在 Spring MVC 框架中, 拦截器作为一种机制, 用于对请求进行拦截. 拦截器可以在请求进入处理器之前、处理器返回处理之后、视图渲染之前等各个环节进行拦截.
拦截器通常用于实现一下功能 :
- 鉴权和身份认证
- 日志记录和统计
- 请求参数和校验和过滤
- 缓存和性能优化
- 路径重定向和错误处理
也就是说, 当需要对多个请求进行相同或者类似处理时, 可以使用拦截器来统一处理, 从而避免冗余的代码和低效的维护.
一. 自定义拦截器实现
1. 创建一个 Spring Boot 项目, 添加 Spring Web、 Lombok 起步依赖.
正常创建一个 Spring Boot 的 Maven 项目即可.
2. 创建一个公共包 common 实现登录拦截器类
在 Spring MVC 中, 拦截器是通过实现 HandlerInterceptor 接口实现的.
在实现 HandlerInterceptor 接口时, 重写里面的拦截器方法.
a. preHandle
该方法用于在请求处理之前进行拦截和处理. 该方法在 DispatcherServlet ( 调度器 ) 将请求对象封装为 HandlerExecutionChain 对象后、但在调用处理器( Controller ) 之前被调用在 preHandle 方法中, 我们可以对请求进行检查、验证、修改等操作, 例如 :
- 身份认证和权限控制
- 请求参数校验和过滤
- 缓存和性能优化
b. postHandle
该方法用于在请求处理完成之后, 试图渲染之前进行拦截和处理. 该方法在 HandlerAdapter 将处理器执行并将其结果返回给 DispatcherServlet 之后调用.在 postHandle 方法中, 我们可以做一些与请求处理有关的操作, 例如 :
- 修改 Model 数据
- 添加一些公共的 Model 属性
- 对视图进行渲染前的处理
c. afterCompletion
该方法用于请求处理完毕后进行回收和清理工作, 该方法在视图渲染完毕之后被调用, 用于释放资源和进行日志记录等操作在 afterCompletion 方法中, 我们可以进行一些与请求处理过程相关的清理工作, 例如 :
- 清理 ThreadLocal 变量
- 关闭打开的文件或数据库连接
- 记录请求处理时间和结果
3. 重写方法
由于我们是一个登陆拦截器, 可以想象在各个功能使用之前就需要进行权限的鉴定和登陆的检验. 因此应该重写 preHandle 方法, 在请求处理之前进行拦截和处理
@Component public class LoginInterceptor implements HandlerInterceptor { /** * 拦截器为调用方法执行之前执行的方法 * * @param request 请求 * @param response 响应 * @param handler 表示要执行的处理器, 即处理请求的 Controller 对象或者是拦截器的对象 * @return true 拦截器验证成功, 继续执行后续操作 * false 拦截器验证失败, 验证未通过后续流程不执行 * @throws Exception 异常 */ @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 用户登录判断 HttpSession session = request.getSession(false); if (session != null && session.getAttribute("session_userinfo") != null) { // 该用户已经登陆 return true; } // 请求无权限, 返回状态码提示 response.setStatus(401); return false; } }
4. 添加拦截器配置
有了拦截器, 但还没有实现拦截规则, 并且这个拦截的规则是要随着 Web 项目的启动而启动的, 否则在进行页面访问时, 就无法提前拦截了. 因此还需要将自定义的拦截器添加到我们的系统配置当中.而在 Spring MVC 中提供了一个 WebMvcConfigurer 接口, 因为我们配置的是拦截器, 因此重写里面的 addInterceptors 方法即可.
在重写的方法中, 将我们实现的登陆拦截器添加进去, 然后配置拦截的规则即可
@Configuration public class MyInterceptorConfig implements WebMvcConfigurer { // 将自定义的拦截器注入 @Autowired private LoginInterceptor interceptor; /** * @param registry 注册对象 */ @Override public void addInterceptors(InterceptorRegistry registry) { // 注册对象将拦截器添加进框架中 registry.addInterceptor(interceptor) // 配置拦截规则 .addPathPatterns("/**") // 拦截所有的 url .excludePathPatterns("/user/reg") // 排除用户注册 url .excludePathPatterns("/user/login") // 排除用户登陆 url .excludePathPatterns("/image/**"); // 排除 image 文件夹底下的所有文件 } }
一般对于拦截规则的设置, 我们都是先拦截所有, 然后放行部分. 并且里面的路径写法和我们之前学习的相同.
5. 验证拦截器
当写好拦截器后, 我们创建一个用户操作类
@RestController @RequestMapping("/user") public class UserController { @RequestMapping("/reg") public String register() { return "注册成功"; } @RequestMapping("/login") public String login() { return "登陆成功"; } @RequestMapping("article") public String writer() { return "写文章鉴权"; } }
根据我们的拦截规则, 我们排除了 url 为 /user/reg 和 user/login 以及 image 文件底下的所有文件. 因此这三个都是可以访问的, 其他的 ulr 都是不可以访问的, 也就是我们上面写的 /user/article 是无法访问的, 会被拦截并返回 401
可以看到, 我们放行的方法都能够正确经过拦截器的处理
而我们的 /user/article 被拦截器拦截在外无法执行
6. 调整返回错误信息
对于我们刚刚的做法中, 当被拦截以后, 说明这个方法是不符合要求的请求, 直接返回了 401 拒绝访问, 但在开发中, 无论是否被拦截, 都应该将信息返回给前端, 而并非返回页面而是要一个数据, 前端根据我们返回的数据进行判断后再执行下一步操作.
因此, 我们可以封装一个统一的返回对象 ResultAjax
即使后端拦截了这个方法, 它没有进行登录, 我们也不能帮前端进行重定向让给用户去登录, 这是要越权行为. 我们只需要返回约定的错误代码 code 告诉前端, 并把错误信息返回给前端即可.
@Data public class ResultAjax { private int code; private String msg; private String date; }
当被拦截时, 说明为经过登陆鉴权, 返回约定的对象即可
@Component public class LoginInterceptor implements HandlerInterceptor { /** * 拦截器为调用方法执行之前执行的方法 * * @param request 请求 * @param response 响应 * @param handler 表示要执行的处理器对象, 即处理请求的 Controller 对象或者是拦截器的对象 * @return true 拦截器验证成功, 继续执行后续操作 * false 拦截器验证失败, 验证未通过后续流程不执行 * @throws Exception 异常 */ @Autowired private ResultAjax resultAjax; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 用户登录判断 HttpSession session = request.getSession(false); if (session != null && session.getAttribute("session_userinfo") != null) { // 该用户已经登陆 return true; } ObjectMapper objectMapper = new ObjectMapper(); // 设置数据返回格式, 防止乱码解析 response.setContentType("application/json; charset = utf8"); // 当前方法未通过登陆鉴权, 返回约定的结果 resultAjax.setCode(-1); // 约定错误都为 -1 状态码, 成功都为 200 resultAjax.setMsg("用户未登录, 请登录后再操作 !"); resultAjax.setDate(""); // 为登陆没有数据返回 // 将返回的数据对象转为 JSON 格式字符串 String respJson = objectMapper.writeValueAsString(resultAjax); // 返回统一的处理对象给前端 response.getWriter().write(respJson); return false; } }
这是一般我们的处理情况, 最好的还是进行一个统一的格式的错误信息返回. 关于统一的数据处理和错误处理, 在后续文章中会讲解到.
