当前位置：首页 > article >正文

SpringBoot 拦截器（Interceptor）自定义实现登录鉴权

article 2026/3/30 3:55:14

在 Web 项目中登录鉴权是最核心的安全机制接口必须校验用户是否登录、是否拥有权限未登录则直接拦截禁止访问。SpringBoot 提供的HandlerInterceptor 拦截器是实现登录校验、日志记录、接口限流最优雅的方案。本篇文章将介绍原理、自定义拦截器、登录校验实战、放行白名单、全局异常处理。一、什么是拦截器作用是什么拦截器Interceptor在请求进入Controller 之前/之后/渲染完成进行拦截处理。核心用途登录状态校验权限校验接口日志记录防重复提交性能监控特点只拦截Controller 请求不拦截静态资源可配置可中断请求直接返回结果全局统一控制代码干净二、拦截器核心 API实现HandlerInterceptor接口重写 3 个方法1publicinterfaceHandlerInterceptor{ 2 3// 1. 请求进入Controller之前执行鉴权写这里 4defaultbooleanpreHandle(HttpServletRequest request,HttpServletResponse response,Object handler)throwsException{ 5returntrue;// true放行 false拦截 6} 7 8// 2. Controller执行完毕渲染页面之前执行 9defaultvoidpostHandle(...)throwsException{} 10 11// 3. 整个请求完全结束后执行清理资源 12defaultvoidafterCompletion(...)throwsException{} 13}登录鉴权只需要 preHandle三、自定义登录拦截器创建LoginInterceptor.java1importlombok.extern.slf4j.Slf4j; 2importorg.springframework.web.servlet.HandlerInterceptor; 3importjavax.servlet.http.HttpServletRequest; 4importjavax.servlet.http.HttpServletResponse; 5 6/** 7* 登录拦截器校验是否登录 8*/ 9Slf4j 10publicclassLoginInterceptorimplementsHandlerInterceptor{ 11 12// 进入Controller前执行核心校验逻辑 13Override 14publicbooleanpreHandle(HttpServletRequest request,HttpServletResponse response,Object handler)throwsException{ 15 16// 1. 获取前端传递的 Token / Session 17String token request.getHeader(token); 18 log.info(当前请求token{}, token); 19 20// 2. 判断是否登录真实项目查询Redis/数据库 21if(token null|| token.isEmpty()){ 22 log.error(用户未登录请求被拦截); 23 24// 拦截返回未登录提示 25 response.setContentType(application/json;charsetutf-8); 26 response.getWriter().write({\code\:401,\msg\:\未登录请先登录\,\data\:null}); 27returnfalse; 28} 29 30// 3. 登录有效放行 31returntrue; 32} 33}四、注册拦截器配置白名单创建WebConfig.java实现WebMvcConfigurer注册拦截器并设置放行接口登录、注册、放行接口。1importorg.springframework.context.annotation.Configuration; 2importorg.springframework.web.servlet.config.annotation.InterceptorRegistry; 3importorg.springframework.web.servlet.config.annotation.WebMvcConfigurer; 4 5/** 6*Web 配置注册拦截器 7*/ 8Configuration 9publicclassWebConfigimplementsWebMvcConfigurer{ 10 11Override 12publicvoidaddInterceptors(InterceptorRegistry registry){ 13 registry.addInterceptor(newLoginInterceptor()) 14.addPathPatterns(/**)// 拦截所有请求 15.excludePathPatterns(// 放行白名单 16/user/login,// 登录接口 17/user/register,// 注册接口 18/swagger/**,// 接口文档 19/v3/api-docs/** 20); 21} 22}✅配置完成所有接口都会自动校验登录五、配合统一返回结构拦截器中直接返回Result 格式1response.setContentType(application/json;charsetutf-8); 2Result result Result.fail(401,未登录请先登录); 3response.getWriter().write(newObjectMapper().writeValueAsString(result)); 4returnfalse;返回格式1{ 2code:401, 3msg:未登录请先登录, 4data:null 5}六、登录校验逻辑真实项目中登录逻辑一般是前端登录成功后端生成TokenToken 存入Redis设置过期时间前端每次请求在请求头 header 携带 token拦截器获取 token查询 Redis 是否有效有效放行无效拦截完整版拦截器1Slf4j 2publicclassLoginInterceptorimplementsHandlerInterceptor{ 3 4Autowired 5privateRedisTemplateString,Object redisTemplate; 6 7Override 8publicbooleanpreHandle(HttpServletRequest request,HttpServletResponse response,Object handler)throwsException{ 9String token request.getHeader(token); 10 11// 1. 无token 12if(token null|| token.isBlank()){ 13returnresponseFail(response,未登录请先登录); 14} 15 16// 2. 校验Redis 17Object user redisTemplate.opsForValue().get(login:token: token); 18if(user null){ 19returnresponseFail(response,登录已过期请重新登录); 20} 21 22// 3. 放行 23returntrue; 24} 25 26// 统一返回错误 27privatebooleanresponseFail(HttpServletResponse response,String msg)throwsException{ 28 response.setContentType(application/json;charsetutf-8); 29Result? result Result.fail(401, msg); 30 response.getWriter().write(newObjectMapper().writeValueAsString(result)); 31returnfalse; 32} 33}七、拦截器常见高级用法1. 获取当前请求接口信息1HandlerMethod handlerMethod (HandlerMethod) handler; 2String methodName handlerMethod.getMethod().getName(); 3String className handlerMethod.getBean().getClass().getName();2. 放行静态资源1.excludePathPatterns(/static/**,/img/**,/css/**,/js/**)3. 多拦截器顺序1registry.addInterceptor(A).order(1); 2registry.addInterceptor(B).order(2);数字越小越先执行。八、拦截器 VS 过滤器 Filter组件技术作用范围适用场景拦截器 InterceptorSpring只拦截Controller登录、权限、日志过滤器 FilterServlet所有请求编码、跨域、限流登录鉴权优先用拦截器九、总结实现 HandlerInterceptorpreHandle 写登录校验WebConfig 注册白名单返回 401 未登录配合 Redis 实现真实登录鉴权

