SpringBoot가 ThreadLocal을 통해 로그인 차단을 구현하는 방법
- WBOY앞으로
- 2023-05-22 12:04:421389검색
1 서문
등록과 로그인은 일상적인 개발에서 가장 흔하다고 할 수 있지만, 일반적으로 회사에 입사한 후에는 새로운 프로젝트가 아닌 이상 이런 기능은 오래 전부터 개발해 왔습니다. 지난 이틀 동안 우연히 PC 측에서 등록 및 로그인 기능을 완료해야 하는 상황이 발생했습니다.
이러한 요구를 충족하는 방법에는 여러 가지가 있습니다. 예:
1) HandlerInterceptor+WebMvcConfigurer+ThreadLocal
2) 필터 필터
3) 보안 프레임워크 Shiro(경량 프레임워크)
4) 보안 프레임워크 Spring Securety(헤비급 프레임워크)
그리고 이를 구현하기 위해 첫 번째 Spring HandlerInterceptor+WebMvcConfigurer+ThreadLocal 기술을 사용합니다.
2 Concrete 클래스
2.1HandlerInterceptor
HandlerInterceptor는 springMVC에서 인터셉터를 위해 제공되는 인터페이스이다. 이는 Servlet 개발의 필터와 유사하며 프로세서에 의한 전처리와 후처리에 사용된다.
preHandle:
호출 시간: 컨트롤러 메소드 처리 전
실행 순서: 연결된 인터셉터의 경우 선언된 순서대로 인터셉터가 차례로 실행됩니다.
false가 반환되면 실행이 중단됩니다. 참고: afterCompletion
을 입력하지 않습니다. postHandle:
호출 전제: preHandle이 true를 반환합니다
호출 시간: Controller 메서드가 처리된 후 DispatcherServlet이 뷰를 렌더링하기 전, 즉 ModelAndView가 이 메서드에서 작동될 수 있습니다.
실행 순서 : Chained Interceptor의 경우 선언 순서대로 Intercepter가 실행됨
주의 사항 : postHandle이 post로 시작하지만 post 요청과 get 요청을 처리할 수 있음
afterCompletion:
호출 전제 : preHandle이 true를 반환
호출 시간: DispatcherServlet이 뷰를 렌더링한 후
다중 용도 리소스 정리용
2.2 WebMvcConfigurer
WebMvcConfigurer 구성 클래스는 실제로 Spring内部的一种配置方式,采用JavaBean的形式来代替传统的xml配置文件形式进行针对框架个性化定制,可以自定义一些Handler,Interceptor,ViewResolver,MessageConverter。基于java-based方式的spring mvc配置,需要创建一个配置类并实现WebMvcConfigurer인터페이스입니다. Spring Boot 1.5 버전에서는 WebMvcConfigurerAdapter를 다시 작성하는 방법을 사용합니다. 사용자 정의 인터셉터, 메시지 변환기 등을 추가합니다. SpringBoot 2.0 버전 이후 이 클래스는 @Deprecated(더 이상 사용되지 않음)로 표시되었습니다. 공식적인 권장 사항은 WebMvcConfigurer를 직접 구현하거나 WebMvcConfigurationSupport를 직접 상속하는 것입니다. 첫 번째 방법은 WebMvcConfigurer 인터페이스를 구현하는 것(권장)이고, 두 번째 방법은 WebMvcConfigurationSupport 클래스를 상속하는 것입니다.
3 코드 실습
1) HeadTokenInterceptor 인터셉터를 작성합니다. HandlerInterceptor를 상속
package com.liubujun.config;
import com.liubujun.moudle.UserToken;
import com.liubujun.util.SecurityContextUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.xml.ws.handler.Handler;
import java.io.IOException;
/**
* @Author: liubujun
* @Date: 2022/5/21 16:12
*/
@Component
@Slf4j
public class HeadTokenInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String authorization = request.getHeader("Authorization");
if (authorization == null ) {
unauthorized(response);
return false;
}
//这里一般都会解析出userToken的值,这里为了方便就直接new了
UserToken userToken = new UserToken();
SecurityContextUtil.addUser(userToken);
return false;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
SecurityContextUtil.removeUser();
}
private void unauthorized(HttpServletResponse response) {
response.setStatus(HttpStatus.UNAUTHORIZED.value());
try {
response.getWriter().append(HttpStatus.UNAUTHORIZED.getReasonPhrase());
} catch (IOException e) {
log.error("HttpServletResponse writer error.msg",HttpStatus.UNAUTHORIZED.getReasonPhrase());
log.error(e.getMessage(),e);
}
}
}2) MyWebMvcConfigurer를 작성하여 Inherit WebMvcConfigurationSupport
package com.liubujun.config;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import java.util.ArrayList;
/**
* @Author: liubujun
* @Date: 2022/5/21 16:40
*/
@Configuration
public class MyWebMvcConfigurer extends WebMvcConfigurationSupport {
@Autowired
private HeadTokenInterceptor headTokenInterceptor;
/**
* 类似于白名单,在这边添加的请求不会走拦截器
* @param registry
*/
@Override
public void addInterceptors(InterceptorRegistry registry) {
ArrayList<String> pattres = new ArrayList<>();
pattres.add("/login/login");
registry.addInterceptor(headTokenInterceptor).excludePathPatterns(pattres).addPathPatterns("/**");
super.addInterceptors(registry);
}
/**
* 添加静态资源
* @param registry
*/
@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
registry.addResourceHandler("xxx.html")
.addResourceLocations("classpath:/META-INF/resources");
super.addResourceHandlers(registry);
}
}3) ThreadLocal 클래스를 작성하여 사용자 정보를 저장
package com.liubujun.util;
import com.liubujun.moudle.UserToken;
import org.springframework.core.NamedThreadLocal;
/**
* @Author: liubujun
* @Date: 2022/5/23 9:41
*/
public class SecurityContextUtil {
private static ThreadLocal<UserToken> threadLocal = new NamedThreadLocal<>("user");
public static void addUser(UserToken user){
threadLocal.set(user);
}
public static UserToken getUser(){
return threadLocal.get();
}
public static void removeUser(){
threadLocal.remove();
}
public static String getPhoneNumber(){
return threadLocal.get().getPhoneNumber();
}
public static Integer getId(){
return threadLocal.get().getId();
}
public static String getUserText(){
return threadLocal.get().getUserText();
}
}4) 테스트 컨트롤러 작성
@RestController
@RequestMapping(value = "/login",produces = {"application/json;charset=UTF-8"})
public class Login {
@PostMapping("/login")
public String login(){
return "登录请求不需要拦截";
}
@PostMapping("/other")
public String other(){
return "其他的请求需要拦截";
}
}5) Test
로그인 인터페이스를 테스트하고, (토큰을 전달하지 않고 직접 해제)
다른 인터페이스 테스트, no 토큰이 가로채기
위 내용은 SpringBoot가 ThreadLocal을 통해 로그인 차단을 구현하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!