SpringBoot 拦截器
拦截器的原理很简单,是 AOP 的一种实现,专门拦截对动态资源的后台请求,即拦截对控制层的请求。使用场景比较多的是判断用户是否有权限请求后台,更拔高一层的使用场景也有,比如拦截器可以结合 WebSocket 一起使用,用来拦截 websocket 请求,然后做相应的处理等等。拦截器不会拦截静态资源,Spring Boot 的默认静态目录为 resources/static,该目录下的静态页面、js、css、图片等等,不会被拦截(也要看如何实现,有些情况也会拦截)。

1、拦截器的快速使用

使用拦截器很简单,只需要两步即可:定义拦截器和配置拦截器。在配置拦截器中,Spring Boot 2.0 以后的版本和之前的版本有所不同。

1.1 定义拦截器

定义拦截器,只需要实现 HandlerInterceptor 接口,HandlerInterceptor 接口是所有自定义拦截器或者 Spring Boot 提供的拦截器的鼻祖,所以,首先来了解下该接口。该接口中有三个方法: preHandle(……)postHandle(……)afterCompletion(……)

preHandle(……) 方法:该方法的执行时机是,当某个 url 已经匹配到对应的 Controller 中的某个方法,且在这个方法执行之前。所以 preHandle(……) 方法可以决定是否将请求放行,这是通过返回值来决定的,返回 true 则放行,返回 false 则不会向后执行。 postHandle(……) 方法:该方法的执行时机是,当某个 url 已经匹配到对应的 Controller 中的某个方法,且在执行完了该方法,但是在 DispatcherServlet 视图渲染之前。所以在这个方法中有个 ModelAndView 参数,可以在此做一些修改动作。 afterCompletion(……) 方法:顾名思义,该方法是在整个请求处理完成后(包括视图渲染)执行,这时做一些资源的清理工作,这个方法只有在 preHandle(……) 被成功执行后并且返回 true 才会被执行。

了解了该接口,接下来自定义一个拦截器。

  1. public class MyInterceptor implements HandlerInterceptor {
  2.     private static final Logger logger = LoggerFactory.getLogger(MyInterceptor.class);
  3.     @Override
  4.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
  5.         HandlerMethod handlerMethod = (HandlerMethod) handler;
  6.         Method method = handlerMethod.getMethod();
  7.         String methodName = method.getName();
  8.         logger.info("====拦截到了方法:{},在该方法执行之前执行====", methodName);
  9.         // 返回true才会继续执行,返回false则取消当前请求
  10.         return true;
  11.     }
  12.     @Override
  13.     public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
  14.         logger.info("执行完方法之后进执行(Controller方法调用之后),但是此时还没进行视图渲染");
  15.     }
  16.     @Override
  17.     public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
  18.         logger.info("整个请求都处理完咯,DispatcherServlet也渲染了对应的视图,此时可以做一些清理的工作了");
  19.     }
  20. }

拦截器已经定义完成,接下来就是对该拦截器进行拦截配置。

1.2 配置拦截器

在 Spring Boot 2.0 之前,都是直接继承 WebMvcConfigurerAdapter 类,然后重写 addInterceptors 方法来实现拦截器的配置。但是在 Spring Boot 2.0 之后,该方法已经被废弃了(当然,也可以继续用),取而代之的是 WebMvcConfigurationSupport 方法,如下:

  1. @Configuration
  2. public class MyInterceptorConfig extends WebMvcConfigurationSupport {
  3.     @Override
  4.     protected void addInterceptors(InterceptorRegistry registry) {
  5.         registry.addInterceptor(new MyInterceptor()).addPathPatterns("/**");
  6.         super.addInterceptors(registry);
  7.     }
  8. }

在该配置中重写 addInterceptors 方法,将上面自定义的拦截器添加进去,addPathPatterns 方法是添加要拦截的请求,这里拦截所有的请求。这样就配置好拦截器了,接下来写一个 Controller 测试一下:

  1. @Controller
  2. @RequestMapping("/interceptor")
  3. public class InterceptorController {
  4.     @RequestMapping("/test")
  5.     public String test() {
  6.         return "hello";
  7.     }
  8. }

让其跳转到 hello.html 页面,直接在 hello.html 中输出 hello interceptor 即可。启动项目,在浏览器中输入 localhost:8080/interceptor/test 看一下控制台的日志:

  1. ====拦截到了方法:test,在该方法执行之前执行====  
  2. 执行完方法之后进执行(Controller方法调用之后),但是此时还没进行视图渲染  
  3. 整个请求都处理完咯,DispatcherServlet也渲染了对应的视图,此时可以做一些清理的工作了

可以看出拦截器已经生效,并能看出其执行顺序。

1.3 解决静态资源被拦截问题

上面定义的拦截器在使用的时候会发现静态资源被拦截了。可以在 resources/static/ 目录下放置一个图片资源或者 html 文件,然后启动项目直接访问,即可看到无法访问的现象。
也就是说,虽然 Spring Boot 2.0 废弃了WebMvcConfigurerAdapter,但是 WebMvcConfigurationSupport 又会导致默认的静态资源被拦截,这就需要手动将静态资源放开。
除了在 MyInterceptorConfig 配置类中重写 addInterceptors 方法外,还需要再重写一个方法:addResourceHandlers,将静态资源放开:

