AOP+自定义注解实现权限校验-2022新项目

一、业务场景

　　当前本人参与开发的是一个业务中台系统，所谓的中台简单的理解就是把相同的功能给抽取出来。比如系统A、B、C、D都需要进行用户登录操作，那么可以把用户信息管理这一块抽取出来为一个独立的系统E，这个系统只负责与用户相关的操作，比如登录、退出、授权，修改密码等等。然后让A/B/C/D这四个系统来调用系统E进行登录操作，这样A/B/C/D系统就不需要与用户登录相关的操作，可以专注于自己本身系统的业务处理。

自己所在的这个项目组也是在做类似的事情，将其他系统中的一些共有的功能给抽取出来，做成一个独立的系统供其他系统调用。我们做的系统当中也没有登录操作，用户权限控制这一块全部都是交给另外一个系统去完成，然后我们的系统需要和其他系统进行对接，来完成登录和权限相关的处理，比如某个用户可以查看哪些菜单，可以操作哪些功能等等。

二、需求分析

　　首先登录操作都是在其他系统中完成的，登录完成后就开始在我们自己的系统中获取数据，最开始获取的就是与权限相关的数据，在之后的每一步操作中在去判断某个用户是否有操作某个功能的具体权限。初期打算这样设计，对于99%的业务操作都会将请求发送到Controller中，然后在判断是否有操作权限，有则放行，没有则返回。可是如何来实现这个功能呢？需要在每一个请求的接口中添加多个权限，某一个接口可能会被不同的地方调用。

三、解决方案

　　首先考虑到的一点就是最好是使用注解，因为注解可以在多个地方被使用，并且注解可以添加各种参数来实现想要的功能。下一个需要考虑的问题是，添加注解后如何拿到这个注解当中的一些值或者说是数据，然后在进行最后的处理，而且这种方式是通用的。有几种方式是可以统一处理的，一个是过滤器，一个是拦截器，还有一个是AOP面向切面编程。考虑再三，最终选择使用AOP面向切面编程来进行处理。首先写好一个注解如下

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
@Documented
@Component
public @interface AuthResource {

    /*
     * 注解权限
     */
    String [] authResourceList() default {};
}

然后写一个AOP的处理类如下:

@Aspect
@Component
public class AuthResourceAspect {

    @Pointcut("@annotation(test.controller.aop.AuthResource)")
    private void execute() {}

    @Before(value = "execute() && @annotation(authResource)")
    public void temp(JoinPoint joinPoint, AuthResource authResource){
        System.out.println("校验逻辑" + Arrays.toString(authResource.authResourceList()));

    }
}

Controller中的用法如下:

@Slf4j
@RestController
@RequestMapping("/test")
public class TestController {

    @GetMapping("/1")
    @AuthResource(authResourceList = "temp")
    public String test() {
        return "abc";
    }
}

最后测试的结果如下:

 

正确的获取到访问某个方法时，注解里面的值。然后将该用户原有的权限列表和这个值进行比较，包含则表示有权限放行，

不包含则直接抛出异常信息，暂无权限访问。 

参考博客.

https://blog.csdn.net/chali1314/article/details/115618777