一般情況，在訪問RESTful風格的API之前，可以對訪問行為進行攔截，並做一些邏輯處理，本文主要介紹三種攔截方式，分別是：過濾器Filter、攔截器Interceptor以及面向切面的攔截方式AOP。

一、使用過濾器Filter進行攔截

使用過濾器進行攔截主要有兩種方式，第一種是將自定義的攔截器標註為Spring的Bean，在Spring Boot應用就可以對RESTful風格的API進行攔截。第二種方式往往應用在繼承第三方過濾器，這時候就需要將第三方攔截器使用FilterRegistrationBean物件進行註冊即可。接下來詳細介紹兩種方式。

• 將攔截器標註為Spring
  的Bean

package com.lemon.security.web.filter;

import org.springframework.stereotype.Component;

import javax.servlet.*;
import java.io.IOException;

/**
 * @author lemon
 * @date 2018/4/1 下午10:19
 */
@Component
public class TimeFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws
 
 ServletException {
        System.out.println("time filter init.");
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        System.out.println("time filter start.");
        long startTime = System.currentTimeMillis();
        chain.doFilter(request, response);
        System.out.println("time filter 耗時： "
 
 + (System.currentTimeMillis() - startTime));
        System.out.println("time filter finish.");
    }

    @Override
    public void destroy() {
        System.out.println("time filter destroy.");
    }
}

啟動Spring Boot應用的時候，上面的攔截器就會起作用，當訪問每一個服務的時候，都會進入這個攔截器中。初始化方法init和銷燬方法destroy只會呼叫一次，分別是應用啟動時候呼叫init方法，應用關閉時候呼叫destroy方法。而doFilter方法則在每次都會呼叫。

• 將攔截器作為第三方攔截器進行註冊

使用的類還是上面的同一個類，只不過這次不需要@Component註解，這時候我們需要自己寫一個配置類，將過濾器註冊到Spring容器中。推薦使用這種方式，因為這種方式我們可以自己設定需要攔截的API，否則第一種方式是攔截所有的API。

package com.lemon.security.web.config;

import com.lemon.security.web.filter.TimeFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.ArrayList;
import java.util.List;

/**
 * @author lemon
 * @date 2018/4/1 下午10:34
 */
@Configuration
public class WebConfig {

    @Bean
    public FilterRegistrationBean timeFilter() {
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
        TimeFilter timeFilter = new TimeFilter();
        filterRegistrationBean.setFilter(timeFilter);
        List<String> urls = new ArrayList<>();
        urls.add("/*");
        filterRegistrationBean.setUrlPatterns(urls);
        return filterRegistrationBean;
    }
}

這裡我設定的仍然是攔截所有的API，可以設定為自定義的方式對API進行攔截。

二、使用攔截器Interceptor進行攔截

這裡需要定義一個攔截器類，並實現HandlerInterceptor介面，這個介面有三個方法需要實現，分別是：

boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception;
void postHandle(
            HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView)
            throws Exception;
void afterCompletion(
            HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
            throws Exception;

下面對三個方法進行一一解釋：

• preHandle方法的第三個引數是具體的API處理方法的Method物件，我們可以將其強轉為HandlerMethod，然後就可以獲取該Method的一些屬性，比如方法名，方法所在類的類名等資訊。preHandle是當訪問API之前，都要進入這個方法，由這個方法進行一些邏輯處理，如果處理完結果返回true，那麼將繼續進入到具體的API中，否則將就地結束訪問，邏輯不會進入API方法中。

• postHandle方法是在API方法訪問完成之後立即進入的方法，可以處理一些邏輯，比如將API中的資料封裝到ModelAndView中，如果前面的preHandle方法返回false，將不會執行該方法，如果API方法發生了異常，也將不會呼叫此方法。

• afterCompletion方法的呼叫只要preHandle方法通過之後就會呼叫它，不論API方法是否出現了異常。如果出現了異常，將被封裝到Exception物件中。

下面，寫一個自定義的類來實現上述介面：

package com.lemon.security.web.interceptor;

import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @author lemon
 * @date 2018/4/1 下午10:39
 */
@Component
public class TimeInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("preHandler");
        System.out.println(((HandlerMethod) handler).getBean().getClass().getName());
        System.out.println(((HandlerMethod) handler).getMethod().getName());
        request.setAttribute("startTime", System.currentTimeMillis());
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("postHandler");
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("afterCompletion");
        System.out.println("TimeInterceptor耗時：" + (System.currentTimeMillis() - (Long) request.getAttribute("startTime")));
    }
}

