使用场景介绍
研二刚开始,帮学校体育部做一个管理系统,当时直接用SSM框架花了不到一周完成了设计加编码。这个系统体量不大,因此在权限校验方面也没使用主流的Shiro或者Spring security,为了省事直接在controller层硬编码写了登陆判断和权限校验,造成了大量的冗余代码。最近看了下代码,实在受不了这么多重复代码了,就基于AOP和自定义注解重新写了权限校验,完成后controller层功能没变,但是代码减少了75%,让人一目了然。
ps:接下来有些我的思考过程,不感兴趣的可以直接跳到具体实现部分。
未使用AOP之前
每个请求经过controller层我都要做以下几步判断:
- 根据session信息判断用户是否登陆,未登录的话返回前端请登录
- 若用户已经登陆,根据请求的接口判断当前用户是否有权限
- 如果当前用户没用权限,则返回前端权限不够
- 当前用户拥有权限则执行service层方法
例如根据不同的条件查询某个学生,只有管理员或者教师有此权限,我就得写这么多:
@GetMapping("/select_student")
@ResponseBody
public ServerResponse<List<StudentDTO>> selectStudent(String excutiveClass, String teachClass, String year, String studentId, String studentName, String studentCollege, HttpSession session) {
User user = (User) session.getAttribute("user");
if (user==null){
return ServerResponse.createByErrorMessage("请先登陆");
}
if (CheckRole.isStudent(user)) {
return ServerResponse.createByErrorMessage("学生用户没有此权限!");
}
return iStudentService.selectStudent(excutiveClass, teachClass, year, studentId, studentName, studentCollege);
}
每个请求都会经历上述步骤,造成了大量代码重复,这是我们无法容忍的!很明显这段代码只有最后一行是具体的业务代码,其他的都是非业务性的功能,我们需要消灭他们。
解决思路
为了解决这种现象,刚开始打算使用过滤器或者拦截器实现登陆判断,虽然这样完全可以实现,但是这个已经用的太多次了,就打算直接用AOP实现得了(其实过滤器和拦截器都是AOP的思想体现)。
分析具体业务
在开始编码之前思考我需要做什么:
- 登陆校验
- 权限判断
分析如何实现
考虑到具体的需求,本身这个系统的权限并不是特别复杂,本身用户角色只有:学生、教师、管理员这三个,而且角色与权限之间基本一一对应,因此不需要细粒度的权限校验,只需要实现粗粒度的权限校验即可。
这里粗粒度是说接口的权限和用户的角色一一对应,用户对于某个接口的操作只有两种可能情况:有权限或者无权限。不是像shiro那样不同角色细粒度的对增删改查都有不同的权限。
分析了系统对权限的粗粒度需求后,我打算使用自定义注解来实现,根据是否有自定义注解来判断是否需要相应的角色。大概思路就是:
请求过来进入controller后使用AOP拦截,然后先根据请求中的session信息判断用户是否登陆,接着根据请求的方法上的注解判断用户是否有权限操作。
具体实现
自定义注解:Login、Teacher、Admin、Student
import java.lang.annotation.*;
/**
* @author lihang
* @date 2017/12/16.
* @description 用于判断是否需要登陆(有该注解则需要登陆,因此登陆请求不能加该注解,否则就“死循环”了)
*/
// 本注解只能用在方法上
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface Login {
}
其他的Teacher、Admin、Student注解和Login类似。由于是基于粗粒度的判断,因此注解可以不用任何默认值,我们仅仅根据有/没有注解来判断有/没有权限
AOP拦截请求
/**
* @author lihang
* @date 2017/12/16.
* @description 使用aop实现登陆/鉴权
*/
@Aspect
@Component
public class AuthHandle {
private static final String NEED_LOGIN = "请先登录";
private static final String TEACHER_AND_ADMIN = "只有教师或管理员有权操作!";
private static final String NEED_ADMIN = "只有管理员有权操作!";
@Pointcut(value = "execution(public * team.njupt.iFit.controller..*.*(..))")
public void start(){
}
@Around("start()")
public ServerResponse access(ProceedingJoinPoint joinPoint){
User user = getUser();
MethodSignature joinPointObject = (MethodSignature) joinPoint.getSignature();
//获得请求的方法
Method method = joinPointObject.getMethod();
//判断是否需要登陆(含有Login注解)
if (hasAnnotationOnMethod(method,Login.class)){
if (user == null){
//用户未登录
return ServerResponse.createByErrorMessage(NEED_LOGIN);
}
}
//判断是否需要教师权限(含有Teacher注解)
if (hasAnnotationOnMethod(method,TTeacher.class)){
//只有教师和管理员可以操作
if (!(user.getRole() == UserRoleConstant.TTEACHER||user.getRole() == UserRoleConstant.ADMIN)){
return ServerResponse.createByErrorMessage(TEACHER_AND_ADMIN);
}
}
//判断是否需要管理员权限(含有Admin注解)
if (hasAnnotationOnMethod(method,Admin.class)){
//只有管理员能操作
if (user.getRole() != UserRoleConstant.ADMIN){
return ServerResponse.createByErrorMessage(NEED_ADMIN);
}
}
ServerResponse obj = null;
try {
obj = (ServerResponse) joinPoint.proceed();
} catch (Throwable throwable) {
throwable.printStackTrace();
}
return obj;
}
/**
* 从session中获取当前用户
* @return
*/
private User getUser(){
RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
ServletRequestAttributes servletRequestAttributes = (ServletRequestAttributes) requestAttributes;
HttpServletRequest request = servletRequestAttributes.getRequest();
HttpSession session = request.getSession();
User user = (User) session.getAttribute("user");
return user;
}
/**
* 判断某方法上是否含有某注解
* @param method
* @param annotationClazz
* @return
*/
private boolean hasAnnotationOnMethod(Method method,Class annotationClazz){
//使用反射获取注解信息
Annotation a = method.getAnnotation(annotationClazz);
if (a == null){
return false;
}
return true;
}
}
@Aspect注解表明该类是一个AOP的实现,使用需要引入相关maven依赖:
<!--aop-->
<dependency>
<groupId>org.aspectj</groupId>
<artifactId>aspectjrt</artifactId>
<version>1.8.9</version>
</dependency>
<dependency>
<groupId>org.aspectj</groupId>
<artifactId>aspectjweaver</artifactId>
<version>1.8.9</version>
</dependency>
这里我拦截所有的Controller层的请求,根据session中的信息判断用户是否登陆,返回我自定义的一个ServerResponse对象(这个ServerResponse没什么特别,只是一个封装的返回对象,可以根据具体需要自己编写返回类型),然后通过读取方法上的注解信息判断该接口需要的权限,不满足的返回提示信息,只有满足条件的才会继续执行,最终返回执行完的结果。
使用AOP之后
只需要在controller方法加上相应的注解即可,代码减少了75%以上:
@GetMapping("/select_student")
@ResponseBody
@Login
@Teacher
public ServerResponse<List<StudentDTO>> selectStudent(String excutiveClass, String teachClass, String year, String studentId, String studentName, String studentCollege, HttpSession session) {
return iStudentService.selectStudent(excutiveClass, teachClass, year, studentId, studentName, studentCollege);
}
写在后面
经过上述操作,代码简洁很多!如果想实现更细粒度的权限校验,就需要给注解编写相应的属性值,利用反射读取值做进一步判断。