前言:一个痛点
想象一下这样的场景:用户请求带着 JWT Token 进入你的系统,Filter 层面解析 Token 得到用户 ID,接下来需要:
- 在 Controller 层获取用户信息
- 在 Service 层进行权限验证
- 在某些业务逻辑中记录操作日志
每一个环节都需要知道"当前用户是谁",看看目前常用的解决方案。
传统方案的"缺陷"
方案一:ThreadLocal
java
// 看起来很"Hack"
private static final ThreadLocal<Long> currentUser = new ThreadLocal<>();- 线程安全问题:在异步环境下可能出现数据错乱
- 内存泄漏风险:ThreadLocal 使用不当可能导致内存泄漏
- 代码可读性差:隐式的数据传递方式让代码逻辑变得难以追踪
方案二:HttpServletRequest.setAttribute()
java
// 看起来很"丑"
@GetMapping("/me")
public User getMyProfile(HttpServletRequest request) {
Long userId = (Long) request.getAttribute("currentUserId");
return userService.getById(userId);
}- 类型不安全:需要手动进行类型转换,容易出现 ClassCastException
- 代码冗余:每个需要用户信息的 Controller 都要重复相同的逻辑
- 违反了 Controller 的"纯净性":引入了 Servlet API 依赖
- 字符串魔法值:属性名称容易写错,编译时无法检查
Spring MVC:HandlerMethodArgumentResolver
Spring MVC 提供了一个解决方案:自定义参数解析器(HandlerMethodArgumentResolver)。
这个设计模式体现了 Spring 框架一贯的"约定优于配置"的理念。它不要求我们改变 Filter 层面的实现,而是在参数解析这个环节做文章,通过扩展框架的能力来解决问题。
设计思路
Spring MVC 的 HandlerMethodArgumentResolver 机制实际上是一种"适配器模式"的应用。它将不同来源的参数(Request 参数、Path 变量、Header 信息、Session 数据等)统一适配成 Controller 方法可以直接使用的形式。
这种设计的巧妙之处在于:
- 职责分离:Filter 负责认证和设置状态,Resolver 负责参数转换
- 可扩展性:可以轻松添加新的参数解析逻辑
- 无侵入性:不影响现有的代码结构
这个方案的核心思想是:将 request.getAttribute() 操作,封装成类型安全的方法参数。
核心实现
第一步:创建自定义注解
java
@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface CurrentUser {
}第二步:实现参数解析器
java
@Component
public class CurrentUserArgumentResolver implements HandlerMethodArgumentResolver {
@Override
public boolean supportsParameter(MethodParameter parameter) {
// 只解析被 @CurrentUser 标记的参数
return parameter.hasParameterAnnotation(CurrentUser.class);
}
@Override
public Object resolveArgument(MethodParameter parameter,
ModelAndViewContainer mavContainer,
NativeWebRequest webRequest,
WebDataBinderFactory binderFactory) throws Exception {
// 从 request 中获取之前设置的用户ID
return webRequest.getAttribute("currentUserId", WebRequest.SCOPE_REQUEST);
}
}第三步:注册解析器
java
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
@Autowired
private CurrentUserArgumentResolver currentUserArgumentResolver;
@Override
public void addArgumentResolvers(List<HandlerMethodArgumentResolver> resolvers) {
resolvers.add(currentUserArgumentResolver);
}
}方案示例
Filter 层面
java
@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {
@Autowired
private JwtService jwtService;
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain) throws ServletException, IOException {
String authorizationHeader = request.getHeader("Authorization");
if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
String token = authorizationHeader.substring(7);
try {
Long userId = jwtService.extractUserId(token);
// 标准:使用 request.setAttribute 设置
request.setAttribute("currentUserId", userId);
} catch (Exception e) {
// token 无效,继续执行后续逻辑
}
}
filterChain.doFilter(request, response);
}
}Controller 层面
java
@RestController
@RequestMapping("/api/users")
public class UserController {
@Autowired
private UserService userService;
@GetMapping("/me")
public ResponseEntity<User> getCurrentUser(@CurrentUser Long userId) {
// userId 被"魔法般"地自动注入了!
