APP 服务端的 Token 验证

通过拦截器对使用了@Authorization注解的方法进行请求拦截,从 http header 中取出 token 信息,验证其是否合法。非法直接返回 401 错误,合法将 token 对应的 user key 存入 request 中后继续执行。具体实现代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
public boolean preHandle (HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
// 如果不是映射到方法直接通过
if (!(handler instanceof HandlerMethod)) {
return true;
}
HandlerMethod handlerMethod = (HandlerMethod) handler;
Method method = handlerMethod.getMethod ();
// 从 header 中得到 token
String token = request.getHeader (httpHeaderName);
if (token != null && token.startsWith (httpHeaderPrefix) && token.length () > 0) {
token = token.substring (httpHeaderPrefix.length ());
// 验证 token
String key = manager.getKey (token);
if (key != null) {
// 如果 token 验证成功,将 token 对应的用户 id 存在 request 中,便于之后注入
request.setAttribute (REQUEST_CURRENT_KEY, key);
return true;
}
}
// 如果验证 token 失败,并且方法注明了 Authorization,返回 401 错误
if (method.getAnnotation (Authorization.class) != null) {
response.setStatus (HttpServletResponse.SC_UNAUTHORIZED);
response.setCharacterEncoding ("gbk");
response.getWriter ().write (unauthorizedErrorMessage);
response.getWriter ().close ();
return false;
}
// 为了防止以某种直接在 REQUEST_CURRENT_KEY 写入 key,将其设为 null
request.setAttribute (REQUEST_CURRENT_KEY, null);
return true;
}

通过拦截器后,使用解析器对修饰了@CurrentUser的参数进行注入。从 request 中取出之前存入的 user key,得到对应的 user 对象并注入到参数中。具体实现代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
@Override
public boolean supportsParameter (MethodParameter parameter) {
Class clazz;
try {
clazz = Class.forName (userModelClass);
} catch (ClassNotFoundException e) {
return false;
}
// 如果参数类型是 User 并且有 CurrentUser 注解则支持
if (parameter.getParameterType ().isAssignableFrom (clazz) &&
parameter.hasParameterAnnotation (CurrentUser.class)) {
return true;
}
return false;
}
 
@Override
public Object resolveArgument (MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
// 取出鉴权时存入的登录用户 Id
Object object = webRequest.getAttribute (AuthorizationInterceptor.REQUEST_CURRENT_KEY, RequestAttributes.SCOPE_REQUEST);
if (object != null) {
String key = String.valueOf (object);
// 从数据库中查询并返回
Object userModel = userModelRepository.getCurrentUser (key);
if (userModel != null) {
return userModel;
}
// 有 key 但是得不到用户,抛出异常
throw new MissingServletRequestPartException (AuthorizationInterceptor.REQUEST_CURRENT_KEY);
}
// 没有 key 就直接返回 null
return null;
}

详细分析:RESTful 登录设计(基于 Spring 及 Redis 的 Token 鉴权)

源码见:ScienJus/spring-restful-authorization

封装好的工具类:ScienJus/spring-authorization-manager

使用别名接受对象的参数

请求中的参数名和代码中定义的参数名不同是很常见的情况,对于这种情况 Spring 提供了几种原生的方法:

对于@RequestParam可以直接指定 value 值为别名(@RequestHeader也是一样),例如:

1
2
3
public String home (@RequestParam ("user_id") long userId) {
return "hello " + userId;
}

对于@RequestBody,由于其使使用 Jackson 将 Json 转换为对象,所以可以使用@JsonProperty的 value 指定别名,例如:

1
2
3
4
5
6
7
8
public String home (@RequestBody User user) {
return "hello " + user.getUserId ();
}
 
class User {
@JsonProperty ("user_id")
private long userId;
}

但是使用对象的属性接受参数时,就无法直接通过上面的办法指定别名了,例如:

1
2
3
public String home (User user) {
return "hello " + user.getUserId ();
}

这时候需要使用 DataBinder 手动绑定属性和别名,我在 Stack Overflow 上找到的 这篇文章 是个不错的办法,这里就不重复造轮子了。

关闭默认通过请求的后缀名判断 Content-Type

之前接手的项目的开发习惯是使用.html 作为请求的后缀名,这在 Struts2 上是没有问题的(因为本身 Struts2 处理 Json 的几种方法就都很烂)。但是我接手换成 Spring MVC 后,使用@ResponseBody返回对象时就会报找不到转换器错误。

这是因为 Spring MVC 默认会将后缀名为.html 的请求的 Content-Type 认为是text/html,而@ResponseBody返回的 Content-Type 是application/json,没有任何一种转换器支持这样的转换。所以需要手动将通过后缀名判断 Content-Type 的设置关掉,并将默认的 Content-Type 设置为application/json

