温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

SpringBoot如何通过AOP和自定义注解实现权限控制

发布时间:2021-09-27 14:18:39 来源:亿速云 阅读:99 作者:小新 栏目:编程语言

这篇文章给大家分享的是有关SpringBoot如何通过AOP和自定义注解实现权限控制的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。

思路

自定义权限注解  在需要验证的接口上加上注解,并设置具体权限值  数据库权限表中加入对应接口需要的权限  用户登录时,获取当前用户的所有权限列表放入Redis缓存中  定义AOP,将切入点设置为自定义的权限  AOP中获取接口注解的权限值,和Redis中的数据校验用户是否存在该权限,如果Redis中没有,则从数据库获取用户权限列表,再校验

pom文件 引入AOP

<dependency>   <groupId>org.springframework.boot</groupId>   <artifactId>spring-boot-starter-web</artifactId>  </dependency>  <!-- AOP 切面-->  <dependency>   <groupId>org.springframework.boot</groupId>   <artifactId>spring-boot-starter-aop</artifactId>  </dependency>

自定义注解 VisitPermission

@Target(ElementType.METHOD)@Retention(RetentionPolicy.RUNTIME)public @interface VisitPermission { /**  * 用于配置具体接口的权限值  * 在数据库中添加对应的记录  * 用户登录时,将用户所有的权限列表放入redis中  * 用户访问接口时,将对应接口的值和redis中的匹配看是否有访问权限  * 用户退出登录时,清空redis中对应的权限缓存  */ String value() default "";}

需要设置权限的接口上加入注解 @VisitPermission(value)

@RestController@RequestMapping("/permission")public class PermissionController { /**  * 配置权限注解 @VisitPermission("permission-test")  * 只用拥有该权限的用户才能访问,否则提示非法操作  */ @VisitPermission("permission-test") @GetMapping("/test") public String test() {  System.out.println("================== step 3: doing ==================");  return "success"; }}

定义权限AOP

设置切入点为@annotation(VisitPermission)  获取请求中的token,校验是否token是否过期或合法  获取注解中的权限值,校验当前用户是否有访问权限  MongoDB 记录访问日志(IP、参数、接口、耗时等)

@Aspect@Componentpublic class PermissionAspect { /**  * 切入点  * 切入点为包路径下的:execution(public * org.ylc.note.aop.controller..*(..)):  * org.ylc.note.aop.Controller包下任意类任意返回值的 public 的方法  * <p>  * 切入点为注解的: @annotation(VisitPermission)  * 存在 VisitPermission 注解的方法  */ @Pointcut("@annotation(org.ylc.note.aop.annotation.VisitPermission)") private void permission() { } /**  * 目标方法调用之前执行  */ @Before("permission()") public void doBefore() {  System.out.println("================== step 2: before =================="); } /**  * 目标方法调用之后执行  */ @After("permission()") public void doAfter() {  System.out.println("================== step 4: after =================="); } /**  * 环绕  * 会将目标方法封装起来  * 具体验证业务数据  */ @Around("permission()") public Object doAround(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {  System.out.println("================== step 1: around ==================");  long startTime = System.currentTimeMillis();  /*   * 获取当前http请求中的token   * 解析token :   * 1、token是否存在   * 2、token格式是否正确   * 3、token是否已过期(解析信息或者redis中是否存在)   * */  ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();  HttpServletRequest request = attributes.getRequest();  String token = request.getHeader("token");  if (StringUtils.isEmpty(token)) {   throw new RuntimeException("非法请求,无效token");  }  // 校验token的业务逻辑  // ...  /*   * 获取注解的值,并进行权限验证:   * redis 中是否存在对应的权限   * redis 中没有则从数据库中获取权限   * 数据空中没有,抛异常,非法请求,没有权限   * */  Method method = ((MethodSignature) proceedingJoinPoint.getSignature()).getMethod();  VisitPermission visitPermission = method.getAnnotation(VisitPermission.class);  String value = visitPermission.value();  // 校验权限的业务逻辑  // List<Object> permissions = redis.get(permission)  // db.getPermission  // permissions.contains(value)  // ...  System.out.println(value);    // 执行具体方法  Object result = proceedingJoinPoint.proceed();  long endTime = System.currentTimeMillis();  /*   * 记录相关执行结果   * 可以存入MongoDB 后期做数据分析   * */  // 打印请求 url  System.out.println("URL   : " + request.getRequestURL().toString());  // 打印 Http method  System.out.println("HTTP Method : " + request.getMethod());  // 打印调用 controller 的全路径以及执行方法  System.out.println("controller  : " + proceedingJoinPoint.getSignature().getDeclaringTypeName());  // 调用方法  System.out.println("Method   : " + proceedingJoinPoint.getSignature().getName());  // 执行耗时  System.out.println("cost-time  : " + (endTime - startTime) + " ms");  return result; }}

单元测试

package org.ylc.note.aop;import org.junit.jupiter.api.BeforeEach;import org.junit.jupiter.api.Test;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.boot.test.context.SpringBootTest;import org.springframework.http.MediaType;import org.springframework.test.web.servlet.MockMvc;import org.springframework.test.web.servlet.MvcResult;import org.springframework.test.web.servlet.request.MockMvcRequestBuilders;import org.springframework.test.web.servlet.setup.MockMvcBuilders;import org.ylc.note.aop.controller.PermissionController;@SpringBootTestclass AopApplicationTests { @Autowired private PermissionController permissionController; private MockMvc mvc; @BeforeEach void setupMockMvc() {  mvc = MockMvcBuilders.standaloneSetup(permissionController).build(); } @Test void apiTest() throws Exception {  MvcResult result = mvc.perform(MockMvcRequestBuilders.get("/permission/test")    .accept(MediaType.APPLICATION_JSON)    .header("token", "9527"))    .andReturn();  System.out.println("api test result : " + result.getResponse().getContentAsString()); }}

感谢各位的阅读!关于“SpringBoot如何通过AOP和自定义注解实现权限控制”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,让大家可以学到更多知识,如果觉得文章不错,可以把它分享出去让更多的人看到吧!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI