java注解浅析,java自定义注解并结合aop实现权限控制(二)

最新推荐文章于 2024-09-10 13:53:03 发布
最新推荐文章于 2024-09-10 13:53:03 发布
阅读量1.2k 收藏 6
点赞数 2
分类专栏: java 文章标签: java aop 自定义注解 权限系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39511916/article/details/90696673
版权

之前简单的记录了一下java的注解使用及解析java注解简述及自定义注解的简单使用,但是纸上谈兵终究不是程序员擅长的事,今天记录一下常见的权限系统使用注解实现的逻辑

归根结底,权限限制就是对比当前用户所持有的权限身份以及他即将执行的动作所需要的权限,若两者匹配,则执行逻辑,若不匹配,则返回提示。所以这里实际上只需要的两个重要参数,一个是用户持有的权限,一个是执行所需的权限。
执行权限是系统持有的,可以放在任何我们可以读取到的地方,此处我使用注解,自然是选择将这个系统权限放在注解里面
先定义一个简单的权限枚举:


public enum RoleValidEnum {
    VIP1(1,"vip1"),
    VIP2(2,"vip2"),
    VIP3(3,"vip3"),
    VIP4(4,"vip4"),
    VIP5(5,"vip5"),
    VIP6(6,"vip6"),
    SVIP(100,"svip");

    String msg;
    int vipWeight;

    public String getMsg() {
        return msg;
    }

    public void setMsg(String msg) {
        this.msg = msg;
    }

    RoleValidEnum(int vipWeight, String msg){
        this.vipWeight=vipWeight;
        this.msg=msg;
    }

    public static boolean hasPower(RoleValidEnum userPower,RoleValidEnum limitPower){
        return  userPower.vipWeight>=limitPower.vipWeight;
    }

    public static RoleValidEnum getPower(String msg){
        for(RoleValidEnum roleValidEnum:RoleValidEnum.values()){
            if(StringUtils.equals(msg,roleValidEnum.getMsg())){
                return roleValidEnum;
            }
        }
        return null;
    }

然后是自定义一个注解

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface RoleValid {
    RoleValidEnum role() default RoleValidEnum.VIP1;
}

此时我们就可以在对应的方法上灵活的配置方法所需的权限,比如

  	@Override
    @RoleValid(role=RoleValidEnum.VIP3)
    public void doVip3(Vip3Param param){
        System.out.println("vip3 办事~~~~~~~~~~~~~~~~~~~~~~~~~~~");
    }

这里就可以用来表示我这个方法的执行权限是vip3,因为我已经可以从这个方法里面读取到系统的执行权限信息了,那么接下来我们要做的还有两件事,一个是在执行方法前检测到这个注解并提取信息,第二个就是获取用户权限信息并与执行权限作对比

先来第一个,执行方法前的动作,spring提供了两个强大且易用的功能,一个是过滤器,一个是aop,由于过滤器的生效是在请求阶段,有些局限性,所以我今天选择使用aop来实现

导入aop所需依赖 我是使用的springboot2.1.4搭建的项目, maven依赖:

<!--aop依赖-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-aop</artifactId>
</dependency>
<!--aop依赖-->
<dependency>
    <groupId>org.aspectj</groupId>
    <artifactId>aspectjweaver</artifactId>
</dependency>

首先我们用最常规的思路,我们将用户信息放在方法的入参里面,入参类

public class Vip3Param {
    private String extence;
    private String userName;
    private String password;
    private String userId;
    private String power;
    get /set省去
}

关于aop的知识有很多大神提供了很好的一些技术资料,我这里只简单的分析一下我们的业务场景,首先我们需要的事方法执行前的动作,满足这个条件的就只有before前置增强和around环绕增强了,又因为around有完善的api提供了对目标方法的拦截,所以我这里选择使用@around来做这个功能,当然使用@Before也可以实现对目标方法的拦截,我会在后面放一段例子。先上正餐

@Aspect
@Component
public class RoleValidAround {
    @Autowired
    HttpSession httpSession;

    private static Gson gson = new Gson();
    private Logger logger = LoggerFactory.getLogger(RoleValidAround.class);

    @Pointcut("@annotation(com.yinyuecheng.jioencryption.DiyIntegerface.RoleValid)")
    public void RoleValidAroundPointCut(){}

