一、什么是AOP切面?
在JAVA中,AOP(面向切面编程)中的切面(Aspect)是一种编程概念,用于模块化横切关注点(cross-cutting concerns)。横切关注点是指那些与业务逻辑无关,但需要在多个模块中重复使用的功能,如日志记录、事务管理、安全控制等。
主要作用:
- 模块化横切关注点:将横切关注点从业务逻辑中分离出来,提高代码的可读性和可维护性
- 减少代码冗余:避免在多个地方重复编写相同的代码
- 提高代码复用性:切面可以在不用的运用程序中重复使用
- 可插拔性:通过配置或运行时动态添加切面,无需修改现有代码
核心概念:
- 切面(Aspect):切面是一个模块化的横切关注点实现,它包括了连接点和通知。切面通常是一个类,里面可以定义切入点和通知。可以通过配置文件、注解等方式定义切面。
- 连接点(Joinpoint):程序中能够被切面插入的点,典型的连接点包括方法调用、方法执行中某个时点等等,在Spring AOP中,连接点通常指的是方法调用。
- 通知(Advice):在连接点处执行的代码。通知分为各种类型,包括前置通知(Before advice)、后置通知(After advice)、返回通知(After returning advice)、异常通知(After throwing advice)和环绕通知(Around advice)等。
- 切点(PointCut):用于定义哪些连接点上应该运用的通知。切点通过表达式送一,如匹配所有public方法或匹配某个包下的所有方案等。
-
织入(Weaving):指将切面应用到目标对象并创建新的代理对象的过程。织入可以在运行时完成,也可以在编译时完成。 Spring AOP 提供了两种织入方式:编译期织入和运行期织入。
-
除此之外,Spring AOP 还有其他常用的概念,如目标对象(Target)、代理对象(Proxy)等。目标对象是含有连接点的对象,而代理对象是 Spring AOP 创建的一个包含切面代码的对象。
二、AOP切面实现用户权限校验
1.引入依赖
pom.xml
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-aop</artifactId>
</dependency>
2.编写权限校验类
AuthCheck.java
@Target(ElementType.METHOD) //表示该注解只能用于方法上。
@Retention(RetentionPolicy.RUNTIME) //表示该注解在运行时可用,即可以通过反射获取。
public @interface AuthCheck {
String mustRole() default "";
}
3.编写用户角色枚举类
UserRoleEnum.java
public enum UserRoleEnum {
//枚举的实例
USER("用户", "user"),
ADMIN("管理员", "admin"),
BAN("被封号", "ban");
private final String text;
private final String value;
UserRoleEnum(String text, String value) {
this.text = text;
this.value = value;
}
//获取值列表
public static List<String> getValues() {
return Arrays.stream(values()).map(item -> item.value).collect(Collectors.toList());
}
//根据value获取枚举
public static UserRoleEnum getEnumByValue(String value) {
//根据传入的字符串值 value,在枚举类 UserRoleEnum 中查找并返回对应的枚举实例
if (ObjectUtils.isEmpty(value)) {
return null;
}
for (UserRoleEnum anEnum : UserRoleEnum.values()) {
if (anEnum.value.equals(value)) {
return anEnum;
}
}
return null;
}
public String getValue() {
return value;
}
public String getText() {
return text;
}
}
4.编写权限校验AOP
AuthInterceptor.java
@Aspect // 是 Spring AOP(面向切面编程)中的一个注解,用于声明一个类是切面类。
@Component
public class AuthInterceptor {
@Resource
private UserService userService;
//执行拦截
@Around("@annotation(authCheck)")
public Object doInterceptor(ProceedingJoinPoint joinPoint, AuthCheck authCheck) throws Throwable {
String mustRole = authCheck.mustRole(); //什么角色名称的人才能用,比如管理员才能用
RequestAttributes requestAttributes = RequestContextHolder.currentRequestAttributes();
//获取当前线程的请求属性对象 RequestAttributes。
HttpServletRequest request = ((ServletRequestAttributes) requestAttributes).getRequest();
//将 RequestAttributes 转换为 ServletRequestAttributes 类型,并通过其 getRequest() 方法获取 HttpServletRequest 对象。
// 当前登录用户
User loginUser = userService.getLoginUser(request);
//在userService.java里面,写一个获取当前用户的方法
UserRoleEnum mustRoleEnum = UserRoleEnum.getEnumByValue(mustRole);
// 方法不需要权限,放行
if (mustRoleEnum == null) {
return joinPoint.proceed();
}
// 方法必须有该权限才通过
UserRoleEnum userRoleEnum = UserRoleEnum.getEnumByValue(loginUser.getUserRole());
if (userRoleEnum == null) {
throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
}
// 用户如果被封号,直接拒绝
if (UserRoleEnum.BAN.equals(userRoleEnum)) {
throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
}
// 方法必须有管理员权限
if (UserRoleEnum.ADMIN.equals(mustRoleEnum)) {
// 用户没有管理员权限,拒绝
if (!UserRoleEnum.ADMIN.equals(userRoleEnum)) {
throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
}
}
// 通过权限校验,放行
return joinPoint.proceed();
}
}
5.在主程序里打开AspectJ自动代理功能
@EnableAspectJAutoProxy(proxyTargetClass = true, exposeProxy = true)
其中
proxyTargetClass = true:使用CGLIB代理而非JDK动态代理,支持对类的代理而不仅限于接口。
exposeProxy = true:将代理对象暴露给目标对象内部方法调用,允许在目标对象中获取当前代理实例。
6.在代码中使用
@AuthCheck(mustRole = "admin") // 管理员权限校验