【轉】利用自定義註解在SpringMVC中實現自定義許可權檢查
阿新 • • 發佈:2020-09-09
原文連結:https://blog.51cto.com/boytnt/1870286
先描述一下應用場景,基於Spring MVC的WEB程式,需要對每個Action進行許可權判斷,當前使用者有許可權則允許執行Action,無許可權要出錯提示。許可權有很多種,比如使用者管理許可權、日誌審計許可權、系統配置許可權等等,每種許可權還會帶引數,比如各個許可權還要區分讀許可權還是寫許可權。
想實現統一的許可權檢查,就要對Action進行攔截,一般是通過攔截器來做,可以實現HandlerInterceptor或者HandlerInterceptorAdapter,但是每個Action都有不同的許可權檢查,比如getUsers要使用者管理的讀許可權,deleteLogs要日誌審計的寫許可權,只定義一個攔截器很難做到,為每種許可權定義一個攔截器又太亂,此時可以通過自定義註解來標明每個Action需要什麼許可權,然後在單一的攔截器裡就可以統一檢查了。
具體這麼做,先實現一個自定義註解,名叫AuthCheck:
package com.test.web;
import java.lang.annotation.Documented;
import java.lang.annotation.Inherited;
import java.lang.annotation.Retention;
import java.lang.annotation.Target;
import java.lang.annotation.ElementType;
import java.lang.annotation.RetentionPolicy;
@Documented
@Target(ElementType.METHOD)
@Inherited
@Retention(RetentionPolicy.RUNTIME)
public @interface AuthCheck {
/**
* 許可權型別
* @return
*/
String type() default "";
/**
* 是否需要寫許可權
* @return
*/
boolean write() default false;
}
這個註解裡包含2個屬性,分別用於標定許可權的型別與讀寫要求。然後為需要檢查許可權的Action加註解,此處以getUsers和deleteLogs為例,前者要求對使用者管理有讀許可權,後者要求對日誌審計有寫許可權,注意@AuthCheck的用法:
@AuthCheck(type = "user", write = false)
@RequestMapping(value = "/getUsers", method = RequestMethod.POST)
@ResponseBody
public JsonResponse getUsers(@RequestBody GetUsersRequest request) {
//具體實現,略
}
@AuthCheck(type = "log", write = true)
@RequestMapping(value = "/deleteLogs", method = RequestMethod.POST)
@ResponseBody
public JsonResponse deleteLogs(@RequestBody DeleteLogsRequest request) {
//具體實現,略
}
最後要實現攔截器:
package com.test.web;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
/**
* 全域性攔截器
*/
public class ActionInterceptor implements HandlerInterceptor {
/**
* 前置攔截,用於檢查身份與許可權
*/
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//從傳入的handler中檢查是否有AuthCheck的宣告
HandlerMethod method = (HandlerMethod)handler;
AuthCheck auth = method.getMethodAnnotation(AuthCheck.class);
//找到了,取出定義的許可權屬性,結合身份資訊進行檢查
if(auth != null) {
String type = auth.type();
boolean write = auth.write();
//根據type與write,結合session/cookie等身份資訊進行檢查
//如果許可權檢查不通過,可以輸出特定資訊、進行跳轉等操作
//並且一定要return false,表示被攔截的方法不用繼續執行了
}
//檢查通過,返回true,方法會繼續執行
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView model) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception exception) throws Exception {
}
}
攔截器要生效,還要配置一下:
<mvc:interceptors>
<mvc:interceptor>
<mvc:mapping path="/**" />
<mvc:exclude-mapping path="/js/**" />
<mvc:exclude-mapping path="/css/**" />
<bean class="com.test.web.ActionInterceptor" />
</mvc:interceptor>
</mvc:interceptors>
OK,搞定收工。