詳解SpringBoot中自定義和設定攔截器的方法

2022-05-14 13:02:03

1.SpringBoot版本

本文基於的Spring Boot的版本是2.6.7 。

2.什麼是攔截器

Spring MVC中的攔截器(Interceptor)類似於ServLet中的過濾器(Filter)，它主要用於攔截使用者請求並作出相應的處理。例如通過攔截器可以進行許可權驗證、記錄請求資訊的紀錄檔、判斷使用者是否登入等。

3.工作原理

一個攔截器，只有preHandle方法返回true，postHandle、afterCompletion才有可能被執行；如果preHandle方法返回false，則該攔截器的postHandle、afterCompletion必然不會被執行。攔截器不是Filter，卻實現了Filter的功能，其原理在於：

1.所有的攔截器(Interceptor)和處理器(Handler)都註冊在HandlerMapping中。

2.Spring MVC中所有的請求都是由DispatcherServlet分發的。

3.當請求進入DispatcherServlet.doDispatch()時候，首先會得到處理該請求的Handler（即Controller中對應的方法）以及所有攔截該請求的攔截器。攔截器就是在這裡被呼叫開始工作的。

4.攔截器的工作流程

4.1正常流程

4.2中斷流程

如果在Interceptor1.preHandle中報錯或返回false ,那麼接下來的流程就會被中斷，但注意被執行過的攔截器的afterCompletion仍然會執行。

5.應用場景

攔截器本質上是面向切面程式設計（AOP），符合橫切關注點的功能都可以放在攔截器中來實現，主要的應用場景包括：

登入驗證，判斷使用者是否登入。
許可權驗證，判斷使用者是否有許可權存取資源，如校驗token
紀錄檔記錄，記錄請求操作紀錄檔（使用者ip，存取時間等），以便統計請求存取量。
處理cookie、在地化、國際化、主題等。
效能監控，監控請求處理時長等。

6.如何自定義一個攔截器

自定義一個攔截器非常簡單，只需要實現HandlerInterceptor這個介面即可，該介面有三個可以實現的方法，如下：

preHandle()方法：改方法會在控制方法前執行，器返回值表示是否知道如何寫一個介面。中斷後續操作。當其返回值為true時，表示繼續向下執行；當其返回值為false時，會中斷後續的所有操作(包括呼叫下一個攔截器和控制器類中的方法執行等 )
postHandle()方法：該方法會在控制器方法呼叫之後，且解析檢視之前執行。可以通過此方法對請求域中的模型和檢視作出進一步的修改。
afterCompletion()方法：該方法會在整個請求完成，即檢視渲染結束之後執行。可以通過此方法實現一些資源清理、記錄紀錄檔資訊等工作。

7.如何使其在Spring Boot中生效

其實想要在Spring Boot生效其實很簡單，只需要定義一個設定類，實現WebMvcConfigurer這個介面，並且實現其中的addInterceptiors()方法即可，程式碼演示如下：

@Configuration
public class WebConfig implements WebMvcConfigurer {
    
    @Autowired
    private  XXX xxx;
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //不需要攔截的url
        final  String[] commonExclude={};
        registry.addInterceptor(xxx).excludePathPatterns(commonExclude)
    }
}

8.實際使用

8.1場景模擬

通過攔截器防止使用者暴力請求連線，使用使用者IP來限制存取次數。達到多少次數禁止該IP存取。

8.2思路

記錄使用者IP存取次數，第一次存取時在redis中建立一個有效時長1秒的key，當第二次存取時key值+1，當值大於等於5時在redis中建立一個5分鐘的key，當攔截器查詢到reids中有當前IP的key值時返回false限制使用者請求介面。

8.3實現過程

第一步，建立一個攔截器，程式碼如下：

@Slf4j
public class IpUrlLimitInterceptor implements HandlerInterceptor {

    @Resource
    RedisUtils redisUtils;

    private static  final  String LOCK_IP_URL_KEY="lock_ip_";

    private static  final String IP_URL_REQ_TIME="ip_url_times_";
    //存取次數限制
    private static final long LIMIT_TIMES=5;

    //限制時間 秒為單位
    private static final int IP_LOCK_TIME=300;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        log.info("request請求地址uri={},ip={}",request.getRequestURI(), IpUtils.getRequestIP(request));
        if(ipIsLock(IpUtils.getRequestIP(request))){
            log.info("ip存取被禁止={}",IpUtils.getRequestIP(request));
            throw  new Exception("當前操作過於頻繁，請5分鐘後重試");
        }
        if (!addRequestTime(IpUtils.getRequestIP(request),request.getRequestURI())){
            log.info("當前{}操作過於頻繁，請5分鐘後重試",IpUtils.getRequestIP(request));
            throw  new Exception("當前操作過於頻繁，請5分鐘後重試");
        }
        return true;
    }

    private boolean addRequestTime(String ip, String uri) {
        String key = IP_URL_REQ_TIME+ip+uri;
        if(redisUtils.hasKey(key)){
            long time=redisUtils.incr(key,(long)1);
            if(time >=LIMIT_TIMES){
                redisUtils.set(LOCK_IP_URL_KEY+ip,IP_LOCK_TIME);
                return false;
            }
        }else {
             boolean set = redisUtils.set(key, (long) 1, 1);
        }
        return  true;
    }

    private boolean ipIsLock(String ip) {
        if(redisUtils.hasKey(LOCK_IP_URL_KEY+ip)){
            return true;
        }
        return false;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        HandlerInterceptor.super.postHandle(request, response, handler, modelAndView);
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        HandlerInterceptor.super.afterCompletion(request, response, handler, ex);
    }
}

第二步，定義一個獲取IP的工具類，程式碼如下：

@Slf4j
public class IpUtils {


    public  static  String getRequestIP(HttpServletRequest request){
        String ip = request.getHeader("x-forwarded-for");
        if(ip != null && ip.length() !=0 && "unknown".equalsIgnoreCase(ip)){
            // 多次反向代理後會有多個ip值，第一個ip才是真實ip
            if( ip.indexOf(",")!=-1 ){
                ip = ip.split(",")[0];
            }
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)){
            ip = request.getHeader("Proxy-Client-IP");
            log.info("Proxy-Client-IP ip: " + ip);
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
            log.info("HTTP_CLIENT_IP ip: " + ip);
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");
            log.info("HTTP_X_FORWARDED_FOR ip: " + ip);
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("X-Real-IP");
            log.info("X-Real-IP ip: " + ip);
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
            log.info("getRemoteAddr ip: " + ip);
        }
        return  ip;
    }
}

第二步，在Spring Boot中設定這個攔截器，程式碼如下：

@Configuration
public class WebConfig implements WebMvcConfigurer {



    @Bean
    IpUrlLimitInterceptor getIpUrlLimitInterceptor(){
        return  new IpUrlLimitInterceptor();
    };
    @Override
    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(getIpUrlLimitInterceptor()).addPathPatterns("/**");
    
    }
}