Spring Boot 通过AOP和自定义注解实现权限控制的方法

本文介绍了Spring Boot 通过AOP和自定义注解实现权限控制,分享给大家,具体如下:

源码:https://github.com/yulc-coding/java-note/tree/master/aop

思路

  • 自定义权限注解
  • 在需要验证的接口上加上注解,并设置具体权限值
  • 数据库权限表中加入对应接口需要的权限
  • 用户登录时,获取当前用户的所有权限列表放入Redis缓存中
  • 定义AOP,将切入点设置为自定义的权限
  • AOP中获取接口注解的权限值,和Redis中的数据校验用户是否存在该权限,如果Redis中没有,则从数据库获取用户权限列表,再校验

pom文件 引入AOP

  <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-web</artifactId>
  </dependency>

  <!-- AOP 切面-->
  <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-aop</artifactId>
  </dependency>

自定义注解 VisitPermission

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface VisitPermission {
 /**
  * 用于配置具体接口的权限值
  * 在数据库中添加对应的记录
  * 用户登录时,将用户所有的权限列表放入redis中
  * 用户访问接口时,将对应接口的值和redis中的匹配看是否有访问权限
  * 用户退出登录时,清空redis中对应的权限缓存
  */
 String value() default "";
}

需要设置权限的接口上加入注解 @VisitPermission(value)

@RestController
@RequestMapping("/permission")
public class PermissionController {
 /**
  * 配置权限注解 @VisitPermission("permission-test")
  * 只用拥有该权限的用户才能访问,否则提示非法操作
  */
 @VisitPermission("permission-test")
 @GetMapping("/test")
 public String test() {
  System.out.println("================== step 3: doing ==================");
  return "success";
 }
}

定义权限AOP

  • 设置切入点为@annotation(VisitPermission)
  • 获取请求中的token,校验是否token是否过期或合法
  • 获取注解中的权限值,校验当前用户是否有访问权限
  • MongoDB 记录访问日志(IP、参数、接口、耗时等)
@Aspect
@Component
public class PermissionAspect {

 /**
  * 切入点
  * 切入点为包路径下的:execution(public * org.ylc.note.aop.controller..*(..)):
  * org.ylc.note.aop.Controller包下任意类任意返回值的 public 的方法
  * <p>
  * 切入点为注解的: @annotation(VisitPermission)
  * 存在 VisitPermission 注解的方法
  */
 @Pointcut("@annotation(org.ylc.note.aop.annotation.VisitPermission)")
 private void permission() {

 }

 /**
  * 目标方法调用之前执行
  */
 @Before("permission()")
 public void doBefore() {
  System.out.println("================== step 2: before ==================");
 }

 /**
  * 目标方法调用之后执行
  */
 @After("permission()")
 public void doAfter() {
  System.out.println("================== step 4: after ==================");
 }

 /**
  * 环绕
  * 会将目标方法封装起来
  * 具体验证业务数据
  */
 @Around("permission()")
 public Object doAround(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {
  System.out.println("================== step 1: around ==================");
  long startTime = System.currentTimeMillis();
  /*
   * 获取当前http请求中的token
   * 解析token :
   * 1、token是否存在
   * 2、token格式是否正确
   * 3、token是否已过期(解析信息或者redis中是否存在)
   * */
  ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
  HttpServletRequest request = attributes.getRequest();
  String token = request.getHeader("token");
  if (StringUtils.isEmpty(token)) {
   throw new RuntimeException("非法请求,无效token");
  }
  // 校验token的业务逻辑
  // ...

  /*
   * 获取注解的值,并进行权限验证:
   * redis 中是否存在对应的权限
   * redis 中没有则从数据库中获取权限
   * 数据空中没有,抛异常,非法请求,没有权限
   * */
  Method method = ((MethodSignature) proceedingJoinPoint.getSignature()).getMethod();
  VisitPermission visitPermission = method.getAnnotation(VisitPermission.class);
  String value = visitPermission.value();
  // 校验权限的业务逻辑
  // List<Object> permissions = redis.get(permission)
  // db.getPermission
  // permissions.contains(value)
  // ...
  System.out.println(value);

