一、用户登录权限效验

⽤户登录权限的发展从之前每个⽅法中⾃⼰验证⽤户登录权限，到现在统⼀的⽤户登录验证处理，它是⼀个逐渐完善和逐渐优化的过程。

1.1 最初的用户登录验证

我们先来回顾⼀下最初⽤户登录验证的实现⽅法：

@RestController

@RequestMapping("/user")

public class UserController {

   /**

    * 某⽅法 1

    */

   @RequestMapping("/m1")

   public Object method(HttpServletRequest request) {

       // 有 session 就获取，没有不会创建

       HttpSession session = request.getSession(false);

       if (session != null && session.getAttribute("userinfo") != null) {

           // 说明已经登录，业务处理

           return true;

       } else {

           // 未登录

           return false;

       }

   }

   /**

    * 某⽅法 2

    */

   @RequestMapping("/m2")

   public Object method2(HttpServletRequest request) {

       // 有 session 就获取，没有不会创建

       HttpSession session = request.getSession(false);

       if (session != null && session.getAttribute("userinfo") != null) {

           // 说明已经登录，业务处理

           return true;

       } else {

           // 未登录

           return false;

       }

   }

   // 其他⽅法...

}

从上述代码可以看出，每个⽅法中都有相同的⽤户登录验证权限，它的缺点是：

每个⽅法中都要单独写⽤户登录验证的⽅法，即使封装成公共⽅法，也⼀样要传参调⽤和在⽅法中进⾏判断。

添加控制器越多，调⽤⽤户登录验证的⽅法也越多，这样就增加了后期的修改成本和维护成本。

这些⽤户登录验证的⽅法和接下来要实现的业务⼏何没有任何关联，但每个⽅法中都要写⼀遍。

所以提供⼀个公共的 AOP ⽅法来进⾏统⼀的⽤户登录权限验证迫在眉睫。

1.2 Spring AOP 用户统一登录验证的问题

说到统⼀的⽤户登录验证，我们想到的第⼀个实现⽅案是 Spring AOP 前置通知或环绕通知来实现，具体实现代码如下：

import org.aspectj.lang.ProceedingJoinPoint;

import org.aspectj.lang.annotation.*;

import org.springframework.stereotype.Component;

@Aspect

@Component

public class UserAspect {

   // 定义切点⽅法 controller 包下、⼦孙包下所有类的所有⽅法

   @Pointcut("execution(* com.example.demo.controller..*.*(..))")

   public void pointcut(){ }

   // 前置⽅法

   @Before("pointcut()")

   public void doBefore(){

   }

   // 环绕⽅法

   @Around("pointcut()")

   public Object doAround(ProceedingJoinPoint joinPoint){

       Object obj = null;

       System.out.println("Around ⽅法开始执⾏");

       try {

           // 执⾏拦截⽅法

           obj = joinPoint.proceed();

       } catch (Throwable throwable) {

           throwable.printStackTrace();

       }

       System.out.println("Around ⽅法结束执⾏");

       return obj;

   }

}

如果要在以上 Spring AOP 的切⾯中实现⽤户登录权限效验的功能，有以下两个问题：

没办法获取到 HttpSession 对象。

我们要对⼀部分⽅法进⾏拦截，⽽另⼀部分⽅法不拦截，如注册⽅法和登录⽅法是不拦截的，这样的话排除⽅法的规则很难定义，甚⾄没办法定义。

那这样如何解决呢？

1.3 Spring 拦截器

对于以上问题 Spring 中提供了具体的实现拦截器：HandlerInterceptor，拦截器的实现分为以下两个步骤：

创建⾃定义拦截器，实现 HandlerInterceptor 接⼝的 preHandle（执⾏具体⽅法之前的预处理）⽅法。

将⾃定义拦截器加⼊ WebMvcConfigurer 的 addInterceptors ⽅法中。

具体实现如下。