如何⽤SpringAOP和Java⾃定义注解实现登陆鉴权
使⽤场景介绍
研⼆刚开始,帮学校体育部做⼀个管理系统,当时直接⽤SSM框架花了不到⼀周完成了设计加编码。这个系统体量不⼤,因此在权限校验
⽅⾯也没使⽤主流的Shiro或者Spring security,为了省事直接在controller层硬编码写了登陆判断和权限校验,造成了⼤量的冗余代码。
最近看了下代码,实在受不了这么多重复代码了,就基于AOP和⾃定义注解重新写了权限校验,完成后controller层功能没变,但是代码减
少了75%,让⼈⼀⽬了然。
ps:接下来有些我的思考过程,不感兴趣的可以直接跳到具体实现部分。
未使⽤AOP之前
每个请求经过controller层我都要做以下⼏步判断:
1. 根据session信息判断⽤户是否登陆,未登录的话返回前端请登录
2. 若⽤户已经登陆,根据请求的接⼝判断当前⽤户是否有权限
3. 如果当前⽤户没⽤权限,则返回前端权限不够
4. 当前⽤户拥有权限则执⾏service层⽅法
例如根据不同的条件查询某个学⽣,只有管理员或者教师有此权限,我就得写这么多:
@GetMapping("/select_student")
@ResponseBody
public ServerResponse<List<StudentDTO>> selectStudent(String excutiveClass, String teachClass, String year, String studentId, String studentName,        User user = (User) Attribute("user");
if (user==null){
ateByErrorMessage("请先登陆");
}
if (CheckRole.isStudent(user)) {
ateByErrorMessage("学⽣⽤户没有此权限!");
}
return iStudentService.selectStudent(excutiveClass, teachClass, year, studentId, studentName, studentCollege);
}
每个请求都会经历上述步骤,造成了⼤量代码重复,这是我们⽆法容忍的!很明显这段代码只有最后⼀⾏是具体的业务代码,其他的都是⾮
业务性的功能,我们需要消灭他们。
解决思路
为了解决这种现象,刚开始打算使⽤过滤器或者实现登陆判断,虽然这样完全可以实现,但是这个已经⽤的太多次了,就打算直接⽤
AOP实现得了(其实过滤器和都是AOP的思想体现)。
分析具体业务
在开始编码之前思考我需要做什么:
1. 登陆校验
2. 权限判断
分析如何实现
考虑到具体的需求,本⾝这个系统的权限并不是特别复杂,本⾝⽤户⾓⾊只有:学⽣、教师、管理员这三个,⽽且⾓⾊与权限之间基本⼀⼀
对应,因此不需要细粒度的权限校验,只需要实现粗粒度的权限校验即可。
这⾥粗粒度是说接⼝的权限和⽤户的⾓⾊⼀⼀对应,⽤户对于某个接⼝的操作只有两种可能情况:有权限或者⽆权限。不是像shiro那样不同⾓⾊细粒度的对增删改查都有不同的权限。
分析了系统对权限的粗粒度需求后,我打算使⽤⾃定义注解来实现,根据是否有⾃定义注解来判断是否
需要相应的⾓⾊。⼤概思路就是: 请求过来进⼊controller后使⽤AOP拦截,然后先根据请求中的session信息判断⽤户是否登陆,接着根据请求的⽅法上的注解判断⽤户是否有权限操作。
具体实现
⾃定义注解:Login、Teacher、Admin、Student
import java.lang.annotation.*;
/**
* @author lihang
* @date 2017/12/16.
* @description⽤于判断是否需要登陆(有该注解则需要登陆,因此登陆请求不能加该注解,否则就“死循环”了)
*/
// 本注解只能⽤在⽅法上
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface Login {
}
其他的Teacher、Admin、Student注解和Login类似。由于是基于粗粒度的判断,因此注解可以不⽤任何默认值,我们仅仅根据有/没有注解来判断有/没有权限
AOP拦截请求
/**
* @author lihang
* @date 2017/12/16.
