自定义注解+aop(接口防刷、身份认证)

已于 2023-06-08 08:56:27 修改
阅读量289 收藏
点赞数
文章标签: spring java mybatis
于 2023-06-07 13:33:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TAO_dream/article/details/131084923
版权

一、注解(Annotation

**注解就是一个标记,一个元数据(描述数据的数据),作用于类、方法、参数、变量、构造器及包声明中的特殊修饰符。**如@Override 标记是一个重写方法,如果父类不存在编译器会报错。如果不用@Override 进行标记,当你不小心拼写错想要重写的方法是,依然能够变成成功。

自定义注解:

@Documented
//定义注解的生命周期
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD})
public @interface NeedLogin {
}
  • @Documented :表明这个注解是由 javadoc记录,好像没啥用处。
  • @Retention :定义被标记的注解能保留多久。
    • SOURCE:编译器忽略
    • CLASS:默认(没有@Retention 采用的策略),保留在Class文件中,但在运行时并不会被VM保留。
    • RUNTIME:运行时依然在,就可以用作反射啦。(常用)
  • @Target :修饰范围。

二、aop(主Spring学习)

概念

AOP(Aspect Oriented Programming面向切面编程)

把一些公共的逻辑业务抽取出来成一个单独的方法,在需要用到该方法时在合适的位置(执行前、执行时、执行后、返回值后、异常后)切进去。

术语含义
横切关注点从每个方法中抽取出来的同一类非核心业务
切面(Aspect)封装横切关注点信息的类,每个关注点体现为一个通知方法
通知(Advice)切面必须要完成的各个具体工作
目标(Target)被通知的对象
连接点(Joinpoint)横切关注点在程序代码中的具体体现,对应程序执行的某个特定位置
切入点(pointcut)执行或找到连接点的一些方式

比如很多接口需要身份认证:

通知注解

@Before前置通知,在方法执行之前执行
@After后置通知,在方法执行之后执行
@AfterRunning返回通知,在方法返回结果之后执行
@AfterThrowing异常通知,在方法抛出异常之后执行
@Around环绕通知,围绕着方法执行

三、简单的应用

1. 接口防刷

  • 自定义注解@AccessRestriction

    /**
 * @Author: Yolo
 * @Date: 2023/04/26/10:31
 * @Description: 访问限制 - 接口防刷
 */
@Retention(RetentionPolicy.RUNTIME) 
@Target({ElementType.METHOD,ElementType.TYPE}) 
public @interface AccessRestriction {
    /**
     * 秒
     * @return 多少秒内
     */
    long second() default 5L;

    /**
     * 最大访问次数
     * @return 最大访问次数
     */
    long maxTime() default 3L;

    /**
     * 禁用时长,单位/秒
     * @return 禁用时长
     */
    long forbiddenTime() default 120L;
}

  • 切面

    @Aspect
@Component
public class AccessRestrictionAspect {
    private static final Logger log = LoggerFactory.getLogger(RPanLoginAspect.class);

    @Resource
    private RedisTemplate<String, Object> redisTemplate;
    /**
     * 锁住时的key前缀
     */
    public static final String LOCK_PREFIX = "LOCK";

    /**
     * 统计次数时的key前缀
     */
    public static final String COUNT_PREFIX = "COUNT";

    /**
     * 切点入口
     */
    private final String POINT_CUT = "@annotation(com.tao.annotation.AccessRestriction)";

    /**
     * 切点
     */
    @Pointcut(value = POINT_CUT)
    public void passAuth(){

    }

//    ProceedingJoinPoint 继承了 JoinPoint。是在JoinPoint的基础上暴露出 proceed 这个方法。
//    环绕通知=前置+目标方法执行+后置通知,proceed方法就是用于启动目标方法执行的
//    暴露出这个方法,就能支持 aop:around 这种切面(而其他的几种切面只需要用到JoinPoint,,这也是环绕通知和前置、后置通知方法的一个最大区别。这跟切面类型有关)
    // 前置通知、在切点方法之前执行
		// @Around("@annotation(com.tao.annotation.AccessRestriction) && execution(* initGbo*(..))")
    @Around("passAuth()")
    public Object doPassAuth(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        MethodSignature signature = (MethodSignature) proceedingJoinPoint.getSignature();
        Method method = signature.getMethod();
        AccessRestriction pd = method.getAnnotation(AccessRestriction.class);
        //时间范围
        long second = pd.second();
        //最大访问数
        long maxTime = pd.maxTime();
        //禁用时长
        long forbiddenTime = pd.forbiddenTime();
        String ip = request.getRemoteAddr();
        String uri = request.getRequestURI();
        String queryString = request.getQueryString(); //请求参数 ?后面
        //String getQueryString()

        log.info("=========ip是{},======uri是{}==={}",ip,uri,queryString);
        if (isForbindden(second, maxTime, forbiddenTime, ip, uri,queryString)) {
//            throw new RuntimeException("请勿操作那么快,稍等一下!");
            return R.fail(ResponseCode.ACCESS_LIMIT.getCode(), ResponseCode.ACCESS_LIMIT.getDesc());
        }

        return proceedingJoinPoint.proceed();
    }

    /**
     * 判断某用户访问某接口是否已经被禁用/是否需要禁用
     *
     * @param second        多长时间  单位/秒
     * @param maxRequestCount       最大访问次数
     * @param forbiddenTime 禁用时长 单位/秒
     * @param ip            访问者ip地址
     * @param uri           访问的uri
     * @return ture为需要禁用
     */
    private boolean isForbindden(long second, long maxRequestCount, long forbiddenTime, String ip, String uri,String queryString) {
        String lockKey = LOCK_PREFIX + ip + uri+queryString; //如果此ip访问此uri被禁用时的存在Redis中的 key
        Object isLock = redisTemplate.opsForValue().get(lockKey);
        // 判断此ip用户访问此接口是否已经被禁用
        if (Objects.isNull(isLock)) {
            // 还未被禁用
            String countKey = COUNT_PREFIX + ip + uri+queryString;
            Object count = redisTemplate.opsForValue().get(countKey);
            if (Objects.isNull(count)) {
                // 首次访问
                log.info("首次访问");
                redisTemplate.opsForValue().set(countKey, 1, second, TimeUnit.SECONDS);
            } else {
                // 此用户前一点时间就访问过该接口,且频率没超过设置
                if ((Integer) count < maxRequestCount) {
                    redisTemplate.opsForValue().increment(countKey);
                } else {
                    log.info("{}禁用访问{}", ip, uri);
                    // 禁用
                    redisTemplate.opsForValue().set(lockKey, 1, forbiddenTime, TimeUnit.SECONDS);
                    // 删除统计--已经禁用了就没必要存在了
                    redisTemplate.delete(countKey);
                    return true;
                }
            }
        } else {
            return true;
        }
        return false;
    }
}

2. 身份认证

  • 自定义注解@NeedLogin

    /**
 * 接口需要登录url标识注解
 */
@Documented
//定义注解的生命周期
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD})
public @interface NeedLogin {
}

  • 切面

  • /**
 * 请求登录验证
 */
@Aspect
@Component
public class RPanLoginAspect {

    private static final Logger log = LoggerFactory.getLogger(RPanLoginAspect.class);

    /**
     * 登录认证参数名称
     */
    private static final String LOGIN_AUTHENTICATION_PARAM_NAME = "authorization";

    /**
     * 请求头token的key
     */
    private final static String TOKEN_KEY = "Authorization";

    /**
     * 切点入口
     */
    private final String POINT_CUT = "@annotation(com.tao.annotation.NeedLogin)";

    @Autowired
    @Qualifier(value = "cacheManager")
    private CacheManager cacheManager;