User user = userService.findById(userId);
return ResponseEntity.ok(user);
}
@PutMapping("/me")
public ResponseEntity<User> updateCurrentUser(@CurrentUser Long userId,
@RequestBody UserUpdateRequest request) {
// 每个 Controller 方法都可以直接使用 @CurrentUser
User updatedUser = userService.updateUser(userId, request);
return ResponseEntity.ok(updatedUser);
}
@GetMapping("/permissions")
public ResponseEntity<List<Permission>> getUserPermissions(@CurrentUser Long userId) {
// 完全类型安全,无需手动类型转换
List<Permission> permissions = userService.getUserPermissions(userId);
return ResponseEntity.ok(permissions);
}
}原理解析
HandlerMethodArgumentResolver 工作流程
在这个流程中,Spring MVC 会按照注册的顺序遍历所有的 HandlerMethodArgumentResolver,对于每个需要解析的参数,都会调用 supportsParameter() 方法判断是否支持,如果支持则调用 resolveArgument() 方法进行实际的参数解析。
方案优势
这个方案的优势不仅体现在代码层面,更重要的是它符合软件工程的多个重要原则:
1. 类型安全 :编译时检查,避免运行时类型转换错误。当你错误地将 @CurrentUser Long 写成 @CurrentUser String 时,编译器会立刻提醒你。
2. 代码简洁 :Controller 方法专注于业务逻辑。不再需要每次都写 request.getAttribute() 的样板代码,让业务逻辑更加清晰。
3. 可测试性:Mock 变得简单直接。在单元测试中,你只需要模拟参数值,而不需要构建整个 HttpServletRequest 对象。
4. 可维护性:统一的用户信息获取方式。当需要修改用户信息的获取逻辑时,只需要修改 Resolver,而不需要修改每个 Controller 方法。
5. 扩展性:轻松支持更多用户相关属性。通过修改 Resolver 的逻辑,可以支持返回 User 对象、用户权限、用户偏好设置等复杂信息。
6. 关注点分离:Filter 专注于认证逻辑,Resolver 专注于参数解析,Controller 专注于业务逻辑,各司其职,代码结构更加清晰。
进阶用法:传递完整用户对象
在真实的项目中,我们往往需要的不仅仅是用户 ID,而是完整的用户信息、权限数据、或者用户偏好设置。HandlerMethodArgumentResolver 的强大之处就在于它可以智能地根据参数类型返回不同的对象。
扩展解析器支持复杂对象
这里的核心思想是根据 Controller 方法的参数类型动态决定返回什么对象,这样可以最大程度地提高代码的灵活性和复用性。
java
@Component
public class CurrentUserArgumentResolver implements HandlerMethodArgumentResolver {
@Autowired
private UserService userService;
@Override
public boolean supportsParameter(MethodParameter parameter) {
return parameter.hasParameterAnnotation(CurrentUser.class);
}
@Override
public Object resolveArgument(MethodParameter parameter,
ModelAndViewContainer mavContainer,
NativeWebRequest webRequest,
WebDataBinderFactory binderFactory) throws Exception {
Long userId = (Long) webRequest.getAttribute("currentUserId", WebRequest.SCOPE_REQUEST);
if (userId == null) {
return null; // 或者抛出异常
}
// 根据参数类型决定返回什么
Class<?> parameterType = parameter.getParameterType();
if (parameterType == Long.class || parameterType == long.class) {
return userId;
} else if (parameterType == User.class) {
return userService.findById(userId);
} else if (parameterType == UserProfile.class) {
return userService.getUserProfile(userId);
}
throw new IllegalArgumentException("Unsupported parameter type: " + parameterType);
}
}Controller 中的多种用法
java
@RestController
@RequestMapping("/api")
public class AdvancedUserController {
@GetMapping("/user/id")
public ResponseEntity<String> getUserId(@CurrentUser Long userId) {
return ResponseEntity.ok("User ID: " + userId);
}
@GetMapping("/user/info")
public ResponseEntity<User> getUserInfo(@CurrentUser User user) {
return ResponseEntity.ok(user);
}
@GetMapping("/user/profile")
public ResponseEntity<UserProfile> getUserProfile(@CurrentUser UserProfile profile) {
return ResponseEntity.ok(profile);
}
}实战技巧与注意事项
在实际项目中使用 HandlerMethodArgumentResolver 时,还需要考虑一些实际的工程问题。下面是一些常见的场景和解决方案。
1. 异常处理
在用户未登录或者 Token 无效的情况下,我们需要优雅地处理异常情况,而不是让系统抛出难以理解的错误信息。
java
@Component
public class CurrentUserArgumentResolver implements HandlerMethodArgumentResolver {
@Override
public Object resolveArgument(...) throws Exception {
Long userId = (Long) webRequest.getAttribute("currentUserId", WebRequest.SCOPE_REQUEST);
if (userId == null) {
throw new UnauthorizedException("用户未登录");
}
return userId;
}
}
@ControllerAdvice
public class GlobalExceptionHandler {
@ExceptionHandler(UnauthorizedException.class)
public ResponseEntity<String> handleUnauthorized(UnauthorizedException e) {
return ResponseEntity.status(401).body(e.getMessage());
}
}2. 与 Spring Security 集成
在许多企业级应用中,我们使用 Spring Security 进行认证和授权。如何将 Spring Security 的用户信息与我们的自定义 Resolver 结合使用是一个常见问题。
Spring Security 提供了 SecurityContextHolder 来存储当前用户的认证信息,我们可以直接从中获取用户详情,然后转换成我们需要的格式。这种集成方式的优势是可以复用 Spring Security 的完整认证体系,包括各种认证方式(JWT、OAuth2、Session 等)。
java
@Component
public class CurrentUserArgumentResolver implements HandlerMethodArgumentResolver {
@Override
public Object resolveArgument(...) throws Exception {
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
if (authentication != null && authentication.isAuthenticated()) {
UserDetails userDetails = (UserDetails) authentication.getPrincipal();
return Long.parseLong(userDetails.getUsername()); // 假设username存储的是userId
}
return null;
}
}3. 多租户场景
在 SaaS 应用中,多租户是一个常见的需求。除了当前用户信息,我们还需要知道当前租户的信息。通过创建多个自定义注解和对应的 Resolver,我们可以轻松实现这种需求。
java
@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface CurrentTenant {
}
@Component
public class CurrentTenantArgumentResolver implements HandlerMethodArgumentResolver {
@Override
public boolean supportsParameter(MethodParameter parameter) {
return parameter.hasParameterAnnotation(CurrentTenant.class);
}
@Override
public Object resolveArgument(...) throws Exception {
return webRequest.getAttribute("currentTenantId", WebRequest.SCOPE_REQUEST);
}
}
@GetMapping("/tenant/data")
public ResponseEntity<List<Data>> getTenantData(@CurrentUser Long userId,
@CurrentTenant Long tenantId) {
// 同时获取当前用户和租户信息
List<Data> data = dataService.findByUserAndTenant(userId, tenantId);
return ResponseEntity.ok(data);
}总结
通过 Spring MVC 的 HandlerMethodArgumentResolver我们实现了一个可以"跨 Filter 与 Controller 传参"的技术实现方案。将底层 Servlet API 的 request.getAttribute() 操作抽象为编译时类型安全的方法参数注入,实现了框架层面的参数解析适配,既保持了架构的纯净性,又提供了强大的扩展能力。