Spring Boot 通過AOP和自定義注解實現權限控制的方法

更新時間：2019年11月21日 11:02:36 作者：俞大仙

這篇文章主要介紹了Spring Boot 通過AOP和自定義注解實現權限控制，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧

本文介紹了Spring Boot 通過AOP和自定義注解實現權限控制，分享給大家，具體如下：

源碼：https://github.com/yulc-coding/java-note/tree/master/aop

思路

自定義權限注解
在需要驗證的接口上加上注解，并設置具體權限值
數據庫權限表中加入對應接口需要的權限
用戶登錄時，獲取當前用戶的所有權限列表放入Redis緩存中
定義AOP，將切入點設置為自定義的權限
AOP中獲取接口注解的權限值，和Redis中的數據校驗用戶是否存在該權限，如果Redis中沒有，則從數據庫獲取用戶權限列表，再校驗

pom文件引入AOP

  <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-web</artifactId>
  </dependency>

  <!-- AOP 切面-->
  <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-aop</artifactId>
  </dependency>

自定義注解 VisitPermission

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface VisitPermission {
 /**
  * 用于配置具體接口的權限值
  * 在數據庫中添加對應的記錄
  * 用戶登錄時，將用戶所有的權限列表放入redis中
  * 用戶訪問接口時，將對應接口的值和redis中的匹配看是否有訪問權限
  * 用戶退出登錄時，清空redis中對應的權限緩存
  */
 String value() default "";
}

需要設置權限的接口上加入注解 @VisitPermission(value)

@RestController
@RequestMapping("/permission")
public class PermissionController {
 /**
  * 配置權限注解 @VisitPermission("permission-test")
  * 只用擁有該權限的用戶才能訪問，否則提示非法操作
  */
 @VisitPermission("permission-test")
 @GetMapping("/test")
 public String test() {
  System.out.println("================== step 3: doing ==================");
  return "success";
 }
}

定義權限AOP

設置切入點為@annotation(VisitPermission)
獲取請求中的token，校驗是否token是否過期或合法
獲取注解中的權限值，校驗當前用戶是否有訪問權限
MongoDB 記錄訪問日志（IP、參數、接口、耗時等）

@Aspect
@Component
public class PermissionAspect {

 /**
  * 切入點
  * 切入點為包路徑下的：execution(public * org.ylc.note.aop.controller..*(..))：
  * org.ylc.note.aop.Controller包下任意類任意返回值的 public 的方法
  * <p>
  * 切入點為注解的： @annotation(VisitPermission)
  * 存在 VisitPermission 注解的方法
  */
 @Pointcut("@annotation(org.ylc.note.aop.annotation.VisitPermission)")
 private void permission() {

 }

 /**
  * 目標方法調用之前執(zhí)行
  */
 @Before("permission()")
 public void doBefore() {
  System.out.println("================== step 2: before ==================");
 }

 /**
  * 目標方法調用之后執(zhí)行
  */
 @After("permission()")
 public void doAfter() {
  System.out.println("================== step 4: after ==================");
 }

 /**
  * 環(huán)繞
  * 會將目標方法封裝起來
  * 具體驗證業(yè)務數據
  */
 @Around("permission()")
 public Object doAround(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {
  System.out.println("================== step 1: around ==================");
  long startTime = System.currentTimeMillis();
  /*
   * 獲取當前http請求中的token
   * 解析token :
   * 1、token是否存在
   * 2、token格式是否正確
   * 3、token是否已過期（解析信息或者redis中是否存在）
   * */
  ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
  HttpServletRequest request = attributes.getRequest();
  String token = request.getHeader("token");
  if (StringUtils.isEmpty(token)) {
   throw new RuntimeException("非法請求，無效token");
  }
  // 校驗token的業(yè)務邏輯
  // ...

  /*
   * 獲取注解的值，并進行權限驗證:
   * redis 中是否存在對應的權限
   * redis 中沒有則從數據庫中獲取權限
   * 數據空中沒有，拋異常，非法請求，沒有權限
   * */
  Method method = ((MethodSignature) proceedingJoinPoint.getSignature()).getMethod();
  VisitPermission visitPermission = method.getAnnotation(VisitPermission.class);
  String value = visitPermission.value();
  // 校驗權限的業(yè)務邏輯
  // List<Object> permissions = redis.get(permission)
  // db.getPermission
  // permissions.contains(value)
  // ...
  System.out.println(value);
  
  // 執(zhí)行具體方法
  Object result = proceedingJoinPoint.proceed();

  long endTime = System.currentTimeMillis();

  /*
   * 記錄相關執(zhí)行結果
   * 可以存入MongoDB 后期做數據分析
   * */
  // 打印請求 url
  System.out.println("URL   : " + request.getRequestURL().toString());
  // 打印 Http method
  System.out.println("HTTP Method : " + request.getMethod());
  // 打印調用 controller 的全路徑以及執(zhí)行方法
  System.out.println("controller  : " + proceedingJoinPoint.getSignature().getDeclaringTypeName());
  // 調用方法
  System.out.println("Method   : " + proceedingJoinPoint.getSignature().getName());
  // 執(zhí)行耗時
  System.out.println("cost-time  : " + (endTime - startTime) + " ms");

  return result;
 }
}

單元測試

package org.ylc.note.aop;

import org.junit.jupiter.api.BeforeEach;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.http.MediaType;
import org.springframework.test.web.servlet.MockMvc;
import org.springframework.test.web.servlet.MvcResult;
import org.springframework.test.web.servlet.request.MockMvcRequestBuilders;
import org.springframework.test.web.servlet.setup.MockMvcBuilders;
import org.ylc.note.aop.controller.PermissionController;

@SpringBootTest
class AopApplicationTests {

 @Autowired
 private PermissionController permissionController;

 private MockMvc mvc;

 @BeforeEach
 void setupMockMvc() {
  mvc = MockMvcBuilders.standaloneSetup(permissionController).build();
 }

 @Test
 void apiTest() throws Exception {
  MvcResult result = mvc.perform(MockMvcRequestBuilders.get("/permission/test")
    .accept(MediaType.APPLICATION_JSON)
    .header("token", "9527"))
    .andReturn();
  System.out.println("api test result : " + result.getResponse().getContentAsString());
 }

}

以上就是本文的全部內容，希望對大家的學習有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: