SpringBoot项目鉴权的4种方式

　　文章介绍了springboot中实现通用auth的四种方式，包括传统AOP、拦截器、参数解析器和过滤器，并提供了对应的实例代码，最后简单总结了下他们的执行顺序。前言
　　最近一直被无尽的业务需求淹没，没时间喘息，终于接到一个能让我突破代码舒适区的活儿，解决它的过程非常曲折，一度让我怀疑人生，不过收获也很大，代码方面不明显，但感觉自己抹掉了java、Tomcat、Spring一直挡在我眼前的一层纱。对它们的理解上了一个新的层次。好久没输出了，于是挑一个方面总结一下，希望在梳理过程中再了解一些其他的东西。
　　由于Java繁荣的生态，下面每一个模块都有大量的文章专门讲述。所以我选了另外一个角度，从实际问题出发，将这些分散的知识串联起来，各位可以作为一个综述来看。各个模块的极致详细介绍，大家可以去翻官方文档或看网络上的其他博客。需求很简单清晰，跟产品们提的妖艳需求一点也不一样：在我们的web框架里添加一个通用的appkey白名单校验功能，希望它的扩展性更好一些。
　　这个web框架是部门前驱者基于springboot实现的，介于业务和Spring框架之间，做一些偏向于业务的通用性功能，如日志输出、功能开关、通用参数解析等。平常是对业务透明的，最近一直忙于把需求做好，代码写好，甚至从没注意过它的存在。传统AOP
　　对于这种需求，首先想到的当然是Springboot提供的AOP接口，只需要在Controller方法前添加切点，然后再对切点进行处理即可。实现
　　其使用步骤如下：使用Aspect声明一下切面类WhitelistAspect；在切面类内添加一个切点whitelistPointcut（），为了实现此切点灵活可装配的能力，这里不使用execution全部拦截，而是添加一个注解Whitelist，被注解的方法才会校验白名单。在切面类中使用spring的AOP注解Before声明一个通知方法checkWhitelist（）在Controller方法被执行之前校验白名单。
　　切面类伪代码如下：AspectpublicclassWhitelistAspect｛Before（valuewhitelistPointcut（）annotation（whitelist））publicvoidcheckAppkeyWhitelist（JoinPointjoinPoint，Whitelistwhitelist）｛checkWhitelist（）；可使用joinPoint。getArgs（）获取Controller方法的参数可以使用whitelist变量获取注解参数｝Pointcut（annotation（com。zhenbianshu。Whitelist））publicvoidwhitelistPointCut（）｛｝｝
　　在Controller方法上添加Whitelist注解实现功能。扩展
　　本例中使用了注解来声明切点，并且我实现了通过注解参数来声明要校验的白名单，如果之后还需要添加其他白名单的话，如通过UID来校验，则可以为此注解添加uid（）等方法，实现自定义校验。此外，spring的AOP还支持execution（执行方法）、bean（匹配特定名称的Bean对象的执行方法）等切点声明方法和Around（在目标函数执行中执行）、After（方法执行后）等通知方法。如此，功能已经实现了，但领导并不满意，原因是项目中AOP用得太多了，都用滥了，建议我换一种方式。嗯，只好搞起。Interceptor
　　Spring的拦截器（Interceptor）实现这个功能也非常合适。顾名思义，拦截器用于在Controller内Action被执行前通过一些参数判断是否要执行此方法，要实现一个拦截器，可以实现Spring的HandlerInterceptor接口。实现
　　实现步骤如下：定义拦截器类AppkeyInterceptor类并实现HandlerInterceptor接口。实现其preHandle（）方法；在preHandle方法内通过注解和参数判断是否需要拦截请求，拦截请求时接口返回false；在自定义的WebMvcConfigurerAdapter类内注册此拦截器；
　　AppkeyInterceptor类如下：ComponentpublicclassWhitelistInterceptorimplementsHandlerInterceptor｛OverridepublicbooleanpreHandle（HttpServletRequestrequest，HttpServletResponseresponse，Objecthandler）throwsException｛Whitelistwhitelist（（HandlerMethod）handler）。getMethodAnnotation（Whitelist。class）；whitelist。values（）；通过request获取请求参数，通过whitelist变量获取注解参数returntrue；｝OverridepublicvoidpostHandle（HttpServletRequestrequest，HttpServletResponseresponse，Objecthandler，ModelAndViewmodelAndView）throwsException｛方法在Controller方法执行结束后执行｝OverridepublicvoidafterCompletion（HttpServletRequestrequest，HttpServletResponseresponse，Objecthandler，Exceptionex）throwsException｛在view视图渲染完成后执行｝｝扩展
　　要启用拦截器还要显式配置它启用，这里我们使用WebMvcConfigurerAdapter对它进行配置。需要注意，继承它的的MvcConfiguration需要在ComponentScan路径下。ConfigurationpublicclassMvcConfigurationextendsWebMvcConfigurerAdapter｛OverridepublicvoidaddInterceptors（InterceptorRegistryregistry）｛registry。addInterceptor（newWhitelistInterceptor（））。addPathPatterns（）。order（1）；这里可以配置拦截器启用的path的顺序，在有多个拦截器存在时，任一拦截器返回false都会使后续的请求方法不再执行｝｝
