场景

现在有个系统,很多接口只需要登录就可以访问,但是有些接口需要授予并验证权限。如果用注解controller的方式控制接口的权限呢?

1、注解声明代码

这个注解是要装饰在controller接口上的。

按照一般权限的设计,有用户(user)-角色(role)-权限(permission)三种实体,他们之间都是多对多关系。

注解声明的时候,可以配置要验证的角色(role)或权限(menu)。所以我这里有两个变量。

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target; /**
* @Author: ivan
* @Description:
* @Date: Created in 19:58 18/5/28
* @Modified By:
*/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Authentication {
long[] role() default {};
long[] menu() default {}; }

2、Authentication权限验证Advice

我们以验证角色为例。

第一步,先从controller参数的request cookie里拿到用户登录信息,获取userId,我这里是card。

第二步,查询用户角色数据库,获取该user拥有哪些权限。

第三部,跟@Authentication里配置的权限进行比较,校验成功返回数据,校验失败返回错误码。

使用localthread记录了权限验证处理时间,用来进行监控。

/**
* @Author: ivan
* @Description:
* @Date: Created in 20:00 18/5/28
* @Modified By:
*/
@Aspect
@Component
@Order(-10)
public class AuthenticationAspect { private static Logger logger = LoggerFactory.getLogger(AuthenticationAspect.class); @Autowired
private AuthDao authDao; ThreadLocal<Long> beginTime = new ThreadLocal<Long>(); @Pointcut("@annotation(authentication)")
public void AuthenticationService(Authentication authentication) {
} @Around("AuthenticationService(authentication)")
public Object doAround(ProceedingJoinPoint joinPoint, Authentication authentication) throws Throwable{
beginTime.set(System.currentTimeMillis());
String card = null;
List<Long> roleList = new ArrayList<>();
for (Object arg : joinPoint.getArgs()) {
if (arg != null && arg.getClass() == RequestFacade.class) {
RequestFacade request = (RequestFacade) arg;
card = CookieUtils.getCardFromCookie(request);
if (StringUtils.isEmpty(card)) {
return JsonResult.buildFailResult(-1, 1000, "权限验证未通过", null);
}
List<Role> roles = authDao.getRolesByCard(card);
for (Role role : roles) {
roleList.add(role.getId());
}
break;
}
}
logger.info("[authentication] user={}, roles={}", card, roleList);
long[] aims = authentication.role();
boolean isPass = false;
for (long aim : aims) {
if (roleList.contains(aim)) {
isPass = true;
}
}
if (isPass) {
logger.info("[authentication] authentication pass, cost time: {}", System.currentTimeMillis() - beginTime.get());
return joinPoint.proceed();
} else {
beginTime.set(System.currentTimeMillis());
logger.info("[authentication] authentication reject, cost time: {}", System.currentTimeMillis() - beginTime.get());
return JsonResult.buildFailResult(-1, 1000, "权限验证未通过", null);
} } }

3、使用方法

1、Authentication直接装饰在controller接口上,参数是role={2},即用户拥有2这个角色的时候拥有访问这个接口的权限。

2、controller第一个参数要是HttpServletRequest request,不然上面从request里面拿用户信息会失败。(这个地方确实不方便)

/**
* 审核接口
*
* @author ivan
* @date 2018/08/02
*/
@Controller
@RequestMapping("/audit")
public class AuditController {
private static final Logger LOGGER = LoggerFactory.getLogger(AuditController.class);
@Resource
private AuditService auditService; @ResponseBody
@PostMapping(value = "/review")
@Authentication(role = {2})
public JsonResult review(HttpServletRequest request, @RequestBody AduitDTO aduitDTO) {
LOGGER.info("[aduitDTO] video service aduitDTO={}" + aduitDTO);
UserInfo userInfo = CookieUtils.getLoginInfoFromCookie(request);
aduitDTO.setCard(userInfo.getCard());
int status = 0;
aduitDTO.setAuditor(userInfo.getCard());
JsonResult jsonResult = null;
if (ListEnum.ZERO.toString().equals(aduitDTO.getType())) {
if (null != aduitDTO.getStatus() && ListEnum.ONE.toString().equals(aduitDTO.getStatus())) {
status = auditService.review(aduitDTO);
jsonResult = JsonResult.buildSuccessResult("审核通过");
}
if (null != aduitDTO.getStatus() && ListEnum.TWO.toString().equals(aduitDTO.getStatus())) {
if(StringUtils.isEmpty(aduitDTO.getReason())){
return JsonResult.buildFailResult(1, 102, "请添加不通过原因!", null);
}
aduitDTO.setAuditTime(DateUtils.parseDateToStr(new Date() ,"yyyy-MM-dd HH:mm:ss"));
status = auditService.updateAduit(aduitDTO);
jsonResult = JsonResult.buildSuccessResult("审核不通过");
}
} return jsonResult;
}
}

springboot接口访问权限AOP实现的更多相关文章

  1. go 基础 结构体 接口 访问权限

    package School type SchoolModel struct { Name string Address string StudentCount int Is985 bool } ty ...

