添加拦截器

在安全编码规范中，在Java后端controller层接口需要对调用者的身份进行确认，以防非法用户进行访问。若是在controller层的每个接口处都添加逻辑判断，那么代码重复度高，并且费力费时。此时，就需要在请求到达controller层时提前截取数据流，对相关数据进行校验。在这里将要提到的方式就是在后端添加http拦截器，这样每一次的http请求都需要经过拦截器的认证后才可以继续往下走。那么如何有效地添加拦截器呢？下面将会详细给告诉你怎么添加。

　　（1）为了方便代码管理，我们先创建一个文件夹，其名为interceptor，与controller文件夹处于同一级，该文件夹主要是用来存放拦截器相关的文件，如下图所示：

　　

　　（2）在interceptor文件夹中创建以下几个文件：InterceptorConfig.java、InterceptorPathPatterns.java和AuthorityIntercepor.java

　　

InterceptorConfig.java文件：主要是用来配置拦截器的
InterceptorPathPatterns.java文件：是一个拦截规则实体类
AuthorityIntercepor.java文件：主要是拦截的具体实现
　　三个文件的大致内容具体如下： 

1)InterceptorConfig.java文件内容如下：
 
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.beans.factory.annotation.Autowired;
import java.util.List;
import java.util.concurrent.TimeUnit;
 
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
 
　　// 这里通过配置文件来配置拦截规则,后续会提供配置文件内容
 
　　@Autowired
　　private InterceptorPathPatterns interceptorPathPatterns;
 
　　@Override
　　public void addInterceptors(InterceptorRegistry registry) {
 
　　　　// addInterceptor 添加拦截器后默认会拦截所有的http请求
　　　　InterceptorRegistration interceptorRegistration = registry.addInterceptor(newAuthorityInterceptor());
　　　　List<String> includePathPatternsList = interceptorPathPatterns.getIncludePathPatternsList();
　　　　if (null == includePathPatternsList) {
　　　　interceptorRegistration.addPathPatterns("");
　　　　} else {
　　　　　　// addPathPatterns 用于添加拦截规则
　　　　　　interceptorRegistration.addPathPatterns(includePathPatternsList);
　　　　}
　　　　List<String> excludePathPatternsList = interceptorPathPatterns.getExcludePathPatternsList();
　　　　if (null == excludePathPatternsList) {
　　　　　　interceptorRegistration.excludePathPatterns("");
　　　　} else {
　　　　　　// excludePathPatterns 用于排除拦截规则
　　　　　　interceptorRegistration.excludePathPatterns(excludePathPatternsList);
　　　　}
　　}
 
　　public AuthorityIntercepor newAuthorityInterceptor() {
　　　　AuthorityInterceptor authorityInterceptor = new AuthorityInterceptor();
　　　　// 以下主要是用来设定token在缓存中的有效时长
 
       // 设定缓存过期时间
　　　　String expiredTime = 30;
　　　　// 设置缓存大小
　　　　Cache<String, T> cache = CacheBuilder.newBuilder()
　　　　　　　　　　　　　　　　　　　　　　.maximumSize(10000)
　　　　　　　　　　　　　　　　　　　　　　.expireAfterAccess(Integer.parseInt(expiredTime), TimeUnit.MINUTES)
　　　　　　　　　　　　　　　　　　　　　　.build();
　　　　authorityInterceptor.setCache(cache);
　　　　return authorityInterceptor;
　　}
}
 
 
 
(2)InterceptorPathPatterns.java文件内容如下：
 
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;
import java.util.List;
 
 
@Component
@ConfigurationProperties(prefix = "interceptor")
public class InterceptorPathPatterns {
　　private List<String> includePathPatternsList;
　　private List<String> excludePathPatternsList;
 
　　public List<String> getIncludePathPatternsList() {
　　　　return includePathPatternsList;
　　}
 
　　public void setIncludePathPatternsList(List<String> includePathPatternsList) {
　　　　this.includePathPatternsList = includePathPatternsList;
　　}
 
　　public List<String> getExcludePathPatternsList() {
　　　　return excludePathPatternsList;
　　}
 
　　public void setExcludePathPatternsList(List<String> excludePathPatternsList) {
　　　　this.excludePathPatternsList = excludePathPatternsList;
　　}
}
 
 
 