  1. /**
  2.  * 用来指定静态资源不被拦截,否则继承WebMvcConfigurationSupport这种方式会导致静态资源无法直接访问
  3.  * @param registry
  4.  */
  5. @Override
  6. protected void addResourceHandlers(ResourceHandlerRegistry registry) {
  7.     registry.addResourceHandler("/**").addResourceLocations("classpath:/static/");
  8.     super.addResourceHandlers(registry);
  9. }

这样配置好之后,重启项目,静态资源也可以正常访问了。但是,还有更方便的方式来配置。
不继承 WebMvcConfigurationSupport 类,直接实现 WebMvcConfigurer 接口,然后重写 addInterceptors 方法,将自定义的拦截器添加进去即可,如下:

  1. @Configuration
  2. public class MyInterceptorConfig implements WebMvcConfigurer {
  3.     @Override
  4.     public void addInterceptors(InterceptorRegistry registry) {
  5.         // 实现WebMvcConfigurer不会导致静态资源被拦截
  6.         registry.addInterceptor(new MyInterceptor()).addPathPatterns("/**");
  7.     }
  8. }

这样就非常方便了,实现 WebMvcConfigure 接口的话,不会拦截 Spring Boot 默认的静态资源。
这两种方式都可以,由于这两种方式的不同,继承 WebMvcConfigurationSupport 类的方式可以用在前后端分离的项目中,后台不需要访问静态资源(就不需要放开静态资源了);实现 WebMvcConfigure 接口的方式可以用在非前后端分离的项目中,因为需要读取一些图片、css、js文件等等。

2、拦截器使用实例

2.1 判断用户有没有登录

一般用户登录功能可以这么做,要么往 session 中写一个 user,要么针对每个 user 生成一个 token,第二种要更好一点,那么针对第二种方式,如果用户登录成功了,每次请求的时候都会带上该用户的 token,如果未登录,则没有该 token,服务端可以检测这个 token 参数的有无来判断用户有没有登录,从而实现拦截功能。改造一下 preHandle 方法,如下:

  1. @Override
  2. public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
  3.     HandlerMethod handlerMethod = (HandlerMethod) handler;
  4.     Method method = handlerMethod.getMethod();
  5.     String methodName = method.getName();
  6.     logger.info("====拦截到了方法:{},在该方法执行之前执行====", methodName);
  7.     // 判断用户有没有登陆,一般登陆之后的用户都有一个对应的token
  8.     String token = request.getParameter("token");
  9.     if (null == token || "".equals(token)) {
  10.         logger.info("用户未登录,没有权限执行……请登录");
  11.         return false;
  12.     }
  13.     // 返回true才会继续执行,返回false则取消当前请求
  14.     return true;
  15. }

重启项目,在浏览器中输入 localhost:8080/interceptor/test 后查看控制台日志,发现被拦截,如果在浏览器中输入 localhost:8080/interceptor/test?token=123 即可正常往下走。

2.2 取消拦截操作

根据上文,如果要拦截所有 /admin 开头的 url 请求的话,需要在拦截器配置中添加这个前缀,但是在实际项目中,可能会有这种场景出现:某个请求也是 /admin 开头的,但是不能拦截,比如 /admin/login 等等,这样的话又需要去配置。那么,可不可以做成一个类似于开关的东西,哪里不需要拦截,就在哪里弄个开关上去,做成这种灵活的可插拔的效果呢?
实际上是可以的,可以定义一个注解,该注解专门用来取消拦截操作,如果某个 Controller 中的方法不需要拦截掉,即可在该方法上加上自定义的注解即可,下面先定义一个注解:

  1. /**
  2.  * 该注解用来指定某个方法不用拦截
  3.  */
  4. @Target(ElementType.METHOD)
  5. @Retention(RetentionPolicy.RUNTIME)
  6. public @interface UnInterception {
  7. }

然后在 Controller 中的某个方法上添加该注解,在拦截器处理方法中添加该注解取消拦截的逻辑,如下:

  1. @Override
  2. public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
  3.     HandlerMethod handlerMethod = (HandlerMethod) handler;
  4.     Method method = handlerMethod.getMethod();
  5.     String methodName = method.getName();
  6.     logger.info("====拦截到了方法:{},在该方法执行之前执行====", methodName);
  7.     // 通过方法,可以获取该方法上的自定义注解,然后通过注解来判断该方法是否要被拦截
  8.     // @UnInterception 是自定义的注解
  9.     UnInterception unInterception = method.getAnnotation(UnInterception.class);
  10.     if (null != unInterception) {
  11.         return true;
  12.     }
  13.     // 返回true才会继续执行,返回false则取消当前请求
  14.     return true;
  15. }

Controller 中的方法代码可以参见源码,重启项目在浏览器中输入 http://localhost:8080/interceptor/test2?token=123 测试一下,可以看出,加了该注解的方法不会被拦截。

