SpringBoot如何通過AOP和自定義注解實現(xiàn)權限控制

這篇文章給大家分享的是有關SpringBoot如何通過AOP和自定義注解實現(xiàn)權限控制的內(nèi)容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

思路

自定義權限注解  在需要驗證的接口上加上注解，并設置具體權限值  數(shù)據(jù)庫權限表中加入對應接口需要的權限  用戶登錄時，獲取當前用戶的所有權限列表放入Redis緩存中  定義AOP，將切入點設置為自定義的權限  AOP中獲取接口注解的權限值，和Redis中的數(shù)據(jù)校驗用戶是否存在該權限，如果Redis中沒有，則從數(shù)據(jù)庫獲取用戶權限列表，再校驗

pom文件 引入AOP

<dependency>   <groupId>org.springframework.boot</groupId>   <artifactId>spring-boot-starter-web</artifactId>  </dependency>  <!-- AOP 切面-->  <dependency>   <groupId>org.springframework.boot</groupId>   <artifactId>spring-boot-starter-aop</artifactId>  </dependency>

自定義注解 VisitPermission

@Target(ElementType.METHOD)@Retention(RetentionPolicy.RUNTIME)public @interface VisitPermission { /**  * 用于配置具體接口的權限值  * 在數(shù)據(jù)庫中添加對應的記錄  * 用戶登錄時，將用戶所有的權限列表放入redis中  * 用戶訪問接口時，將對應接口的值和redis中的匹配看是否有訪問權限  * 用戶退出登錄時，清空redis中對應的權限緩存  */ String value() default "";}

需要設置權限的接口上加入注解 @VisitPermission(value)

@RestController@RequestMapping("/permission")public class PermissionController { /**  * 配置權限注解 @VisitPermission("permission-test")  * 只用擁有該權限的用戶才能訪問，否則提示非法操作  */ @VisitPermission("permission-test") @GetMapping("/test") public String test() {  System.out.println("================== step 3: doing ==================");  return "success"; }}

定義權限AOP

設置切入點為@annotation(VisitPermission)  獲取請求中的token，校驗是否token是否過期或合法  獲取注解中的權限值，校驗當前用戶是否有訪問權限  MongoDB 記錄訪問日志（IP、參數(shù)、接口、耗時等）

@Aspect@Componentpublic class PermissionAspect { /**  * 切入點  * 切入點為包路徑下的：execution(public * org.ylc.note.aop.controller..*(..))：  * org.ylc.note.aop.Controller包下任意類任意返回值的 public 的方法  * <p>  * 切入點為注解的： @annotation(VisitPermission)  * 存在 VisitPermission 注解的方法  */ @Pointcut("@annotation(org.ylc.note.aop.annotation.VisitPermission)") private void permission() { } /**  * 目標方法調(diào)用之前執(zhí)行  */ @Before("permission()") public void doBefore() {  System.out.println("================== step 2: before =================="); } /**  * 目標方法調(diào)用之后執(zhí)行  */ @After("permission()") public void doAfter() {  System.out.println("================== step 4: after =================="); } /**  * 環(huán)繞  * 會將目標方法封裝起來  * 具體驗證業(yè)務數(shù)據(jù)  */ @Around("permission()") public Object doAround(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {  System.out.println("================== step 1: around ==================");  long startTime = System.currentTimeMillis();  /*   * 獲取當前http請求中的token   * 解析token :   * 1、token是否存在   * 2、token格式是否正確   * 3、token是否已過期（解析信息或者redis中是否存在）   * */  ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();  HttpServletRequest request = attributes.getRequest();  String token = request.getHeader("token");  if (StringUtils.isEmpty(token)) {   throw new RuntimeException("非法請求，無效token");  }  // 校驗token的業(yè)務邏輯  // ...  /*   * 獲取注解的值，并進行權限驗證:   * redis 中是否存在對應的權限   * redis 中沒有則從數(shù)據(jù)庫中獲取權限   * 數(shù)據(jù)空中沒有，拋異常，非法請求，沒有權限   * */  Method method = ((MethodSignature) proceedingJoinPoint.getSignature()).getMethod();  VisitPermission visitPermission = method.getAnnotation(VisitPermission.class);  String value = visitPermission.value();  // 校驗權限的業(yè)務邏輯  // List<Object> permissions = redis.get(permission)  // db.getPermission  // permissions.contains(value)  // ...  System.out.println(value);    // 執(zhí)行具體方法  Object result = proceedingJoinPoint.proceed();  long endTime = System.currentTimeMillis();  /*   * 記錄相關執(zhí)行結果   * 可以存入MongoDB 后期做數(shù)據(jù)分析   * */  // 打印請求 url  System.out.println("URL   : " + request.getRequestURL().toString());  // 打印 Http method  System.out.println("HTTP Method : " + request.getMethod());  // 打印調(diào)用 controller 的全路徑以及執(zhí)行方法  System.out.println("controller  : " + proceedingJoinPoint.getSignature().getDeclaringTypeName());  // 調(diào)用方法  System.out.println("Method   : " + proceedingJoinPoint.getSignature().getName());  // 執(zhí)行耗時  System.out.println("cost-time  : " + (endTime - startTime) + " ms");  return result; }}

單元測試

package org.ylc.note.aop;import org.junit.jupiter.api.BeforeEach;import org.junit.jupiter.api.Test;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.boot.test.context.SpringBootTest;import org.springframework.http.MediaType;import org.springframework.test.web.servlet.MockMvc;import org.springframework.test.web.servlet.MvcResult;import org.springframework.test.web.servlet.request.MockMvcRequestBuilders;import org.springframework.test.web.servlet.setup.MockMvcBuilders;import org.ylc.note.aop.controller.PermissionController;@SpringBootTestclass AopApplicationTests { @Autowired private PermissionController permissionController; private MockMvc mvc; @BeforeEach void setupMockMvc() {  mvc = MockMvcBuilders.standaloneSetup(permissionController).build(); } @Test void apiTest() throws Exception {  MvcResult result = mvc.perform(MockMvcRequestBuilders.get("/permission/test")    .accept(MediaType.APPLICATION_JSON)    .header("token", "9527"))    .andReturn();  System.out.println("api test result : " + result.getResponse().getContentAsString()); }}

感謝各位的閱讀！關于“SpringBoot如何通過AOP和自定義注解實現(xiàn)權限控制”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！