close
關注我,回復關鍵字「spring」,
免費領取Spring學習資料。

文章介紹了spring-boot中實現通用auth的四種方式,包括 傳統AOP、攔截器、參數解析器和過濾器,並提供了對應的實例代碼,最後簡單總結了下他們的執行順序。
前言
最近一直被無盡的業務需求淹沒,沒時間喘息,終於接到一個能讓我突破代碼舒適區的活兒,解決它的過程非常曲折,一度讓我懷疑人生,不過收穫也很大,代碼方面不明顯,但感覺自己抹掉了 java、Tomcat、Spring 一直擋在我眼前的一層紗。對它們的理解上了一個新的層次。好久沒輸出了,於是挑一個方面總結一下,希望在梳理過程中再了解一些其他的東西。
由於 Java 繁榮的生態,下面每一個模塊都有大量的文章專門講述。所以我選了另外一個角度,從實際問題出發,將這些分散的知識串聯起來,各位可以作為一個綜述來看。各個模塊的極致詳細介紹,大家可以去翻官方文檔或看網絡上的其他博客。需求很簡單清晰,跟產品們提的妖艷需求一點也不一樣:在我們的 web 框架里添加一個通用的 appkey 白名單校驗功能,希望它的擴展性更好一些。
這個 web 框架是部門前驅者基於 spring-boot 實現的,介於業務和 Spring 框架之間,做一些偏向於業務的通用性功能,如 日誌輸出、功能開關、通用參數解析等。平常是對業務透明的,最近一直忙於把需求做好,代碼寫好,甚至從沒注意過它的存在。
傳統AOP
對於這種需求,首先想到的當然是 Spring-boot 提供的 AOP 接口,只需要在 Controller 方法前添加切點,然後再對切點進行處理即可。
實現
其使用步驟如下:

使用@Aspect聲明一下切面類WhitelistAspect;

在切面類內添加一個切點whitelistPointcut(),為了實現此切點靈活可裝配的能力,這裡不使用execution全部攔截,而是添加一個註解@Whitelist,被註解的方法才會校驗白名單。

在切面類中使用 spring 的 AOP 註解@Before聲明一個通知方法checkWhitelist()在 Controller 方法被執行之前校驗白名單。

切面類偽代碼如下:
@AspectpublicclassWhitelistAspect{@Before(value="whitelistPointcut()&&@annotation(whitelist)")publicvoidcheckAppkeyWhitelist(JoinPointjoinPoint,Whitelistwhitelist){checkWhitelist();//可使用joinPoint.getArgs()獲取Controller方法的參數//可以使用whitelist變量獲取註解參數}@Pointcut("@annotation(com.zhenbianshu.Whitelist)")publicvoidwhitelistPointCut(){}}
在Controller方法上添加@Whitelist註解實現功能。
擴展
本例中使用了 註解 來聲明切點,並且我實現了通過註解參數來聲明要校驗的白名單,如果之後還需要添加其他白名單的話,如通過 UID 來校驗,則可以為此註解添加uid()等方法,實現自定義校驗。此外,spring 的 AOP 還支持execution(執行方法) 、bean(匹配特定名稱的 Bean 對象的執行方法)等切點聲明方法和@Around(在目標函數執行中執行) 、@After(方法執行後)等通知方法。如此,功能已經實現了,但領導並不滿意,原因是項目中 AOP 用得太多了,都用濫了,建議我換一種方式。嗯,只好搞起。
Interceptor
Spring 的 攔截器(Interceptor) 實現這個功能也非常合適。顧名思義,攔截器用於在 Controller 內 Action 被執行前通過一些參數判斷是否要執行此方法,要實現一個攔截器,可以實現 Spring 的HandlerInterceptor接口。
實現
實現步驟如下:

定義攔截器類AppkeyInterceptor類並實現 HandlerInterceptor 接口。

實現其preHandle()方法;

在 preHandle 方法內通過註解和參數判斷是否需要攔截請求,攔截請求時接口返回false;

在自定義的WebMvcConfigurerAdapter類內註冊此攔截器;

AppkeyInterceptor類如下:
@ComponentpublicclassWhitelistInterceptorimplementsHandlerInterceptor{@OverridepublicbooleanpreHandle(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler)throwsException{Whitelistwhitelist=((HandlerMethod)handler).getMethodAnnotation(Whitelist.class);//whitelist.values();通過request獲取請求參數,通過whitelist變量獲取註解參數returntrue;}@OverridepublicvoidpostHandle(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler,ModelAndViewmodelAndView)throwsException{//方法在Controller方法執行結束後執行}@OverridepublicvoidafterCompletion(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler,Exceptionex)throwsException{//在view視圖渲染完成後執行}}
擴展
要啟用 攔截器還要顯式配置它啟用,這裡我們使用WebMvcConfigurerAdapter對它進行配置。需要注意,繼承它的的MvcConfiguration需要在ComponentScan路徑下。
@ConfigurationpublicclassMvcConfigurationextendsWebMvcConfigurerAdapter{@OverridepublicvoidaddInterceptors(InterceptorRegistryregistry){registry.addInterceptor(newWhitelistInterceptor()).addPathPatterns("/*").order(1);//這裡可以配置攔截器啟用的path的順序,在有多個攔截器存在時,任一攔截器返回false都會使後續的請求方法不再執行}}
還需要注意,攔截器執行成功後響應碼為200,但響應數據為空。
當使用攔截器實現功能後,領導終於祭出大招了:我們已經有一個 Auth 參數了,appkey 可以從 Auth 參數裡取到,可以把在不在白名單作為 Auth 的一種方式,為什麼不在 Auth 時校驗?emmm… 吐血中。
ArgumentResolver
參數解析器是 Spring 提供的用於解析自定義參數的工具,我們常用的@RequestParam註解就有它的影子,使用它,我們可以將參數在進入Controller Action之前就組合成我們想要的樣子。
Spring 會維護一個ResolverList, 在請求到達時,Spring 發現有自定義類型參數(非基本類型), 會依次嘗試這些 Resolver,直到有一個 Resolver 能解析需要的參數。要實現一個參數解析器,需要實現HandlerMethodArgumentResolver接口。
實現

