基于AOP切面实现用户权限校验

一、什么是AOP切面?

在JAVA中,AOP(面向切面编程)中的切面(Aspect)是一种编程概念,用于模块化横切关注点(cross-cutting concerns)。横切关注点是指那些与业务逻辑无关,但需要在多个模块中重复使用的功能,如日志记录、事务管理、安全控制等。

主要作用:

  • 模块化横切关注点:将横切关注点从业务逻辑中分离出来,提高代码的可读性和可维护性
  • 减少代码冗余:避免在多个地方重复编写相同的代码
  • 提高代码复用性:切面可以在不用的运用程序中重复使用
  • 可插拔性:通过配置或运行时动态添加切面,无需修改现有代码

核心概念:

  • 切面(Aspect):切面是一个模块化的横切关注点实现,它包括了连接点和通知。切面通常是一个类,里面可以定义切入点和通知。可以通过配置文件、注解等方式定义切面。
  • 连接点(Joinpoint):程序中能够被切面插入的点,典型的连接点包括方法调用、方法执行中某个时点等等,在Spring AOP中,连接点通常指的是方法调用。
  • 通知(Advice):在连接点处执行的代码。通知分为各种类型,包括前置通知(Before advice)、后置通知(After advice)、返回通知(After returning advice)、异常通知(After throwing advice)和环绕通知(Around advice)等。
  • 切点(PointCut):用于定义哪些连接点上应该运用的通知。切点通过表达式送一,如匹配所有public方法或匹配某个包下的所有方案等。
  • 织入(Weaving):指将切面应用到目标对象并创建新的代理对象的过程。织入可以在运行时完成,也可以在编译时完成。 Spring AOP 提供了两种织入方式:编译期织入和运行期织入。

  • 除此之外,Spring AOP 还有其他常用的概念,如目标对象(Target)、代理对象(Proxy)等。目标对象是含有连接点的对象,而代理对象是 Spring AOP 创建的一个包含切面代码的对象。

二、AOP切面实现用户权限校验

1.引入依赖

pom.xml

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>

2.编写权限校验类

AuthCheck.java

@Target(ElementType.METHOD) //表示该注解只能用于方法上。
@Retention(RetentionPolicy.RUNTIME) //表示该注解在运行时可用,即可以通过反射获取。
public @interface AuthCheck {
 
    String mustRole() default "";

}

3.编写用户角色枚举类

UserRoleEnum.java

public enum UserRoleEnum {

    //枚举的实例
    USER("用户", "user"),
    ADMIN("管理员", "admin"),
    BAN("被封号", "ban");

    private final String text;

    private final String value;

    UserRoleEnum(String text, String value) {
        this.text = text;
        this.value = value;
    }

    //获取值列表
    public static List<String> getValues() {
        return Arrays.stream(values()).map(item -> item.value).collect(Collectors.toList());
    }

    //根据value获取枚举
    public static UserRoleEnum getEnumByValue(String value) {
        //根据传入的字符串值 value,在枚举类 UserRoleEnum 中查找并返回对应的枚举实例
        if (ObjectUtils.isEmpty(value)) {
            return null;
        }
        for (UserRoleEnum anEnum : UserRoleEnum.values()) {
            if (anEnum.value.equals(value)) {
                return anEnum;
            }
        }
        return null;
    }

    public String getValue() {
        return value;
    }

    public String getText() {
        return text;
    }
}

4.编写权限校验AOP

AuthInterceptor.java

@Aspect // 是 Spring AOP(面向切面编程)中的一个注解,用于声明一个类是切面类。
@Component
public class AuthInterceptor {

    @Resource
    private UserService userService;

    //执行拦截
    @Around("@annotation(authCheck)") 
    public Object doInterceptor(ProceedingJoinPoint joinPoint, AuthCheck authCheck) throws Throwable {
        String mustRole = authCheck.mustRole(); //什么角色名称的人才能用,比如管理员才能用
        RequestAttributes requestAttributes = RequestContextHolder.currentRequestAttributes();
        //获取当前线程的请求属性对象 RequestAttributes。
        HttpServletRequest request = ((ServletRequestAttributes) requestAttributes).getRequest();
        //将 RequestAttributes 转换为 ServletRequestAttributes 类型,并通过其 getRequest() 方法获取 HttpServletRequest 对象。
        // 当前登录用户
        User loginUser = userService.getLoginUser(request);
        //在userService.java里面,写一个获取当前用户的方法
        UserRoleEnum mustRoleEnum = UserRoleEnum.getEnumByValue(mustRole);
        // 方法不需要权限,放行
        if (mustRoleEnum == null) {
            return joinPoint.proceed();
        }
        // 方法必须有该权限才通过
        UserRoleEnum userRoleEnum = UserRoleEnum.getEnumByValue(loginUser.getUserRole());
        if (userRoleEnum == null) {
            throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
        }
        // 用户如果被封号,直接拒绝
        if (UserRoleEnum.BAN.equals(userRoleEnum)) {
            throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
        }
        // 方法必须有管理员权限
        if (UserRoleEnum.ADMIN.equals(mustRoleEnum)) {
            // 用户没有管理员权限,拒绝
            if (!UserRoleEnum.ADMIN.equals(userRoleEnum)) {
                throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
            }
        }
        // 通过权限校验,放行
        return joinPoint.proceed();
    }
}

5.在主程序里打开AspectJ自动代理功能

@EnableAspectJAutoProxy(proxyTargetClass = true, exposeProxy = true)

其中

proxyTargetClass = true:使用CGLIB代理而非JDK动态代理,支持对类的代理而不仅限于接口。
exposeProxy = true:将代理对象暴露给目标对象内部方法调用,允许在目标对象中获取当前代理实例。

6.在代码中使用

@AuthCheck(mustRole = "admin") // 管理员权限校验

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值