SpringBoot如何通过自定义注解实现权限检查详解

网友投稿 328 2022-11-17


SpringBoot如何通过自定义注解实现权限检查详解

前言

最近开发了一个接口,完成后准备自测时,却被拦截器拦截了,提示:(AUTH-NO)未能获得有效的请求参数!怎么会这样呢?

于是我全局搜了这个提示语,结果发现它被出现在一个Aspect类当中了,并且把一个 @interface 作为了一个切点,原来这里利用了Spring AOP面向切面的方式进行权限控制。

SpringBoot通过自定义注解实现日志打印可参考:SpringBoot通过自定义注解实现日志打印

正文

Spring AOP

Spring AOP 即面向切面,是对OOP面向对象的一种延伸。

AOP机制可以让开发者把业务流程中的通用功能抽取出来,单独编写功能代码。在业务流程执行过程中,Spring框架会根据业务流程要求,自动把独立编写的功能代码切入到流程的合适位置。

我们通过AOP机制可以实现:Authentication 权限检查、Caching 缓存、Context passing 内容传递、Error handling 错误处IisFCwOk理、日志打印等功能,这里我们讲一下怎么用Spring AOP来实现权限检查。

SpringBoot 通过自定义注解实现权限检查

Maven依赖

org.projectlombok

lombok

1.18.2

true

org.springframework.boot

spring-boot-starter-aop

MyPermissionTag.class自定义注解

@Retention: 用来修饰注解,是注解的注解,称为元注解。

@Target:用来说明对象的作用范围

/**

* 用户请求权限校验

*/

@Retention(RetentionPolicy.RUNTIME)

@Target(ElementType.METHOD)

public @interface MyPermissionTag {

String value() default "";

String name() default "";

}

这里特别讲一下@Retention,按生命周期来划分可分为3类:

RetentionPolicy.SOURCE:注解只保留在源文件,当java文件编译成class文件的时候,注解被遗弃(运行时去动态获取注解信息);

RetentionPolicy.CLASS:注解被保留到class文件,但jvm加载class文件时候被遗弃,这是默认的生命周期(在编译时进行一些预处理操作);

RetentionPolicy.RUNTIME:注解不仅被保存到class文件中,jvm加载class文件之后,仍然存在(做一些检查性的操作);

这3个生命周期分别对应于:Java源文件(.java文件) —> .class文件 —> 内存中的字节码。

AuthInterceptor 权限检查的切面

这里简单介绍一下,切面的执行方法和其执行顺序:

@Around 通知方法将目标方法封装起来

@Before 通知方法会在目标方法调用之前执行

@After 通知方法会在目标方法返回或者异常后执行

@AfterReturning 通知方法会在目标方法返回时执行

@Afterthrowing 通知方法会在目标方法抛出异常时执行

这里以一个返回正常的情况为例:(异常替换最后一步即可)

AuthInterceptor.class

注意要在启动类扫描这个class,并且添加 @EnableAspectJAutoProxy(proxyTargetClass = true)

@Slf4j

@Aspect

@Component

public class AuthInterceptor {

/**

* 参数处理

*

* @param point

*/

@Before("@annotation(com.luo.common.tag.MyPermissionTag)")

public void beforeProReq(JoinPoint point) {

log.info("前置拦截-开始");

Request req = getOperationRequest(point.getArgs());

if (req != null) {

//解密帐号

log.info("前置拦截-开始解密ACCOUNT:{}", req.getAccount());

log.info("前置拦截-结束解密ACCOUNT:{}", req.getAccount());

}

log.info("前置拦截-结束");

}

@Around("@annotation(com.luo.common.tag.MyPermissionTag)")

public Object authCheck(ProceedingJoinPoint pjp) throws Throwable {

log.info("权限拦截-开始");

//请求方法

ReqMethod reqMethod = getPermissionTag(pjp);

MyPermissionTag myPermissionTag =reqMethod.perTag;

log.info(myPermissionTag.value()); //获取配置的值

log.info("权限拦截-开始-拦截到方法:{}", reqMehttp://thod.getMethodName());

if("true".equals(myPermissionTag.value().toString())){

//错误返回

Response notGoRes = new Response();

Request req = getOperationRequest(pjp.getArgs());

// 校验请求对象

if (req == null) {

notGoRes.setErrorMsg("(AUTH)未能获得有效的请求参数!");

log.info("(AUTH-NO)未能获得有效的请求参数!");

return notGoRes;

}else {//可以在这里根据请求参数对请求做进一步校验

log.info("完成请求校验:"+req);

}

}else {

log.info("未开启权限校验");

}

return pjp.proceed();

}

/**

* 获取 request 接口中的请求参数

* @param args

* @return

*/

private Request getOperationRequest(Object[] args) {

if (args == null || args.length <= 0) {

log.error("AUTH权限验证:拦截方法的请求参数为空!");

return null;

}

Object obj = args[0];

if (obj instanceof Request) {

log.info("AUTH权限验证:请求对象为正确的OperationRequest对象");

return (Request) obj;

}

return null;

}

/**

* 获取拦截的资源标签

* 这里可以获取方法名+注解信息(包括 key+value 等)

* @param pjp

* @return

* @throws SecurityException

* @throws NoSuchMethodException

*/

private ReqMethod getPermissionTag(ProceedingJoinPoint pjp) throws NoSuchMethodException, SecurityException {

Signature signature = pjp.getSignature();

MethodSignature methodSignature = (MethodSignature) signature;

Method targetMethod = methodSignature.getMethod();

Method realMethod = pjp.getTarget().getClass().getDeclaredMethod(signature.getName(), targetMethod.getParameterTypes());

MyPermissionTag permissionTag = realMethod.getAnnotation(MyPermissionTag.class);

return new ReqMethod(permissionTag, realMethod.getName());

}

@Setter

@Getter

class ReqMethod {

private MyPermissionTag perTag;

private String methodName;

public ReqMethod(MyPermissionTag perTag, String methodName) {

this.perTag = perTag;

this.methodName = methodName;

}

}

}

验证

测试接口

@PostMapping("/helloluo")

@MyPermissionTag(value = "true")

public String helloluo(UserPojoReq userPojoReq){

return "Hello World";

}

发送请求

验证

总结


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:Spring interceptor拦截器配置及用法解析
下一篇:浅谈Spring 解决循环依赖必须要三级缓存吗
相关文章

 发表评论

暂时没有评论,来抢沙发吧~