先後端分離-從MVC到先後端分離

• 摘要：MVC模式早在上個世紀70年代就誕生了，直到今天它依然存在，可見生命力至關之強。MVC模式最先用於Smalltalk語言中，最後在其它許多開發語言中都獲得了很好的應用，例如，Java中的Struts、Spring MVC等框架。

1. 理解MVC

MVC是一種經典的設計模式，全名爲Model-View-Controller，即模型-視圖-控制器。

其中，模型是用於封裝數據的載體，例如，在Java中通常經過一個簡單的POJO（Plain Ordinary Java Object）來表示，其本質是一個普通的Java Bean，包含一系列的成員變量及其getter/setter方法。對於視圖而言，它更加偏重於展示，也就是說，視圖決定了界面到底長什麼樣子，在Java中可經過JSP來充當視圖，或者經過純HTML的方式進行展示，然後者纔是目前的主流。模型和視圖須要經過控制器來進行粘合，例如，用戶發送一個HTTP請求，此時該請求首先會進入控制器，而後控制器去獲取數據並將其封裝爲模型，最後將模型傳遞到視圖中進行展示。

綜上所述，MVC的交互過程如圖1所示。

2. MVC模式的優勢與不足

MVC模式早在上個世紀70年代就誕生了，直到今天它依然存在，可見生命力至關之強。MVC模式最先用於Smalltalk語言中，最後在其它許多開發語言中都獲得了很好的應用，例如，Java中的Struts、Spring MVC等框架。正是由於這些MVC框架的出現，才讓MVC模式真正落地，讓開發更加高效，讓代碼耦合度儘可能減少，讓應用程序各部分的職責更加清晰。

既然MVC模式這麼好，難道它就沒有不足的地方嗎？我認爲MVC至少有如下三點不足：

每次請求必須通過「控制器->模型->視圖」這個流程，用戶才能看到最終的展示的界面，這個過程彷佛有些複雜。實際上視圖是依賴於模型的，換句話說，若是沒有模型，視圖也沒法呈現出最終的效果。渲染視圖的過程是在服務端來完成的，最終呈現給瀏覽器的是帶有模型的視圖頁面，性能沒法獲得很好的優化。爲了使數據展示過程更加直接，而且提供更好的用戶體驗，咱們有必要對MVC模式進行改進。不妨這樣來嘗試，首先從瀏覽器發送AJAX請求，而後服務端接受該請求並返回JSON數據返回給瀏覽器，最後在瀏覽器中進行界面渲染。

改進後的MVC模式如圖2所示。

也就是說，咱們輸入的是AJAX請求，輸出的是JSON數據，市面上有這樣的技術來實現這個功能嗎？答案是REST。

REST全稱是Representational State Transfer（表述性狀態轉移），它是Roy Fielding博士在2000年寫的一篇關於軟件架構風格的論文，此文一出，威震四方！國內外許多知名互聯網公司紛紛開始採用這種輕量級的Web服務，你們習慣將其稱爲RESTful Web Services，或簡稱REST服務。

若是將瀏覽器這一端視爲前端，而服務器那一端視爲後端的話，能夠將以上改進後的MVC模式簡化爲如下先後端分離模式，如圖3所示。

可見，有了REST服務，前端關注界面展示，後端關注業務邏輯，分工明確，職責清晰。那麼，如何使用REST服務將應用程序進行先後端分離呢？咱們接下來繼續探討，首先咱們須要認識REST。

3. 認識REST

REST本質上是使用URL來訪問資源種方式。衆所周知，URL就是咱們日常使用的請求地址了，其中包括兩部分：請求方式與請求路徑，比較常見的請求方式是GET與POST，但在REST中又提出了幾種其它類型的請求方式，彙總起來有六種：GET、POST、PUT、DELETE、HEAD、OPTIONS。尤爲是前四種，正好與CRUD（Create-Retrieve-Update-Delete，增刪改查）四種操做相對應，例如，GET（查）、POST（增）、PUT（改）、DELETE（刪），這正是REST與CRUD的殊途同歸之妙！須要強調的是，REST是「面向資源」的，這裏提到的資源，實際上就是咱們常說的領域對象，在系統設計過程當中，咱們常常經過領域對象來進行數據建模。