(3)AuthorityInterceptor.java文件内容如下：
 
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.util.StreamUtils;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import com.google.common.cache.Cache;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.OutputStream;
import java.nio.charset.Charset;
import java.util.concurrent.Callable;
 
 
public class AuthorityInterceptor extends HandlerInterceptorAdapter {
 
　　private Cache<String, T> cache = null;
 
　　public Cache<String, T> getCache () {
　　　　return cache;
　　}
 
　　public void setCache(Cache<String, T> cache) {
　　　　this.cache = cache;
　　}
 
　　public AuthorityInterceptor() {
　　　　super();
　　}
 
　　/**
　　* 返回false：从当前的拦截器往回执行所有拦截器的afterCompletion(),再退出拦截器链
　　* 返回true：执行下一个拦截器,直到所有的拦截器都执行完毕
　　*/
　　@Override
　　public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
　　　　OutputStream outputStream = null;
　　　　try {
　　　　　　String number = request.getHeader("X—Person-Number");
　　　　　　String token = request.getHeader("X-Person-Token");
　　　　　　if (StringUtils.isEmpty(number) || StringUtils.isEmpty(token)) {
　　　　　　　　this.setResponseMsg(outputStream, "认证失败", response);
　　　　　　　　return false;
　　　　　　}
 
　　　　　　// 调用校验方法校验token
　　　　　　boolean bVerify = this.verifyToken(request);
　　　　　　if (bVerify) {
　　　　　　　　// 校验通过
　　　　　　　　return true;
　　　　　　} else {
　　　　　　　　// 认证失败
　　　　　　　　this.setResponseMsg(outputStream, "认证失败", response);
　　　　　　　　return false;
　　　　　　}
 
　　　　} catch (Exception exception){
　　　　　　throw new Exception(); // 可以抛出指定的异常
　　　　} finally {
　　　　　　if (outputStream != null) {
　　　　　　　　outputStream.close();
　　　　　　　　outputStream = null;
　　　　　　}
　　　　}
　　}
 
　　@Override
　　public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modeAndView) throws Exception {
 
　　　　// 拦截器返回时的处理
 
　　}
 
 
 
　　@Override
　　public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception exception) throws Exception {
 
　　　　// 视图渲染回调
 
　　}
 
　　private void setResponseMsg(OutputStream outputStream, String responseStr, HttpServletResponse response) throws IOException {
　　　　// 重新设置返回的消息类型和消息头,SPRING mvc设置为JSON类型,
　　　　// 内容修改为加密字符串后,类型也要修改为text/html,防止angularjs自动根据类型转换数据
　　　　response.setCharacterEncoding("UTF-8");
　　　　response.setContentType("application/json;charset=UTF-8");
　　　　// 将加密数据写到原始的response对象中,返回客户端
　　　　outputStream = response.getOutputStream();
　　　　StreamUtils.copy(responseStr, Charset.forName("utf-8"), outputStream);
　　}
 
　　private boolean verifyToken(HttpServletRequest request) throws Exception {
　　　　try {
　　　　　　// 根据具体的业务场景进行逻辑判断设计
 
　　　　　　// 利用Cache的get方法进行判断，先判断缓存中是否有这个key，若是有的话，直接返回T类型对象结果。
 
　　　　   T obj = this.cache.get(key,
 
　　　　　　　　　　　　new Callable<T>() {
 
　　　　　　　　　　　　　　@Override
 
　　　　　　　　　　　　　　public T call() {
 
　　　　　　　　　　　　　　　　try {
 
　　　　　　　　　　　　　　　　　　// 具体的判断处理逻辑
 
　　　　　　　　　　　　　　　　} catch(Exception exception) {
 
　　　　　　　　　　　　　　　　　　// 可以跑出指定的异常
 
　　　　　　　　　　　　　　　　}
 
　　　　　　　　　　　　　　}
 
　　　　　　　　　　　　)
　　　　} catch (Exception exception) {
　　　　　　throw new Exception(exception);
　　　　}
　　}
}
 
说明：在实际应用中需要用具体的类型取代 T 
 
(4)application.properties配置文件内容如下：
 
#需要拦截的路径
interceptor.includePathPatternsList[1]=/**
#不需要拦截的路径
interceptor.excludePathPatternsList[0]=/test/download/**
 
#说明：采用这样的匹配方式是不会起作用的，例如：*.js，**.css等等
 
 
 
#注意：以上的拦截路径都是服务上下文之后的路径，比如说微服务名之后的路径，包括微服务名后的反斜杠
 
#/*不会匹配末尾的反斜杠，/**会匹配末尾的反斜杠
 
#若想要完全匹配路径的话，那必须要将路径写完整；模糊匹配的话就不需要了
小结：本文主要是讲述了整体流程思路，也许你会问为何不将拦截规则写在代码中？而是采用配置文件的方式，这主要是为了后续的扩展，比如说暂时不用拦截某个路径下的接口，此时只需要修改配置文件的排除拦截路径就可以了，不用重新修改代码、编译代码、构建版本。

       此外，由于产品之间会有各种服务，所以添加拦截器时最好在API接口层和BFF层都添加上；当然，建议每个产品都在API接口层添加拦截器进行身份验证，这样本产品通过自己的BFF层时调用其它产品的API接口时就没有必要在BFF层再拦截和校验了，不然对本产品来说就有些重复拦截和校验了。
————————————————
版权声明：本文为CSDN博主「Java烟雨」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_70730532/article/details/124798839