前言

最近開發(fā)了一個(gè)接口，完成后準(zhǔn)備自測時(shí)，卻被攔截器攔截了，提示：(AUTH-NO)未能獲得有效的請(qǐng)求參數(shù)！怎么會(huì)這樣呢？

于是我全局搜了這個(gè)提示語，結(jié)果發(fā)現(xiàn)它被出現(xiàn)在一個(gè)Aspect類當(dāng)中了，并且把一個(gè) @interface 作為了一個(gè)切點(diǎn)，原來這里利用了Spring AOP面向切面的方式進(jìn)行權(quán)限控制。

正文

Spring AOP 即面向切面，是對(duì)OOP面向?qū)ο蟮囊环N延伸。AOP機(jī)制可以讓開發(fā)者把業(yè)務(wù)流程中的通用功能抽取出來，單獨(dú)編寫功能代碼。在業(yè)務(wù)流程執(zhí)行過程中，Spring框架會(huì)根據(jù)業(yè)務(wù)流程要求，自動(dòng)把獨(dú)立編寫的功能代碼切入到流程的合適位置。

我們通過AOP機(jī)制可以實(shí)現(xiàn)：Authentication 權(quán)限檢查、Caching 緩存、Context passing 內(nèi)容傳遞、Error handling 錯(cuò)誤處理等功能，這里我們講一下怎么用Spring AOP來實(shí)現(xiàn)權(quán)限檢查。

Spring AOP實(shí)現(xiàn)權(quán)限檢查

引入依賴

<!--lombok--><dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <version>1.18.2</version> <optional>true</optional></dependency><!--Spring AOP--><dependency> <groupId>org.springframework</groupId> <artifactId>spring-aop</artifactId></dependency><dependency> <groupId>org.springframework</groupId> <artifactId>spring-aspects</artifactId></dependency><dependency> <groupId>org.aspectj</groupId> <artifactId>aspectjweaver</artifactId> <version>1.9.2</version></dependency><dependency> <groupId>aopalliance</groupId> <artifactId>aopalliance</artifactId> <version>1.0</version></dependency>

MyPermissionTag.class自定義注解

@Retention: 用來修飾注解，是注解的注解，稱為元注解。 @Target:用來說明對(duì)象的作用范圍

/** * 用戶請(qǐng)求權(quán)限校驗(yàn) */@Retention(RetentionPolicy.RUNTIME)@Target(ElementType.METHOD)public @interface MyPermissionTag { String value() default ''; String name() default '';}

這里特別講一下@Retention，按生命周期來劃分可分為3類：

RetentionPolicy.SOURCE：注解只保留在源文件，當(dāng)Java文件編譯成class文件的時(shí)候，注解被遺棄（運(yùn)行時(shí)去動(dòng)態(tài)獲取注解信息）； RetentionPolicy.CLASS：注解被保留到class文件，但jvm加載class文件時(shí)候被遺棄，這是默認(rèn)的生命周期（在編譯時(shí)進(jìn)行一些預(yù)處理操作）； RetentionPolicy.RUNTIME：注解不僅被保存到class文件中，jvm加載class文件之后，仍然存在（做一些檢查性的操作）；

這3個(gè)生命周期分別對(duì)應(yīng)于：Java源文件(.java文件) —> .class文件 —> 內(nèi)存中的字節(jié)碼。

AuthInterceptor 權(quán)限檢查的切面

這里簡單介紹一下，切面的執(zhí)行方法和其執(zhí)行順序：

@Around 通知方法將目標(biāo)方法封裝起來 @Before 通知方法會(huì)在目標(biāo)方法調(diào)用之前執(zhí)行 @After 通知方法會(huì)在目標(biāo)方法返回或者異常后執(zhí)行 @AfterReturning 通知方法會(huì)在目標(biāo)方法返回時(shí)執(zhí)行 @Afterthrowing 通知方法會(huì)在目標(biāo)方法拋出異常時(shí)執(zhí)行

