摘要: 文章介紹了 spring-boot 中實作通用 auth 的四種方式,包括傳統 AOP、攔截器、參數解析器和過濾器,并提供了對應的執行個體代碼,最後簡單總結了下它們的執行順序。
本文分享自華為雲社群《碼農架構 | Spring Boot 實作通用 Auth 認證的 4 種方式》,作者: 碼農架構。
一、前言
由于 Java 繁榮的生态,下面每一個子產品都有大量的文章專門講述。是以我選了另外一個角度,從實際問題出發,将這些分散的知識串聯起來,各位可以作為一個綜述來看。各個子產品的極緻詳細介紹,大家可以去翻官方文檔或看網絡上的其他部落格。
需求很簡單清晰,跟産品們提的妖豔需求一點也不一樣:在我們的 web 架構裡添加一個通用的 appkey 白名單校驗功能,希望它的擴充性更好一些。
這個 web 架構是部門前驅者基于 spring-boot 實作的,介于業務和 Spring 架構之間,做一些偏向于業務的通用性功能,如 日志輸出、功能開關、通用參數解析等。平常是對業務透明的,最近一直忙于把需求做好,代碼寫好,甚至從沒注意過它的存在。
二、傳統 AOP
對于這種需求,首先想到的當然是 Spring-boot 提供的 AOP 接口,隻需要在 Controller 方法前添加切點,然後再對切點進行處理即可。
▐ 實作
其使用步驟如下:
- 使用 @Aspect 聲明一下切面類 WhitelistAspect;
- 在切面類内添加一個切點 whitelistPointcut(),為了實作此切點靈活可裝配的能力,這裡不使用 execution 全部攔截,而是添加一個注解 @Whitelist,被注解的方法才會校驗白名單。
- 在切面類中使用 spring 的 AOP 注解 @Before 聲明一個通知方法 checkWhitelist() 在 Controller 方法被執行之前校驗白名單。
切面類僞代碼如下:
@Aspect
public class WhitelistAspect {
@Before(value = "whitelistPointcut() && @annotation(whitelist)")
public void checkAppkeyWhitelist(JoinPoint joinPoint, Whitelist whitelist) {
checkWhitelist();
// 可使用 joinPoint.getArgs() 擷取Controller方法的參數
// 可以使用 whitelist 變量擷取注解參數
}
@Pointcut("@annotation(com.zhenbianshu.Whitelist)")
public void whitelistPointCut() {
}
} 在Controller方法上添加 @Whitelist 注解實作功能。
▐ 拓展
本例中使用了 注解 來聲明切點,并且我實作了通過注解參數來聲明要校驗的白名單,如果之後還需要添加其他白名單的話,如通過 UID 來校驗,則可以為此注解添加 uid() 等方法,實作自定義校驗。
此外,spring 的 AOP 還支援 execution(執行方法) 、bean(比對特定名稱的 Bean 對象的執行方法)等切點聲明方法和 @Around(在目标函數執行中執行) 、@After(方法執行後) 等通知方法。
如此,功能已經實作了,但上司并不滿意=_=,原因是項目中 AOP 用得太多了,都用濫了,建議我換一種方式。嗯,隻好搞起。
三、Interceptor
Spring 的 攔截器(Interceptor) 實作這個功能也非常合适。顧名思義,攔截器用于在 Controller 内 Action 被執行前通過一些參數判斷是否要執行此方法,要實作一個攔截器,可以實作 Spring 的 HandlerInterceptor 接口。
實作步驟如下:
- 定義攔截器類 AppkeyInterceptor 類并實作 HandlerInterceptor 接口。
- 實作其 preHandle() 方法;
- 在 preHandle 方法内通過注解和參數判斷是否需要攔截請求,攔截請求時接口傳回 false;
- 在自定義的 WebMvcConfigurerAdapter 類内注冊此攔截器;
AppkeyInterceptor 類如下:
@Component
public class WhitelistInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
Whitelist whitelist = ((HandlerMethod) handler).getMethodAnnotation(Whitelist.class);
// whitelist.values(); 通過 request 擷取請求參數,通過 whitelist 變量擷取注解參數
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
// 方法在Controller方法執行結束後執行
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
// 在view視圖渲染完成後執行
}
} 要啟用 攔截器還要顯式配置它啟用,這裡我們使用 WebMvcConfigurerAdapter 對它進行配置。需要注意,繼承它的的 MvcConfiguration 需要在 ComponentScan 路徑下。
@Configuration
public class MvcConfiguration extends WebMvcConfigurerAdapter {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new WhitelistInterceptor()).addPathPatterns("/*").order(1);
// 這裡可以配置攔截器啟用的 path 的順序,在有多個攔截器存在時,任一攔截器傳回 false 都會使後續的請求方法不再執行
}
} 還需要注意,攔截器執行成功後響應碼為 200,但響應資料為空。Spring Boot 基礎教程和示例源碼在這裡學習:https://github.com/javastacks/javastack,非常全了。
