使用自定义注解和AOP管理shiro权限
一、场景
在使用shiro框架的时候,遇到了这样的需求:本系统有多个用户,每个用户分配不同角色,每个角色的权限也不一致。比如A用户拥有新闻列表的增删改查权限,而B用户只有查看新闻列表的权限,而没有删除、新增、修改的权限,此时有3种方案:1、不给B用户分配删除、新增、修改的菜单,这样用户就无法点击从而无法操作。2、给B用户分配菜单,后台中进行增删改查操作时都要进行权限验证。 3、给B用户分配菜单并且进行操作的时候校验权限。
显然,第2、3种方案比第1中方案要安全。本系统中使用第二种方案。
二、为什么使用注解+AOP
使用shiro过程中一般都会自定义Realm,Realm主要进行权限和登录的校验,当校验登录用户是否有某个权限的时候,有2种方式:1、使用注解 @RequiresPermissions("news:*") 来判断用户是否有news的所有权限。 2、使用Subject.isPermitted("news:*") 方法判断用户是否有news的所有权限。
这两种方法的区别在于,第一种:比如当前用户在新闻列表中删除某篇新闻,但是该用户并没有这种权限,此时会抛出异常,我们需要处理异常即可,但是页面进行跳转,我们希望用户在新闻列进行删除操作的时候,如果没有该权限则会弹窗提示,而不是跳转到统一的异常页面。 第二种,可以实现第一种的不足,但是没有第一种方便快捷。
为了综合上述两种的有点以及缺点,实现shiro校验权限时有异常但不刷新页面,同时以注解的形式使用。
三、实现
实现的效果:需要校验权限的方法比如删除方法del(),只要在该方法上添加自定义注解,即可实现上述效果。
3.1 自定义注解
/** * 类名 :权限控制注解 * 用法 : * 创建人 : shyroke * 时间:2018/12/18 10:33 */ @Documented @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) public @interface PermissionAnnotation { String permissionName(); }
3.2 编写切面
/** * 类名 :权限的切面类 * 用法 : * 创建人 : shyroke * 时间:2018/12/18 10:38 */ @Aspect @Component public class PermissionAspect { @Pointcut("@annotation(com.shyroke.daydayzhuan.util.PermissionAnnotation)") private void permisson(){ } /** * 给添加PermissionAnnotation注解的方法校验权限,而不必每个方法内都判断权限 * @param joinPoint * @param permissionAnnotation * @return * @throws Throwable */ @Around("permisson()&&@annotation(permissionAnnotation)") public Object advice(ProceedingJoinPoint joinPoint, PermissionAnnotation permissionAnnotation) throws Throwable { R r = null; r = (R) joinPoint.proceed(); String permissionName =permissionAnnotation.permissionName(); if(StringUtils.isEmpty(permissionName)){ r.setFlag(false); r.setMessage("权限名称不能为空"); return r; } //校验当前登录用户是否有该权限 boolean isPermission = UserUtils.isPermission(permissionName); if(!isPermission){ r.setFlag(false); r.setMessage("没有此操作权限!"); } return r; } }
UserUtils.java
/** * 类名 :用户的工具类 * 用法 : * 创建人 : shyroke * 时间:2018/12/18 14:39 */ public class UserUtils { /** * 校验当前登录用户是否有该权限 * @param permissionname 权限名称 * @return */ public static boolean isPermission(String permissionname) { Subject subject = SecurityUtils.getSubject(); if(subject.isPermitted(permissionname)){ return true; }else{ return false; } } }
3.3 使用
@PermissionAnnotation(permissionName = "boke:*") @PostMapping(value = "desc") @ResponseBody public R desc(){ return R.ok("删除成功!"); }