SpringBoot工具篇--使用拦截器鉴权

最新推荐文章于 2025-04-17 14:23:18 发布
最新推荐文章于 2025-04-17 14:23:18 发布
阅读量1.6k 收藏 6
点赞数
分类专栏: java基础篇 java工具篇 # spring-boot 文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/l123lgx/article/details/128300777
版权

前言:本文使用了nacos 作为配置中心,在springboot 项目中 通过实现 HandlerInterceptor 接口实现对用户登录的鉴权判断;具体鉴权逻辑实现由自己本身业务实现;

1 使用:
1.1 新建拦截器类并且实现 HandlerInterceptor 接口

import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Slf4j
public class AuthorizationInterceptor implements HandlerInterceptor {
	// 注入redis(注意这个注入自己项目封装的redis bean)
    @Autowired
    private RedisUtil redisUtil;
	// nacos 配置中心配置是否开启token 校验(配置自己配置中心里的是否开启验证)
    @Value(value = "${token.enable:false}")
    private Boolean tokenEnable;
    // nacos 配置中心配置是否开启token 校验(配置自己配置中心里的是否开启验证)
    @Value(value = "${token.skip-urls-pattern:/noToken}")
    private String skipUrlsPattern;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // not token
        String uri = request.getRequestURI();
        if (!tokenEnable || uri.contains(skipUrlsPattern)){
          	// 没有开启校验,或者访问url 是免校验的直接放行
            return true;
        }
        // 设置response 的返回数据为json 数据编码为utf-8
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        // 本身鉴权逻辑实现 开始验证,验证不通过这里直接抛出异常
        // validate openId 
        if (noOpenForUser(request)){
        	// 自定义异常
            throw new BizException(BizErrorEnum.NOOPENID);
        }
        // validate phone 这里验证使用某些注解标识的 特殊方法,本项目中校验用户是否
        // 授权过手机号
        if (validatePhoneAndAddUser(request,handler)){
            // 自定义异常
            throw new BizException(BizErrorEnum.NOAUTHOPHONE);
        }
        // 验证通过放行
        return true;
    }

    /**
     * 用户手机号
     * @param request
     * @param handler
     * @return
     */
    private boolean validatePhoneAndAddUser(HttpServletRequest request,Object handler) {
    	// 访问的方法是否被自定义(NeedUserPhoneAnnotation )注解 修饰
        NeedUserPhoneAnnotation annotation = verifyAnnotation(handler);
        if(null == annotation){
            return false;
        }
        // get user phone 如果修饰说明需要特殊校验,本文的实现方式为:
        // 用户在授权手机号后将此用户的唯一key 和手机号放入redis 的map 集合中
        // 如果用户授权了手机号则直接放行,否则不予通过
        String authorization = request.getHeader(UserConstant.mAuthorization);
        if (redisUtil.hExists(UserConstant.wxSqPhone, authorization)){
            return false;
        }
        return true;
    }

    /**
     * 注解获取-- 验证详情页等需要授权手机号访问
     * @param handler
     * @return
     */
    private NeedUserPhoneAnnotation verifyAnnotation(Object handler) {
        NeedUserPhoneAnnotation permit= null;
        if (handler instanceof HandlerMethod){
            permit = ((HandlerMethod) handler).getMethod().getAnnotation(NeedUserPhoneAnnotation.class);
            // if(permit == null){
            //     permit = ((HandlerMethod) handler).getBeanType().getAnnotation(NeedUserPhoneAnnotation.class);
            // }
        }
        return permit;
    }

    /**
     * 用户是否已经进行登录 -- 是否用用openid
     * 配合业务登录使用,本项目实现方式为,用户完成登录后,返回前端用户登录token
     * 前端在访问后端接口时,将此token 令牌放入到请求头的header 进行访问
     * @param request
     * @return
     */
    private boolean noOpenForUser(HttpServletRequest request) {
        String authorization = request.getHeader(UserConstant.mAuthorization);
        if (StringUtils.isEmpty(authorization)){
            return true;
        }
        if (!redisUtil.hExists(UserConstant.wxLogin, authorization)){
            return true;
        }
        return false;
    }
}

1.2 新建类实现WebMvcConfigurer 将拦截器注入到spring 中

@Configuration
public class WebMvcConfiguration implements WebMvcConfigurer {
    @Value("${token.skip-urls-pattern:abcdefg}")
    private String skipUrlsPattern;
     @Override
    public void addInterceptors(InterceptorRegistry registry) {
        List<String> excludePaths = StringUtils.isEmpty(this.skipUrlsPattern) ?
                Collections.emptyList() : Splitter.on(",").splitToList(this.skipUrlsPattern);
        registry.addInterceptor(authorizationInterceptor())
                .excludePathPatterns(excludePaths);
    }
	//  注入的条件开启token 校验
    @Bean
    @ConditionalOnProperty(value = "token.enable", havingValue = "true", matchIfMissing = true)
    public AuthorizationInterceptor authorizationInterceptor() {
        return new AuthorizationInterceptor();
    }
}

2 过程:
2.1 HandlerInterceptor:

default boolean preHandle(HttpServletRequest request, HttpServletResponse response, 
Object handler)throws Exception {
	return true;
}
default void postHandle(HttpServletRequest request, HttpServletResponse response, 
Object handler,@Nullable ModelAndView modelAndView) throws Exception {
}
default void afterCompletion(HttpServletRequest request, HttpServletResponse response, 
Object handler,@Nullable Exception ex) throws Exception {
}

拦截器基于AOP 实现 HandlerInterceptor 中存在请求进入方法前和进入方法后的方法,只要实现改类并且覆盖掉对应的方法即可;

2.2 AuthorizationInterceptor 实现 HandlerInterceptor 并且覆盖对应的方法:

@Slf4j
public class AuthorizationInterceptor implements HandlerInterceptor {
  @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
     Object handler) throws Exception {
     	// do something
     }
}

2.3 将我们定义的拦截器注入到spring 中:

@Configuration
public class WebMvcConfiguration implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
 		 registry.addInterceptor(new AuthorizationInterceptor())
	}
}
Springboot+mybatis-plus+JWT+Shiro+Redis无状态授登录
PJC的博客
09-28 1377
搭建Springboot环境 ・ Springboot 2.2.6 ・ pom依赖 <dependencies> <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter</artifactId> <version>3.2.1</version
SpringBoot+flowable-ui集成实战
ooaash的博客
10-12 9035
前言 公司最近想要使用flowable作为我们工作流引擎,主要用于各类流程审批上。在网上搜索到了很多有参考意义的文章,但有些实现细节还需要自己去摸索。本文的实战包括: 在项目中引入flowable的包可以使用flowable的api; 将flowable-ui集成到自己项目里; 如何使用flowable-ui创建的流程模型(我们用的是bpmn模型,所以后面的提到的流程都是指bpmn); 集成公司的用户认证体系; 自动分配 flowable集成 flowable的集成有两部分:flowable-api与f
springboot拦截器实现拦截器 限校验,登录demo
11-14
不知道为啥不能设置0。这个是demo,有时间博主吧git整理下 链接发出来
Spring Boot3 + OAuth2
最新发布
weixin_73285275的博客
04-17 531
因为最近需要用到用户,随机想到使用基于 RBAC 模型,使用 Spring Security + OAuth2 来实现。关于 RBAC、Spring Security 等我就不进行介绍了,因为网上资料很多。为什么要写这一呢,这要是因为我觉得关于这个的资料比较少,大多都是旧版本的,我又不想降 Spring Boot 的版本,还是比较难受的,终于弄好了,就想着记录一下。话不多说,正片开始。这里我是在微服务中搭建的。
springboot使用拦截器进行操作
m0_65206614的博客
10-21 401
【代码】在springboot使用拦截器进行操作。
springboot拦截器
weixin_38977651的博客
05-29 539
实现处理器预处理,请求会先到这里,当这个方法返回值是true的时候表示处理器可以正常往下执行,返回false,则不会继续执行处理器的代码,一般用来身份验证和。在springboot中可以通过实现HandlerInterceptor接口实现拦截器,这里主要介绍通过预处理做身份的方法。拦截器:作用类似于Servlet中的Filter,用于对处理器进行预处理和后处理。在视图渲染完毕时候调用,一般用来进行统一的异常处理,日志处理。是后处理回调方法,也就是控制器完成后执行。
Spring拦截器实现
qq_32473523的博客
06-27 2195
拦截器(Interceptor)类似于Servlet中的过滤器,主要用于拦截用户请求并做出相应的处理,例如拦截器可以进行限验证、记录请求信息的日志、判断用户是否登录等。拦截器允许自定义预处理(Pre-Processing),在其中可以选择禁止对应Handler 的执行;也允许自定义后处理(Post-Precessing);。
springboot请求执行监控拦截器拦截器
文盲青年的博客
03-19 472
public class RestInterceptor extends HandlerInterceptorAdapter { private static final Logger logger = LoggerFactory.getLogger(HandlerInterceptorAdapter.class); private static ThreadLocal<Long> threadLocal = new ThreadLocal<>(); @
基于 springboot、ant-design-vue 的开源框架+源代码+文档说明
11-29
前端axios请求拦截器自动把令牌放入head,axios响应拦截器中检查有`newToken`标记,有就更新保存的令牌。后端shiro拦截需要限的接口,每次都拿到JWT进行认证。采用CAS机制+刚过期令牌续期30秒,实现用户无感知刷新...
SpringBoot 项目的 4 种方式
weixin_70730532的博客
07-27 438
最近一直被无尽的业务需求淹没,没时间喘息,终于接到一个能让我突破代码舒适区的活儿,解决它的过程非常曲折,一度让我怀疑人生,不过收获也很大,代码方面不明显,但感觉自己抹掉了java、Tomcat、Spring一直挡在我眼前的一层纱。对它们的理解上了一个新的层次。好久没输出了,于是挑一个方面总结一下,希望在梳理过程中再了解一些其他的东西。由于Java繁荣的生态,下面每一个模块都有大量的文章专门讲述。所以我选了另外一个角度,从实际问题出发,将这些分散的知识串联起来,各位可以作为一个综述来看。通用。...
SpringBoot---登录校验
m0_62486174的博客
08-05 1831
● 该浏览器在后续的请求中,每一次请求都会将该令牌携带到服务端,然后接下来在服务端,我们可以通过Filter或Interceptor对所有的请求进行拦截,然后进行校验,获取到请求中携带过来的令牌,进行判断,如果令牌正确合法,则放行,如果令牌不合法,则直接返回错误信息给前端,前端跳转到登录页面。如果查询到的用户不存在,则说明用户输入的用户名和密码错误。中的信息,如果有登录成功的信息,就说明用户登录成功,放行请求,如果发现登录标记中没有登录成功的标记,则给前端返回错误信息,跳转至登录页面。
Spring boot拦截器的实现
xinzi11243094的博客
06-28 555
场景:由于用Spring boot编写了关于Ranger策略以及Hive脱敏相关的接口,并以http方式向外部提供。为了防止请求被非法模仿,因而编写了一个访问Ip 类,也就是设置了访问ip白名单,只有在白名单上的ip才可以访问接口。Spring boot自带HandlerInterceptor,可通过继承它来实现拦截功能,其的功能跟过滤器类似,但是提供更精细的的控制能力:在request被响应...
使用 spring 拦截器和自定义注解进行接口、登录校验
DONGHONGBAI的专栏
03-01 3279
项目中涉及到接口和登录超时判断等校验,所以研究下强大spring拦截器功能,如下转载、学习几不错博文,在此先谢过原作者的分享。 https://www.jianshu.com/p/97362fdf039e http://www.scienjus.com/restful-token-authorization/ 一、写注解 编写一个自定义注解:用于需要或者登录校验功能的接口(方法上) ...
JWT拦截器
taiguolaotu的博客
12-15 1055
SpringBoot使用拦截器(Interceptor)实现用户登录校验
热门推荐
pan_junbiao的博客
10-11 1万+