當使用攔截器實作功能後,上司終于祭出大招了:我們已經有一個 Auth 參數了,appkey 可以從 Auth 參數裡取到,可以把在不在白名單作為 Auth 的一種方式,為什麼不在 Auth 時校驗?emmm… 吐血中。
四、ArgumentResolver
參數解析器是 Spring 提供的用于解析自定義參數的工具,我們常用的 @RequestParam 注解就有它的影子,使用它,我們可以将參數在進入 Controller Action 之前就組合成我們想要的樣子。
Spring 會維護一個 ResolverList, 在請求到達時,Spring 發現有自定義類型參數(非基本類型), 會依次嘗試這些 Resolver,直到有一個 Resolver 能解析需要的參數。要實作一個參數解析器,需要實作 HandlerMethodArgumentResolver 接口。
- 定義自定義參數類型 AuthParam,類内有 appkey 相關字段;
- 定義 AuthParamResolver 并實作 HandlerMethodArgumentResolver 接口;
- 實作 supportsParameter() 接口方法将 AuthParam 與 AuthParamResolver 适配起來;
- 實作 resolveArgument() 接口方法解析 reqest 對象生成 AuthParam 對象,并在此校驗 AuthParam ,确認 appkey 是否在白名單内;
- 在 Controller Action 方法上簽名内添加 AuthParam 參數以啟用此 Resolver;
實作的 AuthParamResolver 類如下
@Component
public class AuthParamResolver implements HandlerMethodArgumentResolver {
@Override
public boolean supportsParameter(MethodParameter parameter) {
return parameter.getParameterType().equals(AuthParam.class);
}
@Override
public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
Whitelist whitelist = parameter.getMethodAnnotation(Whitelist.class);
// 通過 webRequest 和 whitelist 校驗白名單
return new AuthParam();
}
}
j 當然,使用參數解析器也需要單獨配置,我們同樣在 WebMvcConfigurerAdapter 内配置:
@Configuration
public class MvcConfiguration extends WebMvcConfigurerAdapter {
@Override
public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
argumentResolvers.add(new AuthParamResolver());
}
} 這次實作完了,我還有些不放心,于是在網上查找是否還有其他方式可以實作此功能,發現常見的還有 Filter。
五、Filter
Filter 并不是 Spring 提供的,它是在 Servlet 規範中定義的,是 Servlet 容器支援的。被 Filter 過濾的請求,不會派發到 Spring 容器中。它的實作也比較簡單,實作 javax.servlet.Filter 接口即可。
由于不在 Spring 容器中,Filter 擷取不到 Spring 容器的資源,隻能使用原生 Java 的 ServletRequest 和 ServletResponse 來擷取請求參數。
另外,在一個 Filter 中要顯示調用 FilterChain 的 doFilter 方法,不然認為請求被攔截。實作類似:
public class WhitelistFilter implements javax.servlet.Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
// 初始化後被調用一次
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
// 判斷是否需要攔截
chain.doFilter(request, response); // 請求通過要顯示調用
}
@Override
public void destroy() {
// 被銷毀時調用一次
}
} Filter 也需要顯示配置:
@Configuration
public class FilterConfiguration {
@Bean
public FilterRegistrationBean someFilterRegistration() {
FilterRegistrationBean registration = new FilterRegistrationBean();
registration.setFilter(new WhitelistFilter());
registration.addUrlPatterns("/*");
registration.setName("whitelistFilter");
registration.setOrder(1); // 設定過濾器被調用的順序
return registration;
}
} 六、總結
四種實作方式都有其适合的場景,那麼它們之間的調用順序如何呢?
Filter 是 Servlet 實作的,自然是最先被調用,後續被調用的是 Interceptor 被攔截了自然不需要後續再進行處理,然後是 參數解析器,最後才是切面的切點。
點選關注,第一時間了解華為雲新鮮技術~
![Spring攔截器的實作以及通過注解實作攔截[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)