這里以一個(gè)返回正常的情況為例：（異常替換最后一步即可）

AuthInterceptor.class

注意要在啟動(dòng)類掃描這個(gè)class，并且添加 @EnableAspectJAutoProxy(proxyTargetClass =true)

@Slf4j@Aspect@Componentpublic class AuthInterceptor { /** * 參數(shù)處理 * * @param point */ @Before('@annotation(com.luo.common.tag.MyPermissionTag)') public void beforeProReq(JoinPoint point) { log.info('前置攔截-開始'); Request req = getOperationRequest(point.getArgs()); if (req != null) { //解密帳號(hào) log.info('前置攔截-開始解密ACCOUNT:{}', req.getAccount()); log.info('前置攔截-結(jié)束解密ACCOUNT:{}', req.getAccount()); } log.info('前置攔截-結(jié)束'); } @Around('@annotation(com.luo.common.tag.MyPermissionTag)') public Object authCheck(ProceedingJoinPoint pjp) throws Throwable { log.info('權(quán)限攔截-開始'); //請(qǐng)求方法 ReqMethod reqMethod = getPermissionTag(pjp); MyPermissionTag myPermissionTag =reqMethod.perTag; log.info(myPermissionTag.value()); //獲取配置的值 log.info('權(quán)限攔截-開始-攔截到方法:{}', reqMethod.getMethodName()); if('true'.equals(myPermissionTag.value().toString())){ //錯(cuò)誤返回 Response notGoRes = new Response(); Request req = getOperationRequest(pjp.getArgs()); // 校驗(yàn)請(qǐng)求對(duì)象 if (req == null) {notGoRes.setErrorMsg('(AUTH)未能獲得有效的請(qǐng)求參數(shù)！');log.info('(AUTH-NO)未能獲得有效的請(qǐng)求參數(shù)！');return notGoRes; }else {//可以在這里根據(jù)請(qǐng)求參數(shù)對(duì)請(qǐng)求做進(jìn)一步校驗(yàn)log.info('完成請(qǐng)求校驗(yàn):'+req); } }else { log.info('未開啟權(quán)限校驗(yàn)'); } return pjp.proceed(); } /** * 獲取 request 接口中的請(qǐng)求參數(shù) * @param args * @return */ private Request getOperationRequest(Object[] args) { if (args == null || args.length <= 0) { log.error('AUTH權(quán)限驗(yàn)證：攔截方法的請(qǐng)求參數(shù)為空！'); return null; } Object obj = args[0]; if (obj instanceof Request) { log.info('AUTH權(quán)限驗(yàn)證：請(qǐng)求對(duì)象為正確的OperationRequest對(duì)象'); return (Request) obj; } return null; } /** * 獲取攔截的資源標(biāo)簽 * 這里可以獲取方法名+注解信息(包括 key+value 等) * @param pjp * @return * @throws SecurityException * @throws NoSuchMethodException */ private ReqMethod getPermissionTag(ProceedingJoinPoint pjp) throws NoSuchMethodException, SecurityException { Signature signature = pjp.getSignature(); MethodSignature methodSignature = (MethodSignature) signature; Method targetMethod = methodSignature.getMethod(); Method realMethod = pjp.getTarget().getClass().getDeclaredMethod(signature.getName(), targetMethod.getParameterTypes()); MyPermissionTag permissionTag = realMethod.getAnnotation(MyPermissionTag.class); return new ReqMethod(permissionTag, realMethod.getName()); } @Setter @Getter class ReqMethod { private MyPermissionTag perTag; private String methodName; public ReqMethod(MyPermissionTag perTag, String methodName) { this.perTag = perTag; this.methodName = methodName; } }}

驗(yàn)證

測試接口

@PostMapping('/helloluo')@MyPermissionTag(value = 'true')public String helloluo(UserPojoReq userPojoReq){ return 'Hello World';}

發(fā)送請(qǐng)求

驗(yàn)證

到此這篇關(guān)于Spring AOP實(shí)現(xiàn)權(quán)限檢查的功能的文章就介紹到這了,更多相關(guān)Spring AOP 權(quán)限檢查內(nèi)容請(qǐng)搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)！