1
2
3
4
5
6
7
8
9
@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter {
 
@Override
public void configureContentNegotiation (ContentNegotiationConfigurer configurer) {
configurer.favorPathExtension (false).
defaultContentType (MediaType.APPLICATION_JSON);
}
}

更改默认的 Json 序列化方案

项目中有时候会有自己独特的 Json 序列化方案,例如比较常用的使用0/1替代false/true,或是通过""代替null,由于@ResponseBody默认使用的是MappingJackson2HttpMessageConverter,只需要将自己实现的ObjectMapper传入这个转换器:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
public class CustomObjectMapper extends ObjectMapper {
 
public CustomObjectMapper () {
super ();
this.getSerializerProvider ().setNullValueSerializer (new JsonSerializer<Object>() {
@Override
public void serialize (Object value, JsonGenerator jgen, SerializerProvider provider) throws IOException {
jgen.writeString ("");
}
});
SimpleModule module = new SimpleModule ();
module.addSerializer (boolean.class, new JsonSerializer<Boolean>() {
@Override
public void serialize (Boolean value, JsonGenerator jgen, SerializerProvider provider) throws IOException {
jgen.writeNumber (value ? 1 : 0);
}
});
this.registerModule (module);
}
}

自动加密 / 解密请求中的 Json

涉及到@RequestBody@ResponseBody的类型转换问题一般都在MappingJackson2HttpMessageConverter中解决,想要自动加密 / 解密只需要继承这个类并重写readInternal/writeInternal方法即可:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
@Override
protected Object readInternal (Class<?> clazz, HttpInputMessage inputMessage) throws IOException, HttpMessageNotReadableException {
// 解密
String json = AESUtil.decrypt (inputMessage.getBody ());
JavaType javaType = getJavaType (clazz, null);
// 转换
return this.objectMapper.readValue (json, javaType);
}
 
@Override
protected void writeInternal (Object object, HttpOutputMessage outputMessage) throws IOException, HttpMessageNotWritableException {
// 使用 Jackson 的 ObjectMapper 将 Java 对象转换成 Json String
ObjectMapper mapper = new ObjectMapper ();
String json = mapper.writeValueAsString (object);
// 加密
String result = AESUtil.encrypt (json);
// 输出
outputMessage.getBody ().write (result.getBytes ());
}

基于注解的敏感词过滤功能

项目需要对用户发布的内容进行过滤,将其中的敏感词替换为*等特殊字符。大部分 Web 项目在处理这方面需求时都会选择过滤器(Filter),在过滤器中将Request包上一层Wrapper,并重写其getParameter等方法,例如:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
public class SafeTextRequestWrapper extends HttpServletRequestWrapper {
public SafeTextRequestWrapper (HttpServletRequest req) {
super (req);
}
 
@Override
public Map<String, String []> getParameterMap () {
Map<String, String []> paramMap = super.getParameterMap ();
for (String [] values : paramMap.values ()) {
for (int i = 0; i < values.length; i++) {
values [i] = SensitiveUtil.filter (values [i]);
}
}
return paramMap ;
}
 
@Override
public String getParameter (String name) {
return SensitiveUtil.filter (super.getParameter (name));
}
}
 
public class SafeTextFilter implements Filter {
@Override
public void init (FilterConfig filterConfig) throws ServletException {
 
}
 
@Override
public void doFilter (ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
SafeTextRequestWrapper safeTextRequestWrapper = new SafeTextRequestWrapper ((HttpServletRequest) request);
chain.doFilter (safeTextRequestWrapper, response);
}
 
@Override
public void destroy () {
 
}
}

但是这样做会有一些明显的问题,比如无法控制具体对哪些信息进行过滤。如果用户注册的邮箱或是密码中也带有fuck之类的敏感词,那就属于误伤了。

所以改用 Spring MVC 的 Formatter 进行拓展,只需要在@RequestParam的参数上使用@SensitiveFormat注解,Spring MVC 就会在注入该属性时自动进行敏感词过滤。既方便又不会误伤,实现方法如下:

声明@SensitiveFormat注解:

1
2
3
4
5
@Target ({ElementType.FIELD, ElementType.PARAMETER})
@Retention (RetentionPolicy.RUNTIME)
@Documented
public @interface SensitiveFormat {
}

创建SensitiveFormatter类。实现Formatter接口,重写parse方法(将接收到的内容转换成对象的方法),在该方法中对接收内容进行过滤:

1
2
3
4
5
6
7
8
9
10
11
public class SensitiveFormatter implements Formatter<String> {
@Override
public String parse (String text, Locale locale) throws ParseException {
return SensitiveUtil.filter (text);
}
 
@Override
public String print (String object, Locale locale) {
return object;
}
}

创建SensitiveFormatAnnotationFormatterFactory类,实现AnnotationFormatterFactory接口,将@SensitiveFormatSensitiveFormatter绑定:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
public class SensitiveFormatAnnotationFormatterFactory implements AnnotationFormatterFactory<SensitiveFormat> {
 
@Override
public Set<Class<?>> getFieldTypes () {
Set<Class<?>> fieldTypes = new HashSet<>();
fieldTypes.add (String.class);
return fieldTypes;
}
 
@Override
public Printer<?> getPrinter (SensitiveFormat annotation, Class<?> fieldType) {
return new SensitiveFormatter ();
}
 
@Override
public Parser<?> getParser (SensitiveFormat annotation, Class<?> fieldType) {
return new SensitiveFormatter ();
}
}

最后将SensitiveFormatAnnotationFormatterFactory注册到 Spring MVC 中:

1
2
3
4
5
6
7
8
9
@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter {
 
@Override
public void addFormatters (FormatterRegistry registry) {
registry.addFormatterForFieldAnnotation (new SensitiveFormatAnnotationFormatterFactory ());
super.addFormatters (registry);
}
}

记录请求的返回内容

这里提供一种比较通用的方法,基于过滤器实现,所以在非 Spring MVC 的项目也可以使用。

首先导入commons-io

1
2
3
4
5
<dependency>
<groupId>commons-io</groupId>
<artifactId>commons-io</artifactId>
<version>2.4</version>
</dependency>

需要用到这个库中的TeeOutputStream,这个类可以将一个将内容同时输出到两个分支的输出流,将其封装为ServletOutputStream

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
public class TeeServletOutputStream extends ServletOutputStream {
 
private final TeeOutputStream teeOutputStream;
 
public TeeServletOutputStream (OutputStream one, OutputStream two) {
this.teeOutputStream = new TeeOutputStream (one, two);
}
 
@Override
public boolean isReady () {
return false;
}
 
@Override
public void setWriteListener (WriteListener listener) {
 
}
 
@Override
public void write (int b) throws IOException {
this.teeOutputStream.write (b);
}
 
@Override
public void flush () throws IOException {
super.flush ();
this.teeOutputStream.flush ();
}
 
@Override
public void close () throws IOException {
super.close ();
this.teeOutputStream.close ();
}
}

然后创建一个过滤器,将原有的responsegetOutputStream方法重写:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
public class LoggingFilter implements Filter {
 
private static final Logger LOGGER = LoggerFactory.getLogger (LoggingFilter.class);
 
@Override
public void init (FilterConfig filterConfig) throws ServletException {
 
}
 
public void doFilter (ServletRequest request, final ServletResponse response, FilterChain chain) throws IOException, ServletException {
final ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream ();
 
HttpServletResponseWrapper responseWrapper = new HttpServletResponseWrapper ((HttpServletResponse) response) {
 
private TeeServletOutputStream teeServletOutputStream;
 
@Override
public ServletOutputStream getOutputStream () throws IOException {
return new TeeServletOutputStream (super.getOutputStream (), byteArrayOutputStream);
}
};
chain.doFilter (request, responseWrapper);
String responseLog = byteArrayOutputStream.toString ();
if (LOGGER.isInfoEnabled () && !StringUtil.isEmpty (responseLog)) {
LOGGER.info (responseLog);
}
}
 
@Override
public void destroy () {
 
}
}

super.getOutputStream ()ByteArrayOutputStream分别作为两个分支流,前者会将内容返回给客户端,后者使用toString方法即可获得输出内容。

其他的等想到再补充…

原文转自 
ScienJus's Blog

spring-mvc 的一些使用技巧(转)的更多相关文章

  1. 14个Spring MVC顶级技巧,随时用随时爽,一直用一直爽~

    通常,在Spring MVC中,我们编写一个控制器类来处理来自客户端的请求.然后,控制器调用业务类来处理与业务相关的任务,然后将客户端重定向到逻辑视图名称,该名称由Spring的调度程序Servlet ...

  2. 超实用的14个 Spring MVC “隐藏”技巧,用了都说好!

    通常,在Spring MVC中,我们编写一个控制器类来处理来自客户端的请求.然后,控制器调用业务类来处理与业务相关的任务,然后将客户端重定向到逻辑视图名称,该名称由Spring的调度程序Servlet ...

  3. java web轻量级开发面试教程摘录,java web面试技巧汇总,如何准备Spring MVC方面的面试

    本内容摘自 java web轻量级开发面试教程 https://baike.baidu.com/item/Java%20Web%E8%BD%BB%E9%87%8F%E7%BA%A7%E5%BC%80% ...