在系统中,经常需要在处理用户请求之前和之后执行一些行为,例如检测用户的限,或者将请求的信息记录到日志中。当然不仅仅这些,所以需要一种机制,拦截用户的请求,在请求的前后添加处理逻辑。SpringBoot 提供了 Interceptor 拦截器机制,用于请求的预处理和后处理。在 SpringBoot 中定义一个拦截器有两种方法:第一种是实现 HandlerInterceptor 接口,或者继承实现了 HandlerInterceptor 接口的类(例如:HandlerInterceptorAdapter)。
Spring 拦截器——HandlerInterceptor
东方一号蓝的博客
09-23 680
介绍Spring拦截器——HandlerInterceptor的简单使用。采用注解的方式。
SpringBoot之接口
这里没有简介
02-01 3235
HandlerInterceptorAdapter抽象类进行接口。有的时候,我们要对接口进行管理,避免敏感信息,然后就有了如下案例。处理类(这里仅仅是判定UA长度进行判定,请自行替换)若接口不满意还可以选择如下接口。
Spring Boot拦截器
乐只悠悠
10-11 480
spring boot拦截器
springboot token
01-14
### Spring Boot 中实现 Token 的最佳实践 #### 1. 添加依赖项 为了在 Spring Boot 应用程序中使用 JWT 进行身份验证,需引入必要的库。通常情况下会添加 `spring-boot-starter-security` 和用于创建和解析 JWT 的库。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- Java Web Token (JWT) --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <scope>runtime</scope> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred --> <scope>runtime</scope> <version>0.11.2</version> </dependency> ``` 这些 Maven 依赖项提供了安全性和 JWT 处理功能[^1]。 #### 2. 创建 Token 工具类 定义一个工具类来负责生成和解码 JSON Web Tokens(JWT)。此类应包含方法以设置过期时间、签名算法以及从令牌中提取声明的能力。 ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; public class JwtUtil { private String secret = "yourSecretKey"; // 密钥 public String generateToken(String username){ return Jwts.builder() .setSubject(username) .signWith(SignatureAlgorithm.HS256, secret.getBytes()) .compact(); } public Claims extractAllClaims(String token){ return Jwts.parser().setSigningKey(secret.getBytes()).parseClaimsJws(token).getBody(); } } ``` 此代码片段展示了如何构建简单的 JWT 实用程序类[^2]。 #### 3. 设置过滤器或拦截器 通过自定义 Filter 或 Interceptor 来保护 API 路径并强制执行基于角色的安全策略。当接收到带有 Bearer Token 的 HTTP 请求时,该组件将尝试对其进行验证,并根据其有效性决定是否允许访问受保护资源。 ```java @Component public class JwtRequestFilter extends OncePerRequestFilter { @Autowired private JwtUtil jwtUtil; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)throws ServletException, IOException{ final String authorizationHeader = request.getHeader("Authorization"); String username = null; String jwt = null; if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) { jwt = authorizationHeader.substring(7); try { username = jwtUtil.extractAllClaims(jwt).getSubject(); } catch (Exception e) { /* Handle exceptions */ } if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = this.userDetailsService.loadUserByUsername(username); if (jwtUtil.validateToken(jwt, userDetails)) { UsernamePasswordAuthenticationToken authToken = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); authToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authToken); } } } chain.doFilter(request,response); } } ``` 这段逻辑实现了对传入请求的身份验证过程[^4]。 #### 4. 登录接口 提供 RESTful 接口供客户端应用程序调用来交换用户名密码组合换取有效的 JWT 。成功认证后返回新生成的令牌给前端应用保存以便后续请求携带。 ```java @RestController @RequestMapping("/api/auth") public class AuthController { @PostMapping("/login") public ResponseEntity<?> createAuthToken(@RequestBody LoginRequest loginRequest) throws Exception { Authentication authentication = authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())); SecurityContextHolder.getContext().setAuthentication(authentication); String jwt = jwtUtils.generateJwtToken((UserDetailsImpl)authentication.getPrincipal()); return ResponseEntity.ok(new JwtResponse(jwt)); } } ``` 上述示例说明了如何编写控制器处理登录操作并响应包含 JWT 的结果对象[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值