這裡需要將其標註為Spring的Bean，但是僅僅標註為Bean還是不夠的，需要在配置類中進行配置。程式碼如下：

package com.lemon.security.web.config;

import com.lemon.security.web.interceptor.TimeInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

/**
 * @author lemon
 * @date 2018/4/1 下午10:34
 */
@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

    @Autowired
    private TimeInterceptor timeInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(timeInterceptor);
    }
}

這個配置類需要繼承WebMvcConfigurerAdapter，並重寫新增攔截器的方法addInterceptors，將自定義攔截器新增到應用中。這時候攔截器就生效了。

三、使用AOP進行攔截

其實是有攔截器Interceptor對API進行攔截的時候是有缺陷的，因為無法獲取前端訪問API的時候所攜帶的引數的，為什麼會這麼說？從Spring MVC的DispatcherServlet的原始碼中可以發現，找到doDispatch方法，也就是請求分發的方法，有一段程式碼如下：

如果我們自定的Interceptor的preHandler方法返回的是false，分發任務就會截止，不再繼續執行下面的程式碼，而下面的一行程式碼正是將前端攜帶的引數進行對映的邏輯，也就是說，preHandler方法不會接觸到前端攜帶來的引數，也就是說攔截器無法處理引數。所以這裡引進AOP進行攔截。
AOP的核心概念解釋：
描述AOP常用的一些術語有通知(Adivce)、切點（Pointcut）、連線點（Join point）、切面（Aspect）、引入（Introduction）、織入（Weaving）

• 通知（Advice）

通知分為五中型別：
Before：在方法被呼叫之前呼叫
After：在方法完成後呼叫通知，無論方法是否執行成功
After-returning：在方法成功執行之後呼叫通知
After-throwing：在方法丟擲異常後呼叫通知
Around：通知了好、包含了被通知的方法，在被通知的方法呼叫之前後呼叫之後執行自定義的行為

• 連線點（Join point）

連線點是一個應用執行過程中能夠插入一個切面的點。比如：方法呼叫、方法執行、欄位設定/獲取、異常處理執行、類初始化、甚至是for迴圈中的某個點。理論上, 程式執行過程中的任何時點都可以作為作為織入點, 而所有這些執行時點都是Joint point，但 Spring AOP 目前僅支援方法執行 (method execution)。

• 切點（Pointcut）

通知（advice）定義了切面何時，那麼切點就是定義切面“何處” 描述某一類 Joint points, 比如定義了很多 Joint point, 對於 Spring AOP 來說就是匹配哪些方法的執行。

• 切面（Aspect）

切面是切點和通知的結合。通知和切點共同定義了關於切面的全部內容，它是什麼時候，在何時和何處完成功能。

• 引入（Introduction）

引用允許我們向現有的類新增新的方法或者屬性

• 織入（Weaving）

組裝方面來建立一個被通知物件。這可以在編譯時完成（例如使用AspectJ編譯器），也可以在執行時完成。Spring和其他純Java AOP框架一樣，在執行時完成織入。

上面的概念有點生澀難懂，總結一個核心內容：切面 = 切點 + 通知。
現在通過程式碼來編寫一個切面：

package com.lemon.security.web.aspect;

import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.stereotype.Component;

/**
 * @author lemon
 * @date 2018/4/2 上午10:40
 */
@Aspect
@Component
public class TimeAspect {

    @Around("execution(* com.lemon.security.web.controller.UserController.*(..))")
    public Object handleTime(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {
        System.out.println("time aspect is start.");
        for (Object object : proceedingJoinPoint.getArgs()) {
            System.out.println(object);
        }
        long startTime = System.currentTimeMillis();
        Object obj = proceedingJoinPoint.proceed();
        System.out.println("time aspect 耗時：" + (System.currentTimeMillis() - startTime));
        System.out.println("time aspect finish.");
        return obj;
    }
}

@Around定義了環繞通知，也就是定義了何時使用切面，表示式"execution(* com.lemon.security.web.controller.UserController.*(..))"定義了再哪裡使用。ProceedingJoinPoint物件的proceed()方法表示執行被攔截的方法，它有一個Object型別的返回值，是原有方法的返回值，後期使用的時候往往需要強轉。關於切點的表示式，可以訪問Spring官方文件。
對於上面三種攔截方式，他們的執行有一個基本的順序，進入的順序是Filter-->Interceptor-->Aspect-->Controller-->Aspect-->Interceptor-->Filter（不考慮異常的發生）。如下圖所示：

Spring Security技術棧開發企業級認證與授權系列文章列表：

示例程式碼下載地址：

專案已經上傳到碼雲，歡迎下載，內容所在資料夾為chapter005。