场景

现在有个系统,很多接口只需要登录就可以访问,但是有些接口需要授予并验证权限。如果用注解controller的方式控制接口的权限呢?

1、注解声明代码

这个注解是要装饰在controller接口上的。

按照一般权限的设计,有用户(user)-角色(role)-权限(permission)三种实体,他们之间都是多对多关系。

注解声明的时候,可以配置要验证的角色(role)或权限(menu)。所以我这里有两个变量。

import java.lang.annotation.ElementType;

import java.lang.annotation.Retention;

import java.lang.annotation.RetentionPolicy;

import java.lang.annotation.Target;

/**

 * @Author: ivan

 * @Description:

 * @Date: Created in 19:58 18/5/28

 * @Modified By:

 */

@Target(ElementType.METHOD)

@Retention(RetentionPolicy.RUNTIME)

public @interface Authentication {

    long[] role() default {};

    long[] menu() default {};

}

2、Authentication权限验证Advice

我们以验证角色为例。

第一步,先从controller参数的request cookie里拿到用户登录信息,获取userId,我这里是card。

第二步,查询用户角色数据库,获取该user拥有哪些权限。

第三部,跟@Authentication里配置的权限进行比较,校验成功返回数据,校验失败返回错误码。

使用localthread记录了权限验证处理时间,用来进行监控。

/**

 * @Author: ivan

 * @Description:

 * @Date: Created in 20:00 18/5/28

 * @Modified By:

 */

@Aspect

@Component

@Order(-10)

public class AuthenticationAspect {

    private static Logger logger = LoggerFactory.getLogger(AuthenticationAspect.class);

    @Autowired

    private AuthDao authDao;

    ThreadLocal<Long> beginTime = new ThreadLocal<Long>();

    @Pointcut("@annotation(authentication)")

    public void AuthenticationService(Authentication authentication) {

    }

    @Around("AuthenticationService(authentication)")

    public Object doAround(ProceedingJoinPoint joinPoint, Authentication authentication) throws Throwable{

        beginTime.set(System.currentTimeMillis());

        String card = null;

        List<Long> roleList = new ArrayList<>();

        for (Object arg : joinPoint.getArgs()) {

            if (arg != null && arg.getClass() == RequestFacade.class) {

                RequestFacade request = (RequestFacade) arg;

                card = CookieUtils.getCardFromCookie(request);

                if (StringUtils.isEmpty(card)) {

                    return JsonResult.buildFailResult(-1, 1000, "权限验证未通过", null);

                }

                List<Role> roles = authDao.getRolesByCard(card);

                for (Role role : roles) {

                    roleList.add(role.getId());

                }

                break;

            }

        }

        logger.info("[authentication] user={}, roles={}", card, roleList);

        long[] aims = authentication.role();

        boolean isPass = false;

        for (long aim : aims) {

            if (roleList.contains(aim)) {

                isPass = true;

            }

        }

        if (isPass) {

            logger.info("[authentication] authentication pass, cost time: {}", System.currentTimeMillis() - beginTime.get());

            return joinPoint.proceed();

        } else {

            beginTime.set(System.currentTimeMillis());

            logger.info("[authentication] authentication reject, cost time: {}", System.currentTimeMillis() - beginTime.get());

            return JsonResult.buildFailResult(-1, 1000, "权限验证未通过", null);

        }

    }

}

3、使用方法

1、Authentication直接装饰在controller接口上,参数是role={2},即用户拥有2这个角色的时候拥有访问这个接口的权限。

2、controller第一个参数要是HttpServletRequest request,不然上面从request里面拿用户信息会失败。(这个地方确实不方便)

/**

 * 审核接口

 *

 * @author ivan

 * @date 2018/08/02

 */

@Controller

@RequestMapping("/audit")

public class AuditController {

    private static final Logger LOGGER = LoggerFactory.getLogger(AuditController.class);

    @Resource

    private AuditService auditService;

    @ResponseBody

    @PostMapping(value = "/review")

    @Authentication(role = {2})

    public JsonResult review(HttpServletRequest request, @RequestBody AduitDTO aduitDTO) {

        LOGGER.info("[aduitDTO]  video service aduitDTO={}" + aduitDTO);

        UserInfo userInfo = CookieUtils.getLoginInfoFromCookie(request);

        aduitDTO.setCard(userInfo.getCard());

        int status = 0;

        aduitDTO.setAuditor(userInfo.getCard());

        JsonResult jsonResult = null;

        if (ListEnum.ZERO.toString().equals(aduitDTO.getType())) {

            if (null != aduitDTO.getStatus() && ListEnum.ONE.toString().equals(aduitDTO.getStatus())) {

                status = auditService.review(aduitDTO);

                jsonResult = JsonResult.buildSuccessResult("审核通过");

            }

            if (null != aduitDTO.getStatus() && ListEnum.TWO.toString().equals(aduitDTO.getStatus())) {

                if(StringUtils.isEmpty(aduitDTO.getReason())){

                    return JsonResult.buildFailResult(1, 102, "请添加不通过原因!", null);

                }

                aduitDTO.setAuditTime(DateUtils.parseDateToStr(new Date() ,"yyyy-MM-dd HH:mm:ss"));

                status = auditService.updateAduit(aduitDTO);

                jsonResult = JsonResult.buildSuccessResult("审核不通过");

            }

        }

        return jsonResult;

    }

}

springboot接口访问权限AOP实现的更多相关文章

  1. go 基础 结构体 接口 访问权限

    package School type SchoolModel struct { Name string Address string StudentCount int Is985 bool } ty ...

  2. Java编程思想学习(四) 访问权限

    几种访问权限修饰词 public,protected,private,friendly(Java中并无该修饰词,即包访问权限,不提供任何访问修饰词) 使用时,放置在类中成员(域或方法)的定义之前的,仅 ...

  3. thinkinginjava学习笔记05_访问权限

    Java中访问权限等级从大到小依次为:public.protected.包访问权限(没有关键词).private: 以包访问权限为界限,public.protected分别可以被任意对象和继承的对象访 ...

  4. 初读"Thinking in Java"读书笔记之第六章 --- 访问权限控制

    包:库单元 包内包含有一组类,他们在单一的名字空间下被组织在一起. 通过import ***.***.*可以将某个包下的所有类导入到当前文件中. 每个Java源文件最多只能有一个public类,且名称 ...

  5. Chapter6_访问权限控制_访问权限修饰词

    Java中有四种访问权限,public,private,protected和包访问权限,它们是置于类中每一个成员之前的定义,无论是一个域还是一个方法,下面一一介绍. 一.包访问权限 如果不提供任何访问 ...

  6. ThinkingInJava 学习 之 0000005 访问权限控制

    1. 包:库单元 1. 代码组织 2. 创建独一无二的包名 3. 定制工具库 4. 用import改变行为 5. 对使用包的忠告 2. Java访问权限修饰词 1. 包访问权限 2. public : ...

  7. Java访问权限控制

    访问权限控制           java提供了访问权限修饰词,以供类库开发人员向客户端程序员指明哪些是可用的,哪些是不可用的.访问权限控制的等级,从最大权限到最小权限依次是:public.prote ...

  8. Java之路(五) 访问权限控制

    在Java中,所有事物都具有某种形式的访问权限控制. 访问权限的控制等级从最大到最小依次为:public,protected,包访问权限(无关键词)和private. public,protected ...

  9. Java编程思想学习笔记——访问权限修饰词

    几种访问权限修饰词 public,protected,private,friendly(Java中并无该修饰词,即包访问权限,不提供任何访问修饰词) 使用时,放置在类中成员(域或方法)的定义之前的,仅 ...

随机推荐

  1. path node

    process.cwd() 当前Node.js进程执行时的工作目录 __dirname 当前模块的目录名 const path = require('path'); console.log(__dir ...

  2. centos6.5之phpmyadmin安装

    PhpMyAdmin 首先我们看一下百度百科,看一下phpmyadmin是做什么的. phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让 ...

  3. Manifest merger failed : Attribute application@icon value=(@mipmap/ic_launcher) from AndroidManifest

    情况是这样子的,导入一个比较老的项目(两年前),它依赖于一个 Libraray,已经先导入了 library,现在导入项目的时候出了错 (1) Android Studio 目前提供将 SDK包成 . ...

  4. Supervisor安装与使用

    一.简介 1.supervisor是什么 superviosr是一个Linux/Unix系统上进程监控和管理的工具,它由python编写,可以用pip安装.supervisor能将一个普通的命令行进程 ...

  5. 常见排序算法总结:插入排序,希尔排序,冒泡排序,快速排序,简单选择排序以及java实现

    今天来总结一下常用的内部排序算法.内部排序算法们需要掌握的知识点大概有:算法的原理,算法的编码实现,算法的时空复杂度的计算和记忆,何时出现最差时间复杂度,以及是否稳定,何时不稳定. 首先来总结下常用内 ...

  6. Glide和Picasso的区别

    首先简单的介绍下两个库的出身: Picasso是Square公司出品的一款非常优秀的开源图片加载库Glide是由Google开发,基于 Picasso,依然有保存了Picasso的简洁风格,但是在此做 ...

  7. Magento 2 自带模态的应用

    Modal widget in Magento 2 Magento 2 自带模态的应用 使用magento 2 的自带模态组件,以下代码只供参考使用. 1,DOM >模态块与触发元素 .pthm ...

  8. 树莓派wiringPi,BCM,BOARD编码对应管脚

    wiringPi,BCM,BOARD编码 由于上课需要, 嵌入式学习从树莓派开始 树莓派中执行: $> gpio readall 即可得到关于树莓派管脚的各种信息 上面的图可能不是特别清楚, 可 ...

  9. sql笔试题

    笔试题1: 1.select * from tablex where name = "张*" order by age  默认升序      select * from table ...

  10. java day02 记录

    一.介绍运算符使用,包含+ - * / 及 自增.三元运算等 package com.itheima_02; /* * 赋值运算符: * 基本的赋值运算符:= * 扩展的赋值运算符:+=,-=,*=, ...