前言
最近開發了一個接口,完成后準備自測時,卻被攔截器攔截了,提示:(AUTH-NO)未能獲得有效的請求參數!怎么會這樣呢?
于是我全局搜了這個提示語,結果發現它被出現在一個Aspect類當中了,并且把一個 @interface 作為了一個切點,原來這里利用了Spring AOP面向切面的方式進行權限控制。
正文
Spring AOP 即面向切面,是對OOP面向對象的一種延伸。
AOP機制可以讓開發者把業務流程中的通用功能抽取出來,單獨編寫功能代碼。在業務流程執行過程中,Spring框架會根據業務流程要求,自動把獨立編寫的功能代碼切入到流程的合適位置。
我們通過AOP機制可以實現:Authentication 權限檢查、Caching 緩存、Context passing 內容傳遞、Error handling 錯誤處理等功能,這里我們講一下怎么用Spring AOP來實現權限檢查。
Spring AOP實現權限檢查
引入依賴
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
<!--lombok--><dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <version>1.18.2</version> <optional>true</optional></dependency><!--Spring AOP--><dependency> <groupId>org.springframework</groupId> <artifactId>spring-aop</artifactId></dependency><dependency> <groupId>org.springframework</groupId> <artifactId>spring-aspects</artifactId></dependency><dependency> <groupId>org.aspectj</groupId> <artifactId>aspectjweaver</artifactId> <version>1.9.2</version></dependency><dependency> <groupId>aopalliance</groupId> <artifactId>aopalliance</artifactId> <version>1.0</version></dependency> |
MyPermissionTag.class自定義注解
- @Retention: 用來修飾注解,是注解的注解,稱為元注解。
- @Target:用來說明對象的作用范圍
|
1
2
3
4
5
6
7
8
9
|
/** * 用戶請求權限校驗 */@Retention(RetentionPolicy.RUNTIME)@Target(ElementType.METHOD)public @interface MyPermissionTag { String value() default ""; String name() default "";} |
這里特別講一下@Retention,按生命周期來劃分可分為3類:
-
RetentionPolicy.SOURCE:注解只保留在源文件,當Java文件編譯成class文件的時候,注解被遺棄(運行時去動態獲取注解信息); -
RetentionPolicy.CLASS:注解被保留到class文件,但jvm加載class文件時候被遺棄,這是默認的生命周期(在編譯時進行一些預處理操作); -
RetentionPolicy.RUNTIME:注解不僅被保存到class文件中,jvm加載class文件之后,仍然存在(做一些檢查性的操作);
這3個生命周期分別對應于:Java源文件(.java文件) —> .class文件 —> 內存中的字節碼。
AuthInterceptor 權限檢查的切面
這里簡單介紹一下,切面的執行方法和其執行順序:
-
@Around通知方法將目標方法封裝起來 -
@Before通知方法會在目標方法調用之前執行 -
@After通知方法會在目標方法返回或者異常后執行 -
@AfterReturning通知方法會在目標方法返回時執行 -
@Afterthrowing通知方法會在目標方法拋出異常時執行
這里以一個返回正常的情況為例:(異常替換最后一步即可)
AuthInterceptor.class
注意要在啟動類掃描這個class,并且添加 @EnableAspectJAutoProxy(proxyTargetClass =
true)
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
|
@Slf4j@Aspect@Componentpublic class AuthInterceptor { /** * 參數處理 * * @param point */ @Before("@annotation(com.luo.common.tag.MyPermissionTag)") public void beforeProReq(JoinPoint point) { log.info("前置攔截-開始"); Request req = getOperationRequest(point.getArgs()); if (req != null) { //解密帳號 log.info("前置攔截-開始解密ACCOUNT:{}", req.getAccount()); log.info("前置攔截-結束解密ACCOUNT:{}", req.getAccount()); } log.info("前置攔截-結束"); } @Around("@annotation(com.luo.common.tag.MyPermissionTag)") public Object authCheck(ProceedingJoinPoint pjp) throws Throwable { log.info("權限攔截-開始"); //請求方法 ReqMethod reqMethod = getPermissionTag(pjp); MyPermissionTag myPermissionTag =reqMethod.perTag; log.info(myPermissionTag.value()); //獲取配置的值 log.info("權限攔截-開始-攔截到方法:{}", reqMethod.getMethodName()); if("true".equals(myPermissionTag.value().toString())){ //錯誤返回 Response notGoRes = new Response(); Request req = getOperationRequest(pjp.getArgs()); // 校驗請求對象 if (req == null) { notGoRes.setErrorMsg("(AUTH)未能獲得有效的請求參數!"); log.info("(AUTH-NO)未能獲得有效的請求參數!"); return notGoRes; }else {//可以在這里根據請求參數對請求做進一步校驗 log.info("完成請求校驗:"+req); } }else { log.info("未開啟權限校驗"); } return pjp.proceed(); } /** * 獲取 request 接口中的請求參數 * @param args * @return */ private Request getOperationRequest(Object[] args) { if (args == null || args.length <= 0) { log.error("AUTH權限驗證:攔截方法的請求參數為空!"); return null; } Object obj = args[0]; if (obj instanceof Request) { log.info("AUTH權限驗證:請求對象為正確的OperationRequest對象"); return (Request) obj; } return null; } /** * 獲取攔截的資源標簽 * 這里可以獲取方法名+注解信息(包括 key+value 等) * @param pjp * @return * @throws SecurityException * @throws NoSuchMethodException */ private ReqMethod getPermissionTag(ProceedingJoinPoint pjp) throws NoSuchMethodException, SecurityException { Signature signature = pjp.getSignature(); MethodSignature methodSignature = (MethodSignature) signature; Method targetMethod = methodSignature.getMethod(); Method realMethod = pjp.getTarget().getClass().getDeclaredMethod(signature.getName(), targetMethod.getParameterTypes()); MyPermissionTag permissionTag = realMethod.getAnnotation(MyPermissionTag.class); return new ReqMethod(permissionTag, realMethod.getName()); } @Setter @Getter class ReqMethod { private MyPermissionTag perTag; private String methodName; public ReqMethod(MyPermissionTag perTag, String methodName) { this.perTag = perTag; this.methodName = methodName; } }} |
驗證
測試接口
|
1
2
3
4
5
|
@PostMapping("/helloluo")@MyPermissionTag(value = "true")public String helloluo(UserPojoReq userPojoReq){ return "Hello World";} |
發送請求
驗證
到此這篇關于Spring AOP實現權限檢查的功能的文章就介紹到這了,更多相關Spring AOP 權限檢查內容請搜索服務器之家以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持服務器之家!
原文鏈接:https://blog.csdn.net/weixin_40990818/article/details/108269875