  4. Spring MVC中@RequestMapping注解使用技巧(转)

    @RequestMapping是Spring Web应用程序中最常被用到的注解之一.这个注解会将HTTP请求映射到MVC和REST控制器的处理方法上. 在这篇文章中,你将会看到@RequestMapp ...

  5. Spring MVC学习总结(6)——一些Spring MVC的使用技巧

    APP服务端的Token验证 通过拦截器对使用了 @Authorization 注解的方法进行请求拦截,从http header中取出token信息,验证其是否合法.非法直接返回401错误,合法将to ...

  6. 【64】Spring mvc详解

    Spring mvc框架 Spring web MVC 框架提供了模型-视图-控制的体系结构和可以用来开发灵活.松散耦合的 web 应用程序的组件.MVC 模式导致了应用程序的不同方面(输入逻辑.业务 ...

  7. spring mvc 如何传递集合参数(list,数组)

    spring mvc 可以自动的帮你封装参数成为对象,不用自己手动的通过request一个一个的获取参数,但是这样自动的参数封装碰碰到了集合参数可能就需要点小技巧才可以了. 一.基础类型和引用类型有什 ...

  8. Spring MVC内置支持的4种内容协商方式【享学Spring MVC】

    每篇一句 十个光头九个富,最后一个会砍树 前言 不知你在使用Spring Boot时是否对这样一个现象"诧异"过:同一个接口(同一个URL)在接口报错情况下,若你用rest访问,它 ...

  9. Spring MVC内容协商实现原理及自定义配置【享学Spring MVC】

    每篇一句 在绝对力量面前,一切技巧都是浮云 前言 上文 介绍了Http内容协商的一些概念,以及Spring MVC内置的4种协商方式使用介绍.本文主要针对Spring MVC内容协商方式:从步骤.原理 ...

  10. ModelAndViewContainer、ModelMap、Model详细介绍【享学Spring MVC】

    每篇一句 一个开源的技术产品做得好不好,主要是看你能解决多少非功能性问题(因为功能性问题是所有产品都能够想到的) 前言 写这篇文章非我本意,因为我觉得对如题的这个几个类的了解还是比较基础且简单的一块内 ...

随机推荐

  1. Post页面爬取失败__编码问题

    python3爬取Post页面时, 报以下错误 "POST data should be bytes or an iterable of bytes. It cannot be of typ ...

  2. Elasticsearch安装---安装jdk

    1.在Linux 上检查Java版本是否满足要求: java -version 如果运行上面命令时报错:-bash: java: command not found,首先检查是否有jdk ,要是有安装 ...

  3. SPOJ FFT TSUM

    第一道FFT的题目. 在网上找了很多FFT的资料,但一直都看不懂,最后是看算法导论学的FFT,算法导论上面写的很详细,每一步推导过程都有严格的证明. 下面说这道题 题意: 给一个序列s,有n个不互相同 ...

  4. dotnet core 运行程序注意事项

    .net core 程序 debug版本无法直接运行,因为没有相关的dll,只有在进入项目文件夹那一层,执行 dotnet run 来运行,会自动链接 当前用户的个人文件夹下的 .nuget/.pac ...

  5. canvas 动画库 CreateJs 之 EaselJS(上篇)

    本文来自网易云社区 作者:田亚楠 须知 本文主要是根据 createjs 中的 EaselJS 在 github 上的 tutorials 目录下的文章整理而来 (原文链接),同时也包含了很多本人的理 ...

  6. 程序员必需知道的windows快捷键

    系统操作的快捷键 1.F5------刷新 2.window+E------打开我的电脑 3.window+r------打开运行 4.window+l------快速锁机 5.window+d--- ...

  7. Linux中 find 常见用法示例

    Linux中find常见用法示例 #find path -option [ -print ] [ -exec -ok command ] {} \; #-print 将查找到的文件输出到标准输出 #- ...

  8. 大数据学习——akka学习

    架构图 重要类介绍 ActorSystem 在Akka中,ActorSystem是一个重量级的结构,他需要分配多个线程,所以在实际应用中,ActorSystem通常是一个单例对象,我们可以使用这个Ac ...

  9. Uiautomator学习笔记(2) 封装代码 报错误(NllPointerException)

    .NullPointerException: Attempt to invoke virtual method 'boolean qq.test.UiautomatorAssistant.ClickB ...

  10. 【bzoj2430】[Poi2003]Chocolate 贪心

    题目描述 有一块n*m的矩形巧克力,准备将它切成n*m块.巧克力上共有n-1条横线和m-1条竖线,你每次可以沿着其中的一条横线或竖线将巧克力切开,无论切割的长短,沿着每条横线切一次的代价依次为y1,y ...