1. Struts2拦截器机制解析Struts2拦截器是框架最核心的机制之一它采用AOP面向切面编程思想在Action执行前后插入自定义逻辑。想象一下拦截器就像地铁安检系统每个乘客请求都必须经过安检通道拦截器栈的检查只有符合要求的才能进入站台执行Action。与Servlet Filter不同拦截器更专注于Action级别的控制。我曾在电商项目中用拦截器实现优惠券核销校验拦截器会在下单前自动检查券码有效性。这种设计让业务逻辑保持纯净校验规则可以动态调整。核心工作原理请求到达StrutsPrepareAndExecuteFilter创建ActionInvocation实例并初始化拦截器栈按顺序执行拦截器的preHandle方法执行Action的execute方法逆序执行拦截器的postHandle方法返回结果视图!-- 典型拦截器栈配置示例 -- interceptors interceptor nameauth classcom.util.AuthInterceptor/ interceptor-stack namemyStack interceptor-ref namedefaultStack/ interceptor-ref nameauth/ /interceptor-stack /interceptors2. 构建权限控制拦截器权限控制是拦截器最典型的应用场景。去年我参与了一个OA系统开发通过自定义拦截器实现了RBAC基于角色的访问控制模型。当用户请求需要权限的接口时拦截器会自动检查其角色权限树。实现步骤2.1 创建拦截器类继承AbstractInterceptor类重写intercept方法。建议使用ThreadLocal保存用户上下文避免线程安全问题。public class AuthInterceptor extends AbstractInterceptor { Override public String intercept(ActionInvocation invocation) throws Exception { ActionContext ctx invocation.getInvocationContext(); HttpSession session (HttpSession) ctx.get(ServletActionContext.HTTP_SESSION); // 检查session中的权限标记 if(session.getAttribute(user_roles) null) { ctx.put(error, 请先登录系统); return login; // 返回登录视图 } // 检查接口权限 String actionName invocation.getProxy().getActionName(); SetString permissions (SetString)session.getAttribute(user_permissions); if(!permissions.contains(actionName)) { return forbidden; } return invocation.invoke(); // 放行请求 } }2.2 配置权限白名单对于登录、注册等公共接口应该在配置中排除权限检查action namepublic/* classcom.action.PublicAction interceptor-ref namedefaultStack/ !-- 不使用权限拦截器 -- /action2.3 动态权限加载实际项目中我推荐将权限规则存储在数据库拦截器初始化时加载到内存。可以使用Guava Cache实现带缓存的权限加载LoadingCacheString, SetString permissionCache CacheBuilder.newBuilder() .maximumSize(1000) .expireAfterWrite(1, TimeUnit.HOURS) .build(new CacheLoaderString, SetString() { public SetString load(String roleId) { return permissionDao.getPermissionsByRole(roleId); } });3. 实现操作日志记录日志拦截器需要解决三个关键问题异步记录、防重复日志、敏感信息过滤。在金融项目中我们采用生产者-消费者模式处理日志通过MDCMapped Diagnostic Context实现请求链路追踪。3.1 基础日志拦截器public class LogInterceptor extends AbstractInterceptor { private static final Logger logger LoggerFactory.getLogger(LogInterceptor.class); Override public String intercept(ActionInvocation invocation) throws Exception { long startTime System.currentTimeMillis(); String result invocation.invoke(); long endTime System.currentTimeMillis(); Action action (Action) invocation.getAction(); MapString, Object params invocation.getInvocationContext().getParameters(); logger.info(Action [{}] executed in {}ms, params: {}, result: {}, action.getClass().getSimpleName(), (endTime - startTime), filterSensitiveParams(params), result); return result; } private MapString, Object filterSensitiveParams(MapString, Object params) { // 过滤密码等敏感字段 return params.entrySet().stream() .filter(entry - !entry.getKey().contains(password)) .collect(Collectors.toMap(Map.Entry::getKey, Map.Entry::getValue)); } }3.2 增强型日志方案对于高并发系统建议采用以下优化措施异步日志使用Disruptor或Log4j2的AsyncLogger结构化日志输出JSON格式日志便于ELK收集错误分级区分业务异常和系统异常// 使用Log4j2的异步日志 AsyncLogger namecom.interceptor.LogInterceptor levelINFO AppenderRef refKafkaAppender/ /AsyncLogger4. 高级拦截器技巧4.1 拦截器执行顺序控制通过Priority注解或struts.xml中的顺序声明控制执行顺序。我曾遇到过一个坑事务拦截器必须放在最外层否则会导致嵌套事务问题。interceptor-stack namefullStack interceptor-ref nametransaction/ interceptor-ref namesecurity/ interceptor-ref namedefaultStack/ /interceptor-stack4.2 方法级拦截继承MethodFilterInterceptor可以实现更精细的控制public class MethodAuthInterceptor extends MethodFilterInterceptor { Override protected String doIntercept(ActionInvocation invocation) throws Exception { String methodName invocation.getProxy().getMethod(); // 方法级权限检查逻辑 return invocation.invoke(); } }4.3 拦截器参数传递在struts.xml中配置拦截器参数interceptor-ref namelog param nameexcludeMethodsquery,list/param /interceptor-ref在拦截器中通过initParameters获取参数private SetString excludeMethods; public void init() { String methods getInitParameters().get(excludeMethods); excludeMethods new HashSet(Arrays.asList(methods.split(,))); }实际项目中合理使用拦截器可以大幅提升代码复用率。我曾将20个Action中的重复校验逻辑抽成拦截器使代码量减少40%。但也要避免过度设计对于一次性逻辑直接写在Action中更合适