    /**
     * 切点
     */
    @Pointcut(value = POINT_CUT)
    public void loginAuth() {
    }

    @Around("loginAuth()")
    public Object loginAuth(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {
        ServletRequestAttributes servletRequestAttributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = servletRequestAttributes.getRequest();
        String uri = request.getRequestURI();
        log.debug("成功拦截到请求,uri为:{}", uri);
        if (!checkAndSaveUserId(request)) {
            log.warn("成功拦截到请求,uri为:{}, 检测到用户未登录,将跳转至登录页面", uri);
            return R.fail(ResponseCode.NEED_LOGIN.getCode(), ResponseCode.NEED_LOGIN.getDesc());
        }
        log.debug("成功拦截到请求,uri为:{}, 请求通过", uri);
        return proceedingJoinPoint.proceed();
    }

    /**
     * 检查并保存登录用户的ID
     * 此处会实现单设备登录功能 所以本套代码未考虑并发
     *
     * @param request
     * @return
     */
    private boolean checkAndSaveUserId(HttpServletRequest request) {
        String token = request.getHeader(TOKEN_KEY);
        if (StringUtils.isBlank(token)) {
            token = request.getParameter(LOGIN_AUTHENTICATION_PARAM_NAME);
        }
        if (StringUtils.isBlank(token)) {
            return false;
        }
        Object userId = JwtUtil.analyzeToken(token, CommonConstant.LOGIN_USER_ID);
        if (Objects.isNull(userId)) {
            return false;
        }
        Object redisValue = cacheManager.get(CommonConstant.USER_LOGIN_PREFIX + userId);
        if (Objects.isNull(redisValue)) {
            return false;
        }
        if (Objects.equals(redisValue, token)) {
            saveUserId(userId);
            return true;
        }
        return false;
    }

    /**
     * 保存用户ID到对应线程上
     *
     * @param userId
     */
    private void saveUserId(Object userId) {
        UserIdUtil.set(Long.valueOf(String.valueOf(userId)));
    }

