springboot 拦截器及注册
springboot 拦截器及注册
一、.Spring框架下的自定义拦截器AuthHandlerInterceptor
1.逻辑判断:
首先,通过检查object是否为HandlerMethod实例来判断请求是否直接映射到一个处理方法。如果不是,则直接返回true,允许请求继续。这是合理的,因为静态资源和不需要权限检查的请求不应被拦截,提高了处理效率。
2.Token检查:
接下来,从请求头中获取Authorization字段的值作为token。如果token不存在或为空,则通过httpServletResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED)设置HTTP状态码为401(未授权),表示请求未通过认证,然后返回false阻止请求继续。
3.JWT解析与验证:
使用JwtUtil.parseJWT方法解析JWT令牌,验证其有效性。如果解析成功,获取用户ID,并从Redis中查找对应的token进行比对。如果token不一致,说明token已过期,同样通过设置状态码为401并返回false拒绝访问。
4.token刷新:如果token验证通过,则将其重新存入Redis,延长其有效期。
@Slf4j
@Configuration
public class AuthHandlerInterceptor implements HandlerInterceptor {
public static final String SEC="liyunlong";
private final StringRedisTemplate stringRedisTemplate;
@Autowired
public AuthHandlerInterceptor(StringRedisTemplate stringRedisTemplate) {
this.stringRedisTemplate = stringRedisTemplate;
}
@Override
public boolean preHandle(@NotNull HttpServletRequest httpServletRequest,
@NotNull HttpServletResponse httpServletResponse,
@NotNull Object object){
// log.info("=======进入拦截器========");
// 如果不是映射到方法直接通过,可以访问资源.
// 当object不是HandlerMethod实例时,意味着当前请求可能不是直接映射到一个具体的处理方法上
// 可能是静态资源请求(如CSS、JS文件)、视图页面等。在这种情况下,拦截器直接返回true
// 允许请求继续而不执行后续的拦截逻辑,因为这些请求通常不需要进行权限验证或其他业务逻辑处理,直接放行即可
// 这是一种常见的优化手段,避免对静态资源或无需拦截的请求进行不必要的处理,减少性能开销,提高应用效率
if (!(object instanceof HandlerMethod)) {
return true;
}
// 为空就返回错误
String token = httpServletRequest.getHeader("Authorization");
if (null == token || "".equals(token.trim())) {
httpServletResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
return false;
}
Map<String, Object> map = JwtUtil.parseJWT(SEC, token);
Integer userId = (Integer) map.get("userId");
String token2 = stringRedisTemplate.opsForValue().get("token:" + userId);
if (!token.equals(token2)) {
log.info("token已过期");
httpServletResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
return false;
}
stringRedisTemplate.opsForValue().set("token:"+userId,token,30, TimeUnit.MINUTES);
// log.info("刷新了token");
return true;
}
}
二、注册拦截器:
1.这段代码定义了一个Spring配置类InterceptorConfig,它实现了WebMvcConfigurer接口,目的是自定义和注册一个拦截器AuthHandlerInterceptor到Spring MVC的请求处理链中。这个拦截器可以用于执行各种预处理任务,如权限验证、请求日志记录等。
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
// 使用@Autowired自动注入StringRedisTemplate,以便在拦截器中访问Redis数据库
@Autowired
StringRedisTemplate redisTemplate;
/**
* 重写WebMvcConfigurer接口的addInterceptors方法,用于注册自定义的拦截器。
* 这是Spring MVC框架提供的一种扩展机制,允许我们灵活地插入自定义的逻辑来处理进入的HTTP请求。
*
* @param registry InterceptorRegistry,用于管理拦截器的注册实例。
*/
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 创建一个新的拦截器实例,将之前注入的redisTemplate作为构造参数传递给拦截器
AuthHandlerInterceptor interceptor = new AuthHandlerInterceptor(redisTemplate);
// 使用registry.addInterceptor方法注册拦截器
// .addPathPatterns指定拦截器要应用的路径模式,"/**"表示拦截所有请求
registry.addInterceptor(interceptor)
.addPathPatterns("/**")
// .excludePathPatterns用于排除不需要拦截的路径
// 这里指定了"/login"、"/register"和"/getCode"这几个路径不进行拦截
// 通常这些路径是登录、注册或验证码获取等不需要权限验证的接口
.excludePathPatterns("/login", "/register", "/getCode");
}
}
魔乐社区(Modelers.cn) 是一个中立、公益的人工智能社区,提供人工智能工具、模型、数据的托管、展示与应用协同服务,为人工智能开发及爱好者搭建开放的学习交流平台。社区通过理事会方式运作,由全产业链共同建设、共同运营、共同享有,推动国产AI生态繁荣发展。
更多推荐
11
0- 0
已为社区贡献1条内容
所有评论(0)