2. 程式人生 > 程式設計 >Spring Boot 通過AOP和自定義註解實現許可權控制

Spring Boot 通過AOP和自定義註解實現許可權控制

阿新 發佈:2020-06-24

相逢便是 ,路過點個 ^.^

原始碼:https://github.com/yulc-coding/java-note/tree/master/aop

思路

  • 自定義許可權註解
  • 在需要驗證的介面上加上註解,並設定具體許可權值
  • 資料庫許可權表中加入對應介面需要的許可權
  • 使用者登入時,獲取當前使用者的所有許可權列表放入Redis快取中
  • 定義AOP,將切入點設定為自定義的許可權
  • AOP中獲取介面註解的許可權值,和Redis中的資料校驗使用者是否存在該許可權,如果Redis中沒有,則從資料庫獲取使用者許可權列表,再校驗

pom檔案 引入AOP

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!-- AOP 切面-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>
複製程式碼

自定義註解 VisitPermission

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface VisitPermission {
    /**
     * 用於配置具體介面的許可權值
     * 在資料庫中新增對應的記錄
     * 使用者登入時,將使用者所有的許可權列表放入redis中
     * 使用者訪問介面時,將對應介面的值和redis中的匹配看是否有訪問許可權
     * 使用者退出登入時,清空redis中對應的許可權快取
     */
    String value() default ""
 
;
}
複製程式碼

需要設定許可權的介面上加入註解 @VisitPermission(value)

@RestController
@RequestMapping("/permission")
public class PermissionController {
    /**
     * 配置許可權註解 @VisitPermission("permission-test")
     * 只用擁有該許可權的使用者才能訪問,否則提示非法操作
     */
    @VisitPermission("permission-test")
    @GetMapping("/test")
    public String test
 
() {
        System.out.println("================== step 3: doing ==================");
        return "success";
    }
}
複製程式碼

定義許可權AOP

設定切入點為@annotation(VisitPermission)
獲取請求中的token,校驗是否token是否過期或合法
獲取註解中的許可權值,校驗當前使用者是否有訪問許可權
MongoDB 記錄訪問日誌(IP、引數、介面、耗時等)

@Aspect
@Component
public class PermissionAspect {

    /**
     * 切入點
     * 切入點為包路徑下的:execution(public * org.ylc.note.aop.controller..*(..)):
     * org.ylc.note.aop.Controller包下任意類任意返回值的 public 的方法
     * <p>
     * 切入點為註解的: @annotation(VisitPermission)
     * 存在 VisitPermission 註解的方法
     */
    @Pointcut("@annotation(org.ylc.note.aop.annotation.VisitPermission)")
    private void permission() {

    }

    /**
     * 目標方法呼叫之前執行
     */
    @Before("permission()")
    public void doBefore() {
        System.out.println("================== step 2: before ==================");
    }

    /**
     * 目標方法呼叫之後執行
     */
    @After("permission()")
    public void doAfter() {
        System.out.println("================== step 4: after ==================");
    }

    /**
     * 環繞
     * 會將目標方法封裝起來
     * 具體驗證業務資料
     */
    @Around("permission()")
    public Object doAround(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {
        System.out.println("================== step 1: around ==================");
        long startTime = System.currentTimeMillis();
        /*
         * 獲取當前http請求中的token
         * 解析token :
         * 1、token是否存在
         * 2、token格式是否正確
         * 3、token是否已過期(解析資訊或者redis中是否存在)
         * */
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = attributes.getRequest();
        String token = request.getHeader("token");
        if (StringUtils.isEmpty(token)) {
            throw new RuntimeException("非法請求,無效token");
        }
        // 校驗token的業務邏輯
        // ...

        /*
         * 獲取註解的值,並進行許可權驗證:
         * redis 中是否存在對應的許可權
         * redis 中沒有則從資料庫中獲取許可權
         * 資料空中沒有,拋異常,非法請求,沒有許可權
         * */
        Method method = ((MethodSignature) proceedingJoinPoint.getSignature()).getMethod();
        VisitPermission visitPermission = method.getAnnotation(VisitPermission.class);
        String value = visitPermission.value();
        // 校驗許可權的業務邏輯
        // List<Object> permissions = redis.get(permission)
        // db.getPermission
        // permissions.contains(value)
        // ...
        System.out.println(value);
        
        // 執行具體方法
        Object result = proceedingJoinPoint.proceed();

        long endTime = System.currentTimeMillis();

        /*
         * 記錄相關執行結果
         * 可以存入MongoDB 後期做資料分析
         * */
        // 列印請求 url
        System.out.println("URL            : " + request.getRequestURL().toString());
        // 列印 Http method
        System.out.println("HTTP Method    : " + request.getMethod());
        // 列印呼叫 controller 的全路徑以及執行方法
        System.out.println("controller     : " + proceedingJoinPoint.getSignature().getDeclaringTypeName());
        // 呼叫方法
        System.out.println("Method         : " + proceedingJoinPoint.getSignature().getName());
        // 執行耗時
        System.out.println("cost-time      : " + (endTime - startTime) + " ms");

        return result;
    }
}
複製程式碼

單元測試

package org.ylc.note.aop;

import org.junit.jupiter.api.BeforeEach;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.http.MediaType;
import org.springframework.test.web.servlet.MockMvc;
import org.springframework.test.web.servlet.MvcResult;
import org.springframework.test.web.servlet.request.MockMvcRequestBuilders;
import org.springframework.test.web.servlet.setup.MockMvcBuilders;
import org.ylc.note.aop.controller.PermissionController;

