怎么在Spring-Boot中實現Auth認證

怎么在Spring-Boot中實現Auth認證？很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

其使用步驟如下：

1、使用 @Aspect 聲明一下切面類 WhitelistAspect ；

2、在切面類內添加一個切點 whitelistPointcut() ，為了實現此切點靈活可裝配的能力，這里不使用 execution 全部攔截，而是添加一個注解 @Whitelist ，被注解的方法才會校驗白名單。

3、在切面類中使用 spring 的 AOP 注解 @Before 聲明一個通知方法 checkWhitelist() 在 Controller 方法被執行之前校驗白名單。

切面類偽代碼如下

@Aspect
public class WhitelistAspect {

  @Before(value = "whitelistPointcut() && @annotation(whitelist)")
  public void checkAppkeyWhitelist(JoinPoint joinPoint, Whitelist whitelist) {
    checkWhitelist();
    // 可使用 joinPoint.getArgs() 獲取Controller方法的參數
    // 可以使用 whitelist 變量獲取注解參數
  }

  @Pointcut("@annotation(com.zhenbianshu.Whitelist)")
  public void whitelistPointCut() {
  }
}

4、在Controller方法上添加 @Whitelist 注解實現功能。

擴展

本例中使用了 注解 來聲明切點，并且我實現了通過注解參數來聲明要校驗的白名單，如果之后還需要添加其他白名單的話，如通過 UID 來校驗，則可以為此注解添加 uid() 等方法，實現自定義校驗。

此外，spring 的 AOP 還支持 execution（執行方法） 、bean（匹配特定名稱的 Bean 對象的執行方法） 等切點聲明方法和 @Around（在目標函數執行中執行） 、@After（方法執行后） 等通知方法。

如此，功能已經實現了，但領導并不滿意=_=，原因是項目中 AOP 用得太多了，都用濫了，建議我換一種方式。嗯，只好搞起。

Interceptor

Spring 的 攔截器(Interceptor) 實現這個功能也非常合適。顧名思義，攔截器用于在 Controller 內 Action 被執行前通過一些參數判斷是否要執行此方法，要實現一個攔截器，可以實現 Spring 的 HandlerInterceptor 接口。

實現

實現步驟如下：

1.定義攔截器類 AppkeyInterceptor 類并實現 HandlerInterceptor 接口。
2.實現其 preHandle() 方法；
3.在 preHandle 方法內通過注解和參數判斷是否需要攔截請求，攔截請求時接口返回 false；
4.在自定義的 WebMvcConfigurerAdapter 類內注冊此攔截器；

AppkeyInterceptor 類如下：

@Component
public class WhitelistInterceptor implements HandlerInterceptor {

  @Override
  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    Whitelist whitelist = ((HandlerMethod) handler).getMethodAnnotation(Whitelist.class);
    // whitelist.values(); 通過 request 獲取請求參數，通過 whitelist 變量獲取注解參數
    return true;
  }

  @Override
  public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
    // 方法在Controller方法執行結束后執行
  }

  @Override
  public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
    // 在view視圖渲染完成后執行
  }
}

擴展

要啟用 攔截器還要顯式配置它啟用，這里我們使用 WebMvcConfigurerAdapter 對它進行配置。需要注意，繼承它的的 MvcConfiguration 需要在 ComponentScan 路徑下。

@Configuration
public class MvcConfiguration extends WebMvcConfigurerAdapter {
  @Override
  public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(new WhitelistInterceptor()).addPathPatterns("/*").order(1);
    // 這里可以配置攔截器啟用的 path 的順序，在有多個攔截器存在時，任一攔截器返回 false 都會使后續的請求方法不再執行
  }
}

還需要注意，攔截器執行成功后響應碼為 200 ，但響應數據為空。

當使用攔截器實現功能后，領導終于祭出大招了：我們已經有一個 Auth 參數了，appkey 可以從 Auth 參數里取到，可以把在不在白名單作為 Auth 的一種方式，為什么不在 Auth 時校驗？emmm... 吐血中。

ArgumentResolver

參數解析器是 Spring 提供的用于解析自定義參數的工具，我們常用的 @RequestParam 注解就有它的影子，使用它，我們可以將參數在進入Controller Action之前就組合成我們想要的樣子。Spring 會維護一個 ResolverList ， 在請求到達時，Spring 發現有自定義類型參數（非基本類型）， 會依次嘗試這些 Resolver，直到有一個 Resolver 能解析需要的參數。要實現一個參數解析器，需要實現 HandlerMethodArgumentResolver 接口。

實現

1.定義自定義參數類型 AuthParam，類內有 appkey 相關字段；
2.定義 AuthParamResolver 并實現 HandlerMethodArgumentResolver 接口；
3.實現 supportsParameter() 接口方法將 AuthParam 與 AuthParamResolver 適配起來；
4.實現 resolveArgument() 接口方法解析 reqest 對象生成 AuthParam 對象，并在此校驗 AuthParam ，確認 appkey 是否在白名單內；
5.在 Controller Action 方法上簽名內添加 AuthParam 參數以啟用此 Resolver;

實現的 AuthParamResolver 類如下：

@Component
public class AuthParamResolver implements HandlerMethodArgumentResolver {

  @Override
  public boolean supportsParameter(MethodParameter parameter) {
    return parameter.getParameterType().equals(AuthParam.class);
  }

  @Override
  public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
    Whitelist whitelist = parameter.getMethodAnnotation(Whitelist.class);
    // 通過 webRequest 和 whitelist 校驗白名單
    return new AuthParam();
  }
}

擴展

當然，使用參數解析器也需要單獨配置，我們同樣在 WebMvcConfigurerAdapter 內配置：

@Configuration
public class MvcConfiguration extends WebMvcConfigurerAdapter {

  @Override
  public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
    argumentResolvers.add(new AuthParamResolver());
  }
}

這次實現完了，我還有些不放心，于是在網上查找是否還有其他方式可以實現此功能，發現常見的還有 Filter 。

Filter

Filter 并不是 Spring 提供的，它是在 Servlet 規范中定義的，是 Servlet 容器支持的。被 Filter 過濾的請求，不會派發到 Spring 容器中。它的實現也比較簡單，實現 javax.servlet.Filter 接口即可。

由于不在 Spring 容器中，Filter 獲取不到 Spring 容器的資源，只能使用原生 Java 的 ServletRequest 和 ServletResponse 來獲取請求參數。

另外，在一個 Filter 中要顯示調用 FilterChain 的 doFilter 方法，不然認為請求被攔截。 實現類似：

public class WhitelistFilter implements javax.servlet.Filter {

  @Override
  public void init(FilterConfig filterConfig) throws ServletException {
    // 初始化后被調用一次
  }

  @Override
  public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    // 判斷是否需要攔截
    chain.doFilter(request, response); // 請求通過要顯示調用
  }

  @Override
  public void destroy() {
    // 被銷毀時調用一次
  }
}

擴展

Filter 也需要顯示配置：

@Configuration
public class FilterConfiguration {

  @Bean
  public FilterRegistrationBean someFilterRegistration() {
    FilterRegistrationBean registration = new FilterRegistrationBean();
    registration.setFilter(new WhitelistFilter());
    registration.addUrlPatterns("/*");
    registration.setName("whitelistFilter");
    registration.setOrder(1); // 設置過濾器被調用的順序
    return registration;
  }
}

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。