场景

现在有个系统,很多接口只需要登录就可以访问,但是有些接口需要授予并验证权限。如果用注解controller的方式控制接口的权限呢?

1、注解声明代码

这个注解是要装饰在controller接口上的。

按照一般权限的设计,有用户(user)-角色(role)-权限(permission)三种实体,他们之间都是多对多关系。

注解声明的时候,可以配置要验证的角色(role)或权限(menu)。所以我这里有两个变量。

import java.lang.annotation.ElementType;

import java.lang.annotation.Retention;

import java.lang.annotation.RetentionPolicy;

import java.lang.annotation.Target;

/**

 * @Author: ivan

 * @Description:

 * @Date: Created in 19:58 18/5/28

 * @Modified By:

 */

@Target(ElementType.METHOD)

@Retention(RetentionPolicy.RUNTIME)

public @interface Authentication {

    long[] role() default {};

    long[] menu() default {};

}

2、Authentication权限验证Advice

我们以验证角色为例。

第一步,先从controller参数的request cookie里拿到用户登录信息,获取userId,我这里是card。

第二步,查询用户角色数据库,获取该user拥有哪些权限。

第三部,跟@Authentication里配置的权限进行比较,校验成功返回数据,校验失败返回错误码。

使用localthread记录了权限验证处理时间,用来进行监控。

/**

 * @Author: ivan

 * @Description:

 * @Date: Created in 20:00 18/5/28

 * @Modified By:

 */

@Aspect

@Component

@Order(-10)

public class AuthenticationAspect {

    private static Logger logger = LoggerFactory.getLogger(AuthenticationAspect.class);

    @Autowired

    private AuthDao authDao;

    ThreadLocal<Long> beginTime = new ThreadLocal<Long>();

    @Pointcut("@annotation(authentication)")

    public void AuthenticationService(Authentication authentication) {

    }

    @Around("AuthenticationService(authentication)")

    public Object doAround(ProceedingJoinPoint joinPoint, Authentication authentication) throws Throwable{

        beginTime.set(System.currentTimeMillis());

        String card = null;

        List<Long> roleList = new ArrayList<>();

        for (Object arg : joinPoint.getArgs()) {

            if (arg != null && arg.getClass() == RequestFacade.class) {

                RequestFacade request = (RequestFacade) arg;

                card = CookieUtils.getCardFromCookie(request);

                if (StringUtils.isEmpty(card)) {

                    return JsonResult.buildFailResult(-1, 1000, "权限验证未通过", null);

                }

                List<Role> roles = authDao.getRolesByCard(card);

                for (Role role : roles) {

                    roleList.add(role.getId());

                }

                break;

            }

        }

        logger.info("[authentication] user={}, roles={}", card, roleList);

        long[] aims = authentication.role();

        boolean isPass = false;

        for (long aim : aims) {

            if (roleList.contains(aim)) {

                isPass = true;

            }

        }

        if (isPass) {

            logger.info("[authentication] authentication pass, cost time: {}", System.currentTimeMillis() - beginTime.get());

            return joinPoint.proceed();

        } else {

            beginTime.set(System.currentTimeMillis());

            logger.info("[authentication] authentication reject, cost time: {}", System.currentTimeMillis() - beginTime.get());

            return JsonResult.buildFailResult(-1, 1000, "权限验证未通过", null);

        }

    }

}

3、使用方法

1、Authentication直接装饰在controller接口上,参数是role={2},即用户拥有2这个角色的时候拥有访问这个接口的权限。

2、controller第一个参数要是HttpServletRequest request,不然上面从request里面拿用户信息会失败。(这个地方确实不方便)

/**

 * 审核接口

 *

 * @author ivan

 * @date 2018/08/02

 */

@Controller

@RequestMapping("/audit")

public class AuditController {

    private static final Logger LOGGER = LoggerFactory.getLogger(AuditController.class);

    @Resource

    private AuditService auditService;

    @ResponseBody

    @PostMapping(value = "/review")

    @Authentication(role = {2})

    public JsonResult review(HttpServletRequest request, @RequestBody AduitDTO aduitDTO) {

        LOGGER.info("[aduitDTO]  video service aduitDTO={}" + aduitDTO);

        UserInfo userInfo = CookieUtils.getLoginInfoFromCookie(request);

        aduitDTO.setCard(userInfo.getCard());

        int status = 0;

        aduitDTO.setAuditor(userInfo.getCard());

        JsonResult jsonResult = null;

        if (ListEnum.ZERO.toString().equals(aduitDTO.getType())) {

            if (null != aduitDTO.getStatus() && ListEnum.ONE.toString().equals(aduitDTO.getStatus())) {

                status = auditService.review(aduitDTO);

                jsonResult = JsonResult.buildSuccessResult("审核通过");

            }

            if (null != aduitDTO.getStatus() && ListEnum.TWO.toString().equals(aduitDTO.getStatus())) {

                if(StringUtils.isEmpty(aduitDTO.getReason())){

                    return JsonResult.buildFailResult(1, 102, "请添加不通过原因!", null);

                }

                aduitDTO.setAuditTime(DateUtils.parseDateToStr(new Date() ,"yyyy-MM-dd HH:mm:ss"));

                status = auditService.updateAduit(aduitDTO);

                jsonResult = JsonResult.buildSuccessResult("审核不通过");

            }

        }

        return jsonResult;

    }

}

springboot接口访问权限AOP实现的更多相关文章

  1. go 基础 结构体 接口 访问权限

    package School type SchoolModel struct { Name string Address string StudentCount int Is985 bool } ty ...

