使用Spring Aop实现权限拦截功能

最新推荐文章于 2023-06-29 17:31:22 发布
最新推荐文章于 2023-06-29 17:31:22 发布
阅读量6.2k 收藏 25
点赞数 6
分类专栏: SpringMvc Spring4 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z956281507/article/details/79726198
版权
Java 同时被 3 个专栏收录
22 篇文章 0 订阅
订阅专栏
Spring4
3 篇文章 0 订阅
订阅专栏
SpringMvc
2 篇文章 0 订阅
订阅专栏

    最近在做的一个系统需要实现权限拦截功能,主要是防止一些恶意的用户直接输入URL来对我们的系统造成破坏。

下面来说以下具体的实现:

首先看一下我们定义的Aspect类

package com.hhoj.judger.aspect;

import java.lang.reflect.Method;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;

import com.hhoj.judger.annotation.ValidatePermission;
import com.hhoj.judger.entity.User;
import com.hhoj.judger.util.HttpObjectHolder;

@Aspect
public class PermissionAspect {

    @Pointcut(value="@annotation(com.hhoj.judger.annotation.ValidatePermission)")
    public void validate() {}
    
    @Around(value="validate()")
    public Object around(ProceedingJoinPoint pjp) throws Throwable{
        Method method=getSourceMethod(pjp);
        if(method!=null) {
            ValidatePermission vp=method.getAnnotation(ValidatePermission.class);
            int role=vp.role();
            HttpServletRequest request=HttpObjectHolder.getCurrentRequest();
            HttpServletResponse response=HttpObjectHolder.getCurrentResponse();
            User user=(User)request.getSession().getAttribute("currentUser");
            if(user==null||user.getRole()<role) {
                /**
                 * 权限不足直接跳转到提醒页面
                 */
                String path=request.getContextPath();
                response.sendRedirect(path+"/authenticationFailure");
                return null;
            }
        }
        return pjp.proceed();
    }
    
    /**
     * 获取被拦截的方法
     * @param jp
     * @return
     */
     private Method getSourceMethod(JoinPoint jp){
            Method proxyMethod = ((MethodSignature) jp.getSignature()).getMethod();
            try {
                return jp.getTarget().getClass().getMethod(proxyMethod.getName(), proxyMethod.getParameterTypes());
            } catch (NoSuchMethodException e) {
                e.printStackTrace();
            } catch (SecurityException e) {
                e.printStackTrace();
            }
            return null;
        }
}

该Aspect主要是对被 ValidatePermission 注解的方法实行拦截,然后通过反射获取注解中的参数值,再获取当前用户的角色,通过判断当前用户是否有权限执行该方法,如果权限不够则跳转到提示错误页面,否则继续执行。该过程中唯一不好解决的问题就是Request,Response等内置对象的获取。

    我们可以采取两种方案:

1.  在Controller控制类中,每个需要被拦截的方法上都添加 HttpServletRequest,HttpServletResponse参数,Spring Mvc在处理请求的时候会自动为我们注入参数值,然后我们在Aspect中通过 ProceedingJoinPoint的getArgs 获取被拦截方法的参数,这样就可以取到我们需要的request和reponse,这个方法的弊端就是我们需要在每个被拦截的方法上都添加上HttpServletRequest,HttpServletResponse参数,在需要拦截的方法数目较多的情况下这也是个不小的工作量,这还不是主要的问题,我们大部分Controller中的处理方法都不需要用到HttpServletRequest或者HttpServletResponse,在一个方法上添加它永不到的参数,这种实现方法实在不太雅观。

2. 通过一个ThreadLocal对我们的request,或response进行绑定。需要用到的时候就在ThreadLocal中获取,通过该方法我们不仅仅可以在Aspect中使用这些内置对象,只要是我们想用,在任何地方都能使用。那么还有一个问题,这些对象应该在什么地方绑定?答案就是我们可以在拦截器中进行绑定,不管是Servlet的拦截器,还是Spring Mvc的拦截器都可以,这里我采用的是Spring Mvc的拦截器。下面是我的实现过程:

package com.hhoj.judger.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import com.hhoj.judger.util.HttpObjectHolder;
/**
 * 将Request,和Response绑定到当前线程
 * 用户AOP拦截时使用
 * @author zhu
 *
 */
public class SaveHttpObjectFilter implements HandlerInterceptor{

