注解+AOP实现权限控制

注解与AOP实战：实现权限控制

在现代Java开发中，注解（Annotation）和面向切面编程（AOP）是两种强大的技术，它们能够帮助我们实现代码的解耦，提高代码的可读性和可维护性。本文将通过一个实际的例子，展示如何结合自定义注解和AOP来实现权限控制。

1. 什么是注解？

注解是Java提供的一种元数据机制，能够为代码添加额外的信息。注解本身不会影响代码的执行，但可以通过反射等机制在运行时读取这些信息，进而实现特定的功能。

1.1 自定义注解

以下是一个自定义注解 @AuthCheck 的示例，用于标记需要权限控制的方法：

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target(ElementType.METHOD) // 注解只能用于方法
@Retention(RetentionPolicy.RUNTIME) // 注解在运行时保留
public @interface AuthCheck {
    String mustRole() default ""; // 必须具有的角色
}

在这个注解中，mustRole 属性用于指定调用该方法所需的角色。

2. 什么是AOP？

AOP（Aspect-Oriented Programming，面向切面编程）是一种编程范式，它允许我们将横切关注点（如日志记录、权限控制、事务管理等）从业务逻辑中分离出来。通过AOP，我们可以在不修改原有代码的情况下，动态地为方法添加额外的功能。

2.1 AOP的核心概念

• 切面（Aspect）：包含横切关注点的模块。
• 连接点（Join Point）：程序执行的某个点，例如方法调用。
• 通知（Advice）：在连接点上执行的动作，如前置通知、后置通知等。
• 切入点（Pointcut）：定义在哪些连接点上应用通知。

3. 实战：使用注解和AOP实现权限控制

3.1 定义权限控制注解

我们已经在前面定义了 @AuthCheck 注解，用于标记需要权限控制的方法。

3.2 实现权限拦截器

以下是一个基于Spring AOP的权限拦截器 AuthInterceptor，它会拦截带有 @AuthCheck 注解的方法，并根据注解中的角色要求进行权限校验：

import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;

@Aspect // 标记为切面
@Component // 注册为Spring Bean
public class AuthInterceptor {

    @Resource
    private UserApplicationService userApplicationService;

    /**
     * 拦截带有 @AuthCheck 注解的方法
     *
     * @param joinPoint 切入点
     * @param authCheck 权限校验注解
     * @return 执行结果
     * @throws Throwable 异常
     */
    @Around("@annotation(authCheck)")
    public Object doInterceptor(ProceedingJoinPoint joinPoint, AuthCheck authCheck) throws Throwable {
        String mustRole = authCheck.mustRole(); // 获取注解中指定的角色
        RequestAttributes requestAttributes = RequestContextHolder.currentRequestAttributes();
        HttpServletRequest request = ((ServletRequestAttributes) requestAttributes).getRequest();

        // 获取当前登录用户
        User loginUser = userApplicationService.getLoginUser(request);
        UserRoleEnum mustRoleEnum = UserRoleEnum.getEnumByValue(mustRole);

        // 如果不需要权限，直接放行
        if (mustRoleEnum == null) {
            return joinPoint.proceed();
        }

        // 检查用户角色
        UserRoleEnum userRoleEnum = UserRoleEnum.getEnumByValue(loginUser.getUserRole());
        if (userRoleEnum == null) {
            throw new BusinessException(ErrorCode.NO_AUTH_ERROR); // 用户角色为空，抛出无权限异常
        }

        // 如果要求管理员权限，但用户不是管理员，抛出无权限异常
        if (UserRoleEnum.ADMIN.equals(mustRoleEnum) && !UserRoleEnum.ADMIN.equals(userRoleEnum)) {
            throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
        }

        // 通过权限校验，放行
        return joinPoint.proceed();
    }
}

3.3 在业务方法中使用注解

以下是一个使用 @AuthCheck 注解的业务方法示例，只有管理员角色才能调用该方法：

import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class UserController {

    @PostMapping("/delete")
    @AuthCheck(mustRole = UserConstant.ADMIN_ROLE)
    public BaseResponse<Boolean> deleteUser(@RequestBody DeleteRequest deleteRequest) {
        if (deleteRequest == null || deleteRequest.getId() <= 0) {
            throw new BusinessException(ErrorCode.PARAMS_ERROR); // 参数校验
        }
        boolean b = userApplicationService.deleteUser(deleteRequest); // 删除用户
        return ResultUtils.success(b); // 返回结果
    }
}