aop实现权限及流程讲解(优化)

已于 2022-03-30 15:32:46 修改
阅读量2.4k 收藏 4
点赞数 1
分类专栏: java 文章标签: spring java
于 2022-03-30 15:29:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47729434/article/details/123844855
版权

使用场景:

基本上每个项目都离不开权限设计,这里我研究了下XX的基础框架,理解了aop权限在项目中的真实场景及思路

代码描述:

``
自定义认证+权限注解

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Auth {
    /**
     * 该属性是用来校验权限的
     */
    boolean verify() default true;
	/**
	* 该属性可加可不加,可以扩展为接口的自定义权限值
	*/
	//String value();
}

``
自定义切面类

@Slf4j
@Aspect
@Component
public class AuthAop {

    @Autowired
    private TokenService tokenService;
    /**
     *
     * @param jp
     * @param aaa 变量名可随意,可以理解为一个注解类型的对象
     */
    @Before("@annotation(aaa)")
    public void auth(JoinPoint jp,Auth aaa){
    	//封装的工具类,基于ThreadLocal获取当前请求
        HttpServletRequest httpServletRequest = GlobalParamUtils.currentRequest();
        // 获取请求的地址,即是协议+ip+端口后面的资源路径
        String requestURI = httpServletRequest.getRequestURI();
        // 利用注解@Slf4j打印信息
        log.info("请求url:{}",requestURI);
        // 获取请求头
        String token = httpServletRequest.getHeader("token");
		// 通过断言工具类检验token是否为null,为null就抛出异常,等待全局异常捕获处理
        AssertUtil.hasText(token, TokenExceptionEnum.TOKEN_NONE);
        // 根据token从redis中获取authInfo,里面包含了对token的判断
        AuthInfoVO authInfo = tokenService.userInfoFromToken(token);
        // 断言判断是否为null,为null就抛出异常,等待全局异常捕获处理
        AssertUtil.notNull(authInfo, TokenExceptionEnum.TOKEN_EXPIRE);
        // 根据请求参数,来决定是否设置authInfo
        boolean flag = setTokenInfo(jp, authInfo);
        // 如果参数中没有BaseAuthVO入参,或者没有AuthInfoVO类型的属性,那就将authInfoVO存入该线程
        if (!flag) {
            log.info("由于没有认证参数,我需要将authInfoVO存入该线程");
            // TokenInfoHolder下面会说
            TokenInfoHolder.set(authInfo);
        }
        // 判断是否需要权限校验,跟请求uri比较,如果没有权限抛出权限异常,然后捕获返回
        if (aaa.verify()) {
        	// 从redis中根据用户id取出权限列表,权限信息不会存在token或者authInfo中
            Set<String> functions = tokenService.getFunctions(authInfo.getUserId());
            log.info("用户功能权限有:{}",functions);
            String authStr = requestURI.toLowerCase();
            log.info(authStr);
            // 判断权限集合中是否有该请求路径,数据库中存入的就是请求uri
            AssertUtil.contain(functions, authStr, TokenExceptionEnum.MEMBER_TYPE_INVALIDATE);
        }
        // 刷新redis中token为1小时,即重新设置时间
        tokenService.renewalToken(token);
    }

    /**
     * 看请求参数中是否有基础认证入参,如果有,就给该参数设置authInfo,
     * 注意:无论如何,当前访问的用户信息都会存储,要么存在入参参数中,要么存在线程中,
     * 目的就是为了保证在数据库操作时能记录用户信息
     * @param jp
     * @param authInfo
     * @return
     */
    private boolean setTokenInfo(JoinPoint jp, AuthInfoVO authInfo) {
    	// 获取被拦截请求的参数列表
        Object[] args = jp.getArgs();
        boolean flag = false;
        log.info("用户ID[{}]", authInfo.getUserId());
        // 如果是文件参数类型,或者HttpServletRequest|HttpServletResponse就跳过当前循环
        for (Object arg : args) {
            if (arg instanceof MultipartFile
                    || arg instanceof HttpServletRequest
                    || arg instanceof HttpServletResponse) {
                continue;
            }
            log.info("请求参数{}", arg);
            // BaseAuthVO交互类只有一个AuthInfoVO类属性
            if (arg instanceof BaseAuthVO) {
                BaseAuthVO reqVO = (BaseAuthVO) arg;
                reqVO.setAuthInfoVO(authInfo);
                flag = true;
            } else {
                if (Objects.isNull(arg)) {
                    continue;
                }
                // 比如其他的对象继承了BaseAuthVO,因此也有这个AuthInfoVO类属性,
                // 于是就可以遍历字段属性,看字段的类型是不是AuthInfoVO类,
                // 如果有,就将从redis取出来的authInfo设置到该字段上,注意:
                // 发送该请求时的携带的@RequestBody参数不用带上authInfoVO喔,
                // 因为是反射技术,他可以拿到该类的所有属性的
                Class<?> clazz = arg.getClass();
                Field[] fields = clazz.getDeclaredFields();
                for (Field field : fields) {
                    if (Objects.equals(field.getGenericType().toString(), "class com.shidai.vo.AuthInfoVO")) {
                        field.setAccessible(true);
                        try {
                            field.set(arg, authInfo);
                            flag = true;
                        } catch (IllegalAccessException e) {
                            e.printStackTrace();
                        }
                    }
                }
            }
        }
        return flag;
    }
	/**
	* 通过ThreadLocal.remove()清除,防止内存溢出
	*/
    @After(value = "@annotation(auth)")
    public void clearSuccess(Auth auth) {
        TokenInfoHolder.clear();
    }
	/**
	* 通过ThreadLocal.remove()清除,防止内存溢出
	*/
    @AfterThrowing(value = "@annotation(auth)")
    public void clearError(Auth auth) {
        TokenInfoHolder.clear();
    }
}