  2. Java编程思想学习(四) 访问权限

    几种访问权限修饰词 public,protected,private,friendly(Java中并无该修饰词,即包访问权限,不提供任何访问修饰词) 使用时,放置在类中成员(域或方法)的定义之前的,仅 ...

  3. thinkinginjava学习笔记05_访问权限

    Java中访问权限等级从大到小依次为:public.protected.包访问权限(没有关键词).private: 以包访问权限为界限,public.protected分别可以被任意对象和继承的对象访 ...

  4. 初读"Thinking in Java"读书笔记之第六章 --- 访问权限控制

    包:库单元 包内包含有一组类,他们在单一的名字空间下被组织在一起. 通过import ***.***.*可以将某个包下的所有类导入到当前文件中. 每个Java源文件最多只能有一个public类,且名称 ...

  5. Chapter6_访问权限控制_访问权限修饰词

    Java中有四种访问权限,public,private,protected和包访问权限,它们是置于类中每一个成员之前的定义,无论是一个域还是一个方法,下面一一介绍. 一.包访问权限 如果不提供任何访问 ...

  6. ThinkingInJava 学习 之 0000005 访问权限控制

    1. 包:库单元 1. 代码组织 2. 创建独一无二的包名 3. 定制工具库 4. 用import改变行为 5. 对使用包的忠告 2. Java访问权限修饰词 1. 包访问权限 2. public : ...

  7. Java访问权限控制

    访问权限控制           java提供了访问权限修饰词,以供类库开发人员向客户端程序员指明哪些是可用的,哪些是不可用的.访问权限控制的等级,从最大权限到最小权限依次是:public.prote ...

  8. Java之路(五) 访问权限控制

    在Java中,所有事物都具有某种形式的访问权限控制. 访问权限的控制等级从最大到最小依次为:public,protected,包访问权限(无关键词)和private. public,protected ...

  9. Java编程思想学习笔记——访问权限修饰词

    几种访问权限修饰词 public,protected,private,friendly(Java中并无该修饰词,即包访问权限,不提供任何访问修饰词) 使用时,放置在类中成员(域或方法)的定义之前的,仅 ...

随机推荐

  1. MongoDB之常用操作

    最近经常使用MongoDB来进行数据的操作,特此记录总结一下

  2. 用redis实现分布式锁,秒杀案例(转)

    分布式锁的简单实现代码: 需要的jar包: jedis-2.9.0.jar. commons-pool2-2.4.2.jar import java.util.List; import java.ut ...

  3. Acdream1201 SuSu's Power

    题目:SuSu's Power 链接:http://acdream.info/problem?pid=1201 题意:一个人站在x轴原点上,初始方向向x轴正方向,由一个字符串来控制其运动,字符串由A. ...

  4. WebSocket原理

    一 . WebSocket原理 1.1.背景 WebSocket 是基于Http 协议的改进,Http 为无状态协议,基于短连接,需要频繁的发起请求,第二 Http 只能客户端发起请求,服务端无法主动 ...

  5. 管理者的情商EQ

    管理者的情商EQ1 IQ与EQ与AQ: IQ:智慧.逻辑.解决问题 EQ:情感商数.领导团队的热情.互动 AQ:逆商.碰到逆境怎么办.得重大疾病怎么办 成功者的概率: 放弃者:70% 半途而废者:25 ...

  6. CTFcracktools——非常实用的CTF解密工具

    做bugku的crypto题时偶然发现了这个,吐血推荐!! 十分全面好用 整合了常见的解码.进制转换等CTF常用的工具: 下载地址: https://github.com/0Linchen/CTFCr ...

  7. P1536 村村通

    原题链接 https://www.luogu.org/problemnew/show/P1536 昨天刚学的并查集,今天正好练习一下,于是就找到了这个题 看起来好像很简单,尤其是你明白了思路之后,完全 ...

  8. MT【324】增量代换

    实数$a,b,c$满足$a^2+b^2+c^2=1$求$f=\min\{(a-b)^2,(b-c)^2,(c-a)^2\}$的最大值 分析:由对称性不妨设$c\ge b\ge a$,令$b-a=s,c ...

  9. 【MyBatis】Mapper XML 文件

    Mapper XML文件 MyBatis 的真正强大在于它的映射语句,也是它的魔力所在.由于它的异常强大,映射器的 XML 文件就显得相对简单.如果拿它跟具有相同功能的 JDBC 代码进行对比,你会立 ...

  10. 微信小程序onLaunch、onLoad执行生命周期

    原文转载自:微信小程序onLaunch.onLoad执行生命周期 1.需求:先执行App的onLaunch添加验证权限等,再执行Page里的onLoad. 2.问题:还没有等onLaunch执行完成, ...