* @description使⽤aop实现登陆/鉴权
*/
@Aspect
@Component
public class AuthHandle {
private static final String NEED_LOGIN = "请先登录";
private static final String TEACHER_AND_ADMIN = "只有教师或管理员有权操作!";
private static final String NEED_ADMIN = "只有管理员有权操作!";
@Pointcut(value = "execution(public * team.ller..*.*(..))")
public void start(){
}
@Around("start()")
public ServerResponse access(ProceedingJoinPoint joinPoint){
User user = getUser();
MethodSignature joinPointObject = (MethodSignature) Signature();
//获得请求的⽅法
Method method = Method();
//判断是否需要登陆(含有Login注解)
if (hasAnnotationOnMethod(method,Login.class)){
if (user == null){
//⽤户未登录
ateByErrorMessage(NEED_LOGIN);
}
}
//判断是否需要教师权限(含有Teacher注解)
if (hasAnnotationOnMethod(method,TTeacher.class)){
//只有教师和管理员可以操作
if (!(Role() == UserRoleConstant.TTEACHER||Role() == UserRoleConstant.ADMIN)){
ateByErrorMessage(TEACHER_AND_ADMIN);
}
}
}
//判断是否需要管理员权限(含有Admin注解)
if (hasAnnotationOnMethod(method,Admin.class)){
/
/只有管理员能操作
if (Role() != UserRoleConstant.ADMIN){
ateByErrorMessage(NEED_ADMIN);
}
}
ServerResponse obj = null;
try {
obj = (ServerResponse) joinPoint.proceed();
} catch (Throwable throwable) {
throwable.printStackTrace();
}
return obj;
}
/**
* 从session中获取当前⽤户
* @return
*/
private User getUser(){
RequestAttributes requestAttributes = RequestAttributes();
ServletRequestAttributes servletRequestAttributes = (ServletRequestAttributes) requestAttributes;
HttpServletRequest request = Request();
HttpSession session = Session();
User user = (User) Attribute("user");
return user;
}
/**
* 判断某⽅法上是否含有某注解
* @param method
* @param annotationClazz
* @return
*/
private boolean hasAnnotationOnMethod(Method method,Class annotationClazz){
//使⽤反射获取注解信息
Annotation a = Annotation(annotationClazz);
if (a == null){
return false;
}
return true;
}
}
@Aspect注解表明该类是⼀个AOP的实现,使⽤需要引⼊相关maven依赖:
<!--aop-->
<dependency>
<groupId>org.aspectj</groupId>
ssm框架实现登录功能
<artifactId>aspectjrt</artifactId>
<version>1.8.9</version>
</dependency>
<dependency>
<groupId>org.aspectj</groupId>
<artifactId>aspectjweaver</artifactId>
<version>1.8.9</version>
</dependency>
这⾥我拦截所有的Controller层的请求,根据session中的信息判断⽤户是否登陆,返回我⾃定义的⼀个ServerResponse对象(这个ServerResponse没什么特别,只是⼀个封装的返回对象,可以根据具体需要⾃⼰编写返回类型),然后通过读取⽅法上的注解信息判断该接⼝需要的权限,不满⾜的返回提⽰信息,只有满⾜条件的才会继续执⾏,最终返回执⾏完的结果。
使⽤AOP之后
只需要在controller⽅法加上相应的注解即可,代码减少了75%以上:
@GetMapping("/select_student")
@ResponseBody
@Login
@Teacher
public ServerResponse<List<StudentDTO>> selectStudent(String excutiveClass, String teachClass, String year, String studentId, String studentName,        return iStudentService.selectStudent(excutiveClass, teachClass, year, studentId, studentName, studentCollege);
}
写在后⾯
经过上述操作,代码简洁很多!如果想实现更细粒度的权限校验,就需要给注解编写相应的属性值,利⽤反射读取值做进⼀步判断。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。