2. 程式人生 > >aop:config在shiro許可權註解中發揮的作用

aop:config在shiro許可權註解中發揮的作用

阿新 發佈:2019-02-15

問題

spring-shiro.xml中通常會加aop配置,以使shiro認證註解(@RequiresPermissions、@RequiresRoles、@RequiresUser、@RequiresGuest)work。
通常配置如下

<aop:config />
    <!--許可權註解的advisor -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property
 
 name="securityManager" ref="securityManager"/>
    </bean>

但是我有一個問題!<aop:config/>沒有配置通知,也沒有配置切點,shiro的認證註解怎麼就work了呢?

我們注意到有個AuthorizationAttributeSourceAdvisor配置,它是一個通知器
類層次圖
這裡寫圖片描述

觀察類層次結構圖,可以看到它實現了pointcut,我們知道pointcut就是切點,它會判斷匹配哪些類,並返回方法匹配

public interface Pointcut {

    /**
     * Return the ClassFilter for this pointcut.
     * @return
 
 the ClassFilter (never {@code null})
     */
    ClassFilter getClassFilter();

    /**
     * Return the MethodMatcher for this pointcut.
     * @return the MethodMatcher (never {@code null})
     */
    MethodMatcher getMethodMatcher();


    /**
     * Canonical Pointcut instance that always matches.
     */
 

    Pointcut TRUE = TruePointcut.INSTANCE;

}

pointcut中一共兩個介面方法,一個是getClassFilter,一個是getMethodMatcher

getClassFilter匹配所有類

AuthorizationAttributeSourceAdvisor的父類StaticMethodMatcherPointcut中,實現了getClassFiltergetMethodMatcher方法。

public abstract class StaticMethodMatcherPointcut extends StaticMethodMatcher implements Pointcut {

    private ClassFilter classFilter = ClassFilter.TRUE;


    /**
     * Set the {@link ClassFilter} to use for this pointcut.
     * Default is {@link ClassFilter#TRUE}.
     */
    public void setClassFilter(ClassFilter classFilter) {
        this.classFilter = classFilter;
    }

    @Override
    public ClassFilter getClassFilter() {
        return this.classFilter;
    }


    @Override
    public final MethodMatcher getMethodMatcher() {
        return this;
    }

}

繼續追蹤,類屬性classFilter是ClassFilter.TRUE,最終跟蹤到TrueClassFilter,matches方法始終返回true,所以AuthorizationAttributeSourceAdvisor匹配所有類

class TrueClassFilter implements ClassFilter, Serializable {

    public static final TrueClassFilter INSTANCE = new TrueClassFilter();

    /**
     * Enforce Singleton pattern.
     */
    private TrueClassFilter() {
    }

    @Override
    public boolean matches(Class<?> clazz) {
        return true;
    }
}

getMethodMatcher匹配所有加了認證註解的方法

再看方法匹配,注意StaticMethodMatcherPointcutgetMethodMatcher返回的是this,因為AuthorizationAttributeSourceAdvisor實現了MethodMatcher介面,所以返回的this就是AuthorizationAttributeSourceAdvisor本身。MethodMatchermatches方法用來判斷方法匹配。
可以看到它會匹配所有加了認證註解的方法。

 AuthorizationAttributeSourceAdvisor.java

 private static final Class<? extends Annotation>[] AUTHZ_ANNOTATION_CLASSES =
            new Class[] {
                    RequiresPermissions.class, RequiresRoles.class,
                    RequiresUser.class, RequiresGuest.class, RequiresAuthentication.class
            };
 public boolean matches(Method method, Class targetClass) {
        Method m = method;

        if ( isAuthzAnnotationPresent(m) ) {
            return true;
        }

        //The 'method' parameter could be from an interface that doesn't have the annotation.
        //Check to see if the implementation has it.
        if ( targetClass != null) {
            try {
                m = targetClass.getMethod(m.getName(), m.getParameterTypes());
                if ( isAuthzAnnotationPresent(m) ) {
                    return true;
                }
            } catch (NoSuchMethodException ignored) {
                //default return value is false.  If we can't find the method, then obviously
                //there is no annotation, so just use the default return value.
            }
        }

        return false;
    }

 private boolean isAuthzAnnotationPresent(Method method) {
        for( Class<? extends Annotation> annClass : AUTHZ_ANNOTATION_CLASSES ) {
            Annotation a = AnnotationUtils.findAnnotation(method, annClass);
            if ( a != null ) {
                return true;
            }
        }
        return false;
    }

aop:config

至今,我們有了一個完整的切面認識AuthorizationAttributeSourceAdvisor

  • 匹配所有類
  • 匹配所有加認證註解的方法

我們知道,<aop:config/>會掃描配置檔案中的所有advisor,併為其建立代理。正是有個<aop:config/>加上AuthorizationAttributeSourceAdvisor,所以認證註解才會work

總結

至此,我們就明白了,正是有了以下兩條的作用,才使得shiro認證註解可以正常work。

  • <aop:config/>會掃描配置檔案中的所有advisor,併為其建立代理
  • AuthorizationAttributeSourceAdvisor匹配所有類,匹配所有加了認證註解的方法

相關推薦

aop:config在shiro許可權註解發揮作用

問題 spring-shiro.xml中通常會加aop配置,以使shiro認證註解(@RequiresPermissions、@RequiresRoles、@RequiresUser、@RequiresGuest)work。 通常配置如下 <ao

知識儲備:詳解SpringAOP原理(基於註解版)2

接著上一篇部落格講,上一篇部落格地址:https://blog.csdn.net/qq_36625757/article/details/83652173 8.之前我們說過,測試方法在執行時new了一個AnnotationConfigApplicationContext傳入一個配置類,呼叫了re