REST是一個「無狀態」的架構模式，由於在任什麼時候候均可以由客戶端發出請求到服務端，最終返回本身想要的數據，當前請求不會受到上次請求的影響。也就是說，服務端將內部資源發佈REST服務，客戶端經過URL來訪問這些資源，這不就是SOA所提倡的「面向服務」的思想嗎？因此，REST也被人們看作是一種「輕量級」的SOA實現技術，所以在企業級應用與互聯網應用中都獲得了普遍應用。

下面咱們舉幾個例子對REST請求進行簡單描述：

可見，請求路徑相同，但請求方式不一樣，所表明的業務操做也不一樣，例如，/advertiser/1這個請求，帶有GET、PUT、DELETE三種不一樣的請求方式，對應三種不一樣的業務操做。

雖然REST看起來仍是很簡單的，實際上咱們每每須要提供一個REST框架，讓其實現先後端分離架構，讓開發人員將精力集中在業務上，而並不是那些具體的技術細節。下面咱們將使用Java技術來實現這個REST框架，總體框架會基於Spring進行開發。

4. 實現REST框架

4.1 統一響應結構

使用REST框架實現先後端分離架構，咱們須要首先肯定返回的JSON響應結構是統一的，也就是說，每一個REST請求將返回相同結構的JSON響應結構。不妨定義一個相對通用的JSON響應結構，其中包含兩部分：元數據與返回值，其中，元數據表示操做是否成功與返回值消息等，返回值對應服務端方法所返回的數據。該JSON響應結構以下：

{"meta":{"success":true,"message":"ok"},"data":...}

爲了在框架中映射以上JSON響應結構，咱們須要編寫一個Response類與其對應：

publicclassResponse{privatestaticfinal String OK ="ok";privatestaticfinal String ERROR ="error";private Meta meta;private Object data;public Response success(){this.meta =newMeta(true, OK);returnthis;}public Response success(Object data){this.meta =newMeta(true, OK);this.data = data;returnthis;}public Response failure(){this.meta =newMeta(false, ERROR);returnthis;}public Response failure(String message){this.meta =newMeta(false, message);returnthis;}public Meta getMeta(){return meta;}public Object getData(){return data;}publicclassMeta{privateboolean success;private String message;publicMeta(boolean success){this.success = success;}publicMeta(boolean success, String message){this.success = success;this.message = message;}publicbooleanisSuccess(){return success;}public String getMessage(){return message;}}}

以上Response類包括兩類通用返回值消息：ok與error，還包括兩個經常使用的操做方法：success( )與failure( )，經過一個內部類來展示元數據結構，咱們在下文中屢次會使用該Response類。實現該REST框架須要考慮許多問題，首當其衝的就是對象序列化問題。

4.2 實現對象序列化

想要解釋什麼是對象序列化？不妨經過一些例子進行說明。好比，經過瀏覽器發送了一個普通的HTTP請求，該請求攜帶了一個JSON格式的參數，在服務端須要將該JSON參數轉換爲普通的Java對象，這個轉換過程稱爲序列化。再好比，在服務端獲取了數據，此時該數據是一個普通的Java對象，而後須要將這個Java對象轉換爲JSON字符串，並將其返回到瀏覽器中進行渲染，這個轉換過程稱爲反序列化。無論是序列化仍是反序列化，咱們通常都稱爲序列化。

實際上，Spring MVC已經爲咱們提供了這類序列化特性，只需在Controller的方法參數中使用@RequestBody註解定義須要反序列化的參數便可，如如下代碼片斷：

@Controller  publicclassAdvertiserController{      @RequestMapping(value ="/advertiser", method = RequestMethod.POST)public Response createAdvertiser(@RequestBody AdvertiserParam advertiserParam){...}}

