SpringBoot：切面AOP实现权限校验：实例演示与注解全解

@Order(1)

public class PermissionFirstAdvice {

// 定义一个切面，括号内写入第1步中自定义注解的路径

@Pointcut(“@annotation(com.mu.demo.annotation.PermissionAnnotation)”)

private void permissionCheck() {

}

@Around(“permissionCheck()”)

public Object permissionCheckFirst(ProceedingJoinPoint joinPoint) throws Throwable {

System.out.println(“=第一个切面=：” + System.currentTimeMillis());

//获取请求参数，详见接口类

Object[] objects = joinPoint.getArgs();

Long id = ((JSONObject) objects[0]).getLong(“id”);

String name = ((JSONObject) objects[0]).getString(“name”);

System.out.println(“id1->>>>>>>>>>>>>>>>>>>>>>” + id);

System.out.println(“name1->>>>>>>>>>>>>>>>>>>>>>” + name);

// id小于0则抛出非法id的异常

if (id < 0) {

return JSON.parseObject(“{“message”:“illegal id”,“code”:403}”);

}

return joinPoint.proceed();

}

}

1. 创建接口类，并在目标方法上标注自定义注解 PermissionsAnnotation：

package com.example.demo;

import com.alibaba.fastjson.JSON;

import com.alibaba.fastjson.JSONObject;

import org.springframework.web.bind.annotation.*;

@RestController

@RequestMapping(value = “/permission”)

public class TestController {

@RequestMapping(value = “/check”, method = RequestMethod.POST)

// 添加这个注解

@PermissionsAnnotation()

public JSONObject getGroupList(@RequestBody JSONObject request) {

return JSON.parseObject(“{“message”:“SUCCESS”,“code”:200}”);

}

}

在这里，我们先进行一个测试。首先，填好请求地址和header：

在这里插入图片描述

其次，构造正常的参数：

在这里插入图片描述

可以拿到正常的响应结果：

在这里插入图片描述

然后，构造一个异常参数，再次请求：

在这里插入图片描述

响应结果显示，切面类进行了判断，并返回相应结果：

在这里插入图片描述

有人会问，如果我一个接口想设置多个切面类进行校验怎么办？这些切面的执行顺序如何管理？

很简单，一个自定义的AOP注解可以对应多个切面类，这些切面类执行顺序由@Order注解管理，该注解后的数字越小，所在切面类越先执行。

下面在实例中进行演示：

创建第二个AOP切面类，在这个类里实现第二步权限校验：

package com.example.demo;

import com.alibaba.fastjson.JSON;

import com.alibaba.fastjson.JSONObject;

import org.aspectj.lang.ProceedingJoinPoint;

import org.aspectj.lang.annotation.Around;

import org.aspectj.lang.annotation.Aspect;

import org.aspectj.lang.annotation.Pointcut;

import org.springframework.core.annotation.Order;

import org.springframework.stereotype.Component;

@Aspect

@Component

@Order(0)

public class PermissionSecondAdvice {

@Pointcut(“@annotation(com.example.demo.PermissionsAnnotation)”)

private void permissionCheck() {

}

@Around(“permissionCheck()”)

public Object permissionCheckSecond(ProceedingJoinPoint joinPoint) throws Throwable {

System.out.println(“=第二个切面=：” + System.currentTimeMillis());

//获取请求参数，详见接口类

Object[] objects = joinPoint.getArgs();

Long id = ((JSONObject) objects[0]).getLong(“id”);

String name = ((JSONObject) objects[0]).getString(“name”);

System.out.println(“id->>>>>>>>>>>>>>>>>>>>>>” + id);

System.out.println(“name->>>>>>>>>>>>>>>>>>>>>>” + name);

// name不是管理员则抛出异常

if (!name.equals(“admin”)) {

return JSON.parseObject(“{“message”:“not admin”,“code”:403}”);

}

return joinPoint.proceed();

