在Java后端如何添加攔截器

 

　　 在安全編碼規范中，在Java后端controller層接口需要對調用者的身份進行確認，以防非法用戶進行訪問。若是在controller層的每個接口處都添加邏輯判斷，那么代碼重復度高，並且費力費時。此時，就需要在請求到達controller層時提前截取數據流，對相關數據進行校驗。在這里將要提到的方式就是在后端添加http攔截器，這樣每一次的http請求都需要經過攔截器的認證后才可以繼續往下走。那么如何有效地添加攔截器呢？下面將會詳細給告訴你怎么添加。

　　（1）為了方便代碼管理，我們先創建一個文件夾，其名為interceptor，與controller文件夾處於同一級，該文件夾主要是用來存放攔截器相關的文件，如下圖所示：

　　

　　（2）在interceptor文件夾中創建以下幾個文件：InterceptorConfig.java、InterceptorPathPatterns.java和AuthorityIntercepor.java

　　

• InterceptorConfig.java文件：主要是用來配置攔截器的
• InterceptorPathPatterns.java文件：是一個攔截規則實體類
• AuthorityIntercepor.java文件：主要是攔截的具體實現

　　三個文件的大致內容具體如下： 

(1)InterceptorConfig.java文件內容如下：

import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.beans.factory.annotation.Autowired;
import java.util.List;
import java.util.concurrent.TimeUnit;

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

　　// 這里通過配置文件來配置攔截規則,后續會提供配置文件內容

　　@Autowired
　　private InterceptorPathPatterns interceptorPathPatterns;

　　@Override
　　public void addInterceptors(InterceptorRegistry registry) {

　　　　// addInterceptor 添加攔截器后默認會攔截所有的http請求
　　　　InterceptorRegistration interceptorRegistration = registry.addInterceptor(newAuthorityInterceptor());
　　　　List<String> includePathPatternsList = interceptorPathPatterns.getIncludePathPatternsList();
　　　　if (null == includePathPatternsList) {
　　　　interceptorRegistration.addPathPatterns("");
　　　　} else {
　　　　　　// addPathPatterns 用於添加攔截規則
　　　　　　interceptorRegistration.addPathPatterns(includePathPatternsList);
　　　　}
　　　　List<String> excludePathPatternsList = interceptorPathPatterns.getExcludePathPatternsList();
　　　　if (null == excludePathPatternsList) {
　　　　　　interceptorRegistration.excludePathPatterns("");
　　　　} else {
　　　　　　// excludePathPatterns 用於排除攔截規則
　　　　　　interceptorRegistration.excludePathPatterns(excludePathPatternsList);
　　　　}
　　}

　　public AuthorityIntercepor newAuthorityInterceptor() {
　　　　AuthorityInterceptor authorityInterceptor = new AuthorityInterceptor();
　　　　// 以下主要是用來設定token在緩存中的有效時長

       // 設定緩存過期時間
　　　　String expiredTime = 30;
　　　　// 設置緩存大小
　　　　Cache<String, T> cache = CacheBuilder.newBuilder()
　　　　　　　　　　　　　　　　　　　　　　.maximumSize(10000)
　　　　　　　　　　　　　　　　　　　　　　.expireAfterAccess(Integer.parseInt(expiredTime), TimeUnit.MINUTES)
　　　　　　　　　　　　　　　　　　　　　　.build();
　　　　authorityInterceptor.setCache(cache);
　　　　return authorityInterceptor;
　　}
}

 

(2)InterceptorPathPatterns.java文件內容如下：

import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;
import java.util.List;

@Component
@ConfigurationProperties(prefix = "interceptor")
public class InterceptorPathPatterns {
　　private List<String> includePathPatternsList;
　　private List<String> excludePathPatternsList;

　　public List<String> getIncludePathPatternsList() {
　　　　return includePathPatternsList;
　　}

　　public void setIncludePathPatternsList(List<String> includePathPatternsList) {
　　　　this.includePathPatternsList = includePathPatternsList;
　　}

　　public List<String> getExcludePathPatternsList() {
　　　　return excludePathPatternsList;
　　}

　　public void setExcludePathPatternsList(List<String> excludePathPatternsList) {
　　　　this.excludePathPatternsList = excludePathPatternsList;
　　}
}

 

(3)AuthorityInterceptor.java文件內容如下：

import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.util.StreamUtils;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import com.google.common.cache.Cache;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.OutputStream;
import java.nio.charset.Charset;
import java.util.concurrent.Callable;

public class AuthorityInterceptor extends HandlerInterceptorAdapter {

　　private Cache<String, T> cache = null;

　　public Cache<String, T> getCache () {
　　　　return cache;
　　}

　　public void setCache(Cache<String, T> cache) {
　　　　this.cache = cache;
　　}

　　public AuthorityInterceptor() {
　　　　super();
　　}

　　/**
　　* 返回false：從當前的攔截器往回執行所有攔截器的afterCompletion(),再退出攔截器鏈
　　* 返回true：執行下一個攔截器,直到所有的攔截器都執行完畢
　　*/
　　@Override
　　public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
　　　　OutputStream outputStream = null;
　　　　try {
　　　　　　String number = request.getHeader("X—Person-Number");
　　　　　　String token = request.getHeader("X-Person-Token");
　　　　　　if (StringUtils.isEmpty(number) || StringUtils.isEmpty(token)) {
　　　　　　　　this.setResponseMsg(outputStream, "認證失敗", response);
　　　　　　　　return false;
　　　　　　}

　　　　　　// 調用校驗方法校驗token
　　　　　　boolean bVerify = this.verifyToken(request);
　　　　　　if (bVerify) {
　　　　　　　　// 校驗通過
　　　　　　　　return true;
　　　　　　} else {
　　　　　　　　// 認證失敗
　　　　　　　　this.setResponseMsg(outputStream, "認證失敗", response);
　　　　　　　　return false;
　　　　　　}

　　　　} catch (Exception exception){
　　　　　　throw new Exception(); // 可以拋出指定的異常
　　　　} finally {
　　　　　　if (outputStream != null) {
　　　　　　　　outputStream.close();
　　　　　　　　outputStream = null;
　　　　　　}
　　　　}
　　}

　　@Override
　　public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modeAndView) throws Exception {

　　　　// 攔截器返回時的處理

　　}

 

　　@Override
　　public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception exception) throws Exception {

　　　　// 視圖渲染回調

　　}

　　private void setResponseMsg(OutputStream outputStream, String responseStr, HttpServletResponse response) throws IOException {
　　　　// 重新設置返回的消息類型和消息頭,SPRING mvc設置為JSON類型,
　　　　// 內容修改為加密字符串后,類型也要修改為text/html,防止angularjs自動根據類型轉換數據
　　　　response.setCharacterEncoding("UTF-8");
　　　　response.setContentType("application/json;charset=UTF-8");
　　　　// 將加密數據寫到原始的response對象中,返回客戶端
　　　　outputStream = response.getOutputStream();
　　　　StreamUtils.copy(responseStr, Charset.forName("utf-8"), outputStream);
　　}

　　private boolean verifyToken(HttpServletRequest request) throws Exception {
　　　　try {
　　　　　　// 根據具體的業務場景進行邏輯判斷設計

　　　　　　// 利用Cache的get方法進行判斷，先判斷緩存中是否有這個key，若是有的話，直接返回T類型對象結果。

　　　　   T obj = this.cache.get(key,

　　　　　　　　　　　　new Callable<T>() {

　　　　　　　　　　　　　　@Override

　　　　　　　　　　　　　　public T call() {

　　　　　　　　　　　　　　　　try {

　　　　　　　　　　　　　　　　　　// 具體的判斷處理邏輯

　　　　　　　　　　　　　　　　} catch(Exception exception) {

　　　　　　　　　　　　　　　　　　// 可以跑出指定的異常

　　　　　　　　　　　　　　　　}

　　　　　　　　　　　　　　}

　　　　　　　　　　　　)
　　　　} catch (Exception exception) {
　　　　　　throw new Exception(exception);
　　　　}
　　}
}

說明：在實際應用中需要用具體的類型取代 T 

(4)application.properties配置文件內容如下：

#需要攔截的路徑
interceptor.includePathPatternsList[1]=/**
#不需要攔截的路徑
interceptor.excludePathPatternsList[0]=/test/download/**

#說明：采用這樣的匹配方式是不會起作用的，例如：*.js，**.css等等

 

#注意：以上的攔截路徑都是服務上下文之后的路徑，比如說微服務名之后的路徑，包括微服務名后的反斜杠

#/*不會匹配末尾的反斜杠，/**會匹配末尾的反斜杠

#若想要完全匹配路徑的話，那必須要將路徑寫完整；模糊匹配的話就不需要了

　　小結：本文主要是講述了整體流程思路，也許你會問為何不將攔截規則寫在代碼中？而是采用配置文件的方式，這主要是為了后續的擴展，比如說暫時不用攔截某個路徑下的接口，此時只需要修改配置文件的排除攔截路徑就可以了，不用重新修改代碼、編譯代碼、構建版本。

       此外，由於產品之間會有各種服務，所以添加攔截器時最好在API接口層和BFF層都添加上；當然，建議每個產品都在API接口層添加攔截器進行身份驗證，這樣本產品通過自己的BFF層時調用其它產品的API接口時就沒有必要在BFF層再攔截和校驗了，不然對本產品來說就有些重復攔截和校驗了。

 

------20191223閃🚶