Spring Boot 通过AOP和自定义注解实现权限控制的方法
更新时间:2019年11月21日 11:02:36 作者:俞大仙
这篇文章主要介绍了Spring Boot 通过AOP和自定义注解实现权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
本文介绍了Spring Boot 通过AOP和自定义注解实现权限控制,分享给大家,具体如下:
源码:https://github.com/yulc-coding/java-note/tree/master/aop
思路
- 自定义权限注解
- 在需要验证的接口上加上注解,并设置具体权限值
- 数据库权限表中加入对应接口需要的权限
- 用户登录时,获取当前用户的所有权限列表放入Redis缓存中
- 定义AOP,将切入点设置为自定义的权限
- AOP中获取接口注解的权限值,和Redis中的数据校验用户是否存在该权限,如果Redis中没有,则从数据库获取用户权限列表,再校验
pom文件 引入AOP
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- AOP 切面--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </dependency>
自定义注解 VisitPermission
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface VisitPermission {
/**
* 用于配置具体接口的权限值
* 在数据库中添加对应的记录
* 用户登录时,将用户所有的权限列表放入redis中
* 用户访问接口时,将对应接口的值和redis中的匹配看是否有访问权限
* 用户退出登录时,清空redis中对应的权限缓存
*/
String value() default "";
}
需要设置权限的接口上加入注解 @VisitPermission(value)
@RestController
@RequestMapping("/permission")
public class PermissionController {
/**
* 配置权限注解 @VisitPermission("permission-test")
* 只用拥有该权限的用户才能访问,否则提示非法操作
*/
@VisitPermission("permission-test")
@GetMapping("/test")
public String test() {
System.out.println("================== step 3: doing ==================");
return "success";
}
}
定义权限AOP
- 设置切入点为@annotation(VisitPermission)
- 获取请求中的token,校验是否token是否过期或合法
- 获取注解中的权限值,校验当前用户是否有访问权限
- MongoDB 记录访问日志(IP、参数、接口、耗时等)
@Aspect
@Component
public class PermissionAspect {
/**
* 切入点
* 切入点为包路径下的:execution(public * org.ylc.note.aop.controller..*(..)):
* org.ylc.note.aop.Controller包下任意类任意返回值的 public 的方法
* <p>
* 切入点为注解的: @annotation(VisitPermission)
* 存在 VisitPermission 注解的方法
*/
@Pointcut("@annotation(org.ylc.note.aop.annotation.VisitPermission)")
private void permission() {
}
/**
* 目标方法调用之前执行
*/
@Before("permission()")
public void doBefore() {
System.out.println("================== step 2: before ==================");
}
/**
* 目标方法调用之后执行
*/
@After("permission()")
public void doAfter() {
System.out.println("================== step 4: after ==================");
}
/**
* 环绕
* 会将目标方法封装起来
* 具体验证业务数据
*/
@Around("permission()")
public Object doAround(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {
System.out.println("================== step 1: around ==================");
long startTime = System.currentTimeMillis();
/*
* 获取当前http请求中的token
* 解析token :
* 1、token是否存在
* 2、token格式是否正确
* 3、token是否已过期(解析信息或者redis中是否存在)
* */
ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
HttpServletRequest request = attributes.getRequest();
String token = request.getHeader("token");
if (StringUtils.isEmpty(token)) {
throw new RuntimeException("非法请求,无效token");
}
// 校验token的业务逻辑
// ...
/*
* 获取注解的值,并进行权限验证:
* redis 中是否存在对应的权限
* redis 中没有则从数据库中获取权限
* 数据空中没有,抛异常,非法请求,没有权限
* */
Method method = ((MethodSignature) proceedingJoinPoint.getSignature()).getMethod();
VisitPermission visitPermission = method.getAnnotation(VisitPermission.class);
String value = visitPermission.value();
// 校验权限的业务逻辑
// List<Object> permissions = redis.get(permission)
// db.getPermission
// permissions.contains(value)
// ...
System.out.println(value);
// 执行具体方法
Object result = proceedingJoinPoint.proceed();
long endTime = System.currentTimeMillis();
/*
* 记录相关执行结果
* 可以存入MongoDB 后期做数据分析
* */
// 打印请求 url
System.out.println("URL : " + request.getRequestURL().toString());
// 打印 Http method
System.out.println("HTTP Method : " + request.getMethod());
// 打印调用 controller 的全路径以及执行方法
System.out.println("controller : " + proceedingJoinPoint.getSignature().getDeclaringTypeName());
// 调用方法
System.out.println("Method : " + proceedingJoinPoint.getSignature().getName());
// 执行耗时
System.out.println("cost-time : " + (endTime - startTime) + " ms");
return result;
}
}
单元测试
package org.ylc.note.aop;
import org.junit.jupiter.api.BeforeEach;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.http.MediaType;
import org.springframework.test.web.servlet.MockMvc;
import org.springframework.test.web.servlet.MvcResult;
import org.springframework.test.web.servlet.request.MockMvcRequestBuilders;
import org.springframework.test.web.servlet.setup.MockMvcBuilders;
import org.ylc.note.aop.controller.PermissionController;
@SpringBootTest
class AopApplicationTests {
@Autowired
private PermissionController permissionController;
private MockMvc mvc;
@BeforeEach
void setupMockMvc() {
mvc = MockMvcBuilders.standaloneSetup(permissionController).build();
}
@Test
void apiTest() throws Exception {
MvcResult result = mvc.perform(MockMvcRequestBuilders.get("/permission/test")
.accept(MediaType.APPLICATION_JSON)
.header("token", "9527"))
.andReturn();
System.out.println("api test result : " + result.getResponse().getContentAsString());
}
}
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。
相关文章
这篇文章主要介绍了Spring security密码加密实现代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2020-04-04
这篇文章主要介绍了java日期相关类实例详解,小编觉得还是挺不错的,这里分享给大家,供需要的朋友参考。2017-10-10
本文主要介绍了MyBatis-Plus实现字段自动填充功能的示例,文中通过示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2021-11-11
这篇文章主要介绍了SpringBoot项目Jar包如何瘦身部署的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-09-09
在java中锁主要两类,内部锁synchronized和显示锁java.util.concurrent.locks.Lock,本文将来和大家聊聊这两者的相关知识,需要的可以参考一下2023-06-06
无论是再面试过程中还是再实际项目开发当中我们都有可能遇到这两个问题如何利用JStack排查死锁问题和CPU100%问题,文中给出了详细的排查过程和解决方法,需要的朋友可以参考下2023-12-12
使用Mybatis Generator结合Ant脚本快速自动生成Model、Mapper等文件的方法
这篇文章主要介绍了使用Mybatis Generator结合Ant脚本快速自动生成Model、Mapper等文件的方法的相关资料,需要的朋友可以参考下2016-06-06
这篇文章主要介绍了浅谈JAVA 内存流的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-02-02
这篇文章主要介绍了Java 实现网络爬虫框架,主要是用于爬取网络上一些内容,比如超链接之类的,需要的朋友可以参考下面文章内容2021-09-09
这篇文章主要介绍了SpringBoot项目配置明文密码泄露问题的处理方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-06-06
最新评论