您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關如何在Spring Boot中使用AOP實現REST接口,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。
一、Authorized實現
1、定義注解
package com.power.demo.common; import java.lang.annotation.*; /* * 安全認證 * */ @Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface Authorized { String value() default ""; }
這個注解看上去什么都沒有,僅僅是一個占位符,用于標志是否需要安全認證。
2、表現層使用注解
@Authorized @RequestMapping(value = "/getinfobyid", method = RequestMethod.POST) @ApiOperation("根據商品Id查詢商品信息") @ApiImplicitParams({ @ApiImplicitParam(paramType = "header", name = "authtoken", required = true, value = "authtoken", dataType = "String"), }) public GetGoodsByGoodsIdResponse getGoodsByGoodsId(@RequestHeader String authtoken, @RequestBody GetGoodsByGoodsIdRequest request) { return _goodsApiService.getGoodsByGoodsId(request); }
看上去就是在一個方法上加了Authorized注解,其實它也可以作用于類上,也可以類和方法混合使用。
3、請求認證切面
下面的代碼是實現靈活的安全認證的關鍵:
package com.power.demo.controller.tool; import com.power.demo.common.AppConst; import com.power.demo.common.Authorized; import com.power.demo.common.BizResult; import com.power.demo.service.contract.AuthTokenService; import com.power.demo.util.PowerLogger; import com.power.demo.util.SerializeUtil; import org.aspectj.lang.JoinPoint; import org.aspectj.lang.annotation.Aspect; import org.aspectj.lang.annotation.Before; import org.aspectj.lang.annotation.Pointcut; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Component; import org.springframework.web.context.request.RequestContextHolder; import org.springframework.web.context.request.ServletRequestAttributes; import javax.servlet.http.HttpServletRequest; import java.lang.annotation.Annotation; /** * 請求認證切面,驗證自定義請求header的authtoken是否合法 **/ @Aspect @Component public class AuthorizedAspect { @Autowired private AuthTokenService authTokenService; @Pointcut("@annotation(org.springframework.web.bind.annotation.RequestMapping)") public void requestMapping() { } @Pointcut("execution(* com.power.demo.controller.*Controller.*(..))") public void methodPointCut() { } /** * 某個方法執行前進行請求合法性認證 注入Authorized注解 (先) */ @Before("requestMapping() && methodPointCut()&&@annotation(authorized)") public void doBefore(JoinPoint joinPoint, Authorized authorized) throws Exception { PowerLogger.info("方法認證開始..."); Class type = joinPoint.getSignature().getDeclaringType(); Annotation[] annotations = type.getAnnotationsByType(Authorized.class); if (annotations != null && annotations.length > 0) { PowerLogger.info("直接類認證"); return; } //獲取當前http請求 ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes(); HttpServletRequest request = attributes.getRequest(); String token = request.getHeader(AppConst.AUTH_TOKEN); BizResult<String> bizResult = authTokenService.powerCheck(token); System.out.println(SerializeUtil.Serialize(bizResult)); if (bizResult.getIsOK() == true) { PowerLogger.info("方法認證通過"); } else { throw new Exception(bizResult.getMessage()); } } /** * 類下面的所有方法執行前進行請求合法性認證 (后) */ @Before("requestMapping() && methodPointCut()") public void doBefore(JoinPoint joinPoint) throws Exception { PowerLogger.info("類認證開始..."); Annotation[] annotations = joinPoint.getSignature().getDeclaringType().getAnnotationsByType(Authorized.class); if (annotations == null || annotations.length == 0) { PowerLogger.info("類不需要認證"); return; } //獲取當前http請求 ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes(); HttpServletRequest request = attributes.getRequest(); String token = request.getHeader(AppConst.AUTH_TOKEN); BizResult<String> bizResult = authTokenService.powerCheck(token); System.out.println(SerializeUtil.Serialize(bizResult)); if (bizResult.getIsOK() == true) { PowerLogger.info("類認證通過"); } else { throw new Exception(bizResult.getMessage()); } } }