SpringBoot 拦截器（Interceptor）自定义实现登录鉴权

相关文章：

SpringBoot 拦截器（Interceptor）自定义实现登录鉴权

3大维度解析Awesome Claude Skills：重新定义AI效率边界

BlackArch Linux 完全指南：渗透测试专家的终极武器库

OpenClaw安装排错：Qwen3-VL:30B部署常见问题解决

OpenVSCode Server数据安全终极指南：完整备份与恢复策略

ESP8266高速移位寄存器驱动库：3.8μs级GPIO直控

5个步骤用开源工具实现低延迟实时字幕：从配置到优化的完整指南

5分钟快速上手：Rufus免费工具制作Windows启动盘终极指南

【20年JVM老兵亲测】Java 25密封类+模式匹配+记录类三重协同时，API设计效率提升47%！

QT事件过滤器实战：如何用eventFilter拦截鼠标移动事件（附完整代码）

哔哩哔哩API神器bilibili-api：Python开发者的终极爬虫工具指南

技术深度解析：Fritzing电路仿真与自动布线实现原理

数据清洗提速37倍的秘密：Polars 2.0中arrow2内核的零拷贝cast、predicate pushdown与pl.scan_parquet深度调优

LeetCode 231. Power of Two 题解

组合导航（五）：惯性导航系统的误差分析与校正方法

OneMore图片编辑终极指南：无需外部工具裁剪旋转图像

Rufus终极指南：轻松制作Windows 11启动盘，一键绕过TPM限制

Kubernetes Python Client批量管理秘籍：1000+Pod运维实战

嵌入式开源项目解析与复刻实践指南

Windows系统OpenClaw避坑指南：nanobot镜像部署常见报错解决

终极指南：解决Embassy嵌入式框架编译错误的10个技巧

Zotero插件安装失败？手把手教你解决版本兼容问题（以better-notes为例）

自动驾驶中的路径规划实战：手把手教你用Python复现RRT与RRT*算法（含动态演示）

从CPU指令到C++代码：拆解 std::atomic fetch_add 在 x86 和 ARM 平台上的底层实现与性能差异

Gauge常见问题解决：10个典型错误及修复方法

RK3588部署MMPose模型踩坑实录：手把手教你解决ReduceL2算子溢出与精度丢失问题

如何用TinyTroupe多智能体模拟优化大豆深加工工艺：提升效率的完整指南

OpenClaw多任务队列：GLM-4.7-Flash并行处理邮件整理与文档生成

企业级前端基建：如何将离线npm包（tgz）安全迁移到Nexus 3私库？

InfiniTime智能手表固件完全指南：从零开始打造你的开源智能手表