在安全编码规范中,在Java后端controller层接口需要对调用者的身份进行确认,以防非法用户进行访问。若是在controller层的每个接口处都添加逻辑判断,那么代码重复度高,并且费力费时。此时,就需要在请求到达controller层时提前截取数据流,对相关数据进行校验。在这里将要提到的方式就是在后端添加http拦截器,这样每一次的http请求都需要经过拦截器的认证后才可以继续往下走。那么如何有效地添加拦截器呢?下面将会详细给告诉你怎么添加。

  (1)为了方便代码管理,我们先创建一个文件夹,其名为interceptor,与controller文件夹处于同一级,该文件夹主要是用来存放拦截器相关的文件,如下图所示:

  

  (2)在interceptor文件夹中创建以下几个文件:InterceptorConfig.java、InterceptorPathPatterns.java和AuthorityIntercepor.java

  

  • InterceptorConfig.java文件:主要是用来配置拦截器的
  • InterceptorPathPatterns.java文件:是一个拦截规则实体类
  • AuthorityIntercepor.java文件:主要是拦截的具体实现

  三个文件的大致内容具体如下:

(1)InterceptorConfig.java文件内容如下:

import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.config.annotation.InterceptorRegistration;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import org.springframework.beans.factory.annotation.Autowired;

import java.util.List;

import java.util.concurrent.TimeUnit;

@Configuration

public class InterceptorConfig implements WebMvcConfigurer {

  // 这里通过配置文件来配置拦截规则,后续会提供配置文件内容

  @Autowired

  private InterceptorPathPatterns interceptorPathPatterns;

  @Override

  public void addInterceptors(InterceptorRegistry registry) {

    // addInterceptor 添加拦截器后默认会拦截所有的http请求

    InterceptorRegistration interceptorRegistration = registry.addInterceptor(newAuthorityInterceptor());

    List<String> includePathPatternsList = interceptorPathPatterns.getIncludePathPatternsList();

    if (null == includePathPatternsList) {

    interceptorRegistration.addPathPatterns("");

    } else {

      // addPathPatterns 用于添加拦截规则

      interceptorRegistration.addPathPatterns(includePathPatternsList);

    }

    List<String> excludePathPatternsList = interceptorPathPatterns.getExcludePathPatternsList();

    if (null == excludePathPatternsList) {

      interceptorRegistration.excludePathPatterns("");

    } else {

      // excludePathPatterns 用于排除拦截规则

      interceptorRegistration.excludePathPatterns(excludePathPatternsList);

    }

  }

  public AuthorityIntercepor newAuthorityInterceptor() {

    AuthorityInterceptor authorityInterceptor = new AuthorityInterceptor();

    // 以下主要是用来设定token在缓存中的有效时长

       // 设定缓存过期时间

    String expiredTime = 30;

    // 设置缓存大小

    Cache<String, T> cache = CacheBuilder.newBuilder()

                      .maximumSize(10000)

                      .expireAfterAccess(Integer.parseInt(expiredTime), TimeUnit.MINUTES)

                      .build();

    authorityInterceptor.setCache(cache);

    return authorityInterceptor;

  }

}

 

(2)InterceptorPathPatterns.java文件内容如下:

import org.springframework.boot.context.properties.ConfigurationProperties;

import org.springframework.stereotype.Component;

import java.util.List;

@Component

@ConfigurationProperties(prefix = "interceptor")

public class InterceptorPathPatterns {

  private List<String> includePathPatternsList;

  private List<String> excludePathPatternsList;

  public List<String> getIncludePathPatternsList() {

    return includePathPatternsList;

  }

  public void setIncludePathPatternsList(List<String> includePathPatternsList) {

    this.includePathPatternsList = includePathPatternsList;

  }

  public List<String> getExcludePathPatternsList() {

    return excludePathPatternsList;

  }

  public void setExcludePathPatternsList(List<String> excludePathPatternsList) {

    this.excludePathPatternsList = excludePathPatternsList;

  }

}

 

(3)AuthorityInterceptor.java文件内容如下:

import org.apache.commons.lang3.StringUtils;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.util.StreamUtils;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.google.common.cache.Cache;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.io.OutputStream;

import java.nio.charset.Charset;

import java.util.concurrent.Callable;

public class AuthorityInterceptor extends HandlerInterceptorAdapter {

  private Cache<String, T> cache = null;

  public Cache<String, T> getCache () {

    return cache;

  }

  public void setCache(Cache<String, T> cache) {

    this.cache = cache;

