SpringBoot自定义注解实现MVC层拦截验证

最新推荐文章于 2025-02-15 17:50:26 发布
最新推荐文章于 2025-02-15 17:50:26 发布
阅读量501 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: SpringBoot 文章标签: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_38611497/article/details/116066585
本文介绍了如何使用Spring MVC的HandlerInterceptor接口实现两种拦截器:AdvertiserAuthInterceptor和AuthInterceptor,用于处理不同的权限验证。这两个拦截器分别针对@AdvertiserAuthRequired和@AuthRequired注解的方法进行拦截,进行用户身份验证、权限检查和响应处理。在实际应用中,拦截器在控制器执行前后进行预处理和后处理操作,确保请求的安全性和合规性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

HandlerInterceptor 拦截器有三个方法:preHandle、postHandle、afterCompletion。
package org.springframework.web.servlet;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.servlet.ModelAndView;

public interface HandlerInterceptor {
    boolean preHandle(HttpServletRequest var1, HttpServletResponse var2, Object var3) throws Exception;

    void postHandle(HttpServletRequest var1, HttpServletResponse var2, Object var3, ModelAndView var4) throws Exception;

    void afterCompletion(HttpServletRequest var1, HttpServletResponse var2, Object var3, Exception var4) throws Exception;
}
  1. preHandle:处理器的预处理,返回true表示流程继续,或者返回结果或者移交给下一个拦截器;返回false表示不会继续处理(流程中断),而是直接response。不会继续调用postHandle和afterCompletion方法。
  2. postHandle:后处理回调方法,发生在视图渲染之前。参数ModelAndView可以为空,不为空时会对数据进行处理或者视图渲染。
  3. afterCompletion:整个请求处理完毕回调方法,即在视图渲染完毕时回调。
HandlerInterceptor实现类的执行过程

preHandler() -> Controller -> postHandler() -> model渲染-> afterCompletion()

实战

AdvertiserAuthInterceptor 拦截器,拦截注解@AdvertiserAuthRequired

@Slf4j
@Component
public class AdvertiserAuthInterceptor implements HandlerInterceptor
{
    @Resource
    private TokenService tokenService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        boolean assignableFrom = handler.getClass().isAssignableFrom(HandlerMethod.class);
        log.debug("apply auth interceptor in method", handler.getClass().toString());
        if (assignableFrom) {
            AdvertiserAuthRequired auth = ((HandlerMethod) handler).getMethodAnnotation(AdvertiserAuthRequired.class);
            if (auth == null) {
                log.info("The method is not intercepted by AdvertiserRequired");
                return true;
            } else {
                try {
                    String method = request.getMethod();
                    String channel = "";
                    String advertiserId = "";
                    if (method.equals(HttpMethod.GET.toString()))
                    {
                        channel =  request.getParameter("channel");
                        advertiserId = request.getParameter("advertiser_id");
                    }
                    else if (method.equals(HttpMethod.POST.toString()) || method.equals(HttpMethod.PUT.toString()))
                    {
                        BodyCachingRequestWrapper wrapper = (BodyCachingRequestWrapper) request;
                        String body = wrapper.getBody();
                        JsonElement element = JsonParser.parseString(body);
                        JsonObject object = element.getAsJsonObject();
                        channel = object.get("channel").getAsString();
                        advertiserId = object.get("advertiser_id").getAsString();
                    }

                    if (!StringUtils.hasLength(advertiserId) || !StringUtils.hasLength(channel))
                    {
                        log.info("Required advertiser_id and channel missing");
                        EbAuthUtil.setFailResponse(response, EbErrorCode.AD_INPUT_MISSING);
                        return false;
                    }

                    EbUser subject = EbAuthUtil.getSubject(request);
                    String accessToken = tokenService.retrieveAccessToken(subject, advertiserId, AdChannel.valueOf(channel));
                    return EbAuthUtil.setRequestHeader(request, response, EbConstants.EB_AK, accessToken);
                }
                catch (EbException ex)
                {
                    log.info("Couldn't find advertiserId and channel info in request body");

                    return EbAuthUtil.setFailResponse(response, ex.getErrorCode(), ex.getMsg(), ex.getDetail());
                }
                catch (RuntimeException ex)
                {
                    log.info("Failed to retrieve active accessToken");
                    return EbAuthUtil.setFailResponse(response, EbErrorCode.UNKNOWN_ERROR.getErrorCode(), EbErrorCode.UNKNOWN_ERROR.getErrorMsg(),
                            ex.getMessage());
                }
            }
        }
        return true;
    }
}