　　还需要注意，拦截器执行成功后响应码为200，但响应数据为空。
　　当使用拦截器实现功能后，领导终于祭出大招了：我们已经有一个Auth参数了，appkey可以从Auth参数里取到，可以把在不在白名单作为Auth的一种方式，为什么不在Auth时校验？emmm吐血中。
　　如果您正在学习SpringBoot，那么推荐一个连载多年还在继续更新的免费教程：http：blog。didispace。comspringbootlearning2xArgumentResolver
　　参数解析器是Spring提供的用于解析自定义参数的工具，我们常用的RequestParam注解就有它的影子，使用它，我们可以将参数在进入ControllerAction之前就组合成我们想要的样子。Spring会维护一个ResolverList，在请求到达时，Spring发现有自定义类型参数（非基本类型），会依次尝试这些Resolver，直到有一个Resolver能解析需要的参数。要实现一个参数解析器，需要实现HandlerMethodArgumentResolver接口。实现定义自定义参数类型AuthParam，类内有appkey相关字段；定义AuthParamResolver并实现HandlerMethodArgumentResolver接口；实现supportsParameter（）接口方法将AuthParam与AuthParamResolver适配起来；实现resolveArgument（）接口方法解析reqest对象生成AuthParam对象，并在此校验AuthParam，确认appkey是否在白名单内；在ControllerAction方法上签名内添加AuthParam参数以启用此Resolver；
　　实现的AuthParamResolver类如下：ComponentpublicclassAuthParamResolverimplementsHandlerMethodArgumentResolver｛OverridepublicbooleansupportsParameter（MethodParameterparameter）｛returnparameter。getParameterType（）。equals（AuthParam。class）；｝OverridepublicObjectresolveArgument（MethodParameterparameter，ModelAndViewContainermavContainer，NativeWebRequestwebRequest，WebDataBinderFactorybinderFactory）throwsException｛Whitelistwhitelistparameter。getMethodAnnotation（Whitelist。class）；通过webRequest和whitelist校验白名单returnnewAuthParam（）；｝｝扩展
　　当然，使用参数解析器也需要单独配置，我们同样在WebMvcConfigurerAdapter内配置：ConfigurationpublicclassMvcConfigurationextendsWebMvcConfigurerAdapter｛OverridepublicvoidaddArgumentResolvers（ListHandlerMethodArgumentResolverargumentResolvers）｛argumentResolvers。add（newAuthParamResolver（））；｝｝
　　这次实现完了，我还有些不放心，于是在网上查找是否还有其他方式可以实现此功能，发现常见的还有Filter。Filter
　　Filter并不是Spring提供的，它是在Servlet规范中定义的，是Servlet容器支持的。被Filter过滤的请求，不会派发到Spring容器中。它的实现也比较简单，实现javax。servlet。Filter接口即可。由于不在Spring容器中，Filter获取不到Spring容器的资源，只能使用原生Java的ServletRequest和ServletResponse来获取请求参数。另外，在一个Filter中要显示调用FilterChain的doFilter方法，不然认为请求被拦截。实现类似：publicclassWhitelistFilterimplementsjavax。servlet。Filter｛Overridepublicvoidinit（FilterConfigfilterConfig）throwsServletException｛初始化后被调用一次｝OverridepublicvoiddoFilter（ServletRequestrequest，ServletResponseresponse，FilterChainchain）throwsIOException，ServletException｛判断是否需要拦截chain。doFilter（request，response）；请求通过要显示调用｝Overridepublicvoiddestroy（）｛被销毁时调用一次｝｝扩展
　　Filter也需要显示配置：ConfigurationpublicclassFilterConfiguration｛BeanpublicFilterRegistrationBeansomeFilterRegistration（）｛FilterRegistrationBeanregistrationnewFilterRegistrationBean（）；registration。setFilter（newWhitelistFilter（））；registration。addUrlPatterns（）；registration。setName（whitelistFilter）；registration。setOrder（1）；设置过滤器被调用的顺序returnregistration；｝｝小结
　　四种实现方式都有其适合的场景，那么它们之间的调用顺序如何呢？Filter是Servlet实现的，自然是最先被调用，后续被调用的是Interceptor被拦截了自然不需要后续再进行处理，然后是参数解析器，最后才是切面的切点。