若須要對Controller的方法返回值進行序列化，則須要在該返回值上使用@ResponseBody註解來定義，如如下代碼片斷：

@Controller  publicclassAdvertiserController{      @RequestMapping(value ="/advertiser/{id}", method = RequestMethod.GET)public @ResponseBody Response getAdvertiser(@PathVariable("id") String advertiserId){...}}

固然，@ResponseBody註解也能夠定義在類上，這樣全部的方法都繼承了該特性。因爲常常會使用到@ResponseBody註解，因此Spring提供了一個名爲@RestController的註解來取代以上的@Controller註解，這樣咱們就能夠省略返回值前面的@ResponseBody註解了，但參數前面的@RequestBody註解是沒法省略的。實際上，看看Spring中對應@RestController註解的源碼即可知曉：

@Target({ElementType.TYPE})  @Retention(RetentionPolicy.RUNTIME)  @Documented  @Controller  @ResponseBody  public @interfaceRestController{      String value()default"";}

可見，@RestController註解已經被@Controller與@ResponseBody註解定義過了，Spring框架會識別這類註解。須要注意的是，該特性在Spring 4.0中才引入。所以，咱們可將以上代碼進行以下改寫：

@RestController  publicclassAdvertiserController{      @RequestMapping(value ="/advertiser", method = RequestMethod.POST)public Response createAdvertiser(@RequestBody AdvertiserParam advertiserParam){...}      @RequestMapping(value ="/advertiser/{id}", method = RequestMethod.GET)public Response getAdvertiser(@PathVariable("id") String advertiserId){...}}

除了使用註解來定義序列化行爲之外，咱們還須要使用Jackson來提供JSON的序列化操做，在Spring配置文件中只需添加如下配置便可：

<mvc:annotation-driven><mvc:message-converters><beanclass="org.springframework.http.converter.json.MappingJackson2HttpMessageConverter"/>mvc:message-converters>mvc:annotation-driven>

若須要對Jackson的序列化行爲進行定製，好比，排除值爲空屬性、進行縮進輸出、將駝峯轉爲下劃線、進行日期格式化等，這又如何實現呢？首先，咱們須要擴展Jackson提供的ObjectMapper類，代碼以下：

publicclassCustomObjectMapperextendsObjectMapper{privateboolean camelCaseToLowerCaseWithUnderscores =false;private String dateFormatPattern;publicvoidsetCamelCaseToLowerCaseWithUnderscores(boolean camelCaseToLowerCaseWithUnderscores){this.camelCaseToLowerCaseWithUnderscores = camelCaseToLowerCaseWithUnderscores;}publicvoidsetDateFormatPattern(String dateFormatPattern){this.dateFormatPattern = dateFormatPattern;}publicvoidinit(){// 排除值爲空屬性  setSerializationInclusion(JsonInclude.Include.NON_NULL);// 進行縮進輸出  configure(SerializationFeature.INDENT_OUTPUT,true);// 將駝峯轉爲下劃線  if(camelCaseToLowerCaseWithUnderscores){setPropertyNamingStrategy(PropertyNamingStrategy.CAMEL_CASE_TO_LOWER_CASE_WITH_UNDERSCORES);}// 進行日期格式化  if(StringUtil.isNotEmpty(dateFormatPattern)){              DateFormat dateFormat =newSimpleDateFormat(dateFormatPattern);setDateFormat(dateFormat);}}}

而後，將CustomObjectMapper注入到MappingJackson2HttpMessageConverter中，Spring配置以下：

<beanid="objectMapper"class="com.xxx.api.json.CustomObjectMapper"init-method="init"><propertyname="camelCaseToLowerCaseWithUnderscores"value="true"/><propertyname="dateFormatPattern"value="yyyy-MM-dd HH:mm:ss"/>bean><mvc:annotation-driven><mvc:message-converters><beanclass="org.springframework.http.converter.json.MappingJackson2HttpMessageConverter"><propertyname="objectMapper"ref="objectMapper"/>bean>mvc:message-converters>mvc:annotation-driven>