需要注意的是,對類和方法上的Authorized處理,定義了重載的處理方法doBefore。AuthTokenService和上文介紹的處理邏輯一樣,如果安全認證不通過,則拋出異常。
如果我們在類上或者方法上都加了Authorized注解,不會進行重復安全認證,請放心使用。
4、統一異常處理
上文已經提到過,對所有發生異常的API,都返回統一格式的報文至調用方。主要代碼大致如下:
package com.power.demo.controller.exhandling; import com.power.demo.common.ErrorInfo; import org.springframework.http.HttpStatus; import org.springframework.web.bind.annotation.ControllerAdvice; import org.springframework.web.bind.annotation.ExceptionHandler; import org.springframework.web.bind.annotation.ResponseBody; import javax.servlet.http.HttpServletRequest; import java.util.Date; /** * 全局統一異常處理增強 **/ @ControllerAdvice public class GlobalExceptionHandler { /** * API統一異常處理 **/ @ExceptionHandler(value = Exception.class) @ResponseBody public ErrorInfo<Exception> jsonApiErrorHandler(HttpServletRequest request, Exception e) { ErrorInfo<Exception> errorInfo = new ErrorInfo<>(); try { System.out.println("統一異常處理..."); e.printStackTrace(); Throwable innerEx = e.getCause(); while (innerEx != null) { //innerEx.printStackTrace(); if (innerEx.getCause() == null) { break; } innerEx = innerEx.getCause(); } if (innerEx == null) { errorInfo.setMessage(e.getMessage()); errorInfo.setError(e.toString()); } else { errorInfo.setMessage(innerEx.getMessage()); errorInfo.setError(innerEx.toString()); } errorInfo.setData(e); errorInfo.setTimestamp(new Date()); errorInfo.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());//500錯誤 errorInfo.setUrl(request.getRequestURL().toString()); errorInfo.setPath(request.getServletPath()); } catch (Exception ex) { ex.printStackTrace(); errorInfo.setMessage(ex.getMessage()); errorInfo.setError(ex.toString()); } return errorInfo; } }
認證不通過的API調用結果如下:
異常的整個堆棧可以非常非常方便地幫助我們排查到問題。
我們再結合上文來看安全認證的時間先后,根據理論分析和實踐發現,過濾器Filter先于攔截器Interceptor先于自定義Authorized方法認證先于Authorized類認證。
到這里,我們發現通過AOP框架AspectJ,一個@Aspect注解外加幾個方法幾十行業務代碼,就可以輕松實現對REST API的攔截處理。
那么為什么會有@Pointcut,既然有@Before,是否有@After?
其實上述簡易安全認證功能實現的過程主要利用了Spring的AOP特性。
下面再簡單介紹下AOP常見概念(主要參考Spring實戰),加深理解。AOP概念較多而且比較乏味,經驗豐富的老鳥到此就可以忽略這一段了。
二、AOP
1、概述
AOP(Aspect Oriented Programming),即面向切面編程,可以處理很多事情,常見的功能比如日志記錄,性能統計,安全控制,事務處理,異常處理等。
AOP可以認為是一種更高級的“復用”技術,它是OOP(Object Oriented Programming,面向對象編程)的補充和完善。AOP的理念,就是將分散在各個業務邏輯代碼中相同的代碼通過橫向切割的方式抽取到一個獨立的模塊中。將相同邏輯的重復代碼橫向抽取出來,使用動態代理技術將這些重復代碼織入到目標對象方法中,實現和原來一樣的功能。這樣一來,我們在寫業務邏輯時就只關心業務代碼。
OOP引入封裝、繼承、多態等概念來建立一種對象層次結構,用于模擬公共行為的一個集合。不過OOP允許開發者定義縱向的關系,但并不適合定義橫向的關系,例如日志功能。日志代碼往往橫向地散布在所有對象層次中,而與它對應的對象的核心功能毫無關系對于其他類型的代碼,如安全性、異常處理和透明的持續性也都是如此,這種散布在各處的無關的代碼被稱為橫切(cross cutting),在OOP設計中,它導致了大量代碼的重復,而不利于各個模塊的重用。
AOP技術恰恰相反,它利用一種稱為"橫切"的技術,剖解開封裝的對象內部,并將那些影響了多個類的公共行為封裝到一個可重用模塊,并將其命名為"Aspect",即切面。
所謂"切面",簡單說就是那些與業務無關,卻為業務模塊所共同調用的邏輯或責任封裝起來,便于減少系統的重復代碼,降低模塊之間的耦合度,并有利于未來的可操作性和可維護性。
使用"橫切"技術,AOP把軟件系統分為兩個部分:核心關注點和橫切關注點。
業務處理的主要流程是核心關注點,與之關系不大的部分是橫切關注點。橫切關注點的一個特點是,它們經常發生在核心關注點的多處,而各處基本相似,比如權限認證、日志、事務。AOP的作用在于分離系統中的各種關注點,將核心關注點和橫切關注點分離開來。
2、AOP術語
深刻理解AOP,要掌握的術語可真不少。
Target:目標類,需要被代理的類,如:UserService
Advice:通知,所要增強或增加的功能,定義了切面的“什么”和“何時”,模式有Before、After、After-returning,、After-throwing和Around
Join Point:連接點,應用執行過程中,能夠插入切面的所有“點”(時機)
Pointcut:切點,實際運行中,選擇插入切面的連接點,即定義了哪些點得到了增強。切點定義了切面的“何處”。我們通常使用明確的類和方法名稱,或是利用正則表達式定義所匹配的類和方法名稱來指定這些切點。
Aspect:切面,把橫切關注點模塊化為特殊的類,這些類稱為切面,切面是通知和切點的結合。通知和切點共同定義了切面的全部內容:它是什么,在何時和何處完成其功能
Introduction:引入,允許我們向現有的類添加新方法或屬性
Weaving:織入,把切面應用到目標對象并創建新的代理對象的過程,切面在指定的連接點被織入到目標對象中。在目標對象的生命周期里有多個點可以進行織入:編譯期、類加載期、運行期
下面參考自網上圖片,可以比較直觀地理解上述這幾個AOP術語和流轉過程。
3、AOP實現
(1)動態代理
使用動態代理可以為一個或多個接口在運行期動態生成實現對象,生成的對象中實現接口的方法時可以添加增強代碼,從而實現AOP:
import java.lang.reflect.InvocationHandler; import java.lang.reflect.Method; import java.lang.reflect.Proxy; /** * 動態代理類 */ public class DynamicProxy implements InvocationHandler { /** * 需要代理的目標類 */ private Object target; /** * 寫法固定,aop專用:綁定委托對象并返回一個代理類 * * @param target * @return */ public Object bind(Object target) { this.target = target; return Proxy.newProxyInstance(target.getClass().getClassLoader(), target.getClass().getInterfaces(), this); } /** * 調用 InvocationHandler接口定義方法 * * @param proxy 指被代理的對象。 * @param method 要調用的方法 * @param args 方法調用時所需要的參數 */ @Override public Object invoke(Object proxy, Method method, Object[] args) throws Throwable { Object result = null; // 切面之前執行 System.out.println("[動態代理]切面之前執行"); // 執行業務 result = method.invoke(target, args); // 切面之后執行 System.out.println("[動態代理]切面之后執行"); return result; } }
缺點是只能針對接口進行代理,同時由于動態代理是通過反射實現的,有時可能要考慮反射調用的開銷,否則很容易引發性能問題。
(2)字節碼生成
動態字節碼生成技術是指在運行時動態生成指定類的一個子類對象(注意是針對類),并覆蓋其中特定方法,覆蓋方法時可以添加增強代碼,從而實現AOP。
最常用的工具是CGLib:
import org.springframework.cglib.proxy.Enhancer; import org.springframework.cglib.proxy.MethodInterceptor; import org.springframework.cglib.proxy.MethodProxy; import java.lang.reflect.Method; /** * 使用cglib動態代理 * <p> * JDK中的動態代理使用時,必須有業務接口,而cglib是針對類的 */ public class CglibProxy implements MethodInterceptor { private Object target; /** * 創建代理對象 * * @param target * @return */ public Object getInstance(Object target) { this.target = target; Enhancer enhancer = new Enhancer(); enhancer.setSuperclass(this.target.getClass()); // 回調方法 enhancer.setCallback(this); // 創建代理對象 return enhancer.create(); } @Override public Object intercept(Object proxy, Method method, Object[] args, MethodProxy methodProxy) throws Throwable { Object result = null; System.out.println("[cglib]切面之前執行"); result = methodProxy.invokeSuper(proxy, args); System.out.println("[cglib]切面之后執行"); return result; } }
(3)定制的類加載器
當需要對類的所有對象都添加增強,動態代理和字節碼生成本質上都需要動態構造代理對象,即最終被增強的對象是由AOP框架生成,不是開發者new出來的。
解決的辦法就是實現自定義的類加載器,在一個類被加載時對其進行增強。
JBoss就是采用這種方式實現AOP功能。
這種方式目前只是道聽途說,本人沒有在實際項目中實踐過。
(4)代碼生成
利用工具在已有代碼基礎上生成新的代碼,其中可以添加任何橫切代碼來實現AOP。
(5)語言擴展
可以對構造方法和屬性的賦值操作進行增強,AspectJ是采用這種方式實現AOP的一個常見的Java語言擴展。
比較:根據日志,上述流程的執行順序依次為:過濾器、攔截器、AOP方法認證、AOP類認證
附:記錄API日志
最后通過記錄API日志,記錄日志時加入API耗時統計(其實我們在開發.NET應用的過程中通過AOP這種記錄日志的方式也已經是標配),加深上述AOP的幾個核心概念的理解:
