关于过滤器拦截的代码

抱歉老师我可能没表达清楚，我的意思就是判断这个请求的来源。
比如我们的控台端的url不是localhost:9001吗，就判断请求是不是从localhost:9001发过来就完了。老师的思路是请求的接口是带/admin的就放行，我感觉这样的话不会有安全问题吗。这样的话实际上我们的web端也可以随便访问这些带/admin的接口了，当然逻辑上我们当然不会让web端去调用这些接口，但是从技术上讲这个是可行的吧，web端有权限随便访问带/admin的接口。所以我觉得应该是判断请求来源是不是localhost:9001，而不是判断访问的接口是不是带/admin的。

不是/admin就放行，而是针对/admin有一套权限校验，针对/api有另一套校验。
根据来源的话，一方面经过SLB、gateway之后，有些还会加一层nginx反向代理，很难获得准确的来源，另一方面，会不会被伪造来源呢？

明白了，那是我之前理解错了老师课程中的意思了。谢谢老师