SpringBoot利用注解方式接口权限过滤

本文主要介绍利用注解方式实现权限过滤，基于Spring Boot项目，这里权限是指不同平台的账号访问同一项目，从而带来的问题，而非业务权限。例如：在一个项目中，有C端用户和M端管理用户，接口有些通用，有些不通用，如果不加以控制则会出现接口垮平台调用，C端可以调用M端接口这种不可控情况，废话少说直接进入主题。

自定义注解

import java.lang.annotation.*;

@Documented
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Authority {

    Platform[] value();                   // 那些平台能够访问

}

首先自定义个注解，名字可以随便起，本文注解名称 @Authority 意思为权限控制，该注解主要打在Controller 中对外暴露的方法中。


@RestController
@RequestMapping("/client_b_user")
public class ClientBUserController {

    @Authority(value={Platform.B})
    @GetMapping("/getUserInfo")
    public UserInfo getUserInfo(){
        ......
    }
}

Value[] 为一个枚举类，主要是定义本项目中又那些用户群体，例如 Platform.B 与 Platform.C 代表B端用户与C端用户。
在编码的过程中就定义好Controller中方法可以由那些平台或者用户群体访问。

监听Spring Bean的创建

通过实现BeanPostProcessor可以达到监听SpringBean创建
这里我们可以通过判断创建的Bean是否为 @Controller 或者 @RestController
如果 Bean 对象问 @Controller 或者 @RestController 那么则监听扫描其方法是否有 @Authority 注解

@Component
public class AuthorityControllerBeanProcessor implements BeanPostProcessor {

    @Override
    public Object postProcessAfterInitialization(Object bean, String beanName) throws BeansException {

        Class clazz = bean.getClass();
        Boolean isControllerAnnotationInClass = clazz.isAnnotationPresent(Controller.class) || clazz.isAnnotationPresent(RestController.class);

        if (isControllerAnnotationInClass) {
            // 如果这是一个 Controller Bean 的话
            // 那么就读取所有方法的权限配置
            Method[] methods = ReflectionUtils.getAllDeclaredMethods(bean.getClass());

            for (Method method : methods) {

                Boolean isAuthorityAnnotationInMethod = method.isAnnotationPresent(Authority.class);
                String target= bean.getClass().getName() + "." + method.getName();

                if (isAuthorityAnnotationInMethod) {
                    // 如果有 @Authority 注解的话
                    // 则记录该注解中的内容
                    Authority authority = method.getAnnotation(Authority.class);
                    AuthorityAnnotationContainer.addPlatformConfiguration(target，authority);

                }
            }

            return bean;
        } else {
            // 否则的话直接返回Bean
            return bean;
        }
    }

AuthorityAnnotationContainer 实质为一个Map 记录着那些方法是打上了 @Authority 注解的，Key 为方法名，Value为注解的内容，本文不再提供代码。

实现拦截

注解打完之后，最终还是需要拦截器进行拦截。
定义拦截器

@Component
public class AuthorityInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        // 将handler强转为HandlerMethod, 前面已经证实这个handler就是HandlerMethod
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        // 从方法处理器中获取出要调用的方法
        Method method = handlerMethod.getMethod();

        String target = handlerMethod.getBean().getClass().getName() + "." + method.getName();

        Authority authority = AuthorityAnnotationContainer .getAuthority(target);
        
        Boolean isSuccess = false;    // 是否能够访问
        if(authority != null){
              // 这里进行条件判断，
              // 本项目中的做法是，取得用户信息，然后判断用户是哪个平台的，在决定是否能够访问。
              // 如果能够访问 isSuccess = true;
        }
        return isAuthority;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

总结

本文的重点是对于 BeanPostProcessor 的使用，实现 BeanPostProcessor 即可在创建Bean的时候增加一个监听器，做一些对应的操作。

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 160,646评论 4赞 366
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 67,979评论 1赞 301
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 110,391评论 0赞 250
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 44,356评论 0赞 215
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 52,740评论 3赞 293
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 40,836评论 1赞 224
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 32,022评论 2赞 315
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 30,764评论 0赞 204
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 34,487评论 1赞 246
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 30,728评论 2赞 252
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 32,200评论 1赞 263
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 28,548评论 3赞 260
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 33,217评论 3赞 241
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 26,134评论 0赞 8
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 26,921评论 0赞 201
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 35,919评论 2赞 283
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 35,766评论 2赞 274

SpringBoot利用注解方式接口权限过滤

自定义注解

监听Spring Bean的创建

实现拦截

总结

推荐阅读更多精彩内容