經過以上過程，咱們已經完成了一個基於Spring MVC的REST框架，只不過該框架還很是單薄，還缺少不少關鍵性特性，尤爲是異常處理。

4.3 處理異常行爲

在Spring MVC中，咱們可使用AOP技術，編寫一個全局的異常處理切面類，用它來統一處理全部的異常行爲，在Spring 3.2中才開始提供。使用法很簡單，只需定義一個類，並經過@ControllerAdvice註解將其標註便可，同時須要使用@ResponseBody註解表示返回值可序列化爲JSON字符串。代碼以下：

@ControllerAdvice  @ResponseBody  publicclassExceptionAdvice{/**      * 400 - Bad Request      */      @ResponseStatus(HttpStatus.BAD_REQUEST)      @ExceptionHandler(HttpMessageNotReadableException.class)public Response handleHttpMessageNotReadableException(HttpMessageNotReadableException e){          logger.error("參數解析失敗", e);returnnewResponse().failure("could_not_read_json");}/**      * 405 - Method Not Allowed      */      @ResponseStatus(HttpStatus.METHOD_NOT_ALLOWED)      @ExceptionHandler(HttpRequestMethodNotSupportedException.class)public Response handleHttpRequestMethodNotSupportedException(HttpRequestMethodNotSupportedException e){          logger.error("不支持當前請求方法", e);returnnewResponse().failure("request_method_not_supported");}/**      * 415 - Unsupported Media Type      */      @ResponseStatus(HttpStatus.UNSUPPORTED_MEDIA_TYPE)      @ExceptionHandler(HttpMediaTypeNotSupportedException.class)public Response handleHttpMediaTypeNotSupportedException(Exception e){          logger.error("不支持當前媒體類型", e);returnnewResponse().failure("content_type_not_supported");}/**      * 500 - Internal Server Error      */      @ResponseStatus(HttpStatus.INTERNAL_SERVER_ERROR)      @ExceptionHandler(Exception.class)public Response handleException(Exception e){          logger.error("服務運行異常", e);returnnewResponse().failure(e.getMessage());}}

可見，在ExceptionAdvice類中包含一系列的異常處理方法，每一個方法都經過@ResponseStatus註解定義了響應狀態碼，此外還經過@ExceptionHandler註解指定了具體須要攔截的異常類。以上過程只是包含了一部分的異常狀況，若需處理其它異常，可添加方法具體的方法。須要注意的是，在運行時從上往下依次調用每一個異常處理方法，匹配當前異常類型是否與@ExceptionHandler註解所定義的異常相匹配，若匹配，則執行該方法，同時忽略後續全部的異常處理方法，最終會返回經JSON序列化後的Response對象。

4.4 支持參數驗證

咱們回到上文所提到的示例，這裏處理一個普通的POST請求，代碼以下：

@RestController  publicclassAdvertiserController{      @RequestMapping(value ="/advertiser", method = RequestMethod.POST)public Response createAdvertiser(@RequestBody AdvertiserParam advertiserParam){...}}

其中，AdvertiserParam參數包含若干屬性，經過如下類結構可見，它是一個傳統的POJO：

publicclassAdvertiserParam{private String advertiserName;private String description;// 省略 getter/setter 方法  }

若是業務上須要確保AdvertiserParam對象的advertiserName屬性必填，如何實現呢？若將這類參數驗證的代碼寫死在Controller中，勢必會與正常的業務邏輯攪在一塊兒，致使責任不夠單一，違背於「單一責任原則」。建議將其參數驗證行爲從Controller中剝離出來，放到另外的類中，這裏僅提供一個@Valid註解來定義AdvertiserParam參數，並在AdvertiserParam類中經過@NotEmpty註解來定義advertiserName屬性，就像下面這樣：

@RestController  publicclassAdvertiserController{      @RequestMapping(value ="/advertiser", method = RequestMethod.POST)public Response createAdvertiser(@RequestBody @Valid AdvertiserParam advertiserParam){...}}publicclassAdvertiserParam{      @NotEmpty      private String advertiserName;private String description;// 省略 getter/setter 方法  }

