Springboot实现注解判断权限

Springboot实现注解判断权限

今天记录一下使用springboot的注解来给方法加权限

避免了每个方法都需要大量的权限判断 超级好用√

@

目录

• Springboot实现注解判断权限
  • 1.创建权限注解
  • 2.定义一个权限的枚举类
  • 3.创建拦截器AOP校验权限
    • poincut表达式介绍
  • 4.使用注解

1.创建权限注解

首先我们先创建一个注解类

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AuthCheck {

    /**
     * 测试注解类
     * mustRole : 方法使用需要的权限
     * @return
     */
    String mustRole() default "";

}

其中@Target(ElementType.METHOD)

注解表示该注解是使用在方法上的

@Retention(RetentionPolicy.RUNTIME)

定义了该注解的生命周期（我也是刚补完这块知识）

2.定义一个权限的枚举类

接下来我们创建一个角色权限的枚举类

public enum UserRoleEnum {
    USER("用户", "user"),
    ADMIN("管理员", "admin"),
    BAN("被封号", "ban");
    private final String text;
    private final String value;

    UserRoleEnum(String text, String value) {
        this.text = text;
        this.value = value;
    }
    /**
     * 根据 value 获取枚举
     */
    public static UserRoleEnum getEnumByValue(String value) {
        if (ObjectUtils.isEmpty(value)) {
            return null;
        }
        for (UserRoleEnum anEnum : UserRoleEnum.values()) {
            if (anEnum.value.equals(value)) {
                return anEnum;
            }
        }
        return null;
    }

    public String getValue() {
        return value;
    }

    public String getText() {
        return text;
    }
}

3.创建拦截器AOP校验权限

定义一个拦截器

@Aspect
@Component
public class AuthInterceptor {
    @Resource
    private UserService userService;
    /**
     * 执行拦截
     *
     * @param joinPoint
     * @param authCheck
     * @return
     */
    @Around("@annotation(authCheck)")
    public Object doInterceptor(ProceedingJoinPoint joinPoint, AuthCheck authCheck) throws Throwable {
        String mustRole = authCheck.mustRole();
        RequestAttributes requestAttributes = RequestContextHolder.currentRequestAttributes();
        HttpServletRequest request = ((ServletRequestAttributes) requestAttributes).getRequest();
        // 获取当前用户的信息
        User loginUser = userService.getLoginUser(request);
        // 必须有该权限才通过
        if (StringUtils.isNotBlank(mustRole)) {
            UserRoleEnum mustUserRoleEnum = UserRoleEnum.getEnumByValue(mustRole);
            if (mustUserRoleEnum == null) {
                throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
            }
            String userRole = loginUser.getUserRole();
            // 如果被封号，直接拒绝
            if (UserRoleEnum.BAN.equals(mustUserRoleEnum)) {
                throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
            }
            // 必须有管理员权限
            if (UserRoleEnum.ADMIN.equals(mustUserRoleEnum)) {
                if (!mustRole.equals(userRole)) {
                    throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
                }
            }
        }
        // 通过权限校验，放行
        return joinPoint.proceed();
    }
}

其中常见的AOP注解：

• @Aspect注解是把当前类标识为一个切面
• @Pointcut 植入Advice(通知)的触发条件。

poincut表达式介绍

拦截内容输入规范（pointcut表达式）

execute等

示例：@Around("execution(* com.springboot.controller..(..))")

• execution(): 表达式主体
• 第一个号：表示返回类型，号表示所有的类型
• 包名：表示需要拦截的包名，后面的两个句点表示当前包和当前包的所有子包，com.example.lx包、子孙包
• 第二个号：表示类名，号表示所有的类。
• (..)：第三个号表示方法名，*号表示所有的方法，(..)表示方法参数，两个句点表示任何参数

五种增强注解

• @Before 前置增强，相当于BeforeAdvice，目标方法执行前执行
• @After final增强，不管是抛出异常或者正常退出都会执行
• @AfterReturning 后置增强，相当于AfterReturningAdvice，方法正常退出时执行
• @AfterThrowing 异常抛出增强，相当于ThrowsAdvice，目标方法抛出异常后执行
• @Around 环绕增强，相当于MethodInterceptor

注意：1、前四种增强修饰的方法可以通过声明JoinPoint 类型参数变量获取目标方法的信息（方法名、参数列表等信息）；@Around修饰的方法必须声明ProceedingJoinPoint类型的参数，该变量可以决定是否执行目标方法，jp.proceed()表示执行目标方法

2、前四种增强修饰的方法没有返回值（即为void）；而@Around修饰的方法必须有返回值，返回值为目标方法的返回值；

4.使用注解

最后在我们Controller层的方法上使用注解就可以进行权限的校验啦

    @PostMapping("/add")
    @AuthCheck(mustRole = UserConstant.ADMIN_ROLE)
    public void addUser() {
		//一大堆逻辑
    }

上面就已经设置成只有管理员才能添加用户了

大功告成√