首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

SpringBoot 自定义注解实现的权限管理

科技   2024-11-01 08:12   河北  


前言

在现代软件开发中,权限管理是一项至关重要的功能。无论是Web应用还是移动应用,都需要对用户的操作进行严格的权限控制,以确保系统的安全性和数据的完整性。本文将介绍一种通过自定义注解和Spring Expression Language(SpEL)实现强大权限管理的方法。

在项目中,权限校验服务通常是一个独立的组件。传统的权限管理框架如Shiro或Spring Security虽然功能强大,但有时候可能过于复杂,不适合一些项目的需求。为了简化权限校验业务,本文采用Spring的AOP(面向切面编程),利用自定义注解和SpEL表达式,实现精细的权限控制。

二、自定义注解

首先,我们需要定义一个自定义注解,用于标记需要进行权限校验的方法或类。这个注解将包含SpEL表达式,用于在运行时进行权限校验。

import java.lang.annotation.*; 
  
@Target({ElementType.METHOD, ElementType.TYPE}) 
@Retention(RetentionPolicy.RUNTIME) 
@Documented  
public @interface Permission { 
    /** 
     * SPEL表达式 
     */  
    String value() default ""; 
  
    /** 
     * 权限码 
     */  
    String[] permissions() default {}; 
  
    /** 
     * 资源类型, 默认为区域资源 
     */  
    String resourceType() default "region"; 
}

三、切面

接下来,我们定义一个切面类,用于在方法执行前后进行权限校验。这个切面类将使用SpEL解析器解析注解中的表达式,并根据表达式的结果决定是否允许方法执行。

import org.aspectj.lang.JoinPoint; 
import org.aspectj.lang.ProceedingJoinPoint; 
import org.aspectj.lang.annotation.Around; 
import org.aspectj.lang.annotation.Aspect; 
import org.aspectj.lang.annotation.Before; 
import org.springframework.beans.factory.annotation.Autowired; 
import org.springframework.context.BeanFactory; 
import org.springframework.context.annotation.Bean; 
import org.springframework.context.annotation.Configuration; 
import org.springframework.core.ParameterNameDiscoverer; 
import org.springframework.expression.Expression; 
import org.springframework.expression.ExpressionParser; 
import org.springframework.expression.spel.standard.SpelExpressionParser; 
import org.springframework.expression.spel.support.StandardEvaluationContext; 
import org.springframework.stereotype.Component; 
  
import java.lang.reflect.Method; 
import java.util.HashMap; 
import java.util.Map; 
import java.util.concurrent.ConcurrentHashMap; 
  
@Aspect  
@Component  
public class PermissionAspect { 
      
    private final SpelExpressionParser parser = new SpelExpressionParser(); 
    private final ParameterNameDiscoverer parameterNameDiscoverer = new DefaultParameterNameDiscoverer(); 
      
    private final ConcurrentHashMap<Method, Expression> expressionMap = new ConcurrentHashMap<>(256); 
    private final Map<String, Method> methodMap = new HashMap<>(16); 
      
    private final BeanFactory beanFactory; 
    private final PermissionUtils permissionUtils; 
      
    @Autowired  
    public PermissionAspect(BeanFactory beanFactory, PermissionUtils permissionUtils) { 
        this.beanFactory = beanFactory; 
        this.permissionUtils = permissionUtils; 
          
        // 用于将用户自定义的静态方法注册到EL上下文,注意方法不能重载!
        Method[] methods = permissionUtils.getClass().getDeclaredMethods(); 
        for (Method method : methods) { 
            int modifiers = method.getModifiers(); 
            if (Modifier.isStatic(modifiers)) { 
                methodMap.put(method.getName(), method); 
            } 
        } 
    } 
      
    @Around("@annotation(permission)") 
    public Object check(ProceedingJoinPoint joinPoint, Permission permission) throws Throwable { 
        Method targetMethod = getTargetMethod(joinPoint); 
        Expression expression = getExpression(targetMethod, permission); 
        EvaluationContext evaluationContext = getEvaluationContext(joinPoint, targetMethod); 
          