注解@AdvertiserAuthRequired

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AdvertiserAuthRequired
{
}

AuthInterceptor拦截@AuthRequired

@Component
@Slf4j
public class AuthInterceptor implements HandlerInterceptor
{
    public static String API_KEY;

    public static byte[] API_KEY_SECURE_BYTES;

    private final String AUTH_HEADER = "Authorization";

    private final String TOKEN_PREFIX = "Bearer";

    @Value("${jwt.key}")
    public void setApiKey(String key)
    {
        API_KEY = key;
        API_KEY_SECURE_BYTES = Base64.getUrlEncoder().encode(API_KEY.getBytes());
    }

    private Gson gson = new GsonBuilder().create();

    @Resource
    private EbUserMapper userMapper;

    @Resource
    private EbTeamMapper teamMapper;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
    {
        boolean assignableFrom = handler.getClass().isAssignableFrom(HandlerMethod.class);
        log.debug("apply auth interceptor in method", handler.getClass().toString());
        if (assignableFrom)
        {
            AuthRequired auth = ((HandlerMethod) handler).getMethodAnnotation(AuthRequired.class);
            if (auth == null)
            {
                log.info("The method is not intercepted by AuthRequired");
                return true;
            }
            else
            {
                String jwtToken = request.getHeader(AUTH_HEADER);
                if (!StringUtils.hasLength(jwtToken) || !jwtToken.startsWith(TOKEN_PREFIX))
                {
                    log.info("The request doesn't include Bearer token");
                    return EbAuthUtil.setFailResponse(response, EbErrorCode.JWT_TOKEN_INVALID);
                }
                try
                {
                    jwtToken = jwtToken.substring(TOKEN_PREFIX.length() + 1);
                    String email = SecurityUtil.parseJwt(jwtToken);
                    //获取用户信息
                    LambdaQueryWrapper<EbUser> queryWrapper = new LambdaQueryWrapper<>();
                    EbUser ebUser = userMapper.selectOne(queryWrapper.eq(EbUser::getEmail, email));
                    if (ebUser == null || ebUser.isDeleted())
                    {
                        log.info("User with email {} already been deleted or not existed", email);
                        return EbAuthUtil.setFailResponse(response, EbErrorCode.USER_NOT_EXIST);
                    }
                    if (ebUser.getEbRole().role != EbRole.COMPANY_ADMIN.role) {
                        EbTeam team = teamMapper.selectById(ebUser.getTeamId());
                        if (team == null || team.getTeamStatus().getValue() == EbStatus.UNABLE.status)
                        {
                            log.info("Team {} is disabled now, no permission", email);
                            return EbAuthUtil.setFailResponse(response,  EbErrorCode.TEAM_DISABLED);
                        }
                    }
                    if (ebUser.getUserStatus().getValue() == EbStatus.UNABLE.status)
                    {
                        log.info("User {} is disabled now, no permission", email);
                        return EbAuthUtil.setFailResponse(response,  EbErrorCode.USER_DISABLED);

                    }
                    String requesterStr = gson.toJson(ebUser);
                    if (EbRole.TEAM_LEADER.equals(auth.roleRequired()))
                    {
                        if (ebUser.getEbRole().role == EbRole.NORMAL_USER.role)
                        {
                            return EbAuthUtil.setFailResponse(response, EbErrorCode.USER_AUTHORIZATION_ERROR);
                        }
                    }
                    else if (EbRole.COMPANY_ADMIN.equals(auth.roleRequired()))
                    {
                        if (ebUser.getEbRole().role != EbRole.COMPANY_ADMIN.role)
                        {
                            return EbAuthUtil.setFailResponse(response, EbErrorCode.USER_AUTHORIZATION_ERROR);
                        }
                    }

                    return EbAuthUtil.setRequestHeader(request, response, EbConstants.EB_REQUESTER, requesterStr);
                }
                catch (ExpiredJwtException ex)
                {
                    log.info("Jwt token expired {}", jwtToken);
                    return EbAuthUtil.setFailResponse(response, EbErrorCode.JWT_TOKEN_EXPIRE);
                }
                catch (RuntimeException ex)
                {
                    log.info("Jwt token is invalid {}", jwtToken);
                    return EbAuthUtil.setFailResponse(response, EbErrorCode.JWT_TOKEN_INVALID);
                }
            }
        }
        return true;
    }
}

