快捷導(dǎo)航

SpringBoot如何通過自定義注解實現(xiàn)權(quán)限檢查詳解

更新時間：2020年10月15日 10:21:14 作者：溪源的奇思妙想

這篇文章主要給大家介紹了關(guān)于SpringBoot如何通過自定義注解實現(xiàn)權(quán)限檢查的相關(guān)資料，文中通過示例代碼介紹的非常詳細，對大家的學(xué)習或者工作具有一定的參考學(xué)習價值，需要的朋友們下面隨著小編來一起學(xué)習學(xué)習吧

前言

最近開發(fā)了一個接口，完成后準備自測時，卻被攔截器攔截了，提示：(AUTH-NO)未能獲得有效的請求參數(shù)！怎么會這樣呢？

于是我全局搜了這個提示語，結(jié)果發(fā)現(xiàn)它被出現(xiàn)在一個Aspect類當中了，并且把一個 @interface 作為了一個切點，原來這里利用了Spring AOP面向切面的方式進行權(quán)限控制。

SpringBoot通過自定義注解實現(xiàn)日志打印可參考：SpringBoot通過自定義注解實現(xiàn)日志打印

正文

Spring AOP

Spring AOP 即面向切面，是對OOP面向?qū)ο蟮囊环N延伸。

AOP機制可以讓開發(fā)者把業(yè)務(wù)流程中的通用功能抽取出來，單獨編寫功能代碼。在業(yè)務(wù)流程執(zhí)行過程中，Spring框架會根據(jù)業(yè)務(wù)流程要求，自動把獨立編寫的功能代碼切入到流程的合適位置。

我們通過AOP機制可以實現(xiàn)：Authentication 權(quán)限檢查、Caching 緩存、Context passing 內(nèi)容傳遞、Error handling 錯誤處理、日志打印等功能，這里我們講一下怎么用Spring AOP來實現(xiàn)權(quán)限檢查。

SpringBoot 通過自定義注解實現(xiàn)權(quán)限檢查

Maven依賴

<!--lombok-->
<dependency>
 <groupId>org.projectlombok</groupId>
 <artifactId>lombok</artifactId>
 <version>1.18.2</version>
 <optional>true</optional>
</dependency>

<!--Spring AOP-->
<dependency>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-aop</artifactId>
</dependency>

MyPermissionTag.class自定義注解

@Retention: 用來修飾注解，是注解的注解，稱為元注解。
@Target:用來說明對象的作用范圍

/**
 * 用戶請求權(quán)限校驗
 */
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface MyPermissionTag {
 String value() default "";
 String name() default "";
}

這里特別講一下@Retention，按生命周期來劃分可分為3類：

RetentionPolicy.SOURCE：注解只保留在源文件，當Java文件編譯成class文件的時候，注解被遺棄（運行時去動態(tài)獲取注解信息）；
RetentionPolicy.CLASS：注解被保留到class文件，但jvm加載class文件時候被遺棄，這是默認的生命周期（在編譯時進行一些預(yù)處理操作）；
RetentionPolicy.RUNTIME：注解不僅被保存到class文件中，jvm加載class文件之后，仍然存在（做一些檢查性的操作）；

這3個生命周期分別對應(yīng)于：Java源文件(.java文件) —> .class文件 —> 內(nèi)存中的字節(jié)碼。

AuthInterceptor 權(quán)限檢查的切面

這里簡單介紹一下，切面的執(zhí)行方法和其執(zhí)行順序：

@Around 通知方法將目標方法封裝起來
@Before 通知方法會在目標方法調(diào)用之前執(zhí)行
@After 通知方法會在目標方法返回或者異常后執(zhí)行
@AfterReturning 通知方法會在目標方法返回時執(zhí)行
@Afterthrowing 通知方法會在目標方法拋出異常時執(zhí)行

這里以一個返回正常的情況為例：（異常替換最后一步即可）

AuthInterceptor.class

注意要在啟動類掃描這個class，并且添加 @EnableAspectJAutoProxy(proxyTargetClass = true)

