优雅实现接口权限校验控制:基于自定义注解、AOP与@ConditionalOnProperty配置开关的通用解决方案

在工作项目实战开发中,用户请求API接口的时候我们会用到一个叫做权限控制的东西,我们并不希望所有用户都能访问某个接口或者网页。这个时候需要做权限控制,指定用户的角色,看这个角色是否有访问权限,然后决定其是否有访问接口网站的权限。

网上有很多这种解决方案,用于这种场景,这些方案都离不开以下技术选型:

  • 自定义注解
  • AOP

本文要解决的就是,用一个简单优雅的案例讲解这种方案,并且会在方案中加入一个控制权限功能的开关!改进这种方案!本文是我在工作项目中遇到的一种情况,这个功能开发完了,所以打算分享一下自己改进这种技术方案的做法,欢迎大家指正!

自定义注解

自定义注解的目的就是是用我们自己的注解去约束你是否有访问某个函数接口的权限,比如下面自己定义的注解 HasRole

java 复制代码
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface HasRole {
    String key();
}

当我在某个函数API上面放上注解,这个函数的访问就被我们加了权限。

AOP面向切面编程

谈到AOP,我曾经写过一篇博客总结过关于AOP的知识。大家可以看我的这篇博客 《AOP面向切面编程》

我们会将一些业务放到切面类的前置通知里,当用户访问服务的时候,会先执行前置通知里的业务,这个业务其实就是一个用户身份的校验判断与提示。

比如,当我们在接口请求测试的时候会出现如下响应:

这个判断与提示其实就是在前置通知里完成的。

在AOP里,我的业务逻辑是这么写的:

java 复制代码
/**
 * @Description:
 * @return:
 * @Author: codelinghu
 * @Date: 2024/3/27
 */
@Component
@Aspect
@ConditionalOnProperty(prefix = "permission_switch", name = "enable", havingValue = "true")
public class AopConfig {

    //定义一个切点(通过注解)
    @Pointcut("@annotation(com.tongda.tdjobcard.config.annotation.HasPermission))")
    public void pointcut(){}

    private final Map<String, BaseXClient> connectMap;

    public AopConfig(Map<String, BaseXClient> connectMap) {
        this.connectMap = connectMap;
    }

    //前置通知,判断权限
    @Before("pointcut()")
    public void before(JoinPoint joinPoint){

        //获取到HttpServletRequest,ThreadLocal
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes servletRequestAttributes = (ServletRequestAttributes) requestAttributes;
        HttpServletRequest request = servletRequestAttributes.getRequest();

        //获取用户请求的userID
        String userid = request.getHeader("userID");

        //获取当前请求的方法上的注解HasPermission中设置的角色
        MethodSignature signature = (MethodSignature)joinPoint.getSignature();
//        System.out.println("key="+signature.getName());

        BaseXClient client = connectMap.get("adminUser");
        if (client == null) {
            throw new BusinessException(ResultVoEnum.ACCOUNT_ERROR, null);
        }
        String s= PermissionDao.hasPermission(client, TdCalcConfig.DEFAULT_DBNAME,userid,signature.getName());

        //开始判断true or false
        // true放行,false拦住抛出异常
        if (!"true".equals(s)){
            throw new BusinessException(ResultVoEnum.NO_PERMISSION, null);
        }

    }

   
    }
}

其实到这里,我的功能已经实现了,接下来就是加一个配置文件的开关就行了~

@ConditionalOnProperty配置文件开关

说一下这个@ConditionalOnProperty注解哈,这个注解就是开启上面自定义注解的一个开关,在配置文件里进行开启或关闭。

如果我设置enable为false,那么我的自定义注解就会失效,下面的代码就不会被执行:

java 复制代码
@ConditionalOnProperty(prefix = "permission_switch", name = "enable", havingValue = "true")

参考文献

相关推荐
考虑考虑39 分钟前
JDK9中的dropWhile
java·后端·java ee
想躺平的咸鱼干1 小时前
Volatile解决指令重排和单例模式
java·开发语言·单例模式·线程·并发编程
hqxstudying1 小时前
java依赖注入方法
java·spring·log4j·ioc·依赖
·云扬·1 小时前
【Java源码阅读系列37】深度解读Java BufferedReader 源码
java·开发语言
martinzh2 小时前
Spring AI 项目介绍
后端
Bug退退退1232 小时前
RabbitMQ 高级特性之重试机制
java·分布式·spring·rabbitmq
小皮侠2 小时前
nginx的使用
java·运维·服务器·前端·git·nginx·github
前端付豪2 小时前
20、用 Python + API 打造终端天气预报工具(支持城市查询、天气图标、美化输出🧊
后端·python
爱学习的小学渣3 小时前
关系型数据库
后端
武子康3 小时前
大数据-33 HBase 整体架构 HMaster HRegion
大数据·后端·hbase