• 基于Spring Aop实现类似shiro的简单权限校验功能


    在我们的web开发过程中,经常需要用到功能权限校验,验证用户是否有某个角色或者权限,目前有很多框架,如Shiro

    Shiro有基于自定义登录界面的版本,也有基于CAS登录的版本,目前我们的系统是基于CAS单点登录,各个公司的单点登录机制略有差异,和Shiro CAS的标准单点登录校验方式也自然略有不同。

    在尝试将自定义登录的普通版Shiro改造失败后,在系统登录、校验角色、权限我认为相对简单后,觉得模仿Shiro自己实现一个权限校验小框架,说是框架,其实就是一个aop advisor,几个注解(Shiro不就是这个功能吗)

    RequiresRoles和RequiresPermissions相似,不截图了

    接下来是实现aop拦截功能了,先来说下注解的用法,和Shiro的注解一样,都是放在class或者method上

    上述配置的意思是需要角色user和admin,需要权限home:*,上面仅是一个例子,实际业务中的角色已经确定有哪些权限了。

     以下是aop拦截方式

    /**
     * 权限校验advisor,负责对RequiresRoles、RequiresPermissions标记的controller进行权限校验
     * 他执行的时机是interceptor之后、方法执行之前
     * Created by Administrator on 2015/2/9.
     */
    @Aspect
    @Component
    public class AuthExecuteAdvisor implements PointcutAdvisor, Pointcut {
    
        private static final Logger logger = LoggerFactory.getLogger(AuthExecuteAdvisor.class);
    
        @Autowired
        private UserService userService;
    
        /**
         * 生成一个始终匹配class的Filter对象,任何类都可以通过这个过滤器
         */
        private static final ClassFilter TrueClassFilter = new ClassFilter() {
            @Override
            public boolean matches(Class<?> clazz) {
                return true;
            }
        };
    
        /**
         * 生成根据特定注解进行过滤的方法匹配器
         * 如果class上有注解、或方法上有注解、或接口方法上有注解,都能通过
         */
        private MethodMatcher annotationMethodMatcher = new StaticMethodMatcher() {
            @Override
            public boolean matches(Method method, Class<?> targetClass) {
    
                if (targetClass.isAnnotationPresent(RequiresRoles.class) || targetClass.isAnnotationPresent(RequiresPermissions.class)) {
                    return true;
                }
    
                if (method.isAnnotationPresent(RequiresRoles.class) || method.isAnnotationPresent(RequiresPermissions.class)) {
                    return true;
                }
                // The method may be on an interface, so let's check on the target class as well.
                Method specificMethod = AopUtils.getMostSpecificMethod(method, targetClass);
    
    
                return (specificMethod != method && (specificMethod.isAnnotationPresent(RequiresRoles.class)
                        || specificMethod.isAnnotationPresent(RequiresPermissions.class)));
            }
    
        };
    
        @Override
        public ClassFilter getClassFilter() {
            //只执行注解的类
            return TrueClassFilter;
        }
    
        @Override
        public MethodMatcher getMethodMatcher() {
            return annotationMethodMatcher;
        }
    
        /**
         * 当前对象就是切面对象,根据classFilter、MethodFilter定义执行范围
         *
         * @return
         */
        @Override
        public Pointcut getPointcut() {
            return this;
        }
    
        /**
         * 切面对应的处理策略
         *
         * @return
         */
        @Override
        public Advice getAdvice() {
            //这个MethodInterceptor相当于MethodBeforeAdvice
            return new MethodInterceptor() {
                @Override
                public Object invoke(MethodInvocation invocation) throws Throwable {
    
                    LoginContext loginContext = ActionContext.getLoginContext();
                    if (loginContext == null) {
                        throw new AuthFailException("校验用户权限失败,用户未登录");
                    }
    
                    // TODO: 2017/11/21 管理员全权限
                    if (loginContext.getUserType().equals(0)) {
                        return invocation.proceed();
                    }
    
                    Set<String> alreadyRoles = new HashSet<>(userService.getRolesByUserId(loginContext.getUserId()));
                    Set<String> alreadyPermissions = new HashSet<>(userService.getPermissionByUserId(loginContext.getUserId()));
    
