SpringBoot如何通过自定义注解实现权限检查详解
前言
最近开发了一个接口,完成后准备自测时,却被拦截器拦截了,提示:(auth-no)未能获得有效的请求参数!
怎么会这样呢?
于是我全局搜了这个提示语,结果发现它被出现在一个aspect类当中了,并且把一个 @interface 作为了一个切点,原来这里利用了spring aop面向切面的方式进行权限控制。
springboot通过自定义注解实现日志打印可参考:springboot通过自定义注解实现日志打印
正文
spring aop
spring aop 即面向切面,是对oop面向对象的一种延伸。
aop机制可以让开发者把业务流程中的通用功能抽取出来,单独编写功能代码。在业务流程执行过程中,spring框架会根据业务流程要求,自动把独立编写的功能代码切入到流程的合适位置。
我们通过aop机制可以实现:authentication 权限检查、caching 缓存、context passing 内容传递、error handling 错误处理、日志打印等功能,这里我们讲一下怎么用spring aop来实现权限检查。
springboot 通过自定义注解实现权限检查
maven依赖
<!--lombok--> <dependency> <groupid>org.projectlombok</groupid> <artifactid>lombok</artifactid> <version>1.18.2</version> <optional>true</optional> </dependency> <!--spring aop--> <dependency> <groupid>org.springframework.boot</groupid> <artifactid>spring-boot-starter-aop</artifactid> </dependency>
mypermissiontag.class自定义注解
- @retention: 用来修饰注解,是注解的注解,称为元注解。
- @target:用来说明对象的作用范围
/** * 用户请求权限校验 */ @retention(retentionpolicy.runtime) @target(elementtype.method) public @interface mypermissiontag { string value() default ""; string name() default ""; }
这里特别讲一下@retention,按生命周期来划分可分为3类:
- retentionpolicy.source:注解只保留在源文件,当java文件编译成class文件的时候,注解被遗弃(运行时去动态获取注解信息);
- retentionpolicy.class:注解被保留到class文件,但jvm加载class文件时候被遗弃,这是默认的生命周期(在编译时进行一些预处理操作);
- retentionpolicy.runtime:注解不仅被保存到class文件中,jvm加载class文件之后,仍然存在(做一些检查性的操作);
这3个生命周期分别对应于:java源文件(.java文件) —> .class文件 —> 内存中的字节码。
authinterceptor 权限检查的切面
这里简单介绍一下,切面的执行方法和其执行顺序:
- @around 通知方法将目标方法封装起来
- @before 通知方法会在目标方法调用之前执行
- @after 通知方法会在目标方法返回或者异常后执行
- @afterreturning 通知方法会在目标方法返回时执行
- @afterthrowing 通知方法会在目标方法抛出异常时执行
这里以一个返回正常的情况为例:(异常替换最后一步即可)
authinterceptor.class
注意要在启动类扫描这个class,并且添加 @enableaspectjautoproxy(proxytargetclass = true)
@slf4j @aspect @component public class authinterceptor { /** * 参数处理 * * @param point */ @before("@annotation(com.luo.common.tag.mypermissiontag)") public void beforeproreq(joinpoint point) { log.info("前置拦截-开始"); request req = getoperationrequest(point.getargs()); if (req != null) { //解密帐号 log.info("前置拦截-开始解密account:{}", req.getaccount()); log.info("前置拦截-结束解密account:{}", req.getaccount()); } log.info("前置拦截-结束"); } @around("@annotation(com.luo.common.tag.mypermissiontag)") public object authcheck(proceedingjoinpoint pjp) throws throwable { log.info("权限拦截-开始"); //请求方法 reqmethod reqmethod = getpermissiontag(pjp); mypermissiontag mypermissiontag =reqmethod.pertag; log.info(mypermissiontag.value()); //获取配置的值 log.info("权限拦截-开始-拦截到方法:{}", reqmethod.getmethodname()); if("true".equals(mypermissiontag.value().tostring())){ //错误返回 response notgores = new response(); request req = getoperationrequest(pjp.getargs()); // 校验请求对象 if (req == null) { notgores.seterrormsg("(auth)未能获得有效的请求参数!"); log.info("(auth-no)未能获得有效的请求参数!"); return notgores; }else {//可以在这里根据请求参数对请求做进一步校验 log.info("完成请求校验:"+req); } }else { log.info("未开启权限校验"); } return pjp.proceed(); } /** * 获取 request 接口中的请求参数 * @param args * @return */ private request getoperationrequest(object[] args) { if (args == null || args.length <= 0) { log.error("auth权限验证:拦截方法的请求参数为空!"); return null; } object obj = args[0]; if (obj instanceof request) { log.info("auth权限验证:请求对象为正确的operationrequest对象"); return (request) obj; } return null; } /** * 获取拦截的资源标签 * 这里可以获取方法名+注解信息(包括 key+value 等) * @param pjp * @return * @throws securityexception * @throws nosuchmethodexception */ private reqmethod getpermissiontag(proceedingjoinpoint pjp) throws nosuchmethodexception, securityexception { signature signature = pjp.getsignature(); methodsignature methodsignature = (methodsignature) signature; method targetmethod = methodsignature.getmethod(); method realmethod = pjp.gettarget().getclass().getdeclaredmethod(signature.getname(), targetmethod.getparametertypes()); mypermissiontag permissiontag = realmethod.getannotation(mypermissiontag.class); return new reqmethod(permissiontag, realmethod.getname()); } @setter @getter class reqmethod { private mypermissiontag pertag; private string methodname; public reqmethod(mypermissiontag pertag, string methodname) { this.pertag = pertag; this.methodname = methodname; } } }
验证
测试接口
@postmapping("/helloluo") @mypermissiontag(value = "true") public string helloluo(userpojoreq userpojoreq){ return "hello world"; }
发送请求
验证
总结
到此这篇关于springboot如何通过自定义注解实现权限检查的文章就介绍到这了,更多相关springboot自定义注解实现权限检查内容请搜索以前的文章或继续浏览下面的相关文章希望大家以后多多支持!
上一篇: python 进程池pool使用详解
推荐阅读
-
Springboot自定义注解实现简单的接口权限控制,替代Shiro/SpringSecurity
-
Spring Boot如何通过自定义注解实现日志打印详解
-
springboot如何通过session实现单点登入详解
-
SpringBoot如何通过自定义注解实现权限检查详解
-
详解如何实现SpringBoot的底层注解
-
Springboot自定义注解实现简单的接口权限控制,替代Shiro/SpringSecurity
-
详解如何实现SpringBoot的底层注解
-
springboot如何通过session实现单点登入详解
-
SpringBoot如何通过自定义注解实现权限检查详解
-
Spring Boot如何通过自定义注解实现日志打印详解