	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
		HttpObjectHolder.setCurrentRequest((HttpServletRequest)request);
		HttpObjectHolder.setCurrentResponse((HttpServletResponse)response);
		return true;
	}

	@Override
	public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
			ModelAndView modelAndView) throws Exception {
	}

	@Override
	public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
			throws Exception {
	}

}


package com.hhoj.judger.util;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 用于保存每个线程的request 和Response
 * @author zhu
 *
 */
public final class HttpObjectHolder {
	private static ThreadLocal<HttpServletRequest>requestThreadLocal=new ThreadLocal<>();
	private static ThreadLocal<HttpServletResponse>responseThreadLocal=new ThreadLocal<>();
	public static HttpServletRequest getCurrentRequest() {
		return requestThreadLocal.get();
	}
	public static void setCurrentRequest(HttpServletRequest request) {
		requestThreadLocal.set(request);
	}
	public static HttpServletResponse getCurrentResponse() {
		return responseThreadLocal.get();
	}
	public static void setCurrentResponse(HttpServletResponse response) {
		responseThreadLocal.set(response);
	}
}

在来看看 ValidatePermission注解的定义

package com.hhoj.judger.annotation;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
/**
 * 被此注解标注的方法需要进行权限校验
 * @author zhu
 *
 */

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface ValidatePermission {
	int role () ;
}

然后在我们的Spring配置文件中进行配置,由于我们采用的是注解方式的Aop 所以只要在配置文件中加入

 <aop:aspectj-autoproxy />

这里有个特别需要注意的地方!!由于我采用的是Spring +Spring MVC的开发模式,所以会产生两个Bean容器,Spring会创建一个,Spring MVC也会创建一个。Spring MVC的Bean 容器会把Spring容器当作是它的父容器,    这一点从Spring MVC的源码中就可以看出来,这是简化后的Spring MVC的Bean容器初始化过程。

	protected WebApplicationContext initWebApplicationContext() {
		WebApplicationContext rootContext =
				WebApplicationContextUtils.getWebApplicationContext(getServletContext());
		WebApplicationContext wac = null;

		if (this.webApplicationContext != null) {
			wac = this.webApplicationContext;
			if (wac instanceof ConfigurableWebApplicationContext) {
				ConfigurableWebApplicationContext cwac = (ConfigurableWebApplicationContext) wac;
				if (!cwac.isActive()) {
					if (cwac.getParent() == null) {
						cwac.setParent(rootContext);                                                                                    
					}
 					configureAndRefreshWebApplicationContext(cwac);
				}
			}
		}
		return wac;
	}

       rootContext 就是Spring的Bean容器,而cawc就是Spring MVC的Bean 容器。在我们查找Bean的时候子容器是可以查到到父容器中的Bean的,但是反过来就不行了。一般我们配置的时候都喜欢把Service等其他的Bean配置到Spring配置文件中,而把Controller配置到Spring MVC的配置文件中,那么这就就会产生一个问题,Spring MVC中的Controller Bean对Spring中的Bean 是不可见的,也就是说我们把AOP配置在Spring配置文件中,在运行的时候它是找不到我们的Contrller的。所以就会产生AOP配置不起作用的现象。解决方案:将Controller的Bean配置与Spring AOP的配置放在同一个配置文件中。