}

}

重启项目，继续测试，构造两个参数都异常的情况：

在这里插入图片描述

响应结果，表面第二个切面类执行顺序更靠前：

在这里插入图片描述

3 AOP相关注解

=========

上面的案例中，用到了诸多注解，下面针对这些注解进行详解。

3.1 @Pointcut

---

@Pointcut 注解，用来定义一个切面，即上文中所关注的某件事情的入口，切入点定义了事件触发时机。

@Aspect

@Component

public class LogAspectHandler {

/**

* 定义一个切面，拦截 com.itcodai.course09.controller 包和子包下的所有方法

*/

@Pointcut(“execution(* com.mutest.controller….(…))”)

public void pointCut() {}

}

@Pointcut 注解指定一个切面，定义需要拦截的东西，这里介绍两个常用的表达式：一个是使用 execution()，另一个是使用 annotation()。

更多参考：SpringBoot内容聚合

execution表达式：

以 execution(* * com.mutest.controller..*.*(..))) 表达式为例：

• 第一个 * 号的位置：表示返回值类型，* 表示所有类型。

• 包名：表示需要拦截的包名，后面的两个句点表示当前包和当前包的所有子包，在本例中指 com.mutest.controller包、子包下所有类的方法。

• 第二个 * 号的位置：表示类名，* 表示所有类。

• *(…)：这个星号表示方法名，* 表示所有的方法，后面括弧里面表示方法的参数，两个句点表示任何参数。

annotation() 表达式：

annotation() 方式是针对某个注解来定义切面，比如我们对具有 @PostMapping 注解的方法做切面，可以如下定义切面：

@Pointcut(“@annotation(org.springframework.web.bind.annotation.PostMapping)”)

public void annotationPointcut() {}

然后使用该切面的话，就会切入注解是 @PostMapping 的所有方法。这种方式很适合处理 @GetMapping、@PostMapping、@DeleteMapping不同注解有各种特定处理逻辑的场景。

还有就是如上面案例所示，针对自定义注解来定义切面。

@Pointcut(“@annotation(com.example.demo.PermissionsAnnotation)”)

private void permissionCheck() {}

3.2 @Around

---

@Around注解用于修饰Around增强处理，Around增强处理非常强大，表现在：

1. @Around可以自由选择增强动作与目标方法的执行顺序，也就是说可以在增强动作前后，甚至过程中执行目标方法。这个特性的实现在于，调用ProceedingJoinPoint参数的procedd()方法才会执行目标方法。

2. @Around可以改变执行目标方法的参数值，也可以改变执行目标方法之后的返回值。

Around增强处理有以下特点：

1. 当定义一个Around增强处理方法时，该方法的第一个形参必须是 ProceedingJoinPoint 类型（至少一个形参）。在增强处理方法体内，调用ProceedingJoinPoint的proceed方法才会执行目标方法：这就是@Around增强处理可以完全控制目标方法执行时机、如何执行的关键；如果程序没有调用ProceedingJoinPoint的proceed方法，则目标方法不会执行。

2. 调用ProceedingJoinPoint的proceed方法时，还可以传入一个Object[ ]对象，该数组中的值将被传入目标方法作为实参——这就是Around增强处理方法可以改变目标方法参数值的关键。这就是如果传入的Object[ ]数组长度与目标方法所需要的参数个数不相等，或者Object[ ]数组元素与目标方法所需参数的类型不匹配，程序就会出现异常。

@Around功能虽然强大，但通常需要在线程安全的环境下使用。因此，如果使用普通的Before、AfterReturning就能解决的问题，就没有必要使用Around了。如果需要目标方法执行之前和之后共享某种状态数据，则应该考虑使用Around。尤其是需要使用增强处理阻止目标的执行，或需要改变目标方法的返回值时，则只能使用Around增强处理了。

下面，在前面例子上做一些改造，来观察@Around的特点。

自定义注解类不变。首先，定义接口类：

package com.example.demo;

import com.alibaba.fastjson.JSON;

import com.alibaba.fastjson.JSONObject;

import org.springframework.web.bind.annotation.*;

@RestController

@RequestMapping(value = “/permission”)

public class TestController {

@RequestMapping(value = “/check”, method = RequestMethod.POST)

@PermissionsAnnotation()

public JSONObject getGroupList(@RequestBody JSONObject request) {

return JSON.parseObject(“{“message”:“SUCCESS”,“code”:200,“data”:” + request + “}”);