這裏的@Valid註解其實是Validation Bean規範提供的註解，該規範已由Hibernate Validator框架實現，所以須要添加如下Maven依賴到pom.xml文件中：

<dependency><groupId>org.hibernategroupId><artifactId>hibernate-validatorartifactId><version>${hibernate-validator.version}version>dependency>

須要注意的是，Hibernate Validator與Hibernate沒有任何依賴關係，惟一有聯繫的只是都屬於JBoss公司的開源項目而已。要實現@NotEmpty註解的功能，咱們須要作如下幾件事情。

首先，定義一個@NotEmpty註解類，代碼以下：

@Documented  @Target({ElementType.FIELD, ElementType.PARAMETER})  @Retention(RetentionPolicy.RUNTIME)  @Constraint(validatedBy = NotEmptyValidator.class)public @interfaceNotEmpty{      String message()default"not_empty";      Class<?>[]groups()default{};      Class<?extendsPayload>[]payload()default{};}

以上註解類必須包含message、groups、payload三個屬性，由於這是規範所要求的，此外，須要經過@Constraint註解指定一個驗證器類，這裏對應的是NotEmptyValidator，其代碼以下：

publicclassNotEmptyValidatorimplementsConstraintValidator<NotEmpty, String>{      @Override      publicvoidinitialize(NotEmpty constraintAnnotation){}      @Override      publicbooleanisValid(String value, ConstraintValidatorContext context){return StringUtil.isNotEmpty(value);}}

以上驗證器類實現了ConstraintValidator接口，並在該接口的isValid( )方法中完成了具體的參數驗證邏輯。須要注意的是，實現接口時須要指定泛型，第一個參數表示驗證註解類型（NotEmpty），第二個參數表示須要驗證的參數類型（String）。而後，咱們須要在Spring配置文件中開啓該特性，需添加以下配置：

<beanclass="org.springframework.validation.beanvalidation.MethodValidationPostProcessor"/>

最後，須要在全局異常處理類中添加參數驗證處理方法，代碼以下：

@ControllerAdvice  @ResponseBody  publicclassExceptionAdvice{/**      * 400 - Bad Request      */      @ResponseStatus(HttpStatus.BAD_REQUEST)      @ExceptionHandler(ValidationException.class)public Response handleValidationException(ValidationException e){          logger.error("參數驗證失敗", e);returnnewResponse().failure("validation_exception");}}

至此，REST框架已集成了Bean Validation特性，咱們可使用各類註解來完成所需的參數驗證行爲了。看似該框架能夠在本地成功跑起來，整個架構包含兩個應用，前端應用提供純靜態的HTML頁面，後端應用發佈REST API，前端須要經過AJAX調用後端發佈的REST API，然而AJAX是不支持跨域訪問的，也就是說，先後端兩個應用必須在同一個域名下才能訪問。這是很是嚴重的技術障礙，必定須要找到解決方案。

4.5 解決跨域問題

好比，前端應用爲靜態站點且部署在http://web.xxx.com域下，後端應用發佈REST API並部署在http://api.xxx.com域下，如何使前端應用經過AJAX跨域訪問後端應用呢？這須要使用到CORS技術來實現，這也是目前最好的解決方案了。

[CORS全稱爲Cross Origin Resource Sharing（跨域資源共享），服務端只需添加相關響應頭信息，便可實現客戶端發出AJAX跨域請求。]

CORS技術很是簡單，易於實現，目前絕大多數瀏覽器均已支持該技術（IE8瀏覽器也支持了），服務端可經過任何編程語言來實現，只要能將CORS響應頭寫入response對象中便可。