  // 执行具体方法
  Object result = proceedingJoinPoint.proceed();

  long endTime = System.currentTimeMillis();

  /*
   * 记录相关执行结果
   * 可以存入MongoDB 后期做数据分析
   * */
  // 打印请求 url
  System.out.println("URL   : " + request.getRequestURL().toString());
  // 打印 Http method
  System.out.println("HTTP Method : " + request.getMethod());
  // 打印调用 controller 的全路径以及执行方法
  System.out.println("controller  : " + proceedingJoinPoint.getSignature().getDeclaringTypeName());
  // 调用方法
  System.out.println("Method   : " + proceedingJoinPoint.getSignature().getName());
  // 执行耗时
  System.out.println("cost-time  : " + (endTime - startTime) + " ms");

  return result;
 }
}

单元测试

package org.ylc.note.aop;

import org.junit.jupiter.api.BeforeEach;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.http.MediaType;
import org.springframework.test.web.servlet.MockMvc;
import org.springframework.test.web.servlet.MvcResult;
import org.springframework.test.web.servlet.request.MockMvcRequestBuilders;
import org.springframework.test.web.servlet.setup.MockMvcBuilders;
import org.ylc.note.aop.controller.PermissionController;

@SpringBootTest
class AopApplicationTests {

 @Autowired
 private PermissionController permissionController;

 private MockMvc mvc;

 @BeforeEach
 void setupMockMvc() {
  mvc = MockMvcBuilders.standaloneSetup(permissionController).build();
 }

 @Test
 void apiTest() throws Exception {
  MvcResult result = mvc.perform(MockMvcRequestBuilders.get("/permission/test")
    .accept(MediaType.APPLICATION_JSON)
    .header("token", "9527"))
    .andReturn();
  System.out.println("api test result : " + result.getResponse().getContentAsString());
 }

}

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制

    1.添加maven依赖(先安装好cas-server-3.5.2,安装步骤请查看本文参考文章) <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.2.4</version> </dependency> <dependency> <groupId>

  • SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法

    摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的.现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能够访问API. 一:开发一个简单的API 在IDEA开发工具中新建一个maven工程,添加对应的依赖如下: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-b

  • SpringBoot集成Shiro进行权限控制和管理的示例

    shiro apache shiro 是一个轻量级的身份验证与授权框架,与spring security 相比较,简单易用,灵活性高,springboot本身是提供了对security的支持,毕竟是自家的东西.springboot暂时没有集成shiro,这得自己配. 1 . 添加依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId

  • Spring Boot 通过AOP和自定义注解实现权限控制的方法

    本文介绍了Spring Boot 通过AOP和自定义注解实现权限控制,分享给大家,具体如下: 源码:https://github.com/yulc-coding/java-note/tree/master/aop 思路 自定义权限注解 在需要验证的接口上加上注解,并设置具体权限值 数据库权限表中加入对应接口需要的权限 用户登录时,获取当前用户的所有权限列表放入Redis缓存中 定义AOP,将切入点设置为自定义的权限 AOP中获取接口注解的权限值,和Redis中的数据校验用户是否存在该权限,如果R

  • 详解使用Spring Boot的AOP处理自定义注解

    上一篇文章Java 注解介绍讲解了下Java注解的基本使用方式,并且通过自定义注解实现了一个简单的测试工具:本篇文章将介绍如何使用Spring Boot的AOP来简化处理自定义注解,并将通过实现一个简单的方法执行时间统计工具为样例来讲解这些内容. AOP概念 面向侧面的程序设计(aspect-oriented programming,AOP,又译作面向方面的程序设计.观点导向编程.剖面导向程序设计)是计算机科学中的一个术语,指一种程序设计范型.该范型以一种称为侧面(aspect,又译作方面)的语

  • Spring Boot之AOP配自定义注解的最佳实践过程

    前言 AOP(Aspect Oriented Programming),即面向切面编程,是Spring框架的大杀器之一. 首先,我声明下,我不是来系统介绍什么是AOP,更不是照本宣科讲解什么是连接点.切面.通知和切入点这些让人头皮发麻的概念. 今天就来说说AOP的一些应用场景以及如何通过和其他特性的结合提升自己的灵活性.下面话不多说了,来一起看看详细的介绍吧 AOP应用举例 AOP的一大好处就是解耦.通过切面,我们可以将那些反复出现的代码抽取出来,放在一个地方统一处理. 同时,抽出来的代码很多是

