背景
在现代Web应用开发中,通常需要记录数据库操作的用户信息,以便于审计和跟踪。传统的方法是通过前端在每次请求时携带用户信息,但这样做存在几个问题:
- 效率低:前端需要在每个请求中重复发送相同的用户信息。
- 安全性差:信息容易被篡改,因为前端是不受信任的环境。
- 维护困难:随着系统的扩展,维护这种信息传递方式变得越来越复杂。
为了解决这些问题,可以采用**AOP(面向切面编程)**技术,通过无侵入的方式自动注入用户信息。
源码分享
spring-boot-demo.zip官方版下载丨最新版下载丨绿色版下载丨APP下载-123云盘
AOP技术简介
AOP是一种编程范式,它允许程序员将横切关注点(如日志记录、权限检查、事务管理等)与业务逻辑分离。在Java中,AOP通常是通过代理模式实现的,可以在不修改源代码的情况下,为方法调用添加额外的行为。
实现思路
- JWT创建令牌:使用JWT创建Token,并且在私有声明中存储用户的id。编写从Token中解析用户id的方法。
- 定义注解:@InjectUser、@UserId、@UserInfo
- 编写切面类:通过@InjectUser注解拦截,并且在方法执行前注入用户信息。
- 测试使用:请求只携带Token不携带参数,看下是否能正确输出用户信息
JWT创建令牌
具体实现请看这篇文章:Jwt介绍和使用-CSDN博客
定义注解
@InjectUser 用于标记需要注入用户信息的方法
/**
* 标记需要注入用户信息的方法
*
* @author WangWenXin
*/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface InjectUser {
}
@UserId 用于标记标记需要注入用户Id的形参
/**
* 自动注入用户Id标识
*
* @author WangWenXin
*/
@Target({ElementType.PARAMETER})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface UserId {
}@UserInfo 用于标记需要注入用户信息的形参
/**
* 自动注入用户信息标识
*
* @author WangWenXin
*/
@Target({ElementType.PARAMETER})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface UserInfo {
}切面类
/**
* 自动注入用户信息切面
*
* @author WangWenXin
*/
@Aspect
@Component
public class AutoInjectUserInfoAspect {
private TokenService tokenService;
private IUserService userService;
@Autowired
public void setTokenService(TokenService tokenService) {
this.tokenService = tokenService;
}
@Autowired
public void setUserService(IUserService userService) {
this.userService = userService;
}
@Around("@annotation(org.example.demo.annotation.InjectUser)")
// @Around("execution(* org.example.demo.controller.*.*(..))")
private Object aroundAdvice(ProceedingJoinPoint point) throws Throwable {
// 获取方法签名
final MethodSignature signature = (MethodSignature) point.getSignature();
// 获取Method对象
final Method method = signature.getMethod();
// 获取方法参数的注解
Annotation[][] parameterAnnotations = method.getParameterAnnotations();
// 获取方法的参数
final Parameter[] parameters = method.getParameters();
// 获取方法的参数的值
Object[] args = point.getArgs();
for (int i = 0; i < parameterAnnotations.length; i++) {
for (Annotation annotation : parameterAnnotations[i]) {
if (annotation instanceof UserId) {
if (parameters[i].getType() == Long.class || parameters[i].getType() == long.class) {
args[i] = getUserId();
} else {
throw new IllegalArgumentException("携带 @UserId 的参数必须为 Long 类型");
}
break;
} else if (annotation instanceof UserInfo) {
if (parameters[i].getType() == User.class) {
args[i] = getUserInfo();
} else {
throw new IllegalArgumentException("携带 @UserInfo 的参数必须为 User 类型");
}
break;
}
}
}
return point.proceed(args);
}
/**
* 解析token获取用户id
*
* @return 用户id
*/
private Long getUserId() {
return tokenService.getUserId();
}
/**
* 获取用户信息
*
* @return 用户信息
*/
private User getUserInfo() {
final Long userId = getUserId();
return userService.getById(userId);
}
}method.getParameterAnnotations()获取注解方法形参的注解的格式是这样的,所以需要双重循环拿到每一个形参的注解,在进行判断。
[
[ // 第一个参数的注解数组
@UserId()
],
[ // 第二个参数的注解数组
@UserInfo()
]
]
为什么使用注解作为切点而不是将整个Controller下的方法作为切点?
灵活性:通过注解,可以精确控制哪些方法需要用户信息注入。这样,只有标记了特定注解的方法才会被切面逻辑处理,而不是所有的方法。
性能:如果不使用注解,切面可能会拦截Controller中的所有方法,然后检查是否需要注入用户信息。这会增加不必要的性能开销,因为许多方法可能根本不需要用户信息。
重用性:注解可以被重用,可以在不同的项目中使用相同的注解来实现相同的功能,而不需要重写切面逻辑。
解耦:将用户信息注入的逻辑与业务逻辑分离,有助于保持代码的解耦,使得业务逻辑更加专注于业务本身。
这里省略了数据库查询的逻辑,就是一个简单的根据id查询数据
功能测试
在方法上使使用@InjectUser注解标志方法需要拦截注入用户信息
在方法形参前使用@UserId注解标记,该形参注入的是用户id信息
在方法形参前使用@UserInfo注解标记,该形参注入的是用户信息
@InjectUser
public void test(@UserId Long userId, @UserInfo User user) {
System.out.println(userId);
System.out.println(user);
}