/**
 * TokenInfoHolder----就是基于ThreadLocal存储用户信息的,保证了线程安全
 *
 * @author roger
 * @date 2021/6/29 13:48
 */
public class TokenInfoHolder {
    /**
     * 一个线程内部共享,不同线程之间是隔离的,每个线程只能get()到自己的变量
     * ThreadLocal保证了每个线程都有一个独立实例副本,避免线程安全问题
     * 一个线程可以有多个TreadLocal来存放不同类型的对象的,都将放到你当前线程的ThreadLocalMap(threadLocals)-是一个数组结构
     * Entry[] ThreadLocal - k; Object - v
     * 应用场景:spring的事务管理用过(保证拿到同一个连接对象);还有springmvc的RequestContextHolder,因此你在aop中业务中都能拿到安全的对应请求对象
     *
     */
    private static final ThreadLocal<String> AUTH = new ThreadLocal<>();

    private TokenInfoHolder() {

    }

    /**
     * 将authInfo转换成JSon String存储
     *
     * @param authInfo 前端传入的AuthInfoVO对象
     *                 设置到线程中的ThreadLocalMaps中的ThreadLocal(AUTH)对象中
     */
    public static void set(AuthInfoVO authInfo) {
        String json = JSON.toJSONString(authInfo);
        AUTH.set(json);
    }

    /**
     * 通过ThreadLocal.get()从获取AuthInfo对象
     *
     * @return
     */
    public static AuthInfoVO authInfo() {
        return authInfo(AuthInfoVO.class);
    }

    private static <T> T authInfo(Class<T> clazz) {
        String info = AUTH.get();
        return JSON.parseObject(info, clazz);
    }

    /**
     * 通过ThreadLocal.remove()清除,防止内存溢出
     */
    public static void clear() {
        AUTH.remove();
    }
}

``
登录认证

@Slf4j
@Service
public class UserServiceImpl implements UserService {

    @Resource
    UserMapper userMapper;
    @Resource
    RoleMapper roleMapper;
    @Resource
    PermissionMapper permissionMapper;
    @Resource
    TokenService tokenService;
    @Override
    public BaseResultVO<UserPO> login(AuthInfoVO auth) {
        LambdaQueryWrapper<UserPO> lambdaQueryWrapper = new LambdaQueryWrapper<UserPO>().eq(UserPO::getUserName, auth.getUsername());
        UserPO user = userMapper.selectOne(lambdaQueryWrapper);
        AssertUtil.notNull(user,"该用户不存在");
        log.info("用户信息为:{}",user);
        auth.setUserId(String.valueOf(user.getUserId()));
        // 查询到所属角色
        String rid= roleMapper.getRoleListById(user.getUserId());
        // 根据角色再去查询所有的权限,存入redis中
        Set<String> func = permissionMapper.funcAuth(Integer.parseInt(rid));
        tokenService.setFunctions(String.valueOf(user.getUserId()),func);
        // 生成token,存入缓存,然后返回给前端
        String token = tokenService.setTokenInfo(auth);
        // 获取响应对象,设置token
        HttpServletResponse response = GlobalParamUtils.currentResponse();
        response.setHeader("token",token);
        return BaseResultVO.success("登录认证成功");
    }
}

图象辅助:

