模仿shiro接口鉴权，自定义注解+springaop，实现用户访问接口权限校验

目的or背景

shiro有个注解是&＃64;RequiresPermissions&＃xff0c;接口方法加上这个表示需要有指定权限才能访问&＃xff0c;不然提示无权限访问等类似信息&＃xff0c;这个吧&＃xff0c;有点意思&＃xff0c;没玩过&＃xff0c;所以就来简单模仿下&＃xff0c;自己自定义一个注解&＃xff0c;具备指定权限才可调通。

码代码的工具人—is me

接下来就是demo实现

1. 自定义一个校验权限的注解

package com.example.demo.anno;import java.lang.annotation.*;/**** &＃64;author apollo* &＃64;description* &＃64;date 2021/11/27 10:01*/
&＃64;Target({ElementType.TYPE, ElementType.METHOD})
&＃64;Retention(RetentionPolicy.RUNTIME)
&＃64;Documented
public &＃64;interface VerifyPermissions {/*** 权限标识*/String[] value();}

2. 码好咱们的切面

在这里面我先写死用户有【book_read】的权限&＃xff0c;你们可根据自己的业务查数据库or缓存&＃xff0c;自由发挥&＃xff0c;只是个demo&＃xff0c;别太较真

package com.example.demo.aspect;import com.example.demo.anno.VerifyPermissions;
import com.example.demo.exception.BaseException;
import com.example.demo.exception.Code;
import com.example.demo.exception.Message;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.collections4.CollectionUtils;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.stereotype.Component;
import java.lang.reflect.Method;
import java.lang.reflect.Modifier;
import java.util.Arrays;
import java.util.List;/*** &＃64;author apollo* &＃64;description* &＃64;date 2021/11/27 10:11*/
&＃64;Aspect
&＃64;Component
&＃64;Slf4j
public class AuthAspect {&＃64;Before("execution(public * com.example.demo.controller..*.*(..))")public void apiDoBefore(JoinPoint point) {verifyProceed(point);}private void verifyProceed(JoinPoint point) {MethodSignature signature &＃61; (MethodSignature) point.getSignature();Method method &＃61; signature.getMethod();int modifiers &＃61; method.getModifiers();if (!Modifier.isPublic(modifiers)) {return;}//初始化用户有的权限值&＃xff08;为了演示方便&＃xff0c;这个地方一般不是写死的权限&＃xff0c;根据自己业务来灵活加载&＃xff09;final List<String> userBindingPermissions &＃61; Arrays.asList("book_read");//校验api的权限值VerifyPermissions verifyPermissions &＃61; method.getAnnotation(VerifyPermissions.class);if (verifyPermissions !&＃61; null) {//拿到添加注解的api所需要的权限String[] verifyPermissionsStrs &＃61; verifyPermissions.value();List<String> needPermisions &＃61; Arrays.asList(verifyPermissionsStrs);//1.判断用户有权限if (CollectionUtils.isEmpty(userBindingPermissions)) {log.info("用户无权限&＃xff0c;不可操作&＃xff01;", needPermisions);throw new BaseException(Code.UNAUTHORIZED, Message.AUTH_FAILED);}//2.判断用户有的权限是否匹配注解api中的权限if (!userBindingPermissions.containsAll(needPermisions)) {log.info("用户缺少:{}权限&＃xff01;", needPermisions);throw new BaseException(Code.UNAUTHORIZED, Message.AUTH_FAILED);}}}}

3. 搞个api

我先初始化几个书名&＃xff0c;然后来两个api&＃xff0c;加上访问接口需要校验的权限【book_read】、【book_add】

package com.example.demo.controller;import com.example.demo.anno.VerifyPermissions;
import org.springframework.web.bind.annotation.*;import java.util.LinkedList;
import java.util.List;/*** &＃64;author apollo* &＃64;description* &＃64;date 2021年11月27日 10:27*/
&＃64;RestController
&＃64;RequestMapping("/book")
public class BookApi {private static final List<String> bookNames &＃61; new LinkedList<>();static {bookNames.add("霸道总裁爱上我");bookNames.add("霸道总裁的小娇妻");}&＃64;GetMapping("/all")&＃64;VerifyPermissions({"book_read"})public List<String> books(){return bookNames;}&＃64;PostMapping("/add")&＃64;VerifyPermissions({"book_add"})public Boolean books(&＃64;RequestParam("name")String name){bookNames.add(name);return true;}
}


4. postman测试

4.1 看书api

因为我在切面那边给用户初始化了一个可以看书的权限【book_read】&＃xff0c;所以是可以调通

4.2 添加书api

没有给用户绑定【book_add】的权限&＃xff0c;所以用户在使用这个api的时候&＃xff0c;提示无权限

如果在切面那里给他加上【book_add】权限&＃xff0c;就可以了

这只是模仿shiro api鉴权的一个小demo&＃xff0c;shiro里面&＃64;RequiresPermissions注解中还有Logical属性【AND,OR】&＃xff0c;来校验权限之间的逻辑关系&＃xff0c;有兴趣的话可以看下shiro下PermissionAnnotationHandler的源码&＃xff0c;自己去自定义个鉴权注解~

$就先说到这$
$在下Apollo$
$一个爱分享Java、生活的小人物\&＃xff0c;$
$咱们来日方长\&＃xff0c;有缘江湖再见\&＃xff0c;告辞\&＃xff01;$