        Object expressionValue = expression.getValue(evaluationContext); 
        if (expressionValue == null) { 
            throw new RuntimeException("expressionValue is null, please check your EL expression"); 
        } 
          
        boolean hasPermission = false; 
        if (expressionValue instanceof Boolean) { 
            hasPermission = (Boolean) expressionValue; 
        } else if (expressionValue instanceof String) { 
            hasPermission = permissionUtils.hasPermission(expressionValue.toString(), permission.resourceType()); 
        } else if (expressionValue instanceof Collection) { 
            hasPermission = permissionUtils.hasAllPermission((Collection<String>) expressionValue, permission.resourceType()); 
        } 
          
        if (!hasPermission) { 
            throw new PermissionException(); 
        } 
          
        return joinPoint.proceed(); 
    } 
      
    private Method getTargetMethod(JoinPoint joinPoint) { 
        // 获取目标方法 
        return ((ProceedingJoinPoint) joinPoint).getSignature().toShortString().split("\\.")[1].replace("()", "").trim(); 
    } 
      
    private Expression getExpression(Method method, Permission permission) { 
        Expression expression = expressionMap.get(method); 
        if (expression != null) { 
            return expression; 
        } 
        String value = permission.value(); 
        return expressionMap.computeIfAbsent(method, k -> parser.parseRaw(value)); 
    } 
      
    private EvaluationContext getEvaluationContext(JoinPoint joinPoint, Method method) { 
        StandardEvaluationContext context = new StandardEvaluationContext(); 
          
        // 设置方法参数名和值为SpEL变量 
        Object[] args = ((ProceedingJoinPoint) joinPoint).getArgs(); 
        for (int i = 0; i < args.length; i++) { 
            // 这里可以使用更复杂的逻辑来获取参数名,如使用Spring的MethodParameter等 
            String paramName = "arg" + i; 
            context.setVariable(paramName, args[i]); 
        } 
          
        // 注册自定义的静态方法到EL上下文 
        methodMap.forEach((name, m) -> context.registerFunction(name, m)); 
          
        return context; 
    } }

四、权限校验工具

权限校验工具类用于实现具体的权限校验逻辑。这个类可以包含一些静态方法,用于根据权限码和资源类型判断用户是否有权限。


import org.springframework.stereotype.Component; 
  
import java.util.Collection; 
import java.util.HashSet; 
import java.util.Set; 
  
@Component  
public class PermissionUtils { 
      
    // 假设这里有一个方法用于从数据库中获取用户的权限码 
    public static Set<String> getUserPermissions(String userId) { 
        // 模拟从数据库中获取用户权限码 
        Set<String> permissions = new HashSet<>(); 
        permissions.add("READ_USER"); 
        permissions.add("WRITE_USER"); 
        return permissions; 
    } 
      
    public boolean hasPermission(String permissionCode, String resourceType) { 
        // 这里可以添加具体的权限校验逻辑 
        // 假设当前用户具有所有权限,仅作示例 
        return true; 
    } 
      
    public boolean hasAllPermission(Collection<String> permissionCodes, String resourceType) { 
        // 这里可以添加具体的权限校验逻辑 
        // 假设当前用户具有所有权限,仅作示例 
        return true; 
    } 
}

五、配置类

最后,我们需要在配置类中启用AOP功能,并将切面类和权限校验工具类注册为Spring Bean。

import org.springframework.context.annotation.Bean; 
import org.springframework.context.annotation.Configuration; 
import org.springframework.context.annotation.EnableAspectJAutoProxy; 
  
@Configuration  
@EnableAspectJAutoProxy  
public class AppConfig { 
      
    @Bean  
    public PermissionUtils permissionUtils() { 
        return new PermissionUtils(); 
    } 
      
    // 其他Bean的配置... 
}

六、使用示例

现在,我们可以在需要权限校验的方法或类上使用自定义的@Permission注解,并指定SpEL表达式。

import org.springframework.web.bind.annotation.GetMapping; 
import org.springframework.web.bind.annotation.RequestMapping; 
import org.springframework.web.bind.annotation.RestController; 
  
@RestController  
@RequestMapping("/api") 
public class UserController { 
      
    @Permission(value = "#userId == 'admin'") 
    @GetMapping("/admin") 
    public String admin() { 
        return "This is admin page."; 
    } 
      