package com.power.demo.controller.tool; import com.power.demo.apientity.BaseApiRequest; import com.power.demo.apientity.BaseApiResponse; import com.power.demo.util.DateTimeUtil; import com.power.demo.util.SerializeUtil; import org.aspectj.lang.ProceedingJoinPoint; import org.aspectj.lang.Signature; import org.aspectj.lang.annotation.Around; import org.aspectj.lang.annotation.Aspect; import org.aspectj.lang.annotation.Pointcut; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.stereotype.Component; import org.springframework.util.StopWatch; /** * 服務日志切面,主要記錄接口日志及耗時 **/ @Aspect @Component public class SvcLogAspect { @Pointcut("@annotation(org.springframework.web.bind.annotation.RequestMapping)") public void requestMapping() { } @Pointcut("execution(* com.power.demo.controller.*Controller.*(..))") public void methodPointCut() { } @Around("requestMapping() && methodPointCut()") public Object around(ProceedingJoinPoint pjd) throws Throwable { System.out.println("Spring AOP方式記錄服務日志"); Object response = null;//定義返回信息 BaseApiRequest baseApiRequest = null;//請求基類 int index = 0; Signature curSignature = pjd.getSignature(); String className = curSignature.getClass().getName();//類名 String methodName = curSignature.getName(); //方法名 Logger logger = LoggerFactory.getLogger(className);//日志 StopWatch watch = DateTimeUtil.StartNew();//用于統計調用耗時 // 獲取方法參數 Object[] reqParamArr = pjd.getArgs(); StringBuffer sb = new StringBuffer(); //獲取請求參數集合并進行遍歷拼接 for (Object reqParam : reqParamArr) { if (reqParam == null) { index++; continue; } try { sb.append(SerializeUtil.Serialize(reqParam)); //獲取繼承自BaseApiRequest的請求實體 if (baseApiRequest == null && reqParam instanceof BaseApiRequest) { index++; baseApiRequest = (BaseApiRequest) reqParam; } } catch (Exception e) { sb.append(reqParam.toString()); } sb.append(","); } String strParam = sb.toString(); if (strParam.length() > 0) { strParam = strParam.substring(0, strParam.length() - 1); } //記錄請求 logger.info(String.format("【%s】類的【%s】方法,請求參數:%s", className, methodName, strParam)); response = pjd.proceed(); // 執行服務方法 watch.stop(); //記錄應答 logger.info(String.format("【%s】類的【%s】方法,應答參數:%s", className, methodName, SerializeUtil.Serialize(response))); // 獲取執行完的時間 logger.info(String.format("接口【%s】總耗時(毫秒):%s", methodName, watch.getTotalTimeMillis())); //標準請求-應答模型 if (baseApiRequest == null) { return response; } if ((response != null && response instanceof BaseApiResponse) == false) { return response; } System.out.println("Spring AOP方式記錄標準請求-應答模型服務日志"); Object request = reqParamArr[index]; BaseApiResponse bizResp = (BaseApiResponse) response; //記錄日志 String msg = String.format("請求:%s======應答:%s======總耗時(毫秒):%s", SerializeUtil.Serialize(request), SerializeUtil.Serialize(response), watch.getTotalTimeMillis()); if (bizResp.getIsOK() == true) { logger.info(msg); } else { logger.error(msg);//記錄錯誤日志 } return response; } }
標準的請求-應答模型,我們都會定義請求基類和應答基類,本文示例給到的是BaseApiRequest和BaseApiResponse,搜集日志時,可以對錯誤日志加以區分特殊處理。
注意上述代碼中的@Around環繞通知,參數類型是ProceedingJoinPoint,而前面第一個示例的@Before前置通知,參數類型是JoinPoint。
下面是AspectJ通知和增強的5種模式:
@Before前置通知,在目標方法執行前實施增強,請求參數JoinPoint,用來連接當前連接點的連接細節,一般包括方法名和參數值。在方法執行前進行執行方法體,不能改變方法參數,也不能改變方法執行結果。
@After 后置通知,請求參數JoinPoint,在目標方法執行之后,無論是否發生異常,都進行執行的通知。在后置通知中,不能訪問目標方法的執行結果(因為有可能發生異常),不能改變方法執行結果。
@AfterReturning 返回通知,在目標方法執行后實施增強,請求參數JoinPoint,其能訪問方法執行結果(因為正常執行)和方法的連接細節,但是不能改變方法執行結果。(注意和后置通知的區別)
@AfterThrowing 異常通知,在方法拋出異常后實施增強,請求參數JoinPoint,throwing屬性代表方法體執行時候拋出的異常,其值一定與方法中Exception的值需要一致。
@Around 環繞通知,請求參數ProceedingJoinPoint,環繞通知類似于動態代理的全過程,ProceedingJoinPoint類型的參數可以決定是否執行目標方法,而且環繞通知必須有返回值,返回值即為目標方法的返回值。
關于如何在Spring Boot中使用AOP實現REST接口就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。