使用自定义注解和AOP管理shiro权限

时间:2023-03-09 20:13:05
使用自定义注解和AOP管理shiro权限

一、场景

在使用shiro框架的时候,遇到了这样的需求:本系统有多个用户,每个用户分配不同角色,每个角色的权限也不一致。比如A用户拥有新闻列表的增删改查权限,而B用户只有查看新闻列表的权限,而没有删除、新增、修改的权限,此时有3种方案:1、不给B用户分配删除、新增、修改的菜单,这样用户就无法点击从而无法操作。2、给B用户分配菜单,后台中进行增删改查操作时都要进行权限验证。  3、给B用户分配菜单并且进行操作的时候校验权限。

显然,第2、3种方案比第1中方案要安全。本系统中使用第二种方案。

二、为什么使用注解+AOP

使用shiro过程中一般都会自定义Realm,Realm主要进行权限和登录的校验,当校验登录用户是否有某个权限的时候,有2种方式:1、使用注解 @RequiresPermissions("news:*")  来判断用户是否有news的所有权限。   2、使用Subject.isPermitted("news:*") 方法判断用户是否有news的所有权限。

这两种方法的区别在于,第一种:比如当前用户在新闻列表中删除某篇新闻,但是该用户并没有这种权限,此时会抛出异常,我们需要处理异常即可,但是页面进行跳转,我们希望用户在新闻列进行删除操作的时候,如果没有该权限则会弹窗提示,而不是跳转到统一的异常页面。 第二种,可以实现第一种的不足,但是没有第一种方便快捷。

为了综合上述两种的有点以及缺点,实现shiro校验权限时有异常但不刷新页面,同时以注解的形式使用。

三、实现

实现的效果:需要校验权限的方法比如删除方法del(),只要在该方法上添加自定义注解,即可实现上述效果。

3.1    自定义注解

/**

 * 类名 :权限控制注解

 * 用法 :

 * 创建人 : shyroke

 * 时间:2018/12/18 10:33

 */

@Documented

@Retention(RetentionPolicy.RUNTIME)

@Target(ElementType.METHOD)

public @interface PermissionAnnotation {

    String permissionName();

}

3.2    编写切面

/**

 * 类名 :权限的切面类

 * 用法 :

 * 创建人 : shyroke

 * 时间:2018/12/18 10:38

 */

@Aspect

@Component

public class PermissionAspect {

    @Pointcut("@annotation(com.shyroke.daydayzhuan.util.PermissionAnnotation)")

    private void permisson(){

    }

    /**

     * 给添加PermissionAnnotation注解的方法校验权限,而不必每个方法内都判断权限

     * @param joinPoint

     * @param permissionAnnotation

     * @return

     * @throws Throwable

     */

    @Around("permisson()&&@annotation(permissionAnnotation)")

    public Object advice(ProceedingJoinPoint joinPoint, PermissionAnnotation permissionAnnotation) throws  Throwable {

        R r = null;

        r = (R) joinPoint.proceed();

        String permissionName =permissionAnnotation.permissionName();

        if(StringUtils.isEmpty(permissionName)){

           r.setFlag(false);

           r.setMessage("权限名称不能为空");

           return r;

        }

        //校验当前登录用户是否有该权限

        boolean isPermission = UserUtils.isPermission(permissionName);

        if(!isPermission){

            r.setFlag(false);

            r.setMessage("没有此操作权限!");

        }

        return r;

    }

}

UserUtils.java

/**

 * 类名 :用户的工具类

 * 用法 :

 * 创建人 : shyroke

 * 时间:2018/12/18 14:39

 */

public class UserUtils {

    /**

     * 校验当前登录用户是否有该权限

     * @param permissionname 权限名称

     * @return

     */

    public static boolean isPermission(String permissionname) {

        Subject subject = SecurityUtils.getSubject();

        if(subject.isPermitted(permissionname)){

            return true;

        }else{

            return false;

        }

    }

}

3.3    使用

@PermissionAnnotation(permissionName = "boke:*")

@PostMapping(value = "desc")

@ResponseBody

public R desc(){

    return R.ok("删除成功!");

}

3.4    结果

使用自定义注解和AOP管理shiro权限

相关文章