注解@AuthRequired

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AuthRequired
{
    String permRequired() default "";

    EbRole roleRequired() default EbRole.NORMAL_USER;
}

配置类

@Configuration
public class WebInterceptorConfig extends WebMvcConfigurationSupport
{
    @Resource
    private AuthInterceptor authInterceptor;

    @Resource
    private AdvertiserAuthInterceptor advertiserAuthInterceptor;

    protected void addInterceptors(InterceptorRegistry registry)
    {
        registry.addInterceptor(authInterceptor).addPathPatterns("/ebcc/**");
        registry.addInterceptor(authInterceptor).addPathPatterns("/ebuc/**");
        registry.addInterceptor(authInterceptor).addPathPatterns("/msg-center/**");
        registry.addInterceptor(authInterceptor).addPathPatterns("/ebad/**");

        registry.addInterceptor(advertiserAuthInterceptor).addPathPatterns("/ebad/**");
    }

    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {

        registry.addResourceHandler("swagger-ui.html").addResourceLocations(
                "classpath:/META-INF/resources/");
        registry.addResourceHandler("/webjars/**")
                .addResourceLocations("classpath:/META-INF/resources/webjars/");
        super.addResourceHandlers(registry);
    }
SpringBoot学习之自定义注解和AOP切面统一保存操作日志(二十九)
徐泗空的博客
03-08 374
这个注解是用来控制是否需要保存操作日志的自定义注解(这个类似标记或者开关)
SpringMVC拦截器与异常处理器(含注解配置SpringMVC
跟小白一起学编程!
01-22 892
1、拦截器 2、异常处理器 3、注解配置SpringMVC
SpringMVC中使用Interceptor拦截
Fred Lee的程序人生
02-11 980
SpringMVC 中的Interceptor 拦截器也是相当重要和相当有用的,它的主要作用是拦截用户的请求并进行相应的处理。比如通过它来进行权限验证,或者是来判断用户是否登陆,或者是像12306 那样子判断当前时间是否是购票时间。      一、定义Interceptor实现类      SpringMVC 中的Interceptor 拦截请求是通过HandlerInterceptor
Springboot通过注解控制登陆拦截
SurpriseSui的博客
07-01 353
完整代码链接:https://gitee.com/suimenghao/auth-client.git 这次搭建项目自己实现总结一个比较简单对登陆拦截 代码中通过自定义注解: 默认所有都是true,true的话就会被拦截,需要校验验证 如果controller或单个接口不想被拦截就在头部加入 @Auth(mustAuthentication = false) ...
详述 Spring MVC 框架中拦截Interceptor 的使用方法
majiawenzzz的博客
07-28 337
详述 Spring MVC 框架中拦截Interceptor 的使用方法 1 前言   昨天新接了一个需要,“拦截 XXX,然后 OOO”,好吧,说白了就是要用拦截器干点事(实现一个具体的功能)。之前,也在网络上搜了很多关于Interceptor的文章,但感觉内容都大同小异,而且知识点零零散散,不太方便阅读。因此,正好借此机会,整理一篇关于拦截器的文章,在此分享给大家,以供大家参考阅读。 ...
Java自定义注解springMVC拦截器 配合使用记录系统操作日志的案例
_予兮
05-26 6646
自定义注解的用法, 好多人不知道, 在这里, 代码的注释中, 我已经详细的介绍了, 另外就是很多人不知道自定义注解如何使用, 这里配合springMVC拦截器, 做一个非常实用的案例. 案例: 记录系统操作的日志 首先是定义注解: package cn.wxy.ssm.myAnnotation; import java.lang.annotation.Documented; impo
springboot工程自定义response注解自定义规范化返回数据结构
09-02
自定义注解实现需要定义注解类,比如: ```java @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface CustomResponse { int code() default 200; String message() default "...
springboot-自定义注解
最新发布
web13688565871的博客
02-15 668