定義自定義參數類型AuthParam,類內有 appkey 相關字段;

定義AuthParamResolver並實現 HandlerMethodArgumentResolver 接口;

實現supportsParameter()接口方法將 AuthParam 與 AuthParamResolver 適配起來;

實現resolveArgument()接口方法解析 reqest 對象生成 AuthParam 對象,並在此校驗 AuthParam ,確認 appkey 是否在白名單內;

在 Controller Action 方法上簽名內添加 AuthParam 參數以啟用此 Resolver;

實現的AuthParamResolver類如下:
@ComponentpublicclassAuthParamResolverimplementsHandlerMethodArgumentResolver{@OverridepublicbooleansupportsParameter(MethodParameterparameter){returnparameter.getParameterType().equals(AuthParam.class);}@OverridepublicObjectresolveArgument(MethodParameterparameter,ModelAndViewContainermavContainer,NativeWebRequestwebRequest,WebDataBinderFactorybinderFactory)throwsException{Whitelistwhitelist=parameter.getMethodAnnotation(Whitelist.class);//通過webRequest和whitelist校驗白名單returnnewAuthParam();}}
擴展
當然,使用參數解析器也需要單獨配置,我們同樣在WebMvcConfigurerAdapter內配置:
@ConfigurationpublicclassMvcConfigurationextendsWebMvcConfigurerAdapter{@OverridepublicvoidaddArgumentResolvers(List<HandlerMethodArgumentResolver>argumentResolvers){argumentResolvers.add(newAuthParamResolver());}}
這次實現完了,我還有些不放心,於是在網上查找是否還有其他方式可以實現此功能,發現常見的還有Filter。
Filter
Filter 並不是 Spring 提供的,它是在 Servlet 規範中定義的,是 Servlet 容器支持的。被 Filter 過濾的請求,不會派發到 Spring 容器中。它的實現也比較簡單,實現javax.servlet.Filter接口即可。
由於不在 Spring 容器中,Filter 獲取不到 Spring 容器的資源,只能使用原生 Java 的 ServletRequest 和 ServletResponse 來獲取請求參數。另外,在一個 Filter 中要顯示調用 FilterChain 的 doFilter 方法,不然認為請求被攔截。實現類似:
publicclassWhitelistFilterimplementsjavax.servlet.Filter{@Overridepublicvoidinit(FilterConfigfilterConfig)throwsServletException{//初始化後被調用一次}@OverridepublicvoiddoFilter(ServletRequestrequest,ServletResponseresponse,FilterChainchain)throwsIOException,ServletException{//判斷是否需要攔截chain.doFilter(request,response);//請求通過要顯示調用}@Overridepublicvoiddestroy(){//被銷毀時調用一次}}
擴展
Filter 也需要顯示配置:
@ConfigurationpublicclassFilterConfiguration{@BeanpublicFilterRegistrationBeansomeFilterRegistration(){FilterRegistrationBeanregistration=newFilterRegistrationBean();registration.setFilter(newWhitelistFilter());registration.addUrlPatterns("/*");registration.setName("whitelistFilter");registration.setOrder(1);//設置過濾器被調用的順序returnregistration;}}
小結
四種實現方式都有其適合的場 景,那麼它們之間的調用順序如何呢?Filter 是 Servlet 實現的,自然是最先被調用,後續被調用的是 Interceptor 被攔截了自然不需要後續再進行處理,然後是 參數解析器,最後才是切面的切點。
來源:https://zhenbianshu.github.io


END


抖音服務器帶寬有多大,才能供上億人同時刷?
一篇文章把RabbitMQ、RocketMQ、Kafka三元歸一
7分鐘學會Java中的交互式編程環境
System.currentTimeMillis() 和 System.nanoTime() 哪個更快?
詳解 Java 17中的新特性:「密封類」

關注後端面試那些事,回復【2022面經】

獲取最新大廠Java面經


最後重要提示:高質量的技術交流群,限時免費開放,今年抱團最重要。想進群的,關注SpringForAll社區,回復關鍵詞:加群,拉你進群。




點擊「閱讀原文」領取2022大廠面經
↓↓↓
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()