}

TAO_dream
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Java自定义注解讲解+案例+Aop自定义注解的应用
Lzxccas的博客
11-16 435
今日记录Java自定义注解 在我们开发中经常会使用到注解,像什么 @RequestMapping, @ResponseBody, @GetMapping @PostMapping, 它们具有不同的属性有不同的用处,要深入学习注解,我们就必须能定义自己的注解,并使用注解,在定义自己的注解之前,我们就必须要了解Java为我们提供的元注解和相关定义注解的语法。 1. Java注解(Annotation) Java注解是附加在代码中的一些元信息,用于一些工具在编译、 运行时进行解析和使用,起到说明、配置的功能。
Spring Boot AOP 自定义注解实现权限控制
热门推荐
诗情画意林子淳
12-20 1万+
写在前面 在网上搜了一天,结果居然没有发现什么太详细的spring boot中使用的aop教程,很多照着做了,结果都没有什么效果实现。。无奈,只能去查谷歌,翻官方文档了 附:Springaop的官方文档地址:https://docs.spring.io/spring/docs/5.0.12.BUILD-SNAPSHOT/spring-framework-reference/core.html...
一个注解+AOP 实现接口限流、防重、防抖
m0_61075687的博客
05-31 404
接口限流、防重复提交、接口防抖,是保证接口安全、稳定提供服务,以及防止错误数据活脏数据产生的重要手段。下面我讲用实际的代码例子来说明怎么用注解和AOP搞定限流、防重、防抖。
JAVA自定义注解+AOP实现认证授权
m0_57836225的博客
07-18 484
在上述示例中,当执行带有 `@Authenticated` 注解的方法时,会先进入切面的 `authenticate` 方法进行认证授权的判断,如果认证成功则执行方法,否则抛出异常。当希望在运行时能够读取和处理注解的信息,以实现一些动态的功能(如通过反射获取注解并根据注解的值执行不同的逻辑)时,就需要将注解的保留策略设置为 `RetentionPolicy.RUNTIME`。需要注意的是,如果目标方法抛出了异常,将不会执行返回通知,而是直接跳转到异常通知(`@AfterThrowing`)。
2021-04-21-自定义注解+aop实际应用
qq_41270550的博客
04-21 170
元注解 注解定义方法 SpringBoot整合自定义注解 AOP统一身份认证
java aop 自定义_@interfaceJAVA自定义注解SpringAOP
weixin_39842682的博客
02-26 207
原文:https://my.oschina.net/wangnian/blog/801348前言:Annotation(注解)是JDK5.0及以后版本引入的,它的作用就是负责注解其他注解。现在开发过程中大家都已经放弃了传统的XML配置的方式改为注解的方式,既简单又简洁,方便管理和维护。目前引用第三方jar包的注解都是解决技术上的问题,然而我们在工作中也需要通过注解解决业务上的一些问题,所以就得用到...
Redis 分布式锁 + AOP 实现简单的接口防重提交
m0_66216860的博客
03-31 371
最近,在一个发票自助报销系统项目中,我遇到了一个问题:由于网络波动的原因,导致用户的报销请求可能会重复发送。这个项目系统是建立在旧系统自动化操作的基础上的,当一个请求到达时,项目系统会进行安全校验,并立即向旧系统发送自动化操作请求。然而,如果两个相同的业务操作请求同时进入旧系统,就会导致旧系统抛出异常,从而导致操作失败。因此,我们需要对接口进行防重复提交的限制,以确保同一用户在同一时间内仅允许执行一个报销请求。
对接第三方接口鉴权(Spring Boot+Aop+注解实现Api接口签名验证)
刘皇叔说Java的博客
01-02 4307
一个web系统,从接口的使用范围也可以分为对内和对外两种,对内的接口主要限于一些我们内部系统的调用,多是通过内网进行调用,往往不用考虑太复杂的鉴权操作。但是,对于对外的接口,我们就不得不重视这个问题,外部接口没有做鉴权的操作就直接发布到互联网,而这不仅有暴露数据的风险,同时还有数据被篡改的风险,严重的甚至是影响到系统的正常运转方案一:Spring Boot+Aop+注解实现Api接口签名验证方案二:在已有接口上,拦截器拦截,接口路径,白名单匹配。
Spring Boot高级用法 AOP 自定义注解实现日志
qq_34874784的博客
06-07 1446
首先,我们需要定义一个注解@Log,我们可以在需要监控的方法上添加这个注解,来标记这个方法需要对其进行记录日志操作。/*** 日志描述信息*/在@Log所在的目录下,我们定义一个切面类LogAspect,当在方法上添加了@Log注解时,切面就会自动织入。切面中的逻辑依然是在方法之前和方法之后打印一行文本信息。@Aspect@Component@Slf4j"未知方法" : logAnnotation.value();
Spring 事务管理 04
程序员进阶之路
07-23 851
事务Transaction)是数据库管理系统(DBMS)中的一个重要概念,它确保数据库操作的**一致性**、**完整性**和**持久性**。在软件开发中,特别是涉及到多个数据库操作或者复杂的数据更新过程时,使用事务能够有效地保证数据操作的正确性和可靠性。以下是几个需要事务的主要原因:
SpringCloud之使用 Nacos 实现高效购物车商品信息处理
Takumilove的博客
07-24 1143
通过上述步骤,我们成功实现了一个高效的购物车商品信息处理流程。使用 Nacos 来进行服务发现,并结合手写的负载均衡策略,确保了服务调用的高可用性和稳定性。这样不仅提升了系统的性能,还能给用户带来更好的购物体验。
探索 Spring WebFlux:构建响应式 Web 应用
修复bug生成bug
07-25 304
Spring WebFlux 是 Spring 5 中引入的一个响应式 Web 框架,它是对 Spring MVC 的补充。与传统的 Spring MVC 不同,Spring WebFlux 基于 Reactor 项目,使用非阻塞的 I/O 和响应式流来处理请求和响应。