  }

  public AuthorityInterceptor() {

    super();

  }

  /**

  * 返回false:从当前的拦截器往回执行所有拦截器的afterCompletion(),再退出拦截器链

  * 返回true:执行下一个拦截器,直到所有的拦截器都执行完毕

  */

  @Override

  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

    OutputStream outputStream = null;

    try {

      String number = request.getHeader("X—Person-Number");

      String token = request.getHeader("X-Person-Token");

      if (StringUtils.isEmpty(number) || StringUtils.isEmpty(token)) {

        this.setResponseMsg(outputStream, "认证失败", response);

        return false;

      }

      // 调用校验方法校验token

      boolean bVerify = this.verifyToken(request);

      if (bVerify) {

        // 校验通过

        return true;

      } else {

        // 认证失败

        this.setResponseMsg(outputStream, "认证失败", response);

        return false;

      }

    } catch (Exception exception){

      throw new Exception(); // 可以抛出指定的异常

    } finally {

      if (outputStream != null) {

        outputStream.close();

        outputStream = null;

      }

    }

  }

  @Override

  public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modeAndView) throws Exception {

    // 拦截器返回时的处理

  }

 

  @Override

  public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception exception) throws Exception {

    // 视图渲染回调

  }

  private void setResponseMsg(OutputStream outputStream, String responseStr, HttpServletResponse response) throws IOException {

    // 重新设置返回的消息类型和消息头,SPRING mvc设置为JSON类型,

    // 内容修改为加密字符串后,类型也要修改为text/html,防止angularjs自动根据类型转换数据

    response.setCharacterEncoding("UTF-8");

    response.setContentType("application/json;charset=UTF-8");

    // 将加密数据写到原始的response对象中,返回客户端

    outputStream = response.getOutputStream();

    StreamUtils.copy(responseStr, Charset.forName("utf-8"), outputStream);

  }

  private boolean verifyToken(HttpServletRequest request) throws Exception {

    try {

      // 根据具体的业务场景进行逻辑判断设计

      // 利用Cache的get方法进行判断,先判断缓存中是否有这个key,若是有的话,直接返回T类型对象结果。

       T obj = this.cache.get(key,

            new Callable<T>() {

              @Override

              public T call() {

                try {

                  // 具体的判断处理逻辑

                } catch(Exception exception) {

                  // 可以跑出指定的异常

                }

              }

            )

    } catch (Exception exception) {

      throw new Exception(exception);

    }

  }

}

说明:在实际应用中需要用具体的类型取代 T 

(4)application.properties配置文件内容如下:

#需要拦截的路径

interceptor.includePathPatternsList[1]=/**

#不需要拦截的路径

interceptor.excludePathPatternsList[0]=/test/download/**

#说明:采用这样的匹配方式是不会起作用的,例如:*.js,**.css等等

 

#注意:以上的拦截路径都是服务上下文之后的路径,比如说微服务名之后的路径,包括微服务名后的反斜杠

#/*不会匹配末尾的反斜杠,/**会匹配末尾的反斜杠

#若想要完全匹配路径的话,那必须要将路径写完整;模糊匹配的话就不需要了

  小结:本文主要是讲述了整体流程思路,也许你会问为何不将拦截规则写在代码中?而是采用配置文件的方式,这主要是为了后续的扩展,比如说暂时不用拦截某个路径下的接口,此时只需要修改配置文件的排除拦截路径就可以了,不用重新修改代码、编译代码、构建版本。

此外,由于产品之间会有各种服务,所以添加拦截器时最好在API接口层和BFF层都添加上;当然,建议每个产品都在API接口层添加拦截器进行身份验证,这样本产品通过自己的BFF层时调用其它产品的API接口时就没有必要在BFF层再拦截和校验了,不然对本产品来说就有些重复拦截和校验了。

------20191223闪

在Java后端如何添加拦截器的更多相关文章

  1. javaweb添加拦截器

    js请求后台代码添加拦截器: package com.ctzj.biz.isale.deploy.controller; import java.io.IOException; import java ...

  2. (七)CXF添加拦截器

    今天开始讲下拦截器,前面大家学过servlet,struts2 都有拦截器概念,主要作用是做一些权限过滤,编码处理等: webservice也可以加上拦截器,我们可以给webservice请求加权限判 ...

  3. (八)CXF之用spring添加拦截器

    一.案例 本章案例是基于CXF之自定义拦截器基础之上改造的,目的是在服务端中用spring添加拦截器 配置web.xml <?xml version="1.0" encodi ...