给糖吃的小骗子
关注
  • 6
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
AOP实现一个拦截转发——简单配置和应用
明天和意外哪个先到,其实这不重要
03-17 1257
大概情况是这样的,两个项目,有相同的rest接口,本来请求走的是一个项目,后来要迁移到另一个项目,但是不能一次性全部切换,所以需要在原有的项目入口处进行拦截,判断这个请求是继续走老的项目,还是去请求新的项目。本来是打算用拦截器的,但是拦截器的返回类型是Boolean类型,我的接口是下单请求,需要有返回值的,所以切换aop aop有两种实现方式,一种是xml配置,一种是注解,我使用的是注解的形式 ...
spring aop 拦截业务方法,实现权限控制示例
08-31
主要介绍了spring aop 拦截业务方法,实现权限控制示例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
使用SpringAOP切面实现对controller的拦截,并对url,参数和返回值记录
热门推荐
卡式优雅的博客
11-14 3万+
做这个功能之前 先讲一下AOP的环绕通知,因为这个功能我之前也想用springMVC的拦截实现AOP的环绕通知、切面的优先级以及重用切入点定义一、环绕通知  环绕通知是所有通知类型中功能最为强大的, 能够全面地控制连接点. 甚至可以控制是否执行连接点.   对于环绕通知来说, 连接点的参数类型必须是 ProceedingJoinPoint . 它是 JoinPoint 的子接口, 允许控制何时执
Springboot统一功能处理
m0_64254651的博客
06-29 879
AOP拦截器应用
基于AOP实现权限控制,优化Java项目开发
weixin_54017930的博客
06-18 1273
本文所用的开发语言为Java,应用框架为Spring cloud/MyBatis-plus。示例中的代码为个人开发的缺陷跟踪系统代码片段。我们可以使用@Around上面代码中,我们首先引入了@Component注解和@Aspect注解,将这个类定义为一个切面。然后,在切面中,我们编写了一个方法,用于根据当前用户的权限等级进行权限校验。在方法中,我们通过解析切点的方法参数,找到其中的当前用户ID值,并依此获取到该用户的权限等级信息。之后,我们根据当前方法所定义的权限名称来进行具体的权限校验。
关于SpringAOP的几种拦截方式
silence的博客
08-12 9652
探讨一下spring拦截器中的数据库操作和事务管理。  大家知道spring中的事务管理是通过AOP代理来实现的,对被代理对象的每个方法进行拦截,在方法执行前启动事务,方法执行完后根据是否有异常和异常的种类进行提交或回滚。  如果要在方法执行前或后或抛出异常后加上一个自己的拦截器,或者一个环绕拦截器,在拦截器中执行一些操作,比如执行一些数据库操作,记录一些信息,这些操作通过调用一个服务类的
Spring Boot项目设置权限拦截器和过滤器
kungFuApe的博客
07-05 1798
过滤器和拦截器的简单介绍、区别和代码示例
Spring AOP实现功能权限校验功能的示例代码
08-28
本篇文章主要介绍了Spring AOP实现功能权限校验功能的示例代码,通过使用拦截器和AOP技术来实现未登录时跳转到登录界面的功能,以及在service层方法中抛异常来实现权限校验功能。 关于拦截器 在Spring MVC中,拦截...
spring boot如何使用spring AOP实现拦截
08-30
总结起来,Spring Boot结合Spring AOP实现拦截器,主要是通过定义切面类,声明拦截规则(切点),然后编写环绕通知,以在方法执行前后插入自定义的行为,如记录日志、检查权限等。这种做法可以有效地解耦业务逻辑和...
Java之Spring AOP 实现用户权限验证
08-31
在本文中,我们将重点探讨如何使用Spring AOP实现用户权限验证。 首先,权限验证是任何应用程序中不可或缺的一部分,尤其是涉及到用户登录和访问控制的场景。通过Spring AOP,我们可以将权限验证的逻辑与业务代码...
springboot spring aop 拦截器注解方式实现脱敏
02-13
Spring Boot应用中,Spring AOP(面向切面编程)是一种强大的工具,它允许我们创建横切关注点,如日志记录、权限检查等,这些关注点可以被编织到应用程序的多个点上,而无需侵入核心业务逻辑。在本案例中,我们将...
SpringBoot 利用自定义注解实现AOP拦截控制