SpringBoot启动命令过长
tiantiantbtb的博客
07-24 369
Error running 'DromaraApplication': Command line is too long. Shorten command line for DromaraApplication or also for Spring Boot default configuration?
springboot 缓存预热的几种方案
一个人的江湖
07-24 734
使用启动监听事件实现缓存预热优点:可以在应用完全启动之前执行,可以确保缓存预热在所有依赖初始化完成之后进行。缺点:处理复杂,需要对Spring的事件机制有一定了解。使用@PostConstruct注解实现缓存预热优点:简单易用,不需要额外的接口实现,适用于简单的预热逻辑。缺点:对于复杂的预热逻辑,可能会导致方法变得臃肿,不易于维护。使用CommandLineRunner或ApplicationRunner实现缓存预热。
Spring Task详解
SRY12240419的博客
07-24 729
Spring Task是Spring框架提供的任务调度工具,可以按照约定的时间自动执行某个代码逻辑
手写spring简易版本,让你更好理解spring源码
最新发布
m0_51798113的博客
07-25 358
根据class获取bean,先用class获取bean的名字,然后我们去beandefitonmap中去找bean,然后判断是不是单例bean,这里我没咋搞懂,从beandftionmap中已经获取了bean,然后还要去单例map中获取,这不是多此一举吗?创建我们需要的类,beandefito,这个类是用来装解析后的bean,主要三个字段,id,class,scop,对应xml配置的属性。关于我通过class,获取bean,我感觉我写的很混乱,写的不是很好,如果错了,不要怪我哈,以供借鉴提醒。
springboot之自动装配
weixin_50153914的博客
07-23 590
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
Springboot实现缓存组件(ctgcache、redis)配置动态切换
qq_45443475的博客
07-25 424
其实整体实现是一个比较简单的过程,核心是需要了解Springboot中@Conditional注解的应用,希望对大家有所帮助。
JeecgBoot shiro配置接口
06-13
在JeecgBoot中,使用Shiro进行权限控制和路由控制,配置接口需要以下步骤: 1. 在Shiro配置文件中配置过滤器链:Shiro的过滤器链决定了请求的处理流程,需要在Shiro配置文件中配置过滤器链。可以使用Shiro提供的过滤器来实现不同的权限控制。 2. 配置接口权限:在Shiro配置文件中,可以使用Shiro提供的注解来配置接口的访问权限。例如,@RequiresPermissions注解可以限制只有具有指定权限的用户才能访问该接口。 3. 配置路由:JeecgBoot使用Shiro进行路由控制,需要在Shiro配置文件中配置路由信息。可以使用Shiro提供的PathMatchingFilter来实现路由控制。 下面是一个简单的Shiro配置示例,用于控制/user接口的访问权限: ```xml <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <property name="loginUrl" value="/login"/> <property name="successUrl" value="/index"/> <property name="unauthorizedUrl" value="/403"/> <property name="filterChainDefinitions"> <value> /login = anon /** = authc </value> </property> </bean> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="userRealm"/> </bean> <bean id="userRealm" class="com.jeecg.boot.modules.user.realm.UserRealm"> <property name="credentialsMatcher" ref="hashedCredentialsMatcher"/> </bean> <bean id="hashedCredentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher"> <property name="hashAlgorithmName" value="md5"/> <property name="hashIterations" value="2"/> </bean> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> <property name="proxyTargetClass" value="true"/> </bean> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/> </bean> <bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO"/> <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <property name="sessionDAO" ref="sessionDAO"/> </bean> ``` 在这个示例中,/login接口允许匿名访问,其他接口需要进行身份认证。可以看到,在filterChainDefinitions中使用了/** = authc的配置,表示所有接口都需要进行身份认证。另外,可以在UserRealm中实现自定义的身份验证逻辑和授权逻辑。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值