@SpringBootTest
class AopApplicationTests {

    @Autowired
    private PermissionController permissionController;

    private MockMvc mvc;

    @BeforeEach
    void setupMockMvc() {
        mvc = MockMvcBuilders.standaloneSetup(permissionController).build();
    }

    @Test
    void apiTest() throws Exception {
        MvcResult result = mvc.perform(MockMvcRequestBuilders.get("/permission/test")
                .accept(MediaType.APPLICATION_JSON)
                .header("token","9527"))
                .andReturn();
        System.out.println("api test result : " + result.getResponse().getContentAsString());
    }

}

複製程式碼

相關推薦

Spring Boot 通過AOP定義註解實現許可權控制

相逢便是 緣 ,路過點個 贊 ^.^ 原始碼:https://github.com/yulc-coding/java-note/tree/master/aop

Spring Boot 通過AOP定義註解實現許可權控制的方法

本文介紹了Spring Boot 通過AOP定義註解實現許可權控制,分享給大家,具體如下:

SpringBoot框架:通過AOP定義註解完成druid連線池的動態資料來源切換(三)

一、引入依賴   引入資料庫連線池的依賴——druid和麵向切面程式設計的依賴——aop,如下所示:

SpringBoot如何通過定義註解實現許可權檢查詳解

前言 最近開發了一個介面,完成後準備測時,卻被攔截器攔截了,提示:(AUTH-NO)未能獲得有效的請求引數!怎麼會這樣呢?

java設計模式-用介面定義註解實現

程式碼結構 第一步:建立介面 package com.chilly.handler.service;/** * 業務處理公共的業務介面業務分類 */public interface HandlerService {public abstract void handler(Object params);}第二步:建立實

Spring Boot如何通過定義註解實現日誌列印詳解

前言 在我們日常的開發過程中通過列印詳細的日誌資訊能夠幫助我們很好地去發現開發過程中可能出現的Bug,特別是在開發Controller層的介面時,我們一般會打印出Request請求引數Response響應結果,但是如果這些列印日

spring aop + 定義註解實現本地快取

1.首先加入本地快取依賴這裡用到的是caffine <!--本地快取 --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-cache</artifactId>&

aop切面定義註解

package com.lanfu.storehouse.annotation;//先定義一個註解 import java.lang.annotation.*; @Inherited

AOP組合使用切面定義註解

新增切面依賴 <dependency> <groupId>org.aspectj</groupId> <artifactId>aspectjrt</artifactId>

Aop-利用定義註解Aop 反射 注入 createTime updateTime

一、前言 createTimeupdateTime這種欄位,在寫業務程式碼時很容易漏掉。而且在業務程式碼裡面每次都要關注這個欄位手動 set一下很繁瑣。

Spring Aop 定義註解實現使用者登入日誌

目錄 Spring Aop 定義註解實現使用者登入日誌 註解Aop切面類 配置檔案 Controller

Spring boot通過AOP防止API重複請求程式碼例項

這篇文章主要介紹了Spring boot通過AOP防止API重複請求程式碼例項,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Spring Boot 2 實戰:定義啟動執行邏輯例項詳解

本文例項講述了Spring Boot 2 實戰:定義啟動執行邏輯。分享給大家供大家參考,具體如下:

使用aop定義註解實現使用者在請求的時候記錄下來,如日誌功能

首先搞清楚aop的幾個概念: AOP即是面向切面,是Spring的核心功能之一,主要的目的即是針對業務處理過程中的橫向拓展,以達到低耦合的效果。

SpringBoot 攔截器定義註解判斷請求是否合法

應用場景舉例: 當不同身份的使用者請求一個介面時,用來校驗使用者某些身份,這樣可以對單個欄位資料進行精確許可權控制,具體看程式碼註釋

通過定義註解實現自動建立表

通過定義註解實現自動建立表 需求分析 1、建立一個學生資訊實體類,包括學號,姓名,性別,聯絡方式,住址

Redis分散式鎖解決微服務環境下定時任務問題【Aop+定義註解實現

技術標籤:Java開發經驗積累redisjava定時任務分散式鎖微服務 一、場景 定時任務,有過專案經歷的開發者估計都不陌生,是實現一些定時執行重複操作需求的常見解決方案。

基於SpringBoot 、AOP定義註解轉義字典值

  一直以來,前端展示字典一般以中文展示為主,若在表中存字典值中文,當字典表更改字典值對應的中文,會造成資料不一致,為此設定冗餘欄位並非最優方案,若由前端自己寫死轉義,不夠靈活,若在業務程式碼轉義,臃

Spring:SpringAop配合定義註解實現切面程式設計

此文章只作為筆記記錄,不作為講解文章。 1. SpringAop簡介 傳統的OOP開發中的程式碼邏輯是自上而下的,而這些過程會產生一些橫切性問題,這些橫切性的問題我們的主業務邏輯關係不大,這些橫切性問題不會影響到主

AOP定義註解實現指定欄位加密脫敏

目錄 一、定義註解 1.方法上註解 2.欄位上註解 定義註解解析 二、構造AOP邏輯