如何利用AOP实现权限校验

背景

最近在写项目的时候因为前期需求没有说要建立权限系统,用户与角色,角色与权限之间互相绑定,但是到项目中后期,突然提出要分权,这时候如果推到重来的话就很麻烦,如何重新对数据库的表进行设计,相关代码也要重新编写,于是想到使用AOP直接对用户权限进行校验。 笔者是一名大三学生,代码出现问题还请各位指正,笔者不胜感激。

确定切面

首先我们要进行权限验证的接口一定是很多的,如果直接硬编码去实现的话代码的复用性不高且后期难以维护,所以在每次进接口之前先进行权限验证似乎是一个非常好的方式。

编写权限注解

Java 复制代码
@Documented
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface PermissionAnnotation {

}

注解的作用就是帮助我们确定到底哪一个方法需要进行权限验证。

定义切面

java 复制代码
@Aspect
@Component
@Order(1)
public class PermissionFirstAdvice {

    // 定义一个切面,括号内写入前面自定义注解的路径
    @Pointcut("@annotation(com.mu.demo.annotation.PermissionAnnotation)")
    private void permissionCheck() {
    }

    @Around("permissionCheck()")
    public Object permissionCheckFirst(ProceedingJoinPoint joinPoint) throws Throwable {
        log.info("---进入aopAround通知---");
        //因为在登录之后会将用户信息存入缓存当中
        //从缓存中获取登录者信息
        Optional<SysUser> userOptional = Optional.ofNullable(LoginHelper.getLoginUser());
        if(userIdOptional.isPresent()) {
            SysUser sysUser = userOptional.get();
            //获取角色id
            List<Long> roleIds = sysUser.getRoleIds();
            Set<String> powerStringSet = new HashSet<>();
            for (Long roleId : roleIds) {
                //获取角色所对应的权限字符串
                //权限字符串和访问路径相同,例如查询权限:user::listPage,删除权限:user::delete等等...
                //这里可以优化为直接从缓存当中获取,可以节省很多时间个资源
                List<String> powerString = sysRoleService.getPowerString(roleId);

                //因为权限字符串可能重复,所以用Set集合保存起来
                powerStringSet.addAll(powerString);
            }

            //获取请求的url
            String url = request.getRequestURI();
            log.info("===开始进行权限校验===");
            if (!powerStringSet.contains(url)) {
                return ResultJson.error("权限不足");
            }

            return joinPoint.proceed();
        }else {
            return ResultJson.error("用户未登录");
        }
    }
}

到此以一个简单的权限校验逻辑就写好了。

相关推荐
程序员爱钓鱼1 小时前
Go语言实战案例 — 项目实战篇:简易博客系统(支持评论)
前端·后端·go
追逐时光者8 小时前
精选 4 款基于 .NET 开源、功能强大的 Windows 系统优化工具
后端·.net
TF男孩8 小时前
ARQ:一款低成本的消息队列,实现每秒万级吞吐
后端·python·消息队列
AAA修煤气灶刘哥10 小时前
别让Redis「歪脖子」!一次搞定数据倾斜与请求倾斜的捉妖记
redis·分布式·后端
AAA修煤气灶刘哥10 小时前
后端人速藏!数据库PD建模避坑指南
数据库·后端·mysql
你的人类朋友10 小时前
什么是API签名?
前端·后端·安全
昵称为空C12 小时前
SpringBoot3 http接口调用新方式RestClient + @HttpExchange像使用Feign一样调用
spring boot·后端
架构师沉默12 小时前
设计多租户 SaaS 系统,如何做到数据隔离 & 资源配额?
java·后端·架构
RoyLin13 小时前
TypeScript设计模式:适配器模式
前端·后端·node.js
该用户已不存在13 小时前
Mojo vs Python vs Rust: 2025年搞AI,该学哪个?
后端·python·rust