别再乱写Filter和Interceptor了!SpringBoot登录校验实战,从令牌生成到统一拦截的完整流程
别再乱写Filter和Interceptor了!SpringBoot登录校验实战精要
登录校验是每个JavaWeb开发者必须掌握的核心技能,但很多人在实际项目中常常陷入技术选型的困惑——Filter和Interceptor究竟该如何选择?如何避免常见的配置陷阱?本文将带你从零构建一套完整的JWT登录校验体系,涵盖令牌生成、统一拦截、异常处理全流程,并深度解析Filter与Interceptor的适用场景与最佳实践。
1. 技术选型:Filter vs Interceptor的本质差异
1.1 架构层级与执行顺序
Filter和Interceptor最根本的区别在于它们的架构层级:
// Filter属于Servlet规范 public class AuthFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 预处理逻辑 chain.doFilter(request, response); // 放行 // 后处理逻辑 } } // Interceptor属于Spring MVC框架 public class AuthInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { // 控制器方法执行前处理 return true; // 是否继续执行 } }它们的执行顺序遵循以下管道(以典型请求为例):
- Filter层:
CharacterEncodingFilter→CorsFilter→自定义AuthFilter - DispatcherServlet:路由匹配
- Interceptor层:
LogInterceptor→AuthInterceptor - Controller方法:业务逻辑处理
关键提示:Filter对所有请求生效(包括静态资源),而Interceptor只拦截Controller方法调用
1.2 核心能力对比
通过下表可以清晰看出两者的适用场景:
| 特性 | Filter | Interceptor |
|---|---|---|
| 依赖框架 | Servlet规范(JavaWeb标准) | Spring MVC框架 |
| 作用范围 | 所有HTTP请求 | 仅Controller方法调用 |
| 获取上下文 | Servlet API原生对象 | HandlerMethod参数解析 |
| 异常处理 | 需自行实现 | 可结合@ExceptionHandler |
| 性能开销 | 较低 | 略高(需经过Spring上下文) |
| 典型应用场景 | 跨域处理、字符编码、全局认证 | 权限校验、日志记录、参数预处理 |
1.3 经典误用场景分析
案例1:路径匹配陷阱
// 错误配置:Interceptor使用Servlet路径模式 registry.addInterceptor(authInterceptor) .addPathPatterns("/api/*"); // 无法匹配/api/users/1 // 正确做法:使用Ant风格路径 registry.addInterceptor(authInterceptor) .addPathPatterns("/api/**");案例2:注解扫描遗漏
// 忘记添加扫描注解导致Filter失效 @SpringBootApplication @ServletComponentScan // 必须添加! public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } }2. JWT令牌生成与校验实战
2.1 令牌生成最佳实践
采用JJWT库实现安全的令牌签发:
public class JwtUtils { private static final String SECRET_KEY = "your-256-bit-secret"; private static final long EXPIRATION = 86400000; // 24小时 public static String generateToken(UserDetails user) { return Jwts.builder() .setSubject(user.getUsername()) .claim("roles", user.getAuthorities()) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION)) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); } }安全要点:
- 使用HS256算法配合足够长度的密钥
- 设置合理的过期时间(建议≤24小时)
- 不要在令牌中存储敏感信息(如密码)
2.2 统一校验架构设计
推荐采用Filter+Interceptor双校验的混合模式:
- Filter层:基础校验(令牌存在性、格式验证)
- Interceptor层:细粒度权限控制(角色校验、权限匹配)
// Filter基础校验示例 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; String token = request.getHeader("Authorization"); if (token == null || !token.startsWith("Bearer ")) { sendError(response, 401, "Missing token"); return; } try { Claims claims = JwtUtils.parseToken(token.substring(7)); request.setAttribute("userClaims", claims); chain.doFilter(request, response); } catch (JwtException e) { sendError(response, 403, "Invalid token"); } }3. 异常处理与响应封装
3.1 全局异常处理机制
建立统一的错误响应体系:
@RestControllerAdvice public class GlobalExceptionHandler { @ExceptionHandler(AuthenticationException.class) public ResponseEntity<ErrorResponse> handleAuthError(AuthenticationException ex) { return ResponseEntity.status(401) .body(new ErrorResponse(401, "AUTH_ERROR", ex.getMessage())); } @ExceptionHandler(MethodArgumentNotValidException.class) public ResponseEntity<ErrorResponse> handleValidationError( MethodArgumentNotValidException ex) { String message = ex.getBindingResult().getAllErrors() .stream().map(DefaultMessageSourceResolvable::getDefaultMessage) .collect(Collectors.joining("; ")); return ResponseEntity.status(400) .body(new ErrorResponse(400, "VALIDATION_ERROR", message)); } }3.2 响应体标准化
定义通用响应结构:
public class ApiResponse<T> { private int code; private String message; private T data; private long timestamp = System.currentTimeMillis(); // 成功响应快捷方法 public static <T> ApiResponse<T> success(T data) { ApiResponse<T> response = new ApiResponse<>(); response.code = 200; response.message = "success"; response.data = data; return response; } }4. 性能优化与安全加固
4.1 缓存令牌校验结果
避免重复解析JWT带来的性能开销:
@Cacheable(value = "tokenCache", key = "#token") public Claims validateAndCacheToken(String token) { return Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody(); }4.2 安全防护措施
- CSRF防护:对关键操作添加随机Token校验
- 防重放攻击:在JWT中加入jti(JWT ID)和nonce
- 速率限制:对登录接口实施限流(如Guava RateLimiter)
// 限流器配置示例 @Bean public RateLimiter loginRateLimiter() { return RateLimiter.create(5); // 每秒5个请求 } @PostMapping("/login") public ApiResponse<String> login(@RequestBody LoginRequest request) { if (!loginRateLimiter.tryAcquire()) { throw new RateLimitException("Too many requests"); } // ...正常登录逻辑 }5. 现代替代方案:Spring Security整合
对于复杂系统,建议采用Spring Security + JWT组合方案:
@EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/auth/**").permitAll() .anyRequest().authenticated() .and() .addFilter(new JwtAuthenticationFilter(authenticationManager())) .addFilter(new JwtAuthorizationFilter(authenticationManager())) .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); } }迁移路径建议:
- 从简单Filter/Interceptor开始原型开发
- 随着业务复杂度的提升逐步引入Spring Security
- 关键路径保持双重校验机制
登录校验系统的设计需要根据实际业务场景灵活调整。在最近的一个教育管理系统项目中,我们采用Filter处理基础认证+Interceptor实现权限控制的混合模式,配合Redis缓存令牌信息,使系统在日均10万次请求下保持<50ms的认证延迟。记住:没有放之四海而皆准的方案,只有最适合当前业务阶段的技术选型。