优雅实现接口权限校验控制:基于自定义注解、AOP与@ConditionalOnProperty配置开关的通用解决方案

在工作项目实战开发中,用户请求API接口的时候我们会用到一个叫做权限控制的东西,我们并不希望所有用户都能访问某个接口或者网页。这个时候需要做权限控制,指定用户的角色,看这个角色是否有访问权限,然后决定其是否有访问接口网站的权限。

网上有很多这种解决方案,用于这种场景,这些方案都离不开以下技术选型:

  • 自定义注解
  • AOP

本文要解决的就是,用一个简单优雅的案例讲解这种方案,并且会在方案中加入一个控制权限功能的开关!改进这种方案!本文是我在工作项目中遇到的一种情况,这个功能开发完了,所以打算分享一下自己改进这种技术方案的做法,欢迎大家指正!

自定义注解

自定义注解的目的就是是用我们自己的注解去约束你是否有访问某个函数接口的权限,比如下面自己定义的注解 HasRole

java 复制代码
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface HasRole {
    String key();
}

当我在某个函数API上面放上注解,这个函数的访问就被我们加了权限。

AOP面向切面编程

谈到AOP,我曾经写过一篇博客总结过关于AOP的知识。大家可以看我的这篇博客 《AOP面向切面编程》

我们会将一些业务放到切面类的前置通知里,当用户访问服务的时候,会先执行前置通知里的业务,这个业务其实就是一个用户身份的校验判断与提示。

比如,当我们在接口请求测试的时候会出现如下响应:

这个判断与提示其实就是在前置通知里完成的。

在AOP里,我的业务逻辑是这么写的:

java 复制代码
/**
 * @Description:
 * @return:
 * @Author: codelinghu
 * @Date: 2024/3/27
 */
@Component
@Aspect
@ConditionalOnProperty(prefix = "permission_switch", name = "enable", havingValue = "true")
public class AopConfig {

    //定义一个切点(通过注解)
    @Pointcut("@annotation(com.tongda.tdjobcard.config.annotation.HasPermission))")
    public void pointcut(){}

    private final Map<String, BaseXClient> connectMap;

    public AopConfig(Map<String, BaseXClient> connectMap) {
        this.connectMap = connectMap;
    }

    //前置通知,判断权限
    @Before("pointcut()")
    public void before(JoinPoint joinPoint){

        //获取到HttpServletRequest,ThreadLocal
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes servletRequestAttributes = (ServletRequestAttributes) requestAttributes;
        HttpServletRequest request = servletRequestAttributes.getRequest();

        //获取用户请求的userID
        String userid = request.getHeader("userID");

        //获取当前请求的方法上的注解HasPermission中设置的角色
        MethodSignature signature = (MethodSignature)joinPoint.getSignature();
//        System.out.println("key="+signature.getName());

        BaseXClient client = connectMap.get("adminUser");
        if (client == null) {
            throw new BusinessException(ResultVoEnum.ACCOUNT_ERROR, null);
        }
        String s= PermissionDao.hasPermission(client, TdCalcConfig.DEFAULT_DBNAME,userid,signature.getName());

        //开始判断true or false
        // true放行,false拦住抛出异常
        if (!"true".equals(s)){
            throw new BusinessException(ResultVoEnum.NO_PERMISSION, null);
        }

    }

   
    }
}

其实到这里,我的功能已经实现了,接下来就是加一个配置文件的开关就行了~

@ConditionalOnProperty配置文件开关

说一下这个@ConditionalOnProperty注解哈,这个注解就是开启上面自定义注解的一个开关,在配置文件里进行开启或关闭。

如果我设置enable为false,那么我的自定义注解就会失效,下面的代码就不会被执行:

java 复制代码
@ConditionalOnProperty(prefix = "permission_switch", name = "enable", havingValue = "true")

参考文献

相关推荐
无限的鲜花7 小时前
反射(原创推荐)
java·开发语言
IT二叔8 小时前
Java项目部署-03-teamcity-cicd-docker镜像流水线方式部署
java·ci/cd·持续部署
一路向北he8 小时前
字节钢铁军团--“提供情境,而非控制”
java·开发语言·前端
码事漫谈8 小时前
别写Prompt了,现在流行给AI“写循环”
后端
超级数据查看器8 小时前
超级数据查看器 v10.0 发布
java·大数据·数据库·sqlite·安卓
Kyrie_Li9 小时前
Spring Boot Kafka 生产级配置全解析:从入门到精通
spring boot·后端·kafka
Coder_Shenshen10 小时前
西门子S7CommPlus协议鉴权算法原理与流程详解
网络·后端·算法
折哥的程序人生 · 物流技术专研10 小时前
《Java 100 天进阶之路》第50篇:阻塞队列与并发容器(2026版)
java·面试题·java进阶·blockingqueue·并发容器·集合源码·java100天进阶
ai_coder_ai10 小时前
编写自动化脚本,在自己后端服务中使用Open Api进行设备相关操作
java·运维·自动化
yuhaiqiang10 小时前
随手 vibecoding 的浏览器插件已经 6000 多次下载,聊聊他的产品设计
前端·后端·面试