允许自定义预处理(Pre-Processing),在其中可以选择禁止对应Handler 的执行;也允许自定义后处理(Post-Precessing);。
Springboot四种实现方式各自的优缺点
TaloyerG的博客
08-28 903
AOP(面向切面编程)是一种编程思想和技术,它可以在不修改原有代码的情况下,在程序运行时动态地将一些通用功能插入到指定位置,比如日志记录,事务管理,性能监控等。:Spring Security是一个基于Spring的安全框架,它提供了一套完整的安全解决方案,包括认证,授,密码加密,会话管理,攻击防护等。:过滤是基于Servlet规范的一种机制,它可以在请求到达Servlet之前或之后进行过滤和处理,比如编码转换,压缩传输,安全检查等。
springboot中使用拦截进行操作
m0_65206614的博客
10-21 227
【代码】在springboot中使用拦截进行操作。
springboot自定义拦截
05-12
在Spring Boot中自定义拦截可以用来拦截请求并在请求前或请求后执行一些操作,比如记录日志、等。下面是一个简单的例子: 1. 创建一个拦截类,实现HandlerInterceptor接口,并实现其中的三个方法:preHandle、postHandle、afterCompletion。 ``` public class MyInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 在请求处理之前进行调用(Controller方法调用之前) return true; // 只有返回true才会继续向下执行,返回false取消当前请求 } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { // 请求处理之后进行调用,但是在视图被渲染之前(Controller方法调用之后) } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { // 在整个请求处理完成后进行调用,也就是在DispatcherServlet渲染了对应的视图之后执行(主要用于资源清理工作) } } ``` 2. 创建一个配置类,注册拦截。 ``` @Configuration public class InterceptorConfig implements WebMvcConfigurer { @Autowired private MyInterceptor myInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { // 注册拦截 registry.addInterceptor(myInterceptor) .addPathPatterns("/api/**") // 拦截的路径 .excludePathPatterns("/api/login"); // 排除的路径 } } ``` 在上面的例子中,我们创建了一个MyInterceptor拦截类,并实现了其中的三个方法。然后,我们创建了一个InterceptorConfig配置类,并在其中注册了MyInterceptor拦截,并指定了拦截的路径和排除的路径。这样,所有以/api/开头的请求都会被MyInterceptor拦截拦截,除了/api/login路径的请求。 以上就是Spring Boot自定义拦截的简单示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值