Spring AOP实现权限检查的功能
前言
最近开发了一个接口,完成后准备自测时,却被拦截器拦截了,提示:(AUTH-NO)未能获得有效的请求参数!怎么会这样呢?
于是我全局搜了这个提示语,结果发现它被出现在一个Aspect类当中了,并且把一个@interface作为了一个切点,原来这里利用了SpringAOP面向切面的方式进行权限控制。
正文
SpringAOP即面向切面,是对OOP面向对象的一种延伸。
AOP机制可以让开发者把业务流程中的通用功能抽取出来,单独编写功能代码。在业务流程执行过程中,Spring框架会根据业务流程要求,自动把独立编写的功能代码切入到流程的合适位置。
我们通过AOP机制可以实现:Authentication权限检查、Caching缓存、Contextpassing内容传递、Errorhandling错误处理等功能,这里我们讲一下怎么用SpringAOP来实现权限检查。
SpringAOP实现权限检查
引入依赖
org.projectlombok lombok 1.18.2 true org.springframework spring-aop org.springframework spring-aspects org.aspectj aspectjweaver 1.9.2 aopalliance aopalliance 1.0
MyPermissionTag.class自定义注解
- @Retention:用来修饰注解,是注解的注解,称为元注解。
- @Target:用来说明对象的作用范围
/**
*用户请求权限校验
*/
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public@interfaceMyPermissionTag{
Stringvalue()default"";
Stringname()default"";
}
这里特别讲一下@Retention,按生命周期来划分可分为3类:
- RetentionPolicy.SOURCE:注解只保留在源文件,当Java文件编译成class文件的时候,注解被遗弃(运行时去动态获取注解信息);
- RetentionPolicy.CLASS:注解被保留到class文件,但jvm加载class文件时候被遗弃,这是默认的生命周期(在编译时进行一些预处理操作);
- RetentionPolicy.RUNTIME:注解不仅被保存到class文件中,jvm加载class文件之后,仍然存在(做一些检查性的操作);
这3个生命周期分别对应于:Java源文件(.java文件)—>.class文件—>内存中的字节码。
AuthInterceptor权限检查的切面
这里简单介绍一下,切面的执行方法和其执行顺序:
- @Around通知方法将目标方法封装起来
- @Before通知方法会在目标方法调用之前执行
- @After通知方法会在目标方法返回或者异常后执行
- @AfterReturning通知方法会在目标方法返回时执行
- @Afterthrowing通知方法会在目标方法抛出异常时执行
这里以一个返回正常的情况为例:(异常替换最后一步即可)
AuthInterceptor.class
注意要在启动类扫描这个class,并且添加@EnableAspectJAutoProxy(proxyTargetClass=
true)
@Slf4j
@Aspect
@Component
publicclassAuthInterceptor{
/**
*参数处理
*
*@parampoint
*/
@Before("@annotation(com.luo.common.tag.MyPermissionTag)")
publicvoidbeforeProReq(JoinPointpoint){
log.info("前置拦截-开始");
Requestreq=getOperationRequest(point.getArgs());
if(req!=null){
//解密帐号
log.info("前置拦截-开始解密ACCOUNT:{}",req.getAccount());
log.info("前置拦截-结束解密ACCOUNT:{}",req.getAccount());
}
log.info("前置拦截-结束");
}
@Around("@annotation(com.luo.common.tag.MyPermissionTag)")
publicObjectauthCheck(ProceedingJoinPointpjp)throwsThrowable{
log.info("权限拦截-开始");
//请求方法
ReqMethodreqMethod=getPermissionTag(pjp);
MyPermissionTagmyPermissionTag=reqMethod.perTag;
log.info(myPermissionTag.value());//获取配置的值
log.info("权限拦截-开始-拦截到方法:{}",reqMethod.getMethodName());
if("true".equals(myPermissionTag.value().toString())){
//错误返回
ResponsenotGoRes=newResponse();
Requestreq=getOperationRequest(pjp.getArgs());
//校验请求对象
if(req==null){
notGoRes.setErrorMsg("(AUTH)未能获得有效的请求参数!");
log.info("(AUTH-NO)未能获得有效的请求参数!");
returnnotGoRes;
}else{//可以在这里根据请求参数对请求做进一步校验
log.info("完成请求校验:"+req);
}
}else{
log.info("未开启权限校验");
}
returnpjp.proceed();
}
/**
*获取request接口中的请求参数
*@paramargs
*@return
*/
privateRequestgetOperationRequest(Object[]args){
if(args==null||args.length<=0){
log.error("AUTH权限验证:拦截方法的请求参数为空!");
returnnull;
}
Objectobj=args[0];
if(objinstanceofRequest){
log.info("AUTH权限验证:请求对象为正确的OperationRequest对象");
return(Request)obj;
}
returnnull;
}
/**
*获取拦截的资源标签
*这里可以获取方法名+注解信息(包括key+value等)
*@parampjp
*@return
*@throwsSecurityException
*@throwsNoSuchMethodException
*/
privateReqMethodgetPermissionTag(ProceedingJoinPointpjp)throwsNoSuchMethodException,SecurityException{
Signaturesignature=pjp.getSignature();
MethodSignaturemethodSignature=(MethodSignature)signature;
MethodtargetMethod=methodSignature.getMethod();
MethodrealMethod=pjp.getTarget().getClass().getDeclaredMethod(signature.getName(),targetMethod.getParameterTypes());
MyPermissionTagpermissionTag=realMethod.getAnnotation(MyPermissionTag.class);
returnnewReqMethod(permissionTag,realMethod.getName());
}
@Setter
@Getter
classReqMethod{
privateMyPermissionTagperTag;
privateStringmethodName;
publicReqMethod(MyPermissionTagperTag,StringmethodName){
this.perTag=perTag;
this.methodName=methodName;
}
}
}
验证
测试接口
@PostMapping("/helloluo")
@MyPermissionTag(value="true")
publicStringhelloluo(UserPojoRequserPojoReq){
return"HelloWorld";
}
发送请求
验证
到此这篇关于SpringAOP实现权限检查的功能的文章就介绍到这了,更多相关SpringAOP权限检查内容请搜索毛票票以前的文章或继续浏览下面的相关文章希望大家以后多多支持毛票票!
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。