}

}

唯一切面类（前面案例有两个切面类，这里只需保留一个即可）：

package com.example.demo;

import com.alibaba.fastjson.JSONObject;

import org.aspectj.lang.ProceedingJoinPoint;

import org.aspectj.lang.annotation.Around;

import org.aspectj.lang.annotation.Aspect;

import org.aspectj.lang.annotation.Pointcut;

import org.springframework.core.annotation.Order;

import org.springframework.stereotype.Component;

@Aspect

@Component

@Order(1)

public class PermissionAdvice {

@Pointcut(“@annotation(com.example.demo.PermissionsAnnotation)”)

private void permissionCheck() {

}

@Around(“permissionCheck()”)

public Object permissionCheck(ProceedingJoinPoint joinPoint) throws Throwable {

System.out.println(“=开始增强处理=”);

//获取请求参数，详见接口类

Object[] objects = joinPoint.getArgs();

Long id = ((JSONObject) objects[0]).getLong(“id”);

String name = ((JSONObject) objects[0]).getString(“name”);

System.out.println(“id1->>>>>>>>>>>>>>>>>>>>>>” + id);

System.out.println(“name1->>>>>>>>>>>>>>>>>>>>>>” + name);

// 修改入参

JSONObject object = new JSONObject();

object.put(“id”, 8);

object.put(“name”, “lisi”);

objects[0] = object;

// 将修改后的参数传入

return joinPoint.proceed(objects);

}

}

同样使用JMeter调用接口，传入参数：{"id":-5,"name":"admin"}，响应结果表明：@Around截取到了接口的入参，并使接口返回了切面类中的结果。

3.3 @Before

---

@Before 注解指定的方法在切面切入目标方法之前执行，可以做一些 Log 处理，也可以做一些信息的统计，比如获取用户的请求 URL 以及用户的 IP 地址等等，这个在做个人站点的时候都能用得到，都是常用的方法。例如下面代码：

@Aspect

@Component

@Slf4j

public class LogAspectHandler {

/**

* 在上面定义的切面方法之前执行该方法

* @param joinPoint jointPoint

*/

@Before(“pointCut()”)

public void doBefore(JoinPoint joinPoint) {

log.info(“doBefore方法进入了”);

// 获取签名

Signature signature = joinPoint.getSignature();

// 获取切入的包名

String declaringTypeName = signature.getDeclaringTypeName();

// 获取即将执行的方法名

String funcName = signature.getName();

log.info(“即将执行方法为: {}，属于{}包”, funcName, declaringTypeName);

// 也可以用来记录一些信息，比如获取请求的 URL 和 IP

ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();

HttpServletRequest request = attributes.getRequest();

// 获取请求 URL

String url = request.getRequestURL().toString();

// 获取请求 IP

String ip = request.getRemoteAddr();

log.info(“用户请求的url为：{}，ip地址为：{}”, url, ip);

}

}

JointPoint 对象很有用，可以用它来获取一个签名，利用签名可以获取请求的包名、方法名，包括参数（通过 joinPoint.getArgs() 获取）等。

3.4 @After

---

@After 注解和 @Before 注解相对应，指定的方法在切面切入目标方法之后执行，也可以做一些完成某方法之后的 Log 处理。

@Aspect

@Component

@Slf4j

public class LogAspectHandler {

/**

* 定义一个切面，拦截 com.mutest.controller 包下的所有方法

*/

@Pointcut(“execution(* com.mutest.controller….(…))”)

public void pointCut() {}

/**

* 在上面定义的切面方法之后执行该方法

* @param joinPoint jointPoint

*/

@After(“pointCut()”)

public void doAfter(JoinPoint joinPoint) {

log.info(“==== doAfter 方法进入了====”);

Signature signature = joinPoint.getSignature();

String method = signature.getName();

log.info(“方法{}已经执行完”, method);

}

}

到这里，我们来写个 Controller 测试一下执行结果，新建一个 AopController 如下：

@RestController

@RequestMapping(“/aop”)

public class AopController {

@GetMapping(“/{name}”)

public String testAop(@PathVariable String name) {

return "Hello " + name;

}

}

启动项目，在浏览器中输入：localhost:8080/aop/csdn，观察一下控制台的输出信息：

doBefore 方法进入了

即将执行方法为: testAop，属于com.itcodai.mutest.AopController包

用户请求的 url 为：http://localhost:8080/aop/name，ip地址为：0:0:0:0:0:0:0:1

==== doAfter 方法进入了====

方法 testAop 已经执行完

从打印出来的 Log 中可以看出程序执行的逻辑与顺序，可以很直观的掌握 @Before 和 @After 两个注解的实际作用。

3.5 @AfterReturning

---

@AfterReturning 注解和 @After 有些类似，区别在于 @AfterReturning 注解可以用来捕获切入方法执行完之后的返回值，对返回值进行业务逻辑上的增强处理，例如：

@Aspect

@Component

@Slf4j

public class LogAspectHandler {

/**

* 在上面定义的切面方法返回后执行该方法，可以捕获返回对象或者对返回对象进行增强

* @param joinPoint joinPoint

* @param result result

*/

@AfterReturning(pointcut = “pointCut()”, returning = “result”)

public void doAfterReturning(JoinPoint joinPoint, Object result) {

Signature signature = joinPoint.getSignature();

String classMethod = signature.getName();

log.info(“方法{}执行完毕，返回参数为：{}”, classMethod, result);

// 实际项目中可以根据业务做具体的返回值增强

log.info(“对返回参数进行业务上的增强：{}”, result + “增强版”);

}

}

需要注意的是，在 @AfterReturning 注解 中，属性 returning 的值必须要和参数保持一致，否则会检测不到。该方法中的第二个入参就是被切方法的返回值，在 doAfterReturning 方法中可以对返回值进行增强，可以根据业务需要做相应的封装。我们重启一下服务，再测试一下：

方法 testAop 执行完毕，返回参数为：Hello CSDN

对返回参数进行业务上的增强：Hello CSDN 增强版

3.6 @AfterThrowing

---

当被切方法执行过程中抛出异常时，会进入 @AfterThrowing 注解的方法中执行，在该方法中可以做一些异常的处理逻辑。要注意的是 throwing 属性的值必须要和参数一致，否则会报错。该方法中的第二个入参即为抛出的异常。

@Aspect

@Component

@Slf4j

public class LogAspectHandler {

/**

* 在上面定义的切面方法执行抛异常时，执行该方法

* @param joinPoint jointPoint

* @param ex ex

*/

@AfterThrowing(pointcut = “pointCut()”, throwing = “ex”)

public void afterThrowing(JoinPoint joinPoint, Throwable ex) {

Signature signature = joinPoint.getSignature();

String method = signature.getName();

// 处理异常的逻辑

log.info(“执行方法{}出错，异常为：{}”, method, ex);

}

}

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注Java获取）

Java高频面试专题合集解析：

当然在这还有更多整理总结的Java进阶学习笔记和面试题未展示，其中囊括了Dubbo、Redis、Netty、zookeeper、Spring cloud、分布式、高并发等架构资料和完整的Java架构学习进阶导图！

更多Java架构进阶资料展示

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！
朋友，同时减轻大家的负担。**[外链图片转存中…(img-mZHC1KE9-1713324770855)]

[外链图片转存中…(img-pxETBtfS-1713324770856)]

[外链图片转存中…(img-sBYAiDIP-1713324770856)]

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注Java获取）

Java高频面试专题合集解析：

[外链图片转存中…(img-1X5N58sP-1713324770856)]

当然在这还有更多整理总结的Java进阶学习笔记和面试题未展示，其中囊括了Dubbo、Redis、Netty、zookeeper、Spring cloud、分布式、高并发等架构资料和完整的Java架构学习进阶导图！

[外链图片转存中…(img-3HLdOA2n-1713324770856)]

更多Java架构进阶资料展示

[外链图片转存中…(img-R9FgIZNl-1713324770856)]

[外链图片转存中…(img-gcw4cWLb-1713324770857)]

[外链图片转存中…(img-LiLFYnLN-1713324770857)]
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！