    @Permission(value = "#userId in getUserPermissions(#userId)") 
    @GetMapping("/user") 
    public String user(String userId) { 
        return "This is user page."; 
    } 
}

在上面的示例中,#userId是方法参数,getUserPermissions(#userId)是调用权限校验工具类中的静态方法。SpEL表达式会根据这些条件进行权限校验。

七、总结

通过自定义注解和SpEL表达式,我们可以实现灵活且强大的权限管理功能。这种方法简化了权限校验



 http://mp.weixin.qq.com/s?__biz=MzkzODcyNjQ0NA==&mid=2247484492&idx=1&sn=45b818df0b03fe0f74bc1348d9f7e9a4
Java技术前沿
专注分享Java技术,包括但不限于 SpringBoot,SpringCloud,Docker,消息中间件等。
 最新文章
最强 Java 面试 PDF,不接受反驳!
一个注解,优雅的实现接口幂等性
字节内部爆款 Spring+Redis+MySQL 实战笔记,太详细了!
SpringBoot实战:设计接口防篡改和防重防攻击
SpringBoot 7种定时任务解决方案
SpringBoot在一次HTTP请求中耗费了多少内存
Spring Boot实战:通过Agent统计接口调用耗时
使用Spring Boot实现动态数据源切换
提升SpringBoot项目稳定性:深入自定义异常处理机制
好用!几套霸占我休息时间的PDF
Spring Boot开发实战:掌握五项高效小技巧
Spring Boot结合Google Guava缓存机制实现防重复提交策略
SpringBoot中@Service能否取代@Controller?
Spring Boot分布式任务调度深度解析:从入门到实践
SpringBoot 自定义注解实现的权限管理
springboot的统一处理功能
Spring Boot结合Aviator,轻松实现参数校验新方案
一文详解:用Spring Boot实现自动化审核功能的关键步骤
告别繁琐的`if-else`!七种方法让Spring Boot项目更简洁高效
一文读懂SpringBoot启动流程,提升开发效率
Spring面试必问:你真的懂@ComponentScan吗?
用Spring Boot 3打造安全API:加密功能的最佳实践
Spring Boot 3 新特性:轻松实现万级数据的高效批量插入
一套资料吃透 Spring Boot+MySQL+Redis……
Spring Boot3新特性:统一结果封装,简化开发流程
SpringBoot 3 新HTTP客户端工具让代码简洁又优雅,不用再用 HttpUtil
Spring Boot调用外部接口,这3种方式助你一臂之力!
揭秘SpringBoot3:JVM优化技巧,让应用更高效!
SpringBoot3革新:JdbcClient让JdbcTemplate成为历史,JdbcClient 更强大
Spring Boot 2来袭:探索HTTP接口的革命性升级
在SpringBoot 中如何开启虚拟线程
面试必问 Redis基本数据类型及缓存击穿、缓存穿透、缓存雪崩
掌握Redis五大数据类型,让你的应用开发事半功倍
SpringBoot可以这样提高系统吞吐量
SpringBoot内置的五个内置对象很方便
Spring Security中这几种获取当前登录用户信息的方式必须要清楚
SpringBoot中关于是要 RestFull api版本控制你知道多少
SpringBoot3:轻松使用Jasypt实现配置文件信息加密
SpringBoot整合XXL-JOB以GLUE模式运行与执行器负载均衡策略
SpringBoot整合XXL-JOB- 执行器的具体使用
Spring Boot整合Kafka+SSE实现数据实时展示
SpringBoot整合XXL-JOB- 任务分片
SpringBoot实战:@RestControllerAdvice 全局异常处理器
SpringBoot实战:JWT Token 自动续期的解决方案
SpringBoot实战:基于 SpringBoot3.3 支持任意文件在线预览功能
SpringBoot实战:SpringBoot接口防抖的一些实现方案?
SpringBoot 实在:项目开发之文件上传 (秒传、断点续传、分片上传)
AES加解密算法的原理和应用与安全性解析
SpringBoot实战:SpringBoot项目运行时修改属性的方法
SpringBoot实战:如何实现多端口监听
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