场景

现在有个系统,很多接口只需要登录就可以访问,但是有些接口需要授予并验证权限。如果用注解controller的方式控制接口的权限呢?

1、注解声明代码

这个注解是要装饰在controller接口上的。

按照一般权限的设计,有用户(user)-角色(role)-权限(permission)三种实体,他们之间都是多对多关系。

注解声明的时候,可以配置要验证的角色(role)或权限(menu)。所以我这里有两个变量。

import java.lang.annotation.ElementType;

import java.lang.annotation.Retention;

import java.lang.annotation.RetentionPolicy;

import java.lang.annotation.Target;

/**

 * @Author: ivan

 * @Description:

 * @Date: Created in 19:58 18/5/28

 * @Modified By:

 */

@Target(ElementType.METHOD)

@Retention(RetentionPolicy.RUNTIME)

public @interface Authentication {

    long[] role() default {};

    long[] menu() default {};

}

2、Authentication权限验证Advice

我们以验证角色为例。

第一步,先从controller参数的request cookie里拿到用户登录信息,获取userId,我这里是card。

第二步,查询用户角色数据库,获取该user拥有哪些权限。

第三部,跟@Authentication里配置的权限进行比较,校验成功返回数据,校验失败返回错误码。

使用localthread记录了权限验证处理时间,用来进行监控。

/**

 * @Author: ivan

 * @Description:

 * @Date: Created in 20:00 18/5/28

 * @Modified By:

 */

@Aspect

@Component

@Order(-10)

public class AuthenticationAspect {

    private static Logger logger = LoggerFactory.getLogger(AuthenticationAspect.class);

    @Autowired

    private AuthDao authDao;

    ThreadLocal<Long> beginTime = new ThreadLocal<Long>();

    @Pointcut("@annotation(authentication)")

    public void AuthenticationService(Authentication authentication) {

    }

    @Around("AuthenticationService(authentication)")

    public Object doAround(ProceedingJoinPoint joinPoint, Authentication authentication) throws Throwable{

        beginTime.set(System.currentTimeMillis());

        String card = null;

        List<Long> roleList = new ArrayList<>();

        for (Object arg : joinPoint.getArgs()) {

            if (arg != null && arg.getClass() == RequestFacade.class) {

                RequestFacade request = (RequestFacade) arg;

                card = CookieUtils.getCardFromCookie(request);

                if (StringUtils.isEmpty(card)) {

                    return JsonResult.buildFailResult(-1, 1000, "权限验证未通过", null);

                }

                List<Role> roles = authDao.getRolesByCard(card);

                for (Role role : roles) {

                    roleList.add(role.getId());

                }

                break;

            }

        }

        logger.info("[authentication] user={}, roles={}", card, roleList);

        long[] aims = authentication.role();

        boolean isPass = false;

        for (long aim : aims) {

            if (roleList.contains(aim)) {

                isPass = true;

            }

        }

        if (isPass) {

            logger.info("[authentication] authentication pass, cost time: {}", System.currentTimeMillis() - beginTime.get());

            return joinPoint.proceed();

        } else {

            beginTime.set(System.currentTimeMillis());

            logger.info("[authentication] authentication reject, cost time: {}", System.currentTimeMillis() - beginTime.get());

            return JsonResult.buildFailResult(-1, 1000, "权限验证未通过", null);

        }

    }

}

3、使用方法

1、Authentication直接装饰在controller接口上,参数是role={2},即用户拥有2这个角色的时候拥有访问这个接口的权限。

2、controller第一个参数要是HttpServletRequest request,不然上面从request里面拿用户信息会失败。(这个地方确实不方便)

/**

 * 审核接口

 *

 * @author ivan

 * @date 2018/08/02

 */

@Controller

@RequestMapping("/audit")

public class AuditController {

    private static final Logger LOGGER = LoggerFactory.getLogger(AuditController.class);

    @Resource

    private AuditService auditService;

    @ResponseBody

    @PostMapping(value = "/review")

    @Authentication(role = {2})

    public JsonResult review(HttpServletRequest request, @RequestBody AduitDTO aduitDTO) {

        LOGGER.info("[aduitDTO]  video service aduitDTO={}" + aduitDTO);

        UserInfo userInfo = CookieUtils.getLoginInfoFromCookie(request);

        aduitDTO.setCard(userInfo.getCard());

        int status = 0;

        aduitDTO.setAuditor(userInfo.getCard());

        JsonResult jsonResult = null;

        if (ListEnum.ZERO.toString().equals(aduitDTO.getType())) {

            if (null != aduitDTO.getStatus() && ListEnum.ONE.toString().equals(aduitDTO.getStatus())) {

                status = auditService.review(aduitDTO);

                jsonResult = JsonResult.buildSuccessResult("审核通过");

            }

            if (null != aduitDTO.getStatus() && ListEnum.TWO.toString().equals(aduitDTO.getStatus())) {

                if(StringUtils.isEmpty(aduitDTO.getReason())){

                    return JsonResult.buildFailResult(1, 102, "请添加不通过原因!", null);

                }

                aduitDTO.setAuditTime(DateUtils.parseDateToStr(new Date() ,"yyyy-MM-dd HH:mm:ss"));

                status = auditService.updateAduit(aduitDTO);

                jsonResult = JsonResult.buildSuccessResult("审核不通过");

            }

        }

        return jsonResult;

    }

}

springboot接口访问权限AOP实现的更多相关文章

  1. go 基础 结构体 接口 访问权限

    package School type SchoolModel struct { Name string Address string StudentCount int Is985 bool } ty ...

