在安全编码规范中,在Java后端controller层接口需要对调用者的身份进行确认,以防非法用户进行访问。若是在controller层的每个接口处都添加逻辑判断,那么代码重复度高,并且费力费时。此时,就需要在请求到达controller层时提前截取数据流,对相关数据进行校验。在这里将要提到的方式就是在后端添加http拦截器,这样每一次的http请求都需要经过拦截器的认证后才可以继续往下走。那么如何有效地添加拦截器呢?下面将会详细给告诉你怎么添加。

  (1)为了方便代码管理,我们先创建一个文件夹,其名为interceptor,与controller文件夹处于同一级,该文件夹主要是用来存放拦截器相关的文件,如下图所示:

  

  (2)在interceptor文件夹中创建以下几个文件:InterceptorConfig.java、InterceptorPathPatterns.java和AuthorityIntercepor.java

  

  • InterceptorConfig.java文件:主要是用来配置拦截器的
  • InterceptorPathPatterns.java文件:是一个拦截规则实体类
  • AuthorityIntercepor.java文件:主要是拦截的具体实现

  三个文件的大致内容具体如下:

(1)InterceptorConfig.java文件内容如下:

import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.config.annotation.InterceptorRegistration;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;

import java.util.concurrent.TimeUnit;

@Configuration

public class InterceptorConfig implements WebMvcConfigurer {

  // 这里通过配置文件来配置拦截规则,后续会提供配置文件内容

  @Autowired

  private InterceptorPathPatterns interceptorPathPatterns;

  @Override

  public void addInterceptors(InterceptorRegistry registry) {

    // addInterceptor 添加拦截器后默认会拦截所有的http请求

    InterceptorRegistration interceptorRegistration = registry.addInterceptor(newAuthorityInterceptor());

    List<String> includePathPatternsList = interceptorPathPatterns.getIncludePathPatternsList();

    if (null == includePathPatternsList) {

    interceptorRegistration.addPathPatterns("");

    } else {

      // addPathPatterns 用于添加拦截规则

      interceptorRegistration.addPathPatterns(includePathPatternsList);

    }

    List<String> excludePathPatternsList = interceptorPathPatterns.getExcludePathPatternsList();

    if (null == excludePathPatternsList) {

      interceptorRegistration.excludePathPatterns("");

    } else {

      // excludePathPatterns 用于排除拦截规则

      interceptorRegistration.excludePathPatterns(excludePathPatternsList);

    }

  }

  public AuthorityIntercepor newAuthorityInterceptor() {

    AuthorityInterceptor authorityInterceptor = new AuthorityInterceptor();

    // 以下主要是用来设定token在缓存中的有效时长

       // 设定缓存过期时间

    String expiredTime = 30;

    // 设置缓存大小

    Cache<String, T> cache = CacheBuilder.newBuilder()

                      .maximumSize(10000)

                      .expireAfterAccess(Integer.parseInt(expiredTime), TimeUnit.MINUTES)

                      .build();

    authorityInterceptor.setCache(cache);

    return authorityInterceptor;

  }

}

 

(2)InterceptorPathPatterns.java文件内容如下:

import org.springframework.boot.context.properties.ConfigurationProperties;

import org.springframework.stereotype.Component;

import java.util.List;

@Component

@ConfigurationProperties(prefix = "interceptor")

public class InterceptorPathPatterns {

  private List<String> includePathPatternsList;

  private List<String> excludePathPatternsList;

  public List<String> getIncludePathPatternsList() {

    return includePathPatternsList;

  }

  public void setIncludePathPatternsList(List<String> includePathPatternsList) {

    this.includePathPatternsList = includePathPatternsList;

  }

  public List<String> getExcludePathPatternsList() {

    return excludePathPatternsList;

  }

  public void setExcludePathPatternsList(List<String> excludePathPatternsList) {

    this.excludePathPatternsList = excludePathPatternsList;

  }

}

 

(3)AuthorityInterceptor.java文件内容如下:

import org.apache.commons.lang3.StringUtils;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.util.StreamUtils;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.google.common.cache.Cache;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.io.OutputStream;

import java.nio.charset.Charset;

import java.util.concurrent.Callable;

public class AuthorityInterceptor extends HandlerInterceptorAdapter {

  private Cache<String, T> cache = null;

  public Cache<String, T> getCache () {

    return cache;