2.3 基于URL实现的拦截器

  1. public class LoginInterceptor extends HandlerInterceptorAdapter{
  2.  /**
  3.      * 在请求处理之前进行调用(Controller方法调用之前)
  4.      * 基于URL实现的拦截器
  5.      * @param request
  6.      * @param response
  7.      * @param handler
  8.      * @return
  9.      * @throws Exception
  10.      */
  11.     @Override
  12.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
  13.         String path = request.getServletPath();
  14.         if (path.matches(Const.NO_INTERCEPTOR_PATH)) {
  15.          //不需要的拦截直接过
  16.             return true;
  17.         } else {
  18.          // 这写拦截后需要做的事儿,比如取缓存,SESSION,权限判断等
  19.             System.out.println("====================================");
  20.             return true;
  21.         }
  22.     }
  23. }

关键代码:path.matches(Const.NO_INTERCEPTOR_PATH 就是基于正则匹配的url。

  1. /**
  2.  * @explain 常量类
  3.  */
  4. public class Const {
  6.     public static final String SUCCESS = "SUCCESS";
  7.     public static final String ERROR = "ERROR";
  8.     public static final String FIALL = "FIALL";
  9.     /**********************对象和个体****************************/
  10.     public static final String SESSION_USER = "loginedAgent"; // 用户对象
  11.     public static final String SESSION_LOGINID = "sessionLoginID"; // 登录ID
  12.     public static final String SESSION_USERID = "sessionUserID"; // 当前用户对象ID编号
  14.     public static final String SESSION_USERNAME = "sessionUserName"; // 当前用户对象ID编号
  15.     public static final Integer PAGE = 10; // 默认分页数
  16.     public static final String SESSION_URL = "sessionUrl"; // 被记录的url
  17.     public static final String SESSION_SECURITY_CODE = "sessionVerifyCode"; // 登录页验证码
  18.     // 时间 缓存时间
  19.     public static final int TIMEOUT = 1800;// 秒
  20.  public static final String ON_LOGIN = "/logout.htm";
  21.  public static final String LOGIN_OUT = "/toLogout";
  22.     // 不验证URL anon:不验证/authc:受控制的
  23.     public static final String NO_INTERCEPTOR_PATH =".*/((.css)|(.js)|(images)|(login)|(anon)).*";
  24. }

2.4 基于注解的拦截器

①创建注解

  1. /**
  2.  * 在需要登录验证的Controller的方法上使用此注解
  3.  */
  4. @Target({ElementType.METHOD})// 可用在方法名上
  5. @Retention(RetentionPolicy.RUNTIME)// 运行时有效
  6. public @interface LoginRequired {
  8. }

②创建拦截器

  1. public class AuthorityInterceptor extends HandlerInterceptorAdapter{
  3.   @Override
  4.   public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
  5.    // 如果不是映射到方法直接通过
  6.         if (!(handler instanceof HandlerMethod)) {
  7.             return true;
  8.         }
  9.         // ①:START 方法注解级拦截器
  10.         HandlerMethod handlerMethod = (HandlerMethod) handler;
  11.         Method method = handlerMethod.getMethod();
  12.         // 判断接口是否需要登录
  13.         LoginRequired methodAnnotation = method.getAnnotation(LoginRequired.class);
  14.         // 有 @LoginRequired 注解,需要认证
  15.         if (methodAnnotation != null) {
  16.             // 这写你拦截需要干的事儿,比如取缓存,SESSION,权限判断等
  17.             System.out.println("====================================");
  18.             return true;
  19.         }
  20.         return true;
  21.  }
  22. }

③把拦截器添加到配置中,相当于SpringMVC时的配置文件干的事

  1. /**
  2.  * 和springmvc的webmvc拦截配置一样
  3.  */
  4. @Configuration
  5. public class WebConfigurer implements WebMvcConfigurer {
  6.     @Override
  7.     public void addInterceptors(InterceptorRegistry registry) {
  8.         // 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录
  9.         registry.addInterceptor(LoginInterceptor()).addPathPatterns("/**");
  10.         registry.addInterceptor(AuthorityInterceptor()).addPathPatterns("/**");
  11.     }
  13.     @Bean
  14.     public LoginInterceptor LoginInterceptor() {
  15.         return new LoginInterceptor();
  16.     }
  18.     @Bean
  19.     public AuthorityInterceptor AuthorityInterceptor() {
  20.         return new AuthorityInterceptor();
  21.     }
  22. }

1、一定要加@Configuration 这个注解,在启动的时候在会被加载。
2、有一些教程是用的“WebMvcConfigurerAdapter”,不过在spring5.0版本后这个类被丢弃了 WebMvcConfigurerAdapter,虽然还可以用,但是看起来不好。
3、也有一些教程使用的WebMvcConfigurationSupport,使用后发现,classpath:/META/resources/classpath:/resources/classpath:/static/classpath:/public/)不生效。具体可以原因,可以看下源码因为:WebMvcAutoConfiguration上有个条件注解:

  1. @ConditionalOnMissingBean(WebMvcConfigurationSupport.class)

所以还是建议使用WebMvcConfigurer

3、总结

Spring Boot 2.0 之后拦截器的配置支持两种方式,可以根据实际情况选择不同的配置方式。