下面咱們繼續擴展REST框架，經過CORS技術實現AJAX跨域訪問。

首先，咱們須要編寫一個Filter，用於過濾全部的HTTP請求，並將CORS響應頭寫入response對象中，代碼以下：

publicclassCorsFilterimplementsFilter{private String allowOrigin;private String allowMethods;private String allowCredentials;private String allowHeaders;private String exposeHeaders;      @Override      publicvoidinit(FilterConfig filterConfig)throws ServletException {          allowOrigin = filterConfig.getInitParameter("allowOrigin");          allowMethods = filterConfig.getInitParameter("allowMethods");          allowCredentials = filterConfig.getInitParameter("allowCredentials");          allowHeaders = filterConfig.getInitParameter("allowHeaders");          exposeHeaders = filterConfig.getInitParameter("exposeHeaders");}      @Override      publicvoiddoFilter(ServletRequest req, ServletResponse res, FilterChain chain)throws IOException, ServletException {          HttpServletRequest request =(HttpServletRequest) req;          HttpServletResponse response =(HttpServletResponse) res;if(StringUtil.isNotEmpty(allowOrigin)){              List<String> allowOriginList = Arrays.asList(allowOrigin.split(","));if(CollectionUtil.isNotEmpty(allowOriginList)){                  String currentOrigin = request.getHeader("Origin");if(allowOriginList.contains(currentOrigin)){                      response.setHeader("Access-Control-Allow-Origin", currentOrigin);}}}if(StringUtil.isNotEmpty(allowMethods)){              response.setHeader("Access-Control-Allow-Methods", allowMethods);}if(StringUtil.isNotEmpty(allowCredentials)){              response.setHeader("Access-Control-Allow-Credentials", allowCredentials);}if(StringUtil.isNotEmpty(allowHeaders)){              response.setHeader("Access-Control-Allow-Headers", allowHeaders);}if(StringUtil.isNotEmpty(exposeHeaders)){              response.setHeader("Access-Control-Expose-Headers", exposeHeaders);}          chain.doFilter(req, res);}      @Override      publicvoiddestroy(){}}

以上CorsFilter將從web.xml中讀取相關Filter初始化參數，並將在處理HTTP請求時將這些參數寫入對應的CORS響應頭中，下面大體描述一下這些CORS響應頭的意義：Access-Control-Allow-Origin：容許訪問的客戶端域名，例如：http://web.xxx.com，若爲，則表示從任意域都能訪問，即不作任何限制。 
Access-Control-Allow-Methods：容許訪問的方法名，多個方法名用逗號分割，例如：GET,POST,PUT,DELETE,OPTIONS。 
Access-Control-Allow-Credentials：是否容許請求帶有驗證信息，若要獲取客戶端域下的cookie時，須要將其設置爲true。 
Access-Control-Allow-Headers：容許服務端訪問的客戶端請求頭，多個請求頭用逗號分割，例如：Content-Type。 
Access-Control-Expose-Headers：容許客戶端訪問的服務端響應頭，多個響應頭用逗號分割。 
須要注意的是，CORS規範中定義Access-Control-Allow-Origin只容許兩種取值，要麼爲，要麼爲具體的域名，也就是說，不支持同時配置多個域名。爲了解決跨多個域的問題，須要在代碼中作一些處理，這裏將Filter初始化參數做爲一個域名的集合（用逗號分隔），只需從當前請求中獲取Origin請求頭，就知道是從哪一個域中發出的請求，若該請求在以上容許的域名集合中，則將其放入Access-Control-Allow-Origin響應頭，這樣跨多個域的問題就輕鬆解決了。

如下是web.xml中配置CorsFilter的方法：

<filter><filter-name>corsFilterfilter-name><filter-class>com.xxx.api.cors.CorsFilterfilter-class><init-param><param-name>allowOriginparam-name><param-value>http://web.xxx.comparam-value>init-param><init-param><param-name>allowMethodsparam-name><param-value>GET,POST,PUT,DELETE,OPTIONSparam-value>init-param><init-param><param-name>allowCredentialsparam-name><param-value>trueparam-value>init-param><init-param><param-name>allowHeadersparam-name><param-value>Content-Typeparam-value>init-param>filter><filter-mapping><filter-name>corsFilterfilter-name><url-pattern>/*url-pattern>filter-mapping>