第一步:定义注解第二步:配置注解第三步:解析注解int age();String sex() default "女";注意:自定义注解要用【@interface】在自定义注解中,其实现部分只能定义注解类型元素!说明:a.访问修饰符必须为public,不写默认为public;b.该元素的类型只能是基本数据类型、String、Class、枚举类型、注解类型以及一维数组;c.该元素的名称一般定义为名词,如果注解中只有一个元素,名字起为value最好;
java配置拦截器代码_SpringMvc自定义拦截器(注解)代码实例
weixin_35828357的博客
02-26 182
拦截自定义拦截实现HandlerInterceptor接口的三个方法。public class MyInterceptor implements HandlerInterceptor{@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler...
关于springMVC中的使用拦截interceptor问题
北北的博客
02-07 2569
springmvc中的拦截interceptor的使用 最近在搭建一个前后端分离的后端ssm框架,想要实现一个接口加签验签过程,需要用到spring的拦截器来对请求进行验签处理。所以查找了些资料,总结了下spring中的拦截intercept。 概述 springMVC中的拦截器是相当有用的,能够在用户进行请求后,进入具体的业务代码controller方法之前,进行相关操作,例如接口
SpringMVC拦截器和自定义注解
weixin_30621919的博客
01-24 155
一、拦截器   1、拦截所有URL <mvc:interceptors> <bean class="myInterceptor.MyInterceptor" /> </mvc:interceptors>   2、拦截匹配的URL <mvc:interceptors> <mvc:...
springmvc学习笔记--Interceptor机制和实践
weixin_33670786的博客
12-25 163
前言:   Spring的AOP理念, 以及j2ee中责任链(过滤器链)的设计模式, 确实深入人心, 处处可以看到它的身影. 这次借项目空闲, 来总结一下SpringMVCInterceptor机制, 并以用户登陆和日志记录作为案例, 以做实践. 原理及类图:  拦截器的使用, 其实非常的广泛, 尤其对通用普适的功能调用, 提取到拦截实现.  常见的拦截器有如下几种: 用户登陆/日...
Spring MVC 入门指南(四):ModelAndView简单使用
有天你会让我妒忌的
04-18 3721
ModelAndView类别就如其名称所示,是代表了MVC Web程序中Model与View的对象,不过它只是方便您一次返回这两个对象的holder,Model与View两者仍是分离的概念。 实例:ModelAndViewTest.javapackage com.ray; import org.springframework.stereotype.Controller; import org.s...
踩坑记录HttpSevletRequest Body信息不能被多次读取
tao441033618的博客
04-12 1731
如果需要实现一个业务拦截器需要拦截request的所有传入信息。通常情况下,HttpServletRequst中的body内容只会读取一次,但是可能某些情境下可能会读取多次,由于body内容是以流的形式存在,所以第一次读取完成后,第二次就无法读取了,一个典型的场景就是Filter 在校验完成body的内容后,业务方法就无法继续读取流了,导致解析报错。我们是否可以用装饰器来修饰一下 request,使其可以包装读取的内容,供多次读取。后续的request就可以使用封装器多次读取body信息。
java实现用户登录_Spring Boot 集成 JWT 实现用户登录认证
weixin_39732825的博客
11-24 1443
JWT 简介什么是 JWTJWT 是 JSON Web Token 的缩写,是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519)。定义了一种简洁的,自包含的方法用于通信双方之间以 JSON 对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT 可以使用 HMAC 算法或者是 RSA 的公私秘钥对进行签名。JWT请求流程JWT 请求流...
Django用户认证系统 authentication system----登陆访问限制@login_required
shanzhizi的专栏
01-19 2962
在网站开发过程中,经常会遇到这样的需求: 用户登陆系统才可以访问某些页面 如果用户没有登陆而直接访问就会跳转到登陆界面, 用户在跳转的登陆界面中完成登陆后,自动访问跳转到之前访问的地址 要实现这样的需求其实很简单:就是使用@login_required标签。在想相应的view方法的前面添加@login_required标签,并在settings.py中配置L
ContentCachingRequestWrapper个人理解
热门推荐
zhangustb
04-30 1万+
ContentCachingRequestWrapper个人理解,如有理解错误的地方,欢迎指正 参考这篇博客 https://blog.youkuaiyun.com/f641385712/article/details/87814153 背景:request.getInputStream()获取请求body里面的内容只能被获取一次,ContentCachingRequestWrapper通过这个类能够解...
自定义注解
m0_59860403的博客
01-21 748
拦截器,自定义注解
SpringBoot自定义拦截器的实现方法及源代码解析
资源摘要信息: "SpringBoot 自定义拦截器的源代码" 知识点一:自定义拦截器...以上是关于SpringBoot自定义拦截器的源代码相关知识点的详细说明,涵盖了拦截器的概念、实现、应用场景以及与SpringMVC的关联等多个方面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值