  }

  public void setCache(Cache<String, T> cache) {

    this.cache = cache;

  }

  public AuthorityInterceptor() {

    super();

  }

  /**

  * 返回false:从当前的拦截器往回执行所有拦截器的afterCompletion(),再退出拦截器链

  * 返回true:执行下一个拦截器,直到所有的拦截器都执行完毕

  */

  @Override

  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

    OutputStream outputStream = null;

    try {

      String number = request.getHeader("X—Person-Number");

      String token = request.getHeader("X-Person-Token");

      if (StringUtils.isEmpty(number) || StringUtils.isEmpty(token)) {

        this.setResponseMsg(outputStream, "认证失败", response);

        return false;

      }

      // 调用校验方法校验token

      boolean bVerify = this.verifyToken(request);

      if (bVerify) {

        // 校验通过

        return true;

      } else {

        // 认证失败

        this.setResponseMsg(outputStream, "认证失败", response);

        return false;

      }

    } catch (Exception exception){

      throw new Exception(); // 可以抛出指定的异常

    } finally {

      if (outputStream != null) {

        outputStream.close();

        outputStream = null;

      }

    }

  }

  @Override

  public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modeAndView) throws Exception {

    // 拦截器返回时的处理

  }

 

  @Override

  public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception exception) throws Exception {

    // 视图渲染回调

  }

  private void setResponseMsg(OutputStream outputStream, String responseStr, HttpServletResponse response) throws IOException {

    // 重新设置返回的消息类型和消息头,SPRING mvc设置为JSON类型,

    // 内容修改为加密字符串后,类型也要修改为text/html,防止angularjs自动根据类型转换数据

    response.setCharacterEncoding("UTF-8");

    response.setContentType("application/json;charset=UTF-8");

    // 将加密数据写到原始的response对象中,返回客户端

    outputStream = response.getOutputStream();

    StreamUtils.copy(responseStr, Charset.forName("utf-8"), outputStream);

  }

  private boolean verifyToken(HttpServletRequest request) throws Exception {

    try {

      // 根据具体的业务场景进行逻辑判断设计

      // 利用Cache的get方法进行判断,先判断缓存中是否有这个key,若是有的话,直接返回T类型对象结果。

       T obj = this.cache.get(key,

            new Callable<T>() {

              @Override

              public T call() {

                try {

                  // 具体的判断处理逻辑

                } catch(Exception exception) {

                  // 可以跑出指定的异常

                }

              }

            )

    } catch (Exception exception) {

      throw new Exception(exception);

    }

  }

}

说明:在实际应用中需要用具体的类型取代 T 

(4)application.properties配置文件内容如下:

#需要拦截的路径

interceptor.includePathPatternsList[1]=/**

#不需要拦截的路径

interceptor.excludePathPatternsList[0]=/test/download/**

#说明:采用这样的匹配方式是不会起作用的,例如:*.js,**.css等等

 

#注意:以上的拦截路径都是服务上下文之后的路径,比如说微服务名之后的路径,包括微服务名后的反斜杠

#/*不会匹配末尾的反斜杠,/**会匹配末尾的反斜杠

#若想要完全匹配路径的话,那必须要将路径写完整;模糊匹配的话就不需要了

  小结:本文主要是讲述了整体流程思路,也许你会问为何不将拦截规则写在代码中?而是采用配置文件的方式,这主要是为了后续的扩展,比如说暂时不用拦截某个路径下的接口,此时只需要修改配置文件的排除拦截路径就可以了,不用重新修改代码、编译代码、构建版本。

此外,由于产品之间会有各种服务,所以添加拦截器时最好在API接口层和BFF层都添加上;当然,建议每个产品都在API接口层添加拦截器进行身份验证,这样本产品通过自己的BFF层时调用其它产品的API接口时就没有必要在BFF层再拦截和校验了,不然对本产品来说就有些重复拦截和校验了。

------20191223闪

在Java后端如何添加拦截器的更多相关文章

  1. javaweb添加拦截器

    js请求后台代码添加拦截器: package com.ctzj.biz.isale.deploy.controller; import java.io.IOException; import java ...

  2. (七)CXF添加拦截器

    今天开始讲下拦截器,前面大家学过servlet,struts2 都有拦截器概念,主要作用是做一些权限过滤,编码处理等: webservice也可以加上拦截器,我们可以给webservice请求加权限判 ...