  • Struts2通过自定义标签实现权限控制的方法

    近期在开发中遇到一种需求:根据用户的权限决定是否显示某操作按钮. 例如:若用户拥有删除数据的权限,则在界面中显示"删除"按钮:若用户无该权限,则界面中不显示相应按钮. 这样,就需要用到自定义标签了. 要定义Struts2的自定义标签,只需三步: 1.定义一个Component类,并继承自org.apache.struts2.components.Component; 2.定义一个Tag类,并继承自import org.apache.struts2.views.jsp.Component

  • 详解使用Spring AOP和自定义注解进行参数检查

    引言 使用SpringMVC作为Controller层进行Web开发时,经常会需要对Controller中的方法进行参数检查.本来SpringMVC自带@Valid和@Validated两个注解可用来检查参数,但只能检查参数是bean的情况,对于参数是String或者Long类型的就不适用了,而且有时候这两个注解又突然失效了(没有仔细去调查过原因),对此,可以利用Spring的AOP和自定义注解,自己写一个参数校验的功能. 代码示例 注意:本节代码只是一个演示,给出一个可行的思路,并非完整的解决

  • Spring AOP 实现自定义注解的示例

    自工作后,除了一些小项目配置事务使用过 AOP,真正自己写 AOP 机会很少,另一方面在工作后还没有写过自定义注解,一直很好奇注解是怎么实现他想要的功能的,刚好做项目的时候,经常有人日志打得不够全,经常出现问题了,查日志的才发现忘记打了,所以趁此机会,搜了一些资料,用 AOP + 自定义注解,实现请求拦截,自定义打日志,玩一下这两个东西,以下是自己完的一个小例子,也供需要的同学参考. 1. 注解如下: package cn.bridgeli.demo.annotation;   import j

  • Spring boot通过AOP防止API重复请求代码实例

    这篇文章主要介绍了Spring boot通过AOP防止API重复请求代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 实现思路 基于Spring Boot 2.x 自定义注解,用来标记是哪些API是需要监控是否重复请求 通过Spring AOP来切入到Controller层,进行监控 检验重复请求的Key:Token + ServletPath + SHA1RequestParas Token:用户登录时,生成的Token Servlet

  • Spring Boot 2 实战:自定义启动运行逻辑实例详解

    本文实例讲述了Spring Boot 2 实战:自定义启动运行逻辑.分享给大家供大家参考,具体如下: 1. 前言 不知道你有没有接到这种需求,项目启动后立马执行一些逻辑.比如缓存预热,或者上线后的广播之类等等.可能现在没有但是将来会有的.想想你可能的操作, 写个接口上线我调一次行吗?NO!NO!NO!这种初级菜鸟才干的事.今天告诉你个骚操作使得你的代码更加优雅,逼格更高. 2. CommandLineRunner 接口 package org.springframework.boot; impo

  • Spring Boot 结合 aop 实现读写分离

    前言 入职新公司到现在也有一个月了,完成了手头的工作,前几天终于有时间研究下公司旧项目的代码.在研究代码的过程中,发现项目里用到了Spring Aop来实现数据库的读写分离,本着自己爱学习(我自己都不信-)的性格,决定写个实例工程来实现spring aop读写分离的效果. 环境部署 数据库:MySql 库数量:2个,一主一从 关于mysql的主从环境部署,可以参考: https://www.jb51.net/article/184698.htm 开始项目 首先,毫无疑问,先开始搭建一个Sprin

  • Spring Boot请求处理之常用参数注解使用教程

    目录 请求处理-SpringBoot常用参数注解使用 1.@PathVariable注解 2.@RequestHeader注解 3.@RequestParam注解 4.@CookieValue注解 5.@RequestAttribute注解 6.@RequestBody注解 7.@MatrixVariable与UrlPathHelper 7.1.基本简介 7.2.MatrixVariable注解 7.3.使用细节 7.3.1.WebMvcAutoConfiguration自动装配 7.3.2.U

随机推荐