登录后redis中,用户信息就是token值
在这里插入图片描述
在这里插入图片描述

总结思路:

1.用户登录是放行不加认证权限校验的
2.登陆时做两件事:a.通过工具类根据用户信息(不包含功能权限)生成token并存入redis中,然后返回给前端;b.将功能权限也存入redis中
3.用户下次访问请求根据@Auth注解决定是否携带token请求头,服务器拿到该token值先去校验是否有效,然后拼接key,根据key获取redis中token值(authInfo),将authInfo通过json序列化转换为AuthInfo对象,然后根据请求参数对应的类是否包含了该AuthInfo属性,包含了就将authInfo设置到属性上,不包含就设置到ThreadLocal中,反正请求中都会拥有用户信息,方便数据库操作记录用户信息。访问了之后又给token续xx时间

喵猿
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java Spring+openOffice实现office转pdf在线预览
04-29
它强调代码的可测试性和松耦合,并通过依赖注入(Dependency Injection, DI)和面向切面编程(Aspect-Oriented Programming, AOP)来实现这一目标。Spring 还提供了 MVC(Model-View-Controller)架构模式,使得 Web...
尚硅谷SpringMVC源码及PPT
08-31
通过尚硅谷的SpringMVC源码分析,开发者可以更深入地了解SpringMVC的内部机制,如DispatcherServlet、HandlerAdapter、ModelAndView的实现细节,以及AOP、IOC容器在SpringMVC中的应用。源码学习有助于提升对框架原理...
基于AOP实现权限控制,优化Java项目开发
weixin_54017930的博客
06-18 1278
本文所用的开发语言为Java,应用框架为Spring cloud/MyBatis-plus。示例中的代码为个人开发的缺陷跟踪系统代码片段。我们可以使用@Around上面代码中,我们首先引入了@Component注解和@Aspect注解,将这个类定义为一个切面。然后,在切面中,我们编写了一个方法,用于根据当前用户的权限等级进行权限校验。在方法中,我们通过解析切点的方法参数,找到其中的当前用户ID值,并依此获取到该用户的权限等级信息。之后,我们根据当前方法所定义的权限名称来进行具体的权限校验。
基于SpringAOP实现自定义接口权限控制
林立鹏的博客
11-06 736
使用枚举进行权限的定义,通过四级权限树,将权限分为模块、单元、功能级、接口。/*** 接口权限枚举定义类*//*** 四级权限树* 1 模块* - 2 功能* - - 3 接口集(一般是Controller)* - - - 4 具体接口(@RequestMapping)*/// 用户管理User("user", "用户", Type.Module),SysUser(User, "系统用户", Type.Unit),
SpringBoot:切面AOP实现权限校验:实例演示与注解全解(1)
最新发布
2401_84152177的博客
05-04 606
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!ect@Component@Order(1)开始增强处理=”);
SpringBoot AOP切面实现权限校验,实例演示与注解全解
qq_50523945的博客
05-30 2693
面向切面思想,是Spring的三大核心思想之一(两外两个:IOC-控制反转、DI-依赖注入)。那么AOP为何那么重要呢?在我们的程序中,经常存在一些系统性的需求,比如权限校验、日志记录、统计等,这些代码会散落穿插在各个业务逻辑中,非常冗余且不利于维护。例如下面这个示意图:有多少业务操作,就要写多少重复的校验和日志记录代码,这显然是无法接受的。
AOP除了日志记录外,还可以用于缓存管理、权限控制、性能控制、异常处理
weixin_43914278的博客
04-18 821
在缓存切面中,我们首先检查缓存中是否存在该数据,如果存在,则直接从缓存中读取并返回,否则执行该方法并将结果存入缓存中。例如,使用AOP实现缓存切面,可以在方法执行前检查缓存中是否有数据,如果有,则直接从缓存中读取数据并返回,否则执行方法并将结果存入缓存中。例如,使用AOP实现性能监控切面,可以在方法执行前记录当前时间戳,并在方法执行后计算方法执行时间,并将结果输出到日志中,从而帮助开发人员识别慢速代码并进行优化。这些都是AOP的应用案例之一,通过AOP,可以实现更好的代码可维护性、可扩展性和代码复用性。
S2SH分页实现
05-23
3. **Spring**:提供了一个全面的应用程序管理框架,包括依赖注入、事务管理等,也支持AOP(面向切面编程)用于权限控制和日志记录等。 分页的实现主要涉及以下几个步骤: **1. 创建PageBean类** PageBean是用于...