  4. spring boot 添加拦截器

    构建一个spring boot项目. 添加拦截器需要添加一个configuration @Configuration @ComponentScan(basePackageClasses = Appli ...

  5. 使用CXF为webservice添加拦截器

      拦截器分为Service端和Client端 拦截器是在发送soap消息包的某一个时机拦截soap消息包,对soap消息包的数据进行分析或处理.分为CXF自带的拦截器和自定义的拦截器 1.Servi ...

  6. SpringBoot如何添加拦截器

    在web开发的过程中,为了实现登录权限验证,我们往往需要添加一个拦截器在用户的的请求到达controller层的时候实现登录验证,那么SpringBoot如何添加拦截器呢? 步骤如下: 1.继承Web ...

  7. CXF添加拦截器和自定义拦截器

    前面讲了如何采用CXF开发webservice,现在来讲如何添加拦截器和自定义拦截器. 服务端代码: HelloWorld implementor=new HelloWorldImpl(); Stri ...

  8. (五)CXF之添加拦截器

    一.需求分析 webService中的拦截器类似于servlet的Filter过滤器.一般用于调用服务前后先调用拦截器的方法. 二.案例 本章案例是基于上一章节的基础上添加拦截器的 2.1 服务端添加 ...

  9. spring boot 添加拦截器的简单实例(springBoot 2.x版本,添加拦截器,静态资源不可访问解决方法)

    spring中拦截器主要分两种,一个是HandlerInterceptor,一个是MethodInterceptor 一.HandlerInterceptor HandlerInterceptor是s ...

随机推荐

  1. 【转载】Linux进程间通信(六):共享内存 shmget()、shmat()、shmdt()、shmctl()

    来源:https://www.cnblogs.com/52php/p/5861372.html 下面将讲解进程间通信的另一种方式,使用共享内存. 一.什么是共享内存 顾名思义,共享内存就是允许两个不相 ...

  2. Jenkins新建节点找不到通过Java web启动代理?

    参考博客:Jenkins新建节点,启动方式没有“通过Java Web启动代理”选项怎么办? 在Jenkins中,打开“系统管理”→“管理节点”→“新建节点”页面时,“启动方式”选项没有“通过Java ...

  3. C#基础知识学习(1)方法的重写和隐藏

    做了1年多了C#,发现些项目过程中很多基础东西都不是很清晰,基础不够牢固.现在开始复习基础知识并做重点记录 方法需要被重写的时候,可以在方法前加入virtual使方法变成虚方法. 这样我们可以重新写个 ...

  4. flyway使用简介

    官网 https://flywaydb.org/ 背景 Flyway是独立于数据库的应用.管理并跟踪数据库变更的数据库版本管理工具.用通俗的话讲,Flyway可以像Git管理不同人的代码那样,管理不同 ...

  5. 传智播客C++视频学习笔记(5)

    #include <iostream> using namespace std; void swapInt(int& a, int& b) { int temp = a; ...

  6. SAP S4HANA里委外加工采购功能的变化

    SAP S4HANA里委外加工采购功能的变化 [Part 1:主要变化点] 1.1,采购订单界面上的变化, 1.2, 新的事务代码: ME2ON (Subcontracting Cockpit), 1 ...

  7. 记一次Postgres CPU爆满故障

    问题描述 公司项目测试环境调用某些接口的时候,服务器立即崩溃,并一定时间内无法提供服务. 问题排查 服务器配置不够 第一反应是服务器需要升配啦,花钱解决一切!毕竟测试服务器配置确实不高,2CPU + ...

  8. 升级了NinjaLoveFish Excel量化表格

    为了方便查看均价和止盈值,新建了两列 这样做的好处就是,针对一个股票,可以实现不同的多个网格布局,然后分别实现各自的盈利设定. 例如这是网格1 那么同时也可以存在网格2 就可以实现多个网格布局到一个股 ...

  9. Git操作 :从一个分支cherry-pick多个commit到其他分支

    在branch1开发,进行多个提交,这时切换到branch2,想把之前branch1分支提交的commit都[复制]过来,怎么办? 首先切换到branch1分支,然后查看提交历史记录,也可以用sour ...

  10. VSCode 完美整合前后端框架(angular2+.NET core)

    首先打开命令行查看本地.NET版本. 通过命令行安装模板. dotnet new --install Microsoft.AspNetCore.SpaTemplates::* 创建demo目录,并用v ...