SpringBoot如何优雅的处理免登录接口

在Spring Boot中，处理免登录接口通常意味着需要允许接口不需要认证即可访问。你可以使用Spring Security的@PreAuthorize注解或者自定义一个拦截器来实现。

以下是一个使用@PreAuthorize注解来允许公开接口（无需登录即可访问）的例子：

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
 
@RestController
public class PublicController {
 
    @GetMapping("/public")
    @PreAuthorize("permitAll")
    public String publicEndpoint() {
        return "This endpoint is public and doesn't require login.";
    }
}

在上面的例子中，@PreAuthorize("permitAll")指令告诉Spring Security这个/public接口对所有用户开放，不需要认证即可访问。

如果你想要更加灵活地控制哪些接口免登录访问，你可以创建一个自定义的拦截器：

import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
 
public class PublicEndpointInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        // 如果请求的是公开接口，直接返回true
        if (request.getRequestURI().equals("/public")) {
            return true;
        }
        // 否则执行认证逻辑
        // ...
    }
}

然后在Spring Security配置中注册这个拦截器：

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
 
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Autowired
    PublicEndpointInterceptor publicEndpointInterceptor;
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // ...
            .addFilterBefore(publicEndpointInterceptor, UsernamePasswordAuthenticationFilter.class);
    }
}

在这个配置中，你可以更精细地控制哪些请求是公开的，只需在preHandle方法中进行判断。这样，你可以根据实际需求灵活处理免登录接口。