外卖点餐的设计与实现微信小程序+ssm后端源码案例设计.zip
04-21
SpringAOP(面向切面编程)支持日志记录、权限控制等功能;SpringMVC通过ModelAndView对象实现数据的传递;MyBatis的动态SQL使得数据库操作更加灵活。此外,还需要关注性能优化,如数据库索引优化、缓存策略、负载...
spring动态代理原理
11-22
通过以上讲解,我们可以看到Spring AOP的动态代理是如何工作的,以及如何通过JDK动态代理实现这一过程。这种机制使得我们的代码更加模块化,增强了代码的可扩展性和可维护性。在实际开发中,Spring AOP动态代理被...
spring security 2.0 的简单配置使用(补)——用aop控制method级权限
03-01
博文链接:https://snz.iteye.com/blog/229915
讲的太通透了,切面 AOP 优雅的实现权限校验!(VIP典藏版)
java_2017_csdn的博客
09-27 152
AOP(Aspect Oriented Programming),面向切面思想,是Spring的三大核心思想之一(两外两个:IOC-控制反转、DI-依赖注入)。那么AOP为何那么重要呢?在我们的程序中,经常存在一些系统性的需求,比如权限校验、日志记录、统计等,这些代码会散落穿插在各个业务逻辑中,非常冗余且不利于维护。例如下面这个示意图:有多少业务操作,就要写多少重复的校验和日志记录代码,这显然是无法接受的。
基于AOP方式实现数据权限的校验
weixin_39956506的博客
02-20 1064
基于AOP方式实现数据权限的校验。
AOP权限控制
小赵的呢
01-29 618
AOP权限控制 1.AOP控制 承接上一篇路线 在pom文件中导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </dependency> 编写AOP类 @Aspect @Component public class LogAspect {
使用拦截器或者AOP实现权限管理(OA系统中实现权限控制)
不能说的秘密的博客
02-08 1万+
使用拦截器或者AOP实现权限管理(OA系统中实现权限控制)
SpringBoot】通过AOP实现权限控制,认证失败调用指定方法
纸上得来终觉浅,绝知此事要躬行
07-30 455
/需要什么样的权限//认证失败调用的方法名}
Spring AOP 实现功能权限校验功能
热门推荐
後雪寒的专栏
06-23 2万+
实现功能权限校验的功能有多种方法,其一使用拦截器拦截请求,其二是使用AOP抛异常。 首先用拦截器实现未登录时跳转到登录界面的功能。注意这里没有使用AOP切入,而是用拦截器拦截,因为AOP一般切入的是service层方法,而拦截器是拦截控制器层的请求,它本身也是一个处理器,可以直接中断请求的传递并返回视图,而AOP则不可以。 1.使用拦截器实现未登录时跳转到登录界面的功能 1.1 拦截...
Spring Aop 权限开发(Java后台管理权限)
qq_35243979的博客
10-11 2686
第一次使用aop开发后台权限,之前使用过aop开发过日志功能。 看了网上很多案例。感觉跟自己想要的还是有一定的区别,然后参照网上的案例,自己摸索写一个。 供大家参考。 1:首先,后台所有的功能菜单都放入数据库中。(用户列表,等这种功能菜单。) 2:后台所有的功能权限也放入到数据库中。(user:拥有用户列表权限,拥有用户列表查看,修改权限,没有删除,新增权限) 数据库要提前建立好。 开...
AOP实现自定义权限注解
07-25
回答: AOP实现自定义权限注解可以通过使用Spring AOP实现。首先,你需要定义一个自定义注解,用于标记需要进行权限控制的方法。然后,你可以使用AOP的方式,在方法执行前或执行后进行权限验证。具体实现可以参考以下步骤: 1. 定义自定义注解:你可以使用@PreventRepeat注解来标记需要进行权限控制的方法。 2. 创建切面:你需要创建一个切面类,使用@Aspect注解标记,并在该类中定义一个切点,用于匹配被@PreventRepeat注解标记的方法。 3. 实现权限验证逻辑:在切面类中,你可以使用@Before或@After注解来定义权限验证的逻辑。在方法执行前或执行后,你可以进行相应的权限验证操作。 4. 配置AOP:最后,你需要在Spring配置文件中配置AOP,将切面类和切点与目标对象关联起来。 通过以上步骤,你就可以实现自定义权限注解的AOP实现了。这样,在被@PreventRepeat注解标记的方法执行前或执行后,你可以进行相应的权限验证操作。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [java-使用spring AOP实现自定义注解](https://blog.csdn.net/weixin_43846708/article/details/129547120)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值