完成以上過程便可實現AJAX跨域功能了，但彷佛還存在另一個問題，因爲REST是無狀態的，後端應用發佈的REST API可在用戶未登陸的狀況下被任意調用，這顯然是不安全的，如何解決這個問題呢？咱們須要爲REST請求提供安全機制。

4.6 提供安全機制

解決REST安全調用問題，能夠作得很複雜，也能夠作得特簡單，可按照如下過程提供REST安全機制：

當用戶登陸成功後，在服務端生成一個token，並將其放入內存中（可放入JVM或Redis中），同時將該token返回到客戶端。在客戶端中將返回的token寫入cookie中，而且每次請求時都將token隨請求頭一塊兒發送到服務端。提供一個AOP切面，用於攔截全部的Controller方法，在切面中判斷token的有效性。當登出時，只需清理掉cookie中的token便可，服務端token可設置過時時間，使其自行移除。首先，咱們須要定義一個用於管理token的接口，包括建立token與檢查token有效性的功能。代碼以下：

publicinterfaceTokenManager{      String createToken(String username);booleancheckToken(String token);}

而後，咱們可提供一個簡單的TokenManager實現類，將token存儲到JVM內存中。代碼以下：

publicclassDefaultTokenManagerimplementsTokenManager{privatestatic Map<String, String> tokenMap =newConcurrentHashMap<>();      @Override      public String createToken(String username){          String token = CodecUtil.createUUID();          tokenMap.put(token, username);return token;}      @Override      publicbooleancheckToken(String token){return!StringUtil.isEmpty(token)&& tokenMap.containsKey(token);}}

須要注意的是，若是須要作到分佈式集羣，建議基於Redis提供一個實現類，將token存儲到Redis中，並利用Redis與生俱來的特性，作到token的分佈式一致性。而後，咱們能夠基於Spring AOP寫一個切面類，用於攔截Controller類的方法，並從請求頭中獲取token，最後對token有效性進行判斷。代碼以下：

publicclassSecurityAspect{privatestaticfinal String DEFAULT_TOKEN_NAME ="X-Token";private TokenManager tokenManager;private String tokenName;publicvoidsetTokenManager(TokenManager tokenManager){this.tokenManager = tokenManager;}publicvoidsetTokenName(String tokenName){if(StringUtil.isEmpty(tokenName)){              tokenName = DEFAULT_TOKEN_NAME;}this.tokenName = tokenName;}public Object execute(ProceedingJoinPoint pjp)throws Throwable {// 從切點上獲取目標方法          MethodSignature methodSignature =(MethodSignature) pjp.getSignature();          Method method = methodSignature.getMethod();// 若目標方法忽略了安全性檢查，則直接調用目標方法  if(method.isAnnotationPresent(IgnoreSecurity.class)){return pjp.proceed();}// 從 request header 中獲取當前 token          String token = WebContext.getRequest().getHeader(tokenName);// 檢查 token 有效性  if(!tokenManager.checkToken(token)){              String message = String.format("token [%s] is invalid", token);thrownewTokenException(message);}// 調用目標方法  return pjp.proceed();}}

若要使SecurityAspect生效，則須要添加以下Spring 配置：

<beanid="securityAspect"class="com.xxx.api.security.SecurityAspect"><propertyname="tokenManager"ref="tokenManager"/><propertyname="tokenName"value="X-Token"/>bean><aop:config><aop:aspectref="securityAspect"><aop:aroundmethod="execute"pointcut="@annotation(org.springframework.web.bind.annotation.RequestMapping)"/>aop:aspect>aop:config>

最後，別忘了在web.xml中添加容許的X-Token響應頭，配置以下：

<init-param><param-name>allowHeadersparam-name><param-value>Content-Type,X-Tokenparam-value>init-param>

原本想本身寫一下相似的東西的，無心中看到一篇好文，就直接轉載過來了。

轉自從MVC到先後端分離