我们在使用Spring MVC开发API的时候,总会遇到这样的情况,就是一些API需要登录权限才能访问,而且有些API是无需登录权限,希望能够以更加简单的方式管理这种差异,如果已经登录的信息也希望可以快速获取登录的信息。
通过Spring MVC的拦截器和注解就可以很好实现,下面就是我们希望的效果,调用/login/phone接口,无需登录,调用/profile/show,就必须登录,是否在上一层就报错,而且loginUserToken会填充登录信息。
@RequireLogin(false)
@RequestMapping(value = "/login/phone")
fun loginPhone(phone: String, code: String): UserAccessToken {
}
@RequireLogin(true)
@RequestMapping(value = "/profile/show")
fun profileShow(@AutowiredLogin loginUserToken: UserAccessToken): User {
}
实现代码
创建注解类
@Target(AnnotationTarget.VALUE_PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
annotation class AutowiredLogin ()
下面的代码是用于判断请求方法的参数,是否是带有AutowiredLogin注解,如果带有就返回session保存的UserAccessToken。
class LoginUserTokenArgumentResolver : HandlerMethodArgumentResolver {
/**
* 检查解析器是否支持解析该参数
*/
override fun supportsParameter(parameter: MethodParameter): Boolean {
return parameter.getParameterAnnotation(AutowiredLogin::class.java) != null && parameter.parameterType == UserAccessToken::class.java
}
@Throws(Exception::class)
override fun resolveArgument(parameter: MethodParameter, mavContainer: ModelAndViewContainer?, webRequest: NativeWebRequest, binderFactory: WebDataBinderFactory?): Any? {
val request = webRequest.nativeRequest as HttpServletRequest
val loginUserAccessToken = request.session.getAttribute("loginUserAccessToken")
if (loginUserAccessToken != null && loginUserAccessToken is UserAccessToken) {
return loginUserAccessToken
}
return null
}
}
拦截器,用于获取请求带上的认证参数,我这里是基于 Authorization Basic Auth 实现,开发者可以根据自己的认证实现修改。
open class LoginInterceptor : HandlerInterceptorAdapter() {
@Autowired
lateinit var accountService: AccountService
override fun preHandle(request: HttpServletRequest, response: HttpServletResponse, handler: Any): Boolean {
if (handler is HandlerMethod) {
val url = request.requestURI
// 这里可以配置我们不需要拦截的路径
if (url.startsWith("boss") ||url.startsWith("druid") || url.startsWith("error")) {
return super.preHandle(request, response, handler)
}
val requireLogin = handler.getMethodAnnotation(RequireLogin::class.java)
if (requireLogin == null || requireLogin.value) {
val authorization = request.getHeader("Authorization")
if (authorization == null) {
// 直接抛出需要登录的异常信息
throw ExceptionHelper.credentialNotFoundException()
} else {
try {
val idAndToken = String(Base64.getDecoder().decode(authorization.substring(6)))
val tmp = idAndToken.split(":")
val uid = tmp[0]
val token = tmp[1]
val userAccessToken = accountService.verifyAccessToken(uid.toInt(), token)
request.session.setAttribute("loginUserAccessToken", userAccessToken)
} catch (e: Exception) {
e.printStackTrace()
throw ExceptionHelper.credentialException()
}
}
}
}
return super.preHandle(request, response, handler)
}
}
需要配置上面的拦截器到Spring MVC中,我的是Spring Boot的配置方式
@Configuration
open class MyMvcConfig : WebMvcConfigurerAdapter() {
/**
* 这个方法中 @Bean 是关键,不然LoginInterceptor依赖的Service层无法注入
*/
@Bean
open fun loginInterceptor(): LoginInterceptor {
return LoginInterceptor()
}
@Bean
open fun loginUserTokenArgumentResolver(): LoginUserTokenArgumentResolver {
return LoginUserTokenArgumentResolver()
}
override fun addInterceptors(registry: InterceptorRegistry) {
// 必须调用loginInterceptor()创建对象,不然LoginInterceptor依赖的Service层无法注入
registry.addInterceptor(loginInterceptor())
super.addInterceptors(registry)
}
override fun addArgumentResolvers(argumentResolvers: MutableList<HandlerMethodArgumentResolver>) {
super.addArgumentResolvers(argumentResolvers)
argumentResolvers.add(loginUserTokenArgumentResolver())
}
}
到了这里代码就完成了