Ulrich蚊子Blog
09-27 9818
SpringBoot 中,利用 AOP 实现拦截控制的方法有很多,个人觉得相对比较简洁、比较简单的方式是通过自定义注解实现拦截控制。这种实现方式只需要预先定义一个新的注解,并实现拦截控制的具体业务逻辑,当我们想要拦截某一个方法进行控制时,只需要在方法前加上该注解,通常不需要做过多的调整。在实际工程应用中,这种实现方式确实有效提升了开发效率。 AOP 的基本概念 AOP 是 Aspect-oriented Programming 的缩写,常译作”面向切面编程“,通俗理解就是在程序运行的链路中,从某一个横切
使用springaop进行权限拦截
赶路人儿
08-04 3442
一个SSI的项目(springmvc+mybatis),需要加上权限验证(非数据权限),考虑使用aop实现。大致思路是使用自定义注解,在需要权限控制的方法前(controller层)使用注解定义方法所需的权限,然后使用AOP拦截访问的方法,在执行目标对象前通过反射取得目标对象所需的权限,然后从当前session中取得登陆用户,遍历用户所拥有的权限,如果有权限则继续执行目标对象,如果没有权限则跳转
Spring AOP 实现功能权限校验功能
後雪寒的专栏
06-23 2万+
实现功能权限校验的功能有多种方法,其一使用拦截拦截请求,其二是使用AOP抛异常。 首先用拦截实现未登录时跳转到登录界面的功能。注意这里没有使用AOP切入,而是用拦截拦截,因为AOP一般切入的是service层方法,而拦截器是拦截控制器层的请求,它本身也是一个处理器,可以直接中断请求的传递并返回视图,而AOP则不可以。 1.使用拦截实现未登录时跳转到登录界面的功能 1.1 拦截...
Spring AOP的应用:权限拦截
xujiajun945的博客
11-23 559
Spring AOP应用之权限拦截 众所周知,Spring框架给我们java开发带来了极大的便利,几乎没有人不使用Spring,而Spring随着不断的发展功能也越来越壮大,这里我们谈一谈SpringAOP在实际项目中的应用 SpringAOP是基于动态代理实现的,默认使用的是jdk动态代理,这里不再详述动态代理的机制。 在web开发中,经常需要对用户的权限进行控制,常用的手段是RBAC,这里...
JUC个人学习笔记3---八锁现象
qq_42038061的博客
09-11 218
根据b站UP主狂神说JUC课程所写的个人学习笔记 视频地址:https://www.bilibili.com/video/BV1B7411L7tE?from=search&seid=14761503393031794075 //关于锁的8个问题 //1.标准情况下,两个线程先打印 发短信 还是打电话? //2.发短信延迟4s 两个线程先打印 发短信还是打电话 import java.util.concurrent.TimeUnit; public class Test1 { .
(二)Spring AOP实现-Spring AOP拦截器调用的实现
qq_22866497的博客
05-20 1845
1.Spring AOP通过JDK的Proxy方式或CGLIB方式生成代理对象的时候,相关的拦截器已经配置到代理对象中去了,拦截器在代理对象中起作用是通过对这些方法的回调来完成的。如果使用JDK的Proxy来生成代理对象,需要通过哦InvocationHandler来设计拦截器回调,如果用CGLIB生成代理对象,需要通过DynamicAdvisedInterceptor来完成回调。2.JdkDyn...
Filter,拦截器,aop拦截实现与区别
weixin_39168678的博客
07-10 1万+
Filter,拦截器,aop拦截实现与区别 效果 实现 1 Filter 直接实现Filter接口,重写拦截方法,再到@WebFilter注解上配置拦截规则即可实现 @Component @WebFilter(urlPatterns = { "/**" }, filterName = "tokenAuthorFilter") public class Configur...
spring aop 权限控制
最新发布
05-14
Spring AOP 中,可以使用 AOP 拦截器来实现权限控制等功能权限控制是应用程序中常见的需求之一,它可以帮助我们限制用户对系统的访问权限。在 Spring AOP 中,我们可以使用 AOP 拦截器来拦截某些方法的调用,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值