一个SSI的项目(springmvc+mybatis),需要加上权限验证(非数据权限),考虑使用aop来实现。大致思路是使用自定义注解,在需要权限控制的方法前(controller层)使用注解定义方法所需的权限,然后使用AOP拦截访问的方法,在执行目标对象前通过反射取得目标对象所需的权限,然后从当前session中取得登陆用户,遍历用户所拥有的权限,如果有权限则继续执行目标对象,如果没有权限则跳转到错误提示页面。
1、如下定义annotation:
ElementType.METHOD)
(RetentionPolicy.RUNTIME)
public @interface Permission {
String value() default "yes";
String system();
String module();
int type() default 1;
}
(
2、定义切面类验证权限:
//声明该类为一个切面
@Aspect
@Component
public class MyInterceptor {
//切入点要拦截的类
@Pointcut("execution (* com.ifeng.iis.controller..*.*(..))")
private void anyMethod(){} //声明一个切入点,切入点的名称其实是一个方法
//环绕通知(特别适合做权限系统)
@Around("anyMethod()")
public Object doBasicProfiling(ProceedingJoinPoint jp) throws Throwable{
System.out.println("环绕通知进入方法");
Signature signature = jp.getSignature();
MethodSignature methodSignature = (MethodSignature)signature;
Method targetMethod = methodSignature.getMethod();
//对于有permission注解的方法进行权限验证
boolean b = targetMethod.isAnnotationPresent(Permission.class);
if (b) {//带有权限注解的方法
Permission perm = targetMethod.getAnnotation(Permission.class);
String value = perm.value();
if (value.equals("yes")) { //权限验证打开
//获取session信息
HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
ServletWebRequest servletWebRequest=new ServletWebRequest(request);
HttpServletResponse response=servletWebRequest.getResponse();
User user = (User) request.getSession().getAttribute("sessionUser");
//从权限注解中获取信息
String system = perm.system();
String module = perm.module();
....//验证
}
} else {
Object object=jp.proceed();
System.out.println("环绕通知退出方法");
return object;
}
}
}
注:通过反射,可以获得切入点方法上是否有权限注解,对于有权限注解的方法,需要进行权限验证。
3、配置aop,拦截controller中所有的方法。
参考://zhanghua.1199.blog.163.com/blog/static/464498072011111393634448/