怎么在SpringBoot中通过AOP和自定义注解实现权限控制

今天就跟大家聊聊有关怎么在Spring Boot 中通过AOP和自定义注解实现权限控制,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。

在定远等地区,都构建了全面的区域性战略布局,加强发展的系统性、市场前瞻性、产品创新能力,以专注、极致的服务理念,为客户提供网站制作、成都网站设计 网站设计制作按需设计,公司网站建设,企业网站建设,品牌网站建设,成都营销网站建设,外贸网站制作,定远网站建设费用合理。

思路

  • 自定义权限注解

  • 在需要验证的接口上加上注解,并设置具体权限值

  • 数据库权限表中加入对应接口需要的权限

  • 用户登录时,获取当前用户的所有权限列表放入redis缓存中

  • 定义AOP,将切入点设置为自定义的权限

  • AOP中获取接口注解的权限值,和Redis中的数据校验用户是否存在该权限,如果Redis中没有,则从数据库获取用户权限列表,再校验

pom文件 引入AOP

  
   org.springframework.boot
   spring-boot-starter-web
  

  
  
   org.springframework.boot
   spring-boot-starter-aop
  

自定义注解 VisitPermission

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface VisitPermission {
 /**
  * 用于配置具体接口的权限值
  * 在数据库中添加对应的记录
  * 用户登录时,将用户所有的权限列表放入redis中
  * 用户访问接口时,将对应接口的值和redis中的匹配看是否有访问权限
  * 用户退出登录时,清空redis中对应的权限缓存
  */
 String value() default "";
}

需要设置权限的接口上加入注解 @VisitPermission(value)

@RestController
@RequestMapping("/permission")
public class PermissionController {
 /**
  * 配置权限注解 @VisitPermission("permission-test")
  * 只用拥有该权限的用户才能访问,否则提示非法操作
  */
 @VisitPermission("permission-test")
 @GetMapping("/test")
 public String test() {
  System.out.println("================== step 3: doing ==================");
  return "success";
 }
}

定义权限AOP

  • 设置切入点为@annotation(VisitPermission)

  • 获取请求中的token,校验是否token是否过期或合法

  • 获取注解中的权限值,校验当前用户是否有访问权限

  • MongoDB 记录访问日志(IP、参数、接口、耗时等)

@Aspect
@Component
public class PermissionAspect {

 /**
  * 切入点
  * 切入点为包路径下的:execution(public * org.ylc.note.aop.controller..*(..)):
  * org.ylc.note.aop.Controller包下任意类任意返回值的 public 的方法
  * 

  * 切入点为注解的: @annotation(VisitPermission)   * 存在 VisitPermission 注解的方法   */  @Pointcut("@annotation(org.ylc.note.aop.annotation.VisitPermission)")  private void permission() {  }  /**   * 目标方法调用之前执行   */  @Before("permission()")  public void doBefore() {   System.out.println("================== step 2: before ==================");  }  /**   * 目标方法调用之后执行   */  @After("permission()")  public void doAfter() {   System.out.println("================== step 4: after ==================");  }  /**   * 环绕   * 会将目标方法封装起来   * 具体验证业务数据   */  @Around("permission()")  public Object doAround(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {   System.out.println("================== step 1: around ==================");   long startTime = System.currentTimeMillis();   /*    * 获取当前http请求中的token    * 解析token :    * 1、token是否存在    * 2、token格式是否正确    * 3、token是否已过期(解析信息或者redis中是否存在)    * */   ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();   HttpServletRequest request = attributes.getRequest();   String token = request.getHeader("token");   if (StringUtils.isEmpty(token)) {    throw new RuntimeException("非法请求,无效token");   }   // 校验token的业务逻辑   // ...   /*    * 获取注解的值,并进行权限验证:    * redis 中是否存在对应的权限    * redis 中没有则从数据库中获取权限    * 数据空中没有,抛异常,非法请求,没有权限    * */   Method method = ((MethodSignature) proceedingJoinPoint.getSignature()).getMethod();   VisitPermission visitPermission = method.getAnnotation(VisitPermission.class);   String value = visitPermission.value();   // 校验权限的业务逻辑   // List permissions = redis.get(permission)   // db.getPermission   // permissions.contains(value)   // ...   System.out.println(value);      // 执行具体方法   Object result = proceedingJoinPoint.proceed();   long endTime = System.currentTimeMillis();   /*    * 记录相关执行结果    * 可以存入MongoDB 后期做数据分析    * */   // 打印请求 url   System.out.println("URL   : " + request.getRequestURL().toString());   // 打印 Http method   System.out.println("HTTP Method : " + request.getMethod());   // 打印调用 controller 的全路径以及执行方法   System.out.println("controller  : " + proceedingJoinPoint.getSignature().getDeclaringTypeName());   // 调用方法   System.out.println("Method   : " + proceedingJoinPoint.getSignature().getName());   // 执行耗时   System.out.println("cost-time  : " + (endTime - startTime) + " ms");   return result;  } }

单元测试

package org.ylc.note.aop;

import org.junit.jupiter.api.BeforeEach;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.http.MediaType;
import org.springframework.test.web.servlet.MockMvc;
import org.springframework.test.web.servlet.MvcResult;
import org.springframework.test.web.servlet.request.MockMvcRequestBuilders;
import org.springframework.test.web.servlet.setup.MockMvcBuilders;
import org.ylc.note.aop.controller.PermissionController;

@SpringBootTest
class AopApplicationTests {

 @Autowired
 private PermissionController permissionController;

 private MockMvc mvc;

 @BeforeEach
 void setupMockMvc() {
  mvc = MockMvcBuilders.standaloneSetup(permissionController).build();
 }

 @Test
 void apiTest() throws Exception {
  MvcResult result = mvc.perform(MockMvcRequestBuilders.get("/permission/test")
    .accept(MediaType.APPLICATION_JSON)
    .header("token", "9527"))
    .andReturn();
  System.out.println("api test result : " + result.getResponse().getContentAsString());
 }

}

springboot是什么

springboot一种全新的编程规范,其设计目的是用来简化新Spring应用的初始搭建以及开发过程,SpringBoot也是一个服务于框架的框架,服务范围是简化配置文件。

看完上述内容,你们对怎么在Spring Boot 中通过AOP和自定义注解实现权限控制有进一步的了解吗?如果还想了解更多知识或者相关内容,请关注创新互联行业资讯频道,感谢大家的支持。


本文名称:怎么在SpringBoot中通过AOP和自定义注解实现权限控制
标题网址:http://pwwzsj.com/article/psodco.html