@Slf4j
@Aspect
@Component
public class AuthInterceptor {


 /**
 * 參數(shù)處理
 *
 * @param point
 */
 @Before("@annotation(com.luo.common.tag.MyPermissionTag)")
 public void beforeProReq(JoinPoint point) {
 log.info("前置攔截-開始");
 Request req = getOperationRequest(point.getArgs());
 if (req != null) {
  //解密帳號
  log.info("前置攔截-開始解密ACCOUNT:{}", req.getAccount());


  log.info("前置攔截-結(jié)束解密ACCOUNT:{}", req.getAccount());
 }
 log.info("前置攔截-結(jié)束");
 }


 @Around("@annotation(com.luo.common.tag.MyPermissionTag)")
 public Object authCheck(ProceedingJoinPoint pjp) throws Throwable {
 log.info("權(quán)限攔截-開始");
 //請求方法
 ReqMethod reqMethod = getPermissionTag(pjp);


 MyPermissionTag myPermissionTag =reqMethod.perTag;
 log.info(myPermissionTag.value()); //獲取配置的值
 log.info("權(quán)限攔截-開始-攔截到方法:{}", reqMethod.getMethodName());


 if("true".equals(myPermissionTag.value().toString())){
  //錯誤返回
  Response notGoRes = new Response();
  Request req = getOperationRequest(pjp.getArgs());
  // 校驗請求對象
  if (req == null) {
  notGoRes.setErrorMsg("(AUTH)未能獲得有效的請求參數(shù)！");
  log.info("(AUTH-NO)未能獲得有效的請求參數(shù)！");
  return notGoRes;
  }else {//可以在這里根據(jù)請求參數(shù)對請求做進一步校驗


  log.info("完成請求校驗:"+req);




  }
 }else {
  log.info("未開啟權(quán)限校驗");
 }


 return pjp.proceed();
 }




 /**
 * 獲取 request 接口中的請求參數(shù)
 * @param args
 * @return
 */
 private Request getOperationRequest(Object[] args) {
 if (args == null || args.length <= 0) {
  log.error("AUTH權(quán)限驗證：攔截方法的請求參數(shù)為空！");
  return null;
 }
 Object obj = args[0];
 if (obj instanceof Request) {
  log.info("AUTH權(quán)限驗證：請求對象為正確的OperationRequest對象");
  return (Request) obj;
 }
 return null;
 }




 /**
 * 獲取攔截的資源標簽
 * 這里可以獲取方法名+注解信息(包括 key+value 等)
 * @param pjp
 * @return
 * @throws SecurityException
 * @throws NoSuchMethodException
 */
 private ReqMethod getPermissionTag(ProceedingJoinPoint pjp) throws NoSuchMethodException, SecurityException {
 Signature signature = pjp.getSignature();
 MethodSignature methodSignature = (MethodSignature) signature;
 Method targetMethod = methodSignature.getMethod();
 Method realMethod = pjp.getTarget().getClass().getDeclaredMethod(signature.getName(), targetMethod.getParameterTypes());
 MyPermissionTag permissionTag = realMethod.getAnnotation(MyPermissionTag.class);
 return new ReqMethod(permissionTag, realMethod.getName());
 }


 @Setter
 @Getter
 class ReqMethod {


 private MyPermissionTag perTag;
 private String methodName;


 public ReqMethod(MyPermissionTag perTag, String methodName) {
  this.perTag = perTag;
  this.methodName = methodName;
 }


 }
}

驗證

測試接口

@PostMapping("/helloluo")
@MyPermissionTag(value = "true")
public String helloluo(UserPojoReq userPojoReq){
 return "Hello World";
}

發(fā)送請求

驗證

總結(jié)

到此這篇關(guān)于SpringBoot如何通過自定義注解實現(xiàn)權(quán)限檢查的文章就介紹到這了,更多相關(guān)SpringBoot自定義注解實現(xiàn)權(quán)限檢查內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: