详解在Spring-Boot中实现通用Auth认证的几种方式
前言
最近一直被无尽的业务需求淹没,没时间喘息,终于接到一个能让我突破代码舒适区的活儿,解决它的过程非常曲折,一度让我怀疑人生,不过收获也很大,代码方面不明显,但感觉自己抹掉了java、Tomcat、Spring一直挡在我眼前的一层纱。对它们的理解上了一个新的层次。
好久没输出了,于是挑一个方面总结一下,希望在梳理过程中再了解一些其他的东西。由于Java繁荣的生态,下面每一个模块都有大量的文章专门讲述。所以我选了另外一个角度,从实际问题出发,将这些分散的知识串联起来,各位可以作为一个综述来看。各个模块的极致详细介绍,大家可以去翻官方文档或看网络上的其他博客。
需求很简单清晰,跟产品们提的妖艳需求一点也不一样:在我们的web框架里添加一个通用的appkey白名单校验功能,希望它的扩展性更好一些。
这个web框架是部门前驱者基于spring-boot实现的,介于业务和Spring框架之间,做一些偏向于业务的通用性功能,如日志输出、功能开关、通用参数解析等。平常是对业务透明的,最近一直忙于把需求做好,代码写好,甚至从没注意过它的存在。
传统AOP
对于这种需求,首先想到的当然是Spring-boot提供的AOP接口,只需要在Controller方法前添加切点,然后再对切点进行处理即可。
实现
其使用步骤如下:
1、使用@Aspect声明一下切面类WhitelistAspect;
2、在切面类内添加一个切点whitelistPointcut(),为了实现此切点灵活可装配的能力,这里不使用execution全部拦截,而是添加一个注解@Whitelist,被注解的方法才会校验白名单。
3、在切面类中使用spring的AOP注解@Before声明一个通知方法checkWhitelist()在Controller方法被执行之前校验白名单。
切面类伪代码如下
@Aspect publicclassWhitelistAspect{ @Before(value="whitelistPointcut()&&@annotation(whitelist)") publicvoidcheckAppkeyWhitelist(JoinPointjoinPoint,Whitelistwhitelist){ checkWhitelist(); //可使用joinPoint.getArgs()获取Controller方法的参数 //可以使用whitelist变量获取注解参数 } @Pointcut("@annotation(com.zhenbianshu.Whitelist)") publicvoidwhitelistPointCut(){ } }
4、在Controller方法上添加@Whitelist注解实现功能。
扩展
本例中使用了注解来声明切点,并且我实现了通过注解参数来声明要校验的白名单,如果之后还需要添加其他白名单的话,如通过UID来校验,则可以为此注解添加uid()等方法,实现自定义校验。
此外,spring的AOP还支持execution(执行方法)、bean(匹配特定名称的Bean对象的执行方法)等切点声明方法和@Around(在目标函数执行中执行)、@After(方法执行后)等通知方法。
如此,功能已经实现了,但领导并不满意=_=,原因是项目中AOP用得太多了,都用滥了,建议我换一种方式。嗯,只好搞起。
Interceptor
Spring的拦截器(Interceptor)实现这个功能也非常合适。顾名思义,拦截器用于在Controller内Action被执行前通过一些参数判断是否要执行此方法,要实现一个拦截器,可以实现Spring的HandlerInterceptor接口。
实现
实现步骤如下:
1.定义拦截器类AppkeyInterceptor类并实现HandlerInterceptor接口。
2.实现其preHandle()方法;
3.在preHandle方法内通过注解和参数判断是否需要拦截请求,拦截请求时接口返回false;
4.在自定义的WebMvcConfigurerAdapter类内注册此拦截器;
AppkeyInterceptor类如下:
@Component publicclassWhitelistInterceptorimplementsHandlerInterceptor{ @Override publicbooleanpreHandle(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler)throwsException{ Whitelistwhitelist=((HandlerMethod)handler).getMethodAnnotation(Whitelist.class); //whitelist.values();通过request获取请求参数,通过whitelist变量获取注解参数 returntrue; } @Override publicvoidpostHandle(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler,ModelAndViewmodelAndView)throwsException{ //方法在Controller方法执行结束后执行 } @Override publicvoidafterCompletion(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler,Exceptionex)throwsException{ //在view视图渲染完成后执行 } }
扩展
要启用拦截器还要显式配置它启用,这里我们使用WebMvcConfigurerAdapter对它进行配置。需要注意,继承它的的MvcConfiguration需要在ComponentScan路径下。
@Configuration publicclassMvcConfigurationextendsWebMvcConfigurerAdapter{ @Override publicvoidaddInterceptors(InterceptorRegistryregistry){ registry.addInterceptor(newWhitelistInterceptor()).addPathPatterns("/*").order(1); //这里可以配置拦截器启用的path的顺序,在有多个拦截器存在时,任一拦截器返回false都会使后续的请求方法不再执行 } }
还需要注意,拦截器执行成功后响应码为200,但响应数据为空。
当使用拦截器实现功能后,领导终于祭出大招了:我们已经有一个Auth参数了,appkey可以从Auth参数里取到,可以把在不在白名单作为Auth的一种方式,为什么不在Auth时校验?emmm...吐血中。
ArgumentResolver
参数解析器是Spring提供的用于解析自定义参数的工具,我们常用的@RequestParam注解就有它的影子,使用它,我们可以将参数在进入ControllerAction之前就组合成我们想要的样子。Spring会维护一个ResolverList,在请求到达时,Spring发现有自定义类型参数(非基本类型),会依次尝试这些Resolver,直到有一个Resolver能解析需要的参数。要实现一个参数解析器,需要实现HandlerMethodArgumentResolver接口。
实现
1.定义自定义参数类型AuthParam,类内有appkey相关字段;
2.定义AuthParamResolver并实现HandlerMethodArgumentResolver接口;
3.实现supportsParameter()接口方法将AuthParam与AuthParamResolver适配起来;
4.实现resolveArgument()接口方法解析reqest对象生成AuthParam对象,并在此校验AuthParam,确认appkey是否在白名单内;
5.在ControllerAction方法上签名内添加AuthParam参数以启用此Resolver;
实现的AuthParamResolver类如下:
@Component publicclassAuthParamResolverimplementsHandlerMethodArgumentResolver{ @Override publicbooleansupportsParameter(MethodParameterparameter){ returnparameter.getParameterType().equals(AuthParam.class); } @Override publicObjectresolveArgument(MethodParameterparameter,ModelAndViewContainermavContainer,NativeWebRequestwebRequest,WebDataBinderFactorybinderFactory)throwsException{ Whitelistwhitelist=parameter.getMethodAnnotation(Whitelist.class); //通过webRequest和whitelist校验白名单 returnnewAuthParam(); } }
扩展
当然,使用参数解析器也需要单独配置,我们同样在WebMvcConfigurerAdapter内配置:
@Configuration publicclassMvcConfigurationextendsWebMvcConfigurerAdapter{ @Override publicvoidaddArgumentResolvers(ListargumentResolvers){ argumentResolvers.add(newAuthParamResolver()); } }
这次实现完了,我还有些不放心,于是在网上查找是否还有其他方式可以实现此功能,发现常见的还有Filter。
Filter
Filter并不是Spring提供的,它是在Servlet规范中定义的,是Servlet容器支持的。被Filter过滤的请求,不会派发到Spring容器中。它的实现也比较简单,实现javax.servlet.Filter接口即可。
由于不在Spring容器中,Filter获取不到Spring容器的资源,只能使用原生Java的ServletRequest和ServletResponse来获取请求参数。
另外,在一个Filter中要显示调用FilterChain的doFilter方法,不然认为请求被拦截。实现类似:
publicclassWhitelistFilterimplementsjavax.servlet.Filter{ @Override publicvoidinit(FilterConfigfilterConfig)throwsServletException{ //初始化后被调用一次 } @Override publicvoiddoFilter(ServletRequestrequest,ServletResponseresponse,FilterChainchain)throwsIOException,ServletException{ //判断是否需要拦截 chain.doFilter(request,response);//请求通过要显示调用 } @Override publicvoiddestroy(){ //被销毁时调用一次 } }
扩展
Filter也需要显示配置:
@Configuration publicclassFilterConfiguration{ @Bean publicFilterRegistrationBeansomeFilterRegistration(){ FilterRegistrationBeanregistration=newFilterRegistrationBean(); registration.setFilter(newWhitelistFilter()); registration.addUrlPatterns("/*"); registration.setName("whitelistFilter"); registration.setOrder(1);//设置过滤器被调用的顺序 returnregistration; } }
小结
四种实现方式都有其适合的场景,那么它们之间的调用顺序如何呢?
Filter是Servlet实现的,自然是最先被调用,后续被调用的是Interceptor被拦截了自然不需要后续再进行处理,然后是参数解析器,最后才是切面的切点。我将四种方式在一个项目内全部实现后,输出日志也证明了这个结论。
跳出具体实现,转身来看这些实现,其实都有一些面向切面的影子。由于之前自己的编程方式更偏向于面向过程编程,在使用Java面向对象后对比AOP和面向过程中的勾子,有些感悟,改日写文整理一下。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。