面向问题编程-切面+反射实现字段级别权限控制

素衣莫起风尘叹，犹及清明可到家。

出现

需求：

• 根据权限树的配置，对返回的数据进行控制，要求要限制到具体的指标，一般形式为字段或者结构体。

现状：

• 1.约定返回是按照固定字段形式，受控制控制不展示数据的字段确定为返回null。
• 2.权限通过一颗权限树获取，树的叶子节点key唯一。key的命名规则为module+method+metric。没有权限的节点value字段为false。

解决

基于需求和现状，需要在运行时修改某些确定名称字段的值，想到可以用反射实现。对于多个接口都需要的横向功能，想到可以用切面实现。于是将问题分解成了三个部分：

• 对某指标是否具有权限的判断
• 通过反射对没有权限的指标值修改
• 通过切面将能力扩展到所有接口

对某个指标字段是否具有权限的判断

思考过程：看了以前的项目代码实现，是通过逐层遍历树的节点， 每一层都要进行一次节点key的拼接和字段匹配的判断，就是很常见的for-if嵌套的写法。这种写法显然是有问题的，第一就是代码可读性差，几层的嵌套很恶心人，而且一旦扩展了树的层数或者结构还要再来修改这个嵌套的循环。

于是，根据叶子节点key唯一的特性，将字段拼成权限树节点key的格式，然后用非递归的方式遍历树节点，同时进行key的对比和判断节点权限。

伪代码实现：

//判断字段是否为不可用字段，false为受控制不可展示，具有权限以及不在权限控制范围内的字段返回true
public static Boolean checkMetricAuthority(List<SourceTree> treeList, String module, String method, String metric) {
    if (CollectionUtils.isEmpty(treeList)) {
        return false;
    }
    //组装唯一key
    String unique = module + "_" + method + "_" + metric;

    LinkedList<SourceTree> sourceTrees = new LinkedList<>(treeList);
    while (sourceTrees.size() != 0) {
        SourceTree treeNode = sourceTrees.poll();
        if (treeNode.getKey().equals(unique)) {
            return treeNode.getAvailable();
        }
        if (CollectionUtils.isNotEmpty(tree.getChildren())) {
            for (int i = 0; i < tree.getChildren().size(); i++) {
                sourceTrees.addLast(tree.getChildren().get(i));
            }
        }
    }
    return true;
}

以上的方法实现了对单个指标字段是否受到权限的判断。例如某些枚举字段是否需要返回的控制就已经可以通过这个方法实现了。

通过反射对没有权限的指标值修改

也是先参考历史项目的做法，因为历史项目并没有需要到字段粒度的控制，而是对字段集控制，没有这么灵活的要求，所以是通过在返回vo里实现字段集的修改方法，根据权限来判断是否执行。

但是现在的需求不行，因为太灵活，不可能通过枚举的方式来实现，或者说那样的实现方式太蠢了。于是想到使用反射，根据上一步获取到的无权限指标的名称，来进行值的替换。

private static <T> void checkMetricFormAuthority(T obj, String module, String method) {
    Field[] fields = obj.getClass().getDeclaredFields();
    for (int i = 0; i < fields.length; i++) {
        String fieldName = fields[i].getName();
        if (!checkMetricAuthority(sourceTrees, module, method, fieldName)) {
            String setMethodName = "set" + fieldName.substring(0, 1).toUpperCase() + fieldName.substring(1);
            Class type = fields[i].getType();
            Method m = null;
            try {
                m = obj.getClass().getMethod(setMethodName, type);
                m.invoke(obj, (Object) null);
            } catch (NoSuchMethodException | IllegalAccessException | InvocationTargetException e) {
                log.error("[checkFormMetricAuthority] 指标值置空异常", e);
            }
        }
    }
}

使用泛型来进一步提高灵活性。因为在这个项目需要用到反射的类中，实际上也并不关心具体的类型和字段是否存在。

这个方法实际上还可以进行扩展，可以在for循环内部加一个是否是基本类型的判断，通过递归的方式，来扩展支持经过多层封装的数据结构。

通过切面将能力扩展到所有接口

之前也说过了，对于通用的横向能力，一般都会采用切面的方式实现。在上面的两步里，实际上已经实现了判断的功能，切面其实只需要关注切点就行了。

实现的话，就是定义一个运行时的方法注解，将module和method作为参数传递进去。再在切面逻辑里调用上面实现的方法来控制权限数据。

//注解定义
@Retention(RetentionPolicy.RUNTIME) 
@Target(ElementType.METHOD) 
public @interface MetricAccess {
	
	String module() default "";
    
    String method() default "";
}

//将注解定义为切点
@Pointcut("@annotation(com.XXX.common.anno.MetricAccess)")
public void accessControl(){
}

@Around("accessControl()")
public Object around(ProceedingJoinPoint joinPoint) throws Throwable{
	MetricAccess metricAccess = ((MethodSignature) joinPoint.getSignature()).getMethod().getAnnotation(MetricAccess.class);
    String module = metricAccess.module();
    String method = metricAccess.method();
    Object result = joinPoint.proceed();

	MetricAuthorityUtil.removeNoAuthorityMetric(result,module,method);

    return result;
}

这段代码为了看起来更简洁一点，把里面日志相关的东西都删掉了，如果有需要的话，也可以加一些性能监控的日志。

另外想提一下removeNoAuthorityMetric这个方法，实际上返回值result是可以有多种类型的，所以在代码里的removeNoAuthorityMetric也做了重载处理，不同类型的result会进入执行不同的方法，省去了一部分麻烦。

相比起纯粹讨论一些深奥的底层实现逻辑，我感觉一些日常工作中的实际应用和思考过程更加适合记录下来，虽然有一点实用主义的味道。

后记

这篇文章发出来的时候应该是在清明时节左右了，所以有了开头引文中的诗句，只是我身在这临安城听着小楼春雨，清明却是没有办法回家。