                    List<String> requireRole = getRequiredRole(invocation);
                    List<String> requirePermission = getRequiredPermission(invocation);
    
                    if (!CollectionUtils.isEmpty(requireRole) && !alreadyRoles.containsAll(requireRole)) {
                        //role权限不足
                        logger.error("校验用户权限失败,role角色不足");
    
                        throw new AuthFailException("校验用户权限失败,role角色不足");
                    }
    
                    if (!CollectionUtils.isEmpty(requirePermission) && !alreadyPermissions.containsAll(requirePermission)) {
                        //permission不足
                        logger.error("校验用户权限失败,permission权限不足");
                        throw new AuthFailException("校验用户权限失败,权限不足");
                    }
    
                    return invocation.proceed();
                }
    
    
            };
        }
    
        /**
         * 获取方法需要的角色
         *
         * @param invocation
         * @return
         */
        private List<String> getRequiredRole(MethodInvocation invocation) {
            List<String> requiredRoles = new ArrayList<>();
            Class<?> clazz = invocation.getThis().getClass();
    
            if (clazz.isAnnotationPresent(RequiresRoles.class)) {
                Collections.addAll(requiredRoles, clazz.getAnnotation(RequiresRoles.class).value());
            }
    
            if (invocation.getMethod().isAnnotationPresent(RequiresRoles.class)) {
                Collections.addAll(requiredRoles, invocation.getMethod().getAnnotation(RequiresRoles.class).value());
            }
    
            return requiredRoles;
        }
    
        /**
         * 获取方法需要的权限
         *
         * @param invocation
         * @return
         */
        private List<String> getRequiredPermission(MethodInvocation invocation) {
            List<String> requirePermission = new ArrayList<>();
            Class<?> clazz = invocation.getThis().getClass();
    
            if (clazz.isAnnotationPresent(RequiresPermissions.class)) {
                Collections.addAll(requirePermission, clazz.getAnnotation(RequiresPermissions.class).value());
            }
    
            if (invocation.getMethod().isAnnotationPresent(RequiresPermissions.class)) {
                Collections.addAll(requirePermission, invocation.getMethod().getAnnotation(RequiresPermissions.class).value());
            }
    
            return requirePermission;
        }
    
    
        /**
         * 每个切面的通知一个实例,或可分享的实例
         * 此处使用分享的实例即可,分享的实例在内存中只会创建一个Advice对象
         *
         * @return
         */
        @Override
        public boolean isPerInstance() {
            return false;
        }
    }
    

      

    此处主要有以下几个关键点:

        

    当前类既是一个切入点Pointcut(一群方法),也是一个通知持有者Advisor
    
    Pointcut接口通过ClassFilter、MethodMatcher锁定哪些方法会用到Advisor
    
    Advisor接口通过getAdvice获取Pointcut需要进行的拦截操作
    

     

    ClassFilter是一个始终返回True的类过滤器,因为我们拦截执行的最小单位是method,所以即使class上没有注解,也要让他通过拦截
    MethodMatcher则会判断method所在的class是否有注解,如果没有,则判断method是否有注解,二者满足其一就能通过校验
    
    Advice的具体拦截过程为:
    获取登录上下文
    获取当前method需要的权限和角色(这里实际可以再优化,因为method可能只需要Role或Permission其中一种权限)
    判断当前用户是否具有这些权限
    

      

     

    开启spring的aop功能,权限拦截开始生效

     
  • 相关阅读:
    RabbitMQ In JAVA 介绍及使用
    JSON Web Token 入门教程
    char* 与 char[] 的区别
    C++ namespace的用法
    启动其他APK的Activity方法 (转至http://www.cnblogs.com/lijunamneg/archive/2013/02/26/2934060.html)
    Android多任务切换与Activity启动模式SingleTask之间关系的分析
    对SingleTask和TaskAffinity的理解(转至 http://www.2cto.com/kf/201311/254450.html)
    正在运行的android程序,按home键之后退回到桌面,在次点击程序图标避免再次重新启动程序解决办法
    大牛的博客
    Androidpn 简单实现及分析
  • 原文地址:https://www.cnblogs.com/windliu/p/8029666.html
Copyright © 2020-2023  润新知