基於springboot通過自定義註解AOP實現許可權驗證

這篇文章主要介紹自定義註解配合AOP的使用來完成一個簡單的許可權驗證的功能。 一、移入依賴 <parent> <groupId>org.springframework.boot</groupId> <artifactId>sprin

Spring --13.SpringAOP程式設計(註解方式)

1、基於註解AOP入門案例 1.2、建立工程引入依賴 pom.xml <dependencies> <dependency> <groupId>org.springframework</groupId&

CDN在網際網路發揮作用

隨著線上網際網路業務的發展,為了保護企業的安全和業務的發展,CDN的作用越來越重要,除了可以防止黑客攻擊,還可以通過多節點的CDN快取來提高訪問速度,緩解原伺服器的訪問壓力,有效改善使用者訪問的質量和使用者體驗。 一、CDN網站加速:CDN網路架構主要由兩大部分,分為中心和邊緣兩部分,中心指CDN網管中心和

MySQL在一對一聊天系統發揮的重要作用

通常,我們會採用MySQL來負責一對一聊天系統的靜態資料儲存、直播資訊、使用者資訊和賬戶資訊。那麼為什麼MySQL會被廣泛應用呢?對於直播平臺和一對一聊天系統來講,為保證互動直播和視訊聊天的流程,以及內容分發的穩定,通常要滿足下圖中的伺服器架構:而對於MySQL叢集來講,為適應平臺的高併發負載能力,一般要採用

讓Redis在你的系統發揮更大作用的幾點建議

http://www.jb51.net/article/51624.htm Redis在很多方面與其他資料庫解決方案不同:它使用記憶體提供主儲存支援,而僅使用硬碟做永續性的儲存;它的資料模型非常獨特,用的是單執行緒。另一個大區別在於,你可以在開發環境中使用Redis的功

Redis在你的系統發揮更大作用

轉向Redis當然也是可取的,許多開發者從一開始就把Redis作為首選資料庫;但設想如果你的開發環境已經搭建好,應用已經在上面運行了,那麼更換資料庫框架顯然不那麼容易。另外在一些需要大容量資料集的應用,Redis也並不適合,因為它的資料集不會超過系統可用的記憶體。所以如果你有大資料應用,而且主要是讀取訪問

Spring AOP自定義註解實現許可權控制

1.建立註解類,controller控制層使用該註解進行許可權控制使用 import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.R

spring 同一個類方法呼叫 註解不起作用

spring  同一個類中方法呼叫 註解不起作用 需要新增 AopContext.currentProxy() 這樣

Spring 基於 AOP 的 @AspectJ註解例項

@AspectJ 作為通過 Java 5 註釋註釋的普通的 Java 類,它指的是宣告 aspects 的一種風格。通過在你的基於架構的 XML 配置檔案中包含以下元素,@AspectJ 支援是可用的。 1.第一步:倒入jar包,跟上個例子包是一樣的 aspectjrt.jar aspectjweav

Serializable在C#作用及其優點

p s mst access pen eat mat zab ref hal 原文發布時間為:2009-10-27 —— 來源於本人的百度文章 [由搬家工具導入]Serializalbe - Enable the object can be Serialized into

static在C/C++作用-(轉自華山大師兄)

運行時 str 如果 字符數 class 但我 靜態成員 var 使用 1.先來介紹它的第一條也是最重要的一條:隱藏。(static函數,static變量均可) 當同時編譯多個文件時,所有未加static前綴的全局變量和函數都具有全局可見性。舉例來說明。同時編譯兩個源文件

C語言作用域,鏈接屬性和存儲類型

硬件 變量的存儲 bsp 文件的 tro 們的 沒有 聲明 一個 作用域 當變量在程序的某個部分被聲明的時候,他只有在程序的一定漁區才能被訪問,編譯器可以確認4種不同類型的作用域:文件作用域,函數作用域,代碼塊作用域和原型作用域 1.代碼塊作用域:位於一對花括號之間的所

spring事務管理,xml配置aop事務和註解配置aop事務

mov ref itcast template password nds eth poi ntc xml配置和註解配合共同代碼 AccountService.java public interface AccountService { //轉賬方法

公證在不動產登記作用及責任

規則 p s 可見 tar 建立 href 數量 審查 自身 據公證雲報道:不動產是老百姓最為重要的物質財富,涉不動產相關權益的保護至關重要。長期以來,我國公證行業配合不動產登記機關工作,承擔不動產登記前的前置審查責任,在不動產流轉安全、不動產權利保護方面發揮了重要作用。《

spring AOP解析之註解方式詳解

parser 分享 pro asp mes aop log space spec 命名空間處理器是AopNamespaceHandler,我們可以看到這裏註冊了幾個解析器,第一個我們知道是xml形式的解析,接下來我們看AspectJAutoProxyBeanDefiniti

js作用域和作用域鏈

轉載:汶川大地震中業余無線電應急通訊發揮作用

定期 匯報 所有 target 方向 vdi 深圳 無法打開 遇到 http://tieba.baidu.com/p/708843176 汶川大地震中業余無線電應急通訊發揮作用 在地震發生時,所有電話手機都發生了中斷,只有使用電臺通訊。地震在14點28分發生,14點30分

ScrollView在布局作用

images ima ges .cn 這樣的 分享 src http .com   ScrollView就是滾動一個View,將View裏面的內容滾動起來。 但是由於scroolview只能有一個孩子,因此我們可以在ScrollView中在定義一個布局。 這樣的話,我們就會