今天就跟大家聊聊有关怎么在Spring Boot 中通过AOP和自定义注解实现权限控制，可能很多人都不太了解，为了让大家更加了解，小编给大家总结了以下内容，希望大家根据这篇文章可以有所收获。

在定远等地区，都构建了全面的区域性战略布局，加强发展的系统性、市场前瞻性、产品创新能力，以专注、极致的服务理念，为客户提供网站制作、成都网站设计 网站设计制作按需设计,公司网站建设,企业网站建设,品牌网站建设,成都营销网站建设,外贸网站制作,定远网站建设费用合理。

思路

• 自定义权限注解

• 在需要验证的接口上加上注解，并设置具体权限值

• 数据库权限表中加入对应接口需要的权限

• 用户登录时，获取当前用户的所有权限列表放入redis缓存中

• 定义AOP，将切入点设置为自定义的权限

• AOP中获取接口注解的权限值，和Redis中的数据校验用户是否存在该权限，如果Redis中没有，则从数据库获取用户权限列表，再校验

pom文件 引入AOP

  
   org.springframework.boot
   spring-boot-starter-web
  

  
  
   org.springframework.boot
   spring-boot-starter-aop
  

自定义注解 VisitPermission

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface VisitPermission {
 /**
  * 用于配置具体接口的权限值
  * 在数据库中添加对应的记录
  * 用户登录时，将用户所有的权限列表放入redis中
  * 用户访问接口时，将对应接口的值和redis中的匹配看是否有访问权限
  * 用户退出登录时，清空redis中对应的权限缓存
  */
 String value() default "";
}

需要设置权限的接口上加入注解 @VisitPermission(value)

@RestController
@RequestMapping("/permission")
public class PermissionController {
 /**
  * 配置权限注解 @VisitPermission("permission-test")
  * 只用拥有该权限的用户才能访问，否则提示非法操作
  */
 @VisitPermission("permission-test")
 @GetMapping("/test")
 public String test() {
  System.out.println("================== step 3: doing ==================");
  return "success";
 }
}

定义权限AOP

• 设置切入点为@annotation(VisitPermission)

• 获取请求中的token，校验是否token是否过期或合法

• 获取注解中的权限值，校验当前用户是否有访问权限

• MongoDB 记录访问日志（IP、参数、接口、耗时等）

@Aspect
@Component
public class PermissionAspect {

 /**
  * 切入点
  * 切入点为包路径下的：execution(public * org.ylc.note.aop.controller..*(..))：
  * org.ylc.note.aop.Controller包下任意类任意返回值的 public 的方法
  * 

  * 切入点为注解的： @annotation(VisitPermission)
  * 存在 VisitPermission 注解的方法
  */
 @Pointcut("@annotation(org.ylc.note.aop.annotation.VisitPermission)")
 private void permission() {

 }

 /**
  * 目标方法调用之前执行
  */
 @Before("permission()")
 public void doBefore() {
  System.out.println("================== step 2: before ==================");
 }

 /**
  * 目标方法调用之后执行
  */
 @After("permission()")
 public void doAfter() {
  System.out.println("================== step 4: after ==================");
 }

 /**
  * 环绕
  * 会将目标方法封装起来
  * 具体验证业务数据
  */
 @Around("permission()")
 public Object doAround(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {
  System.out.println("================== step 1: around ==================");
  long startTime = System.currentTimeMillis();
  /*
   * 获取当前http请求中的token
   * 解析token :
   * 1、token是否存在
   * 2、token格式是否正确
   * 3、token是否已过期（解析信息或者redis中是否存在）
   * */
  ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
  HttpServletRequest request = attributes.getRequest();
  String token = request.getHeader("token");
  if (StringUtils.isEmpty(token)) {
   throw new RuntimeException("非法请求，无效token");
  }
  // 校验token的业务逻辑
  // ...

  /*
   * 获取注解的值，并进行权限验证:
   * redis 中是否存在对应的权限
   * redis 中没有则从数据库中获取权限
   * 数据空中没有，抛异常，非法请求，没有权限
   * */
  Method method = ((MethodSignature) proceedingJoinPoint.getSignature()).getMethod();
  VisitPermission visitPermission = method.getAnnotation(VisitPermission.class);
  String value = visitPermission.value();
  // 校验权限的业务逻辑
  // List