Springboot实现注解判断权限
今天记录一下使用springboot的注解来给方法加权限
避免了每个方法都需要大量的权限判断 超级好用√
@
目录1.创建权限注解
首先我们先创建一个注解类
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AuthCheck {
/**
* 测试注解类
* mustRole : 方法使用需要的权限
* @return
*/
String mustRole() default "";
}
其中@Target(ElementType.METHOD)
注解表示该注解是使用在方法上的
@Retention(RetentionPolicy.RUNTIME)
定义了该注解的生命周期(我也是刚补完这块知识)
2.定义一个权限的枚举类
接下来我们创建一个角色权限的枚举类
public enum UserRoleEnum {
USER("用户", "user"),
ADMIN("管理员", "admin"),
BAN("被封号", "ban");
private final String text;
private final String value;
UserRoleEnum(String text, String value) {
this.text = text;
this.value = value;
}
/**
* 根据 value 获取枚举
*/
public static UserRoleEnum getEnumByValue(String value) {
if (ObjectUtils.isEmpty(value)) {
return null;
}
for (UserRoleEnum anEnum : UserRoleEnum.values()) {
if (anEnum.value.equals(value)) {
return anEnum;
}
}
return null;
}
public String getValue() {
return value;
}
public String getText() {
return text;
}
}
3.创建拦截器AOP校验权限
定义一个拦截器
@Aspect
@Component
public class AuthInterceptor {
@Resource
private UserService userService;
/**
* 执行拦截
*
* @param joinPoint
* @param authCheck
* @return
*/
@Around("@annotation(authCheck)")
public Object doInterceptor(ProceedingJoinPoint joinPoint, AuthCheck authCheck) throws Throwable {
String mustRole = authCheck.mustRole();
RequestAttributes requestAttributes = RequestContextHolder.currentRequestAttributes();
HttpServletRequest request = ((ServletRequestAttributes) requestAttributes).getRequest();
// 获取当前用户的信息
User loginUser = userService.getLoginUser(request);
// 必须有该权限才通过
if (StringUtils.isNotBlank(mustRole)) {
UserRoleEnum mustUserRoleEnum = UserRoleEnum.getEnumByValue(mustRole);
if (mustUserRoleEnum == null) {
throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
}
String userRole = loginUser.getUserRole();
// 如果被封号,直接拒绝
if (UserRoleEnum.BAN.equals(mustUserRoleEnum)) {
throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
}
// 必须有管理员权限
if (UserRoleEnum.ADMIN.equals(mustUserRoleEnum)) {
if (!mustRole.equals(userRole)) {
throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
}
}
}
// 通过权限校验,放行
return joinPoint.proceed();
}
}
其中常见的AOP注解:
- @Aspect注解是把当前类标识为一个切面
- @Pointcut 植入Advice(通知)的触发条件。
poincut表达式介绍
拦截内容输入规范(pointcut表达式)
execute等
示例:@Around("execution(* com.springboot.controller..(..))")
- execution(): 表达式主体
- 第一个号:表示返回类型,号表示所有的类型
- 包名:表示需要拦截的包名,后面的两个句点表示当前包和当前包的所有子包,com.example.lx包、子孙包
- 第二个号:表示类名,号表示所有的类。
- (..):第三个号表示方法名,*号表示所有的方法,(..)表示方法参数,两个句点表示任何参数
五种增强注解
- @Before 前置增强,相当于BeforeAdvice,目标方法执行前执行
- @After final增强,不管是抛出异常或者正常退出都会执行
- @AfterReturning 后置增强,相当于AfterReturningAdvice,方法正常退出时执行
- @AfterThrowing 异常抛出增强,相当于ThrowsAdvice,目标方法抛出异常后执行
- @Around 环绕增强,相当于MethodInterceptor
注意:1、前四种增强修饰的方法可以通过声明JoinPoint 类型参数变量获取目标方法的信息(方法名、参数列表等信息);@Around修饰的方法必须声明ProceedingJoinPoint类型的参数,该变量可以决定是否执行目标方法,jp.proceed()表示执行目标方法
2、前四种增强修饰的方法没有返回值(即为void);而@Around修饰的方法必须有返回值,返回值为目标方法的返回值;
4.使用注解
最后在我们Controller层的方法上使用注解就可以进行权限的校验啦
@PostMapping("/add")
@AuthCheck(mustRole = UserConstant.ADMIN_ROLE)
public void addUser() {
//一大堆逻辑
}
上面就已经设置成只有管理员才能添加用户了
大功告成√