    @Around("RoleValidAroundPointCut()")
    public Object validAround(ProceedingJoinPoint joinPoint){
    //先获取目标方法
        MethodSignature methodSignature = (MethodSignature) joinPoint.getSignature();
        Method method = methodSignature.getMethod();
        //获取目标方法的注解及其属性
        RoleValid roleValid = method.getAnnotation(RoleValid.class);
        RoleValidEnum limitPower = roleValid.role();
        //获取目标方法入参并提取所需权限信息
        Object[] objs = joinPoint.getArgs();
        ConcurrentHashMap map = gson.fromJson(gson.toJson(objs[0]),ConcurrentHashMap.class);
        String user = (String)map.get("power");
        RoleValidEnum userPower = RoleValidEnum.getPower(user);
        logger.info("~~~~~~~~~~limitPower:{},~~~~~~~~~~~userPower:{}",limitPower,userPower);
        if(RoleValidEnum.hasPower(userPower,limitPower)){
            Object result = null ;
            try {
            	//注意:使用环绕增强around时如果不显示的使用proced方法的话,目标方法便不会执行
                result = joinPoint.proceed();
                return result;
            }catch(Throwable e){
                return new AuthorityException(500000,"system error");
            }
        }else{
            logger.info("~~~~~~~~~~~~~~~~~have no power");
            return null;
        }

    }

相关代码的用途已在代码中有了注解,都是spring或jdk提供的现成的方法。下面我们来测试一下

    @Test
    public void testForbid() throws Exception {
        Vip3Param param = new Vip3Param();
        param.setPower(RoleValidEnum.VIP2.getMsg());
        basicInfoService.doVip3(param);
    }

输出结果

2019-05-30 15:04:13 013 [main] INFO  com.yinyuecheng.jioencryption.aop.RoleValidAround - ~~~~~~~~~~limitPower:VIP3,~~~~~~~~~~~userPower:VIP2
2019-05-30 15:04:13 013 [main] INFO  com.yinyuecheng.jioencryption.aop.RoleValidAround - ~~~~~~~~~~~~~~~~~have no power
2019-05-30 15:04:13 013 [Thread-2] INFO  o.s.scheduling.concurrent.ThreadPoolTaskExecutor - Shutting down ExecutorService 'applicationTaskExecutor'

Process finished with exit code 0

而当我们更改用户vip信息后

    @Test
    public void testForbid() throws Exception {
        Vip3Param param = new Vip3Param();
        param.setPower(RoleValidEnum.VIP3.getMsg());
        basicInfoService.doVip3(param);
    }

此处权限更改为vip3,输出结果

2019-05-30 15:06:37 037 [main] INFO  com.yinyuecheng.jioencryption.aop.RoleValidAround - ~~~~~~~~~~limitPower:VIP3,~~~~~~~~~~~userPower:VIP3
vip3 办事~~~~~~~~~~~~~~~~~~~~~~~~~~~
2019-05-30 15:06:37 037 [Thread-2] INFO  o.s.scheduling.concurrent.ThreadPoolTaskExecutor - Shutting down ExecutorService 'applicationTaskExecutor'

Process finished with exit code 0

一直到这里,一切看起来都是那么美好,但是我们看一下切面的这段代码

        Object[] objs = joinPoint.getArgs();//这里获取了所有的入参信息
        ConcurrentHashMap map = gson.fromJson(gson.toJson(objs[0]),ConcurrentHashMap.class);//这里是取的第一个参数
        String user = (String)map.get("power");//取名为power的参数

这么一看简直到处都是漏洞,首先方法如果不只一个入参并且携带权限信息的参数不在第一个,就挂掉了。其次虽说需要执行权限校验的逻辑带上权限信息是必须的,但是也不一定就叫power,又挂掉了。所以,我们可以再改进一下。
既然做权限的校验就必须带上权限信息,那我们何不把这部分信息独立出来呢

public class UserInfo {
    private String userName;
    private String password;
    private String userId;
    private String power;
}

然后我们只需要在其余的参数中继承这个类就可以了

public class Vip3Param  extends UserInfo{
    private String extence;
}

切面的代码也需要优化一下

        Object[] objs = joinPoint.getArgs();
        Class [] paramClasses = method.getParameterTypes(); //获取目标方法的所有参数类型
        UserInfo userInfo = null;
        for(int i=0;i<paramClasses.length;i++){
            if(paramClasses[i].newInstance() instanceof UserInfo){
                userInfo = gson.fromJson(gson.toJson(objs[i]),UserInfo.class);
            }
        }
        if(null==userInfo){
            System.out.println("无可检索的权限信息,请检查入参是否规范");
            return null;
        }
        String user = userInfo.getPower();

我们更改一下目标方法,让他拥有两个参数

    @Override
    @RoleValid(role=RoleValidEnum.VIP3)
    public void doVip3(String test,Vip3Param param){
        System.out.println("vip3 办事~~~~~~~~~~~~~~~~~~~~~~~~~~~");
    }

测试代码

    @Test
    public void testForbid() throws Exception {
        Vip3Param param = new Vip3Param();
        param.setPower(RoleValidEnum.VIP2.getMsg());
        basicInfoService.doVip3("test",param);
    }

运行结果

2019-05-30 15:32:20 020 [main] INFO  com.yinyuecheng.jioencryption.aop.RoleValidAround - ~~~~~~~~~~limitPower:VIP3,~~~~~~~~~~~userPower:VIP2
2019-05-30 15:32:20 020 [main] INFO  com.yinyuecheng.jioencryption.aop.RoleValidAround - ~~~~~~~~~~~~~~~~~have no power
2019-05-30 15:32:20 020 [Thread-2] INFO  o.s.scheduling.concurrent.ThreadPoolTaskExecutor - Shutting down ExecutorService 'applicationTaskExecutor'

Process finished with exit code 0

到了这里,代码风险已经相对可控了,我们只需要告知对应的开发人员在使用这个注解的时候注意入参继承一下就可以了,在某些场景下可能确实只能做到这样,但是我们的权限系统不是,我们回想一下,我们的用户系统在用户登陆之后做的事,其中一个很重要的就是把用户信息放到session里面,而我们可以在整个请求流程里面获取到这个session并提取他的信息
由于我们的切面也是交给spring管理的,所以我们可以直接使用@Autowired来获取session,这样获取用户信息也变得异常简单

@Autowired
    HttpSession httpSession;
    
        UserInfo userInfo = gson.fromJson(gson.toJson(httpSession.getAttribute("userInfo")),UserInfo .class);

并且这么做我们完全不需要关心方法本身的入参,业务逻辑的跟权限逻辑完全分开,分锅分的更清晰。

到此aop结合自定义注解实现权限控制圆满完成
另外关于使用@before前置增强阻断目标方法执行的法子就是抛异常,并且一定要是运行时异常 RuntimeException 或其子类,不然系统会抛出一个上层反射异常导致无法接收处理我们自定义的异常信息,部分代码如下:

  if(ageIn<forbidAge){
            System.out.printf("年龄太小,不让过");
            throw new  AuthorityException(400101,"年龄太小,不让过");
        }

异常类如下

public class AuthorityException extends RuntimeException {
    private int code;
    private String msg;
    public AuthorityException() {
        super();
    }
    public AuthorityException(int code,String msg) {
        super(msg);
        this.code=code;
        this.msg = msg;
    }

    public int getCode() {
        return code;
    }

    public void setCode(int code) {
        this.code = code;
    }

    public String getMsg() {
        return msg;
    }

    public void setMsg(String msg) {
        this.msg = msg;
    }
}
进击的苦力怕
关注
专栏目录
浅析SpringAop编程之注解方式实现aop编程
ah3629的博客
09-06 271
写在前面:aop编程主要用到的是设计模式是代理模式,关于代理模式,请看前一篇文章《浅析代理模式》https://blog.csdn.net/ah3629/article/details/82352206 1、概述 AOP(aspect object programming) 面向切面编程,功能是让关注点代码与业务代码分离。 关注点:重复的代码就叫关注点。 切面:关注点代码形成的类,就叫切面...
自定义java注解+AOP实现自动监测注解和使用
07-08
我们在项目开发过程中,可能会对一些公用方法抽成工具类进行使用。如果我们把这些方法再抽成注解的形式,在一些业务情况下是否更灵活一些呢? 示例是纯净的,只引入了需要的架包,启动后直接访问:ip:port/user/test 查看效果。
java自定义注解以及自定义注解结合AOP使用
weixin_42336161的博客
07-16 908
注解是专门用来注解其他注解注解,听起来有些绕口,实际上就是专门为自定义注解提供的注解java.lang.annotation提供了五种元注解:@Documented – 注解是否将包含在JavaDoc中@Retention – 什么时候使用该注解@Target – 注解用于什么地方@Inherited – 是否允许子类继承该注解@Repeatable - 是否可重复注解,jdk1.8引入下面我们看一下每个元注解的作用和相应分参数的使用说明。
AOP 自定义注解
最新发布
tianzhiya_ts的专栏
09-10 343
自定义注释实现记录请求耗时和转换返回值格式
Java自定义注解结合AOP
b2105859的博客
01-30 735
Java自定义注解结合AOP实现环绕方法打印日志
java自定义注解aop使用)
qq_35657874的博客
04-10 198
自定义注解类 import java.lang.annotation.*; @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface SysLog { String value() default ""; } 定义切面类 pom引入aop: &l...
java自定义注解2】java自定义注解结合Spring AOP
the_fool_的博客
09-06 333
      承接上一篇,注解应用于属性,本篇定义了一个用于方法注解结合Spring AOP 实现 切面编程。       以下demo演示使用了SpringBoot,与SSM中使用方式大致相同,效果如下: 1、自定义注解(用于方法) /** * 自定义注解 * @author Zx * */ @Target(ElementType.METHOD)//作用于方法 @Retenti...
深入浅析Spring 的aop实现原理
09-02
同时,Spring还提供了基于注解AOP,简化了切面的定义,使得开发人员可以更加方便地实现横切关注点的管理。 在实际开发中,我们可以使用Spring AOP实现如事务管理、日志记录等功能,避免在业务代码中插入这些与...
sping AOP 权限管理方案浅析
07-17
本文将深入浅析Spring AOP权限管理中的应用,结合标签"源码"和"工具",我们将探讨如何利用Spring AOP实现精细的权限控制,并通过具体的代码示例来理解这一过程。 Spring AOP(Aspect Oriented Programming)是...
深入浅析Spring AOP实现原理1
08-08
在OOP中,为了实现共享行为,如日志、权限验证和事务管理,往往需要在多个类中复制相同的代码,导致代码冗余和高耦合。而AOP则是将这些横切关注点(cross-cutting concerns)从核心业务逻辑中解耦出来,形成独立的...
浅析Java的Spring框架中IOC容器容器的应用
09-03
Java的Spring框架是企业级应用开发的常用工具,它的核心组成部分是IoC(Inversion of Control,控制反转)容器,负责管理和协调应用程序的组件。在本文中,我们将深入探讨Spring框架中的IOC容器,特别是BeanFactory...
使用注解实现AOP
03-16
NULL 博文链接:https://elf8848.iteye.com/blog/436464
使用Spring的注解方式实现AOP
web开发
03-12 535
Spring对AOP实现提供了很好的支持。下面我们就使用Spring的注解来完成AOP做一个例子。 首先,为了使用Spring的AOP注解功能,必须导入如下几个包。aspectjrt.jar,aspectjweaver.jar,cglib-nodep.jar. 然后我们写一个接口 package com.bird.service; public interface PersonServe...
自定义注解+AOP
liaguaya的博客
12-13 172
自定义注解+aop实现
自定义注解AOP结合使用
Ying_hao_kun的博客
09-16 1559
注解(Annotation)是Java语言的一种元数据(metadata)机制,它提供了一种在代码中添加额外信息的方式。注解可以用于标记代码的特定元素,如类、方法、字段、参数等,以便在编译时、运行时或者通过工具进行处理。注解相关类都包含在包中。自定义注解是开发者根据自己的需求创建的注解。通过自定义注解,开发者可以为代码添加特定的元数据信息,并定义相应的处理逻辑。使用@interface关键字定义一个注解类型。在注解中定义需要的元素,可以包括基本类型、枚举类型、Class类型、注解类型等。
JAVA 自定义注解+AOP
weixin_57900796的博客
02-03 2140
学习JAVA 自定义注解+AOP 实现接口日志输出
Spring AOP配置 AOP注解及使用
酆都城博客
08-10 1414
AOP注解及使用 aop使用注解功能 先要在applicationContext.xml配置文件中 扫描总包目录 <context:component-scan base-package="com.itheima"/> 开启aop注解驱动 <aop:aspectj-autoproxy/> 这是必须要有的,没有就不能使用注解 注解开发AOP制作步骤 在XML格式基础上 导入坐标(伴随spring-context坐标导入已经依赖导入完成) 开启AOP注解支持 配
java自定义形参注解(使用aop捕捉)
weixin_44871662的博客
07-05 2234
java自定义形参注解
Spring注解实战:构建基础Web应用
"Spring注解的学习,包括构建简单Web应用、控制层、表单处理、持久层和事务处理等,使用Spring框架的相关jar包,并通过web.xml配置文件进行初始化设置。" 在Spring框架中,注解是一种强大的工具,它简化了XML配置,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值