鉴权【借鉴于公众号Java问答社并对不正确的地方进行修改】
鉴权(authentication)是指验证用户是否拥有访问系统的权利。
spring-boot中实现通用auth的四种方式: 传统AOP、拦截器、参数解析器和过滤器。
-
1.传统AOP
Spring-boot 提供的 AOP 接口,只需要在 Controller 方法前添加切点,然后再对切点进行处理即可。
使用步骤:
- 1.1.使用
@Aspect声明一下切面类WhitelistAspect - 1.2.在切面类内添加一个切点
whitelistPointcut(),为了实现此切点灵活可装配的能力,这里不使用execution全部拦截,而是添加一个注解@Whitelist,被注解的方法才会校验白名单。 - 1.3.在切面类中使用 spring 的 AOP 注解
@Before声明一个通知方法checkWhitelist()在 Controller 方法被执行之前校验白名单。
切面类伪代码如下:
@Aspect public class WhitelistAspect { @Before(value = "whitelistPointcut() && @annotation(whitelist)") public void checkAppkeyWhitelist(JoinPoint joinPoint, Whitelist whitelist) { checkWhitelist(); // 可使用 joinPoint.getArgs() 获取Controller方法的参数 // 可以使用 whitelist 变量获取注解参数 } @Pointcut("@annotation(com.zhenbianshu.Whitelist)") public void whitelistPointCut() { } }在Controller方法上添加
@Whitelist注解实现功能。本例中使用了 注解 来声明切点,并且实现了通过注解参数来声明要校验的白名单,如果之后还需要添加其他白名单的话,如通过 UID 来校验,则可以为此注解添加
uid()等方法,实现自定义校验。此外,spring 的 AOP 还支持execution(执行方法) 、bean(匹配特定名称的 Bean 对象的执行方法)等切点声明方法和@Around(在目标函数执行中执行) 、@After(方法执行后)等通知方法。 - 1.1.使用
-
2.拦截器Interceptor
Spring 的 拦截器(Interceptor) 用于在 Controller 内 Action 被执行前通过一些参数判断是否要执行此方法,要实现一个拦截器,可以实现 Spring 的
HandlerInterceptor接口。实现步骤:
- 2.1.定义拦截器类
AppkeyInterceptor类并实现 HandlerInterceptor 接口。 - 2.2.实现其
preHandle()方法 - 2.3.在 preHandle 方法内通过注解和参数判断是否需要拦截请求,拦截请求时接口返回
false; - 2.4.在自定义的
WebMvcConfigurer类内注册此拦截器
AppkeyInterceptor类如下:@Component public class WhitelistInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { Whitelist whitelist = ((HandlerMethod) handler).getMethodAnnotation(Whitelist.class); // whitelist.values(); 通过 request 获取请求参数,通过 whitelist 变量获取注解参数 return true; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { // 方法在Controller方法执行结束后执行 } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { // 在view视图渲染完成后执行 } }要启用拦截器还要显式配置它,这里我们使用
WebMvcConfigurerAdapter【已弃用,改用WebMvcConfigurer】对它进行配置。【注意】【注意】【注意】将spring 4.xx(或者更低)版本升级到Spring 5.xx以及将Spring Boot 1.xx版本升级到Spring Boot 2.xx版本后会报的一个严重警告:"Warning:The type WebMvcConfigurerAdapter is deprecated."。 WebMvcConfigurerAdapter 是一个实现了WebMvcConfigurer 接口的抽象类,并提供了全部方法的空实现,我们可以在其子类中覆盖这些方法,以实现我们自己的配置。由于Java的版本更新,在Java 8中,可以使用default关键词为接口添加默认的方法,Spring在升级的过程中也同步支持了Java 8中这一新特性。所以从Spring 5开始,WebMvcConfigure接口包含了WebMvcConfigurerAdapter类中所有方法的默认实现,因此WebMvcConfigurerAdapter这个适配器就被打入冷宫了我们可以通过实现WebMvcConfigure接口中的方法来配置Web应用程序,而不需要让WebMvcConfigurerAdapter这个中间商 赚差价。
结论:直接实现WebMvcConfigurer接口来配置拦截器。
- 2.1.定义拦截器类
-
3.参数解析器 ArgumentResolver
参数解析器是 Spring 提供的用于解析自定义参数的工具,我们常用的
@RequestParam注解就有它的影子,使用它,我们可以将参数在进入Controller Action之前就组合成我们想要的样子。Spring 会维护一个
ResolverList, 在请求到达时,Spring 发现有自定义类型参数(非基本类型), 会依次尝试这些 Resolver,直到有一个 Resolver 能解析需要的参数。要实现一个参数解析器,需要实现HandlerMethodArgumentResolver接口。实现:
- 3.1.定义自定义参数类型
AuthParam,类内有 appkey 相关字段; - 3.2.定义
AuthParamResolver并实现 HandlerMethodArgumentResolver 接口 - 3.3.实现
supportsParameter()方法将 AuthParam 与 AuthParamResolver 适配起来 - 3.4.实现
resolveArgument()方法解析 reqest 对象生成 AuthParam 对象,并在此校验 AuthParam ,确认 appkey 是否在白名单内; - 3.5.在 Controller Action 方法上签名内添加 AuthParam 参数以启用此 Resolver
实现的
AuthParamResolver类如下:@Component public class AuthParamResolver implements HandlerMethodArgumentResolver { @Override public boolean supportsParameter(MethodParameter parameter) { return parameter.getParameterType().equals(AuthParam.class); } @Override public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception { Whitelist whitelist = parameter.getMethodAnnotation(Whitelist.class); // 通过 webRequest 和 whitelist 校验白名单 return new AuthParam(); } }使用参数解析器也需要单独配置,我们同样在
WebMvcConfigurerAdapter内配置:@Configuration public class MvcConfiguration extends WebMvcConfigurerAdapter { @Override public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) { argumentResolvers.add(new AuthParamResolver()); } } - 3.1.定义自定义参数类型
-
4.过滤器Filter
Filter 并不是 Spring 提供的,它是在 Servlet 规范中定义的,是 Servlet 容器支持的。被 Filter 过滤的请求,不会派发到 Spring 容器中。它的实现也比较简单,实现
javax.servlet.Filter接口即可。由于不在 Spring 容器中,Filter 获取不到 Spring 容器的资源,只能使用原生 Java 的 ServletRequest 和 ServletResponse 来获取请求参数。另外,在一个 Filter 中要显示调用 FilterChain 的 doFilter 方法,不然认为请求被拦截。
实现:
public class WhitelistFilter implements javax.servlet.Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { // 初始化后被调用一次 } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 判断是否需要拦截 chain.doFilter(request, response); // 请求通过要显示调用 } @Override public void destroy() { // 被销毁时调用一次 } }Filter 也需要显示配置:
@Configuration public class FilterConfiguration { @Bean public FilterRegistrationBean someFilterRegistration() { FilterRegistrationBean registration = new FilterRegistrationBean(); registration.setFilter(new WhitelistFilter()); registration.addUrlPatterns("/*"); registration.setName("whitelistFilter"); registration.setOrder(1); // 设置过滤器被调用的顺序 return registration; } }