  3. (八)CXF之用spring添加拦截器

    一.案例 本章案例是基于CXF之自定义拦截器基础之上改造的,目的是在服务端中用spring添加拦截器 配置web.xml <?xml version="1.0" encodi ...

  4. spring boot 添加拦截器

    构建一个spring boot项目. 添加拦截器需要添加一个configuration @Configuration @ComponentScan(basePackageClasses = Appli ...

  5. 使用CXF为webservice添加拦截器

      拦截器分为Service端和Client端 拦截器是在发送soap消息包的某一个时机拦截soap消息包,对soap消息包的数据进行分析或处理.分为CXF自带的拦截器和自定义的拦截器 1.Servi ...

  6. SpringBoot如何添加拦截器

    在web开发的过程中,为了实现登录权限验证,我们往往需要添加一个拦截器在用户的的请求到达controller层的时候实现登录验证,那么SpringBoot如何添加拦截器呢? 步骤如下: 1.继承Web ...

  7. CXF添加拦截器和自定义拦截器

    前面讲了如何采用CXF开发webservice,现在来讲如何添加拦截器和自定义拦截器. 服务端代码: HelloWorld implementor=new HelloWorldImpl(); Stri ...

  8. (五)CXF之添加拦截器

    一.需求分析 webService中的拦截器类似于servlet的Filter过滤器.一般用于调用服务前后先调用拦截器的方法. 二.案例 本章案例是基于上一章节的基础上添加拦截器的 2.1 服务端添加 ...

  9. spring boot 添加拦截器的简单实例(springBoot 2.x版本,添加拦截器,静态资源不可访问解决方法)

    spring中拦截器主要分两种,一个是HandlerInterceptor,一个是MethodInterceptor 一.HandlerInterceptor HandlerInterceptor是s ...

随机推荐

  1. 用Docker部署自己的JupyterHub

    [话在前头] 用 Docker 部署 JupyterLab 感觉是部署 JupyterLab 最方便的方式了,官方提供了很多可选的镜像,也可以自己从 jupyter/base-notebook 中继续 ...

  2. Flutter Widgets 之 FutureBuilder

    注意:无特殊说明,Flutter版本及Dart版本如下: Flutter版本: 1.12.13+hotfix.5 Dart版本: 2.7.0 展示异步任务状态 当有一个Future(异步)任务需要展示 ...

  3. 单页应用(SPA,Single-page-App)和多页应用(MPA,Multi-page App)的区别

    单页应用(SPA,Single-page-App)和多页应用(MPA,Multi-page App)的区别 参考博客:https://www.jianshu.com/p/4c9c29967dd6

  4. 在Django中连接MySQL数据库(Python3)

    我的环境:      python3.6,      Django2.1.5,      MySQL8.0.15,      win10,      PyCharm, 要求:已经安装了MySQL数据库 ...

  5. Java工作流系统jflow从表功能介绍一

    关键词:工作流快速开发平台  工作流流设计  业务流程管理   asp.net 开源工作流  bpm工作流系统  java工作流主流框架  自定义工作流引擎 表单设计器  流程设计器 从表也叫明细表, ...

  6. Azure Media Services -可提供视频点播(VOD)

    ​Azure Media Services 提供直播/VOD点播相关的功能. •提供编码和打包以适用于各种设备播放视频(IOS/Android/web等). •向大量在线观众流式传输实时直播,例如活动 ...

  7. Spring Boot JPA分页 PageRequest报错

    在使用Spring Boot JPA分页 PageRequest分页时,出现如下错误: 本来以为是包导入出现了问题,结果发现并不是.导入包如下: 后来在网上查找相关资料,发现这样的用法,好像也可以用, ...

  8. JavaScript DOMEvent 对象

    Event 对象 Event 对象代表事件的状态,比如事件在其中发生的元素.键盘按键的状态.鼠标的位置.鼠标按钮的状态. 事件通常与函数结合使用,函数不会在事件发生前被执行! 事件句柄 (Event ...

  9. kettle:The tablename is not defined (empty)

    报错误The tablename is not defined (empty) 去掉表输出中的"表分区数据"

  10. springboot整合WebService简单版

    一.什么是webservice 关于webservice的介绍摘自百度百科,上面的介绍很详细.(链接:https://baike.baidu.com/item/Web%20Service/121503 ...