  2. Java编程思想学习(四) 访问权限

    几种访问权限修饰词 public,protected,private,friendly(Java中并无该修饰词,即包访问权限,不提供任何访问修饰词) 使用时,放置在类中成员(域或方法)的定义之前的,仅 ...

  3. thinkinginjava学习笔记05_访问权限

    Java中访问权限等级从大到小依次为:public.protected.包访问权限(没有关键词).private: 以包访问权限为界限,public.protected分别可以被任意对象和继承的对象访 ...

  4. 初读"Thinking in Java"读书笔记之第六章 --- 访问权限控制

    包:库单元 包内包含有一组类,他们在单一的名字空间下被组织在一起. 通过import ***.***.*可以将某个包下的所有类导入到当前文件中. 每个Java源文件最多只能有一个public类,且名称 ...

  5. Chapter6_访问权限控制_访问权限修饰词

    Java中有四种访问权限,public,private,protected和包访问权限,它们是置于类中每一个成员之前的定义,无论是一个域还是一个方法,下面一一介绍. 一.包访问权限 如果不提供任何访问 ...

  6. ThinkingInJava 学习 之 0000005 访问权限控制

    1. 包:库单元 1. 代码组织 2. 创建独一无二的包名 3. 定制工具库 4. 用import改变行为 5. 对使用包的忠告 2. Java访问权限修饰词 1. 包访问权限 2. public : ...

  7. Java访问权限控制

    访问权限控制           java提供了访问权限修饰词,以供类库开发人员向客户端程序员指明哪些是可用的,哪些是不可用的.访问权限控制的等级,从最大权限到最小权限依次是:public.prote ...

  8. Java之路(五) 访问权限控制

    在Java中,所有事物都具有某种形式的访问权限控制. 访问权限的控制等级从最大到最小依次为:public,protected,包访问权限(无关键词)和private. public,protected ...

  9. Java编程思想学习笔记——访问权限修饰词

    几种访问权限修饰词 public,protected,private,friendly(Java中并无该修饰词,即包访问权限,不提供任何访问修饰词) 使用时,放置在类中成员(域或方法)的定义之前的,仅 ...

随机推荐

  1. ASP.NET Core OData now Available

    It looks great! https://devblogs.microsoft.com/odata/asp-net-core-odata-now-available/

  2. Java逆向工程SpringBoot + Mybatis Generator + MySQL

    Java逆向工程SpringBoot+ Mybatis Generator + MySQL Meven pop.xml文件添加引用: <dependency> <groupId> ...

  3. 快速沃尔什变换(FWT)及K进制异或卷积&快速子集变换(FST)讲解

    前言: $FWT$是用来处理位运算(异或.与.或)卷积的一种变换.位运算卷积是什么?形如$f[i]=\sum\limits_{j\oplus k==i}^{ }g[j]*h[k]$的卷积形式(其中$\ ...

  4. 机器学习---感知机(Machine Learning Perceptron)

    感知机(perceptron)是一种线性分类模型,通常用于二分类问题.感知机由Rosenblatt在1957年提出,是神经网络和支持向量机的基础.通过修改损失函数,它可以发展成支持向量机:通过多层堆叠 ...

  5. 为Jupyter只安装目录的扩展包

    项目地址:https://github.com/minrk/ipython_extensions/tree/master/nbextensions 一般都是让安装Nbextensions,而这些扩展我 ...

  6. Python的开发之路

    一.python入门 二.基本数据类型 三.输入与输出 四.基本运算符 五 .流程控制之if判断 六.流程控制之while循环 七.流程控制之for循环 八.数据类型与内置方法 九.文件的处理 十.字 ...

  7. Java:IO流-流的操作规律和转换流

    首先我们先来了解一些IO流基本知识. 一,基本知识概括 具体的IO流有很多种,针对不同的应用场景应该使用相应的流对象.但怎么确定应该使用哪个IO流对象呢? 一般要有四个明确: 1)明确源和目的 源:I ...

  8. .NET框架 - NETFramework + API + EF(DBFirst) + MYSQL

    .NET框架 - NETFramework + MVC+ EF(DBFirst) + MYSQL 1. 安装3个MYSQL插件 ①mysql-for-visualstudio-1.2.8    vs的 ...

  9. python之路(7)装饰器

    前言 装饰器:为函数添加附属功能,本质为函数 原则:不修改被修饰函数的源代码 不修改被修饰函数的调用方式 装饰器=高阶函数+函数嵌套+闭包 使用场景演示 定义下面函数 def cal(l): res ...

  10. VS2017添加引用报错

    未能正确加载“ReferenceManagerPackage”包. 此问题可能是因配置更改或安装另一个扩展导致的.可通过查看文件“C:\Users\Administrator\AppData\Roam ...