  2. Java编程思想学习(四) 访问权限

    几种访问权限修饰词 public,protected,private,friendly(Java中并无该修饰词,即包访问权限,不提供任何访问修饰词) 使用时,放置在类中成员(域或方法)的定义之前的,仅 ...

  3. thinkinginjava学习笔记05_访问权限

    Java中访问权限等级从大到小依次为:public.protected.包访问权限(没有关键词).private: 以包访问权限为界限,public.protected分别可以被任意对象和继承的对象访 ...

  4. 初读"Thinking in Java"读书笔记之第六章 --- 访问权限控制

    包:库单元 包内包含有一组类,他们在单一的名字空间下被组织在一起. 通过import ***.***.*可以将某个包下的所有类导入到当前文件中. 每个Java源文件最多只能有一个public类,且名称 ...

  5. Chapter6_访问权限控制_访问权限修饰词

    Java中有四种访问权限,public,private,protected和包访问权限,它们是置于类中每一个成员之前的定义,无论是一个域还是一个方法,下面一一介绍. 一.包访问权限 如果不提供任何访问 ...

  6. ThinkingInJava 学习 之 0000005 访问权限控制

    1. 包:库单元 1. 代码组织 2. 创建独一无二的包名 3. 定制工具库 4. 用import改变行为 5. 对使用包的忠告 2. Java访问权限修饰词 1. 包访问权限 2. public : ...

  7. Java访问权限控制

    访问权限控制           java提供了访问权限修饰词,以供类库开发人员向客户端程序员指明哪些是可用的,哪些是不可用的.访问权限控制的等级,从最大权限到最小权限依次是:public.prote ...

  8. Java之路(五) 访问权限控制

    在Java中,所有事物都具有某种形式的访问权限控制. 访问权限的控制等级从最大到最小依次为:public,protected,包访问权限(无关键词)和private. public,protected ...

  9. Java编程思想学习笔记——访问权限修饰词

    几种访问权限修饰词 public,protected,private,friendly(Java中并无该修饰词,即包访问权限,不提供任何访问修饰词) 使用时,放置在类中成员(域或方法)的定义之前的,仅 ...

随机推荐

  1. Asp.Net Core Options模式的知识总结

    Options模式是Asp.Net Core中用于配置的一种模式,它利用了系统的依赖注入,并且还可以利用配置系统.它使我们可以采用依赖注入的方法直接使用绑定的一个POCO对象,这个POCO对象就叫做O ...

  2. 设置tomcat开机自启和后台运行

    前言:程序登录遇到了问题,重启服务器上的tomcat后程序可以正常的使用,是通过进入bin目录,双击startup.bat运行启动的程序,此时会弹出启动窗口,而且该窗口不能关闭,这个窗口是tomcat ...

  3. python高级编程笔记一 正则表达式

    事例

  4. icpc 南昌邀请赛网络赛 Max answer

    就是求区间和与区间最小值的积的最大值 但是a[i]可能是负的 这就很坑 赛后看了好多dalao的博客 终于a了 这个问题我感觉可以分为两个步骤 第一步是对于每个元素 以它为最小值的最大区间是什么 第二 ...

  5. CentOS 7 安装Git

    服务器端 1.先从yum安装git yum –y install git 2.在需要的位置创建一个裸仓库(最后以.git结尾) cd /usr/local mkdir git cd git git i ...

  6. Oracle篇 之 数据操作

    一.DML 数据操作语言(Data Manipulation Language) 1.insert insert into student values(1,'briup1',20,'Male'); ...

  7. 小白在 Eclipse如何避免启动时自动building workspace和validating

    问题: Eclipse启动时会出现如下的情况(时间比较长): 原因所在: Validating 意为验证,validating... 逐个的检查每一个文件,Eclipse在启动时自动验证代码和创建wo ...

  8. jQuery使用(十五):when()方法的使用

    这个方法再次基于callbacks和deferred对象来实现的一个延迟异步回调来实现的,再when方法内可以添加多个deferred对象作为参数,只有当所有deferred全部被触发了成功的回调函数 ...

  9. python 基础部分重点复习整理2

    把这里的题目争取刷一遍 博客记录 python的ORM框架peewee SQLAlchemy psycopg2 Django 在1 的基础上,重点突出自己以前没注意的,做到精而不杂!!! Python ...

  10. JGUI源码:DataTable固定列样式(20)

    本来感觉这个固定列很容易实现的,一般都是几个table组合实现,真正自己从头做的时候,发现有很多坑,本文只是固定列原理,真正实现datatable的话,代码量比较大的,后续再进行完善. 使用左中右三个 ...