springboot怎么禁止已经实现的CommandLineRunner springboot禁用put

转载

mob64ca14031c97 2024-04-06 13:36:20

文章标签 spring boot java spring 表单 REST 文章分类 架构后端开发

（一）请求映射@xxxMapping：REST风格支持（使用HTTP请求方式动词来表示对资源的操作）

同样进入WebMvcAutoConfiguration类，关注到hiddenHttpMethodFilter（我们的核心Filter）：

①请求一传送进来会被hiddenHttpMethodFilter拦截到

springboot怎么禁止已经实现的CommandLineRunner springboot禁用put_表单_02

注意：旧版本的源码中@ConditionalOnProperty注解中还有一个默认属性matchingIfMissing=false，就是如果springboot的yaml配置文件中没有该属性的值设置（spring.mvc.hiddenmethod.filter.enabled=true）的话，就不会匹配也就无法通过hiddenmethod实现delete或put。因此实现请求映射的方式是：表单method=“post”、隐藏域_method="post"。

因此在yaml中设置该值（在springboot中手动开启）：

springboot怎么禁止已经实现的CommandLineRunner springboot禁用put_REST_03

可以看到hiddenHttpMethodFilter方法返回的是OrderedHiddenHttpMethodFilter类型的：

springboot怎么禁止已经实现的CommandLineRunner springboot禁用put_表单_04

springboot怎么禁止已经实现的CommandLineRunner springboot禁用put_表单_05

进入HiddenHttpMethodFilter类，断点放在doFilterInternal方法首行：

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        HttpServletRequest requestToUse = request;
        if ("POST".equals(request.getMethod()) && request.getAttribute("javax.servlet.error.exception") == null) {
            String paramValue = request.getParameter(this.methodParam);
            if (StringUtils.hasLength(paramValue)) {
                String method = paramValue.toUpperCase(Locale.ENGLISH);
                if (ALLOWED_METHODS.contains(method)) {
                    requestToUse = new HiddenHttpMethodFilter.HttpMethodRequestWrapper(request, method);
                }
            }
        }

        filterChain.doFilter((ServletRequest)requestToUse, response);
}

首句HttpServletRequest requestToUse = request;是请求本身。

②第一层if判断request.getMethod()的值是不是为POST，而且没有servlet的异常（请求是否正常），才可以继续。

springboot怎么禁止已经实现的CommandLineRunner springboot禁用put_java_06

获得this.methodParam的值，这里可以看到debug的值为_method。而且_method的值可以看到获得为paramValue变量，其值刚好是我们DELETE操作（也可以是PUT或PATCH），只是通过hiddenHttpMethodFilter的POST准过，实现ALLOWED_METHODS。

springboot怎么禁止已经实现的CommandLineRunner springboot禁用put_spring_07

而且如果ALLOWED_METHODS中包含我们请求的方式（paramValue）：

springboot怎么禁止已经实现的CommandLineRunner springboot禁用put_spring boot_08

可见，ALLOWED_METHODS包含PUT、DELETE和PATCH。可以兼容他们这些方法。

springboot怎么禁止已经实现的CommandLineRunner springboot禁用put_REST_09

原生的request是采用POST方式的，HttpMethodRequestWrapper继承了HttpServletRequestWrapper（原生的post），重写了getMethod()方法，从而将request的method从POST改为传入构造器的值（method）。
因此，进入前面第一个if时，request.getMethod()的这个getMethod是调用重写后的wrapper的，得到的也会是_method的值（DELETE、PUT、PATCH也有）。因此在controller注解中的method属性可以对应：

查看_method的值，应该为我们表单中设置的value的值：DELETE、PUT和PATCH。

附上HiddenHttpMethodFilter的源码：

public class HiddenHttpMethodFilter extends OncePerRequestFilter {
    private static final List<String> ALLOWED_METHODS;
    public static final String DEFAULT_METHOD_PARAM = "_method";
    private String methodParam = "_method";

    public HiddenHttpMethodFilter() {
    }

    public void setMethodParam(String methodParam) {
        Assert.hasText(methodParam, "'methodParam' must not be empty");
        this.methodParam = methodParam;
    }

    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        HttpServletRequest requestToUse = request;
        if ("POST".equals(request.getMethod()) && request.getAttribute("javax.servlet.error.exception") == null) {
            String paramValue = request.getParameter(this.methodParam);
            if (StringUtils.hasLength(paramValue)) {
                String method = paramValue.toUpperCase(Locale.ENGLISH);
                if (ALLOWED_METHODS.contains(method)) {
                    requestToUse = new HiddenHttpMethodFilter.HttpMethodRequestWrapper(request, method);
                }
            }
        }

        filterChain.doFilter((ServletRequest)requestToUse, response);
    }

    static {
        ALLOWED_METHODS = Collections.unmodifiableList(Arrays.asList(HttpMethod.PUT.name(), HttpMethod.DELETE.name(), HttpMethod.PATCH.name()));
    }

    private static class HttpMethodRequestWrapper extends HttpServletRequestWrapper {
        private final String method;

        public HttpMethodRequestWrapper(HttpServletRequest request, String method) {
            super(request);
            this.method = method;
        }

        public String getMethod() {
            return this.method;
        }
    }
}

然后得到目标requestToUse对象：

springboot怎么禁止已经实现的CommandLineRunner springboot禁用put_java_12

springboot怎么禁止已经实现的CommandLineRunner springboot禁用put_java_13

注：即使value是‘delete’或者‘put’也会转为大写的_method的值。

这里指出如果隐藏域的name的值不为_method（默认值），是否可以修改？

springboot怎么禁止已经实现的CommandLineRunner springboot禁用put_java_14

注意到一开始的@ConditionalOnMissingBean的条件，如果有该filter类就不会启动（即按照自定义的类的规则来进行filtering。

springboot怎么禁止已经实现的CommandLineRunner springboot禁用put_表单_02

因此这里自己来写一个这个filter，重写配置：

package com.boot.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.filter.HiddenHttpMethodFilter;

@Configuration(proxyBeanMethods = false)
public class WebConfig {
    @Bean
    public HiddenHttpMethodFilter hiddenHttpMethodFilter() {
        HiddenHttpMethodFilter methodFilter = new HiddenHttpMethodFilter();
        // 根据前面分析过的逻辑，应该是可以修改的
        methodFilter.setMethodParam("_m");
        return methodFilter;
    }
}

这里表单中的name值就可以改为我们修改后的_m了。

以上都是针对表单的（即原生的request的情况下使用filter解决），而遇到像REST使用客户端工具（如Postman），直接发送的是put、delete方式的请求，无需filter。