Spring AOP 实现权限校验：代码示例

"本文主要展示了如何使用Spring AOP来实现功能权限校验的示例代码，探讨了在权限管理中的两种常见方法：拦截器和AOP，并提供了使用拦截器实现未登录用户重定向到登录页面的示例。" 在Spring框架中，AOP（面向切面编程）是一种强大的工具，常用于实现如日志记录、事务管理以及权限校验等跨功能需求。在权限管理方面，Spring AOP允许我们定义切面来拦截特定的方法调用，进行权限检查，从而确保只有具备相应权限的用户才能执行特定的操作。 首先，对于未登录用户的处理，通常会使用拦截器（HandlerInterceptor）来实现。拦截器是在控制器层对HTTP请求进行拦截，它可以判断用户是否已经登录，如果没有登录，就将请求重定向到登录页面。以下是一个简单的Spring MVC拦截器`SecurityInterceptor`的示例： ```java package com.jykj.demo.filter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; public class SecurityInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 判断用户是否已登录 HttpSession session = request.getSession(); if (session.getAttribute("user") == null) { // 如果未登录，返回登录页面 response.setContentType("application/json;charset=UTF-8"); PrintWriter out = response.getWriter(); out.print(JSON.toJSONString(Result.error("用户未登录，请先登录"))); out.flush(); out.close(); return false; // 阻止请求继续处理 } return true; // 允许请求继续处理 } // 其他拦截器方法，如postHandle和afterCompletion } ``` 在上面的代码中，`preHandle`方法会在控制器方法执行前被调用，如果发现用户未登录，则通过`HttpServletResponse`返回一个错误信息，并返回`false`阻止请求继续。这样，用户就会被强制重定向到登录页面。 然而，Spring AOP更适合在服务层（Service Layer）进行权限校验，因为它可以切入业务逻辑中，对具体的服务方法进行拦截。例如，我们可以在切面中定义一个`@Around`注解的方法，检查用户是否有执行某个业务操作的权限。如果权限不足，可以抛出一个自定义的异常，然后在全局异常处理器中捕获并处理这个异常。 ```java import org.aspectj.lang.ProceedingJoinPoint; import org.aspectj.lang.annotation.Around; import org.aspectj.lang.annotation.Aspect; import org.springframework.stereotype.Component; @Aspect @Component public class PermissionAspect { @Around("execution(* com.jykj.demo.service.*.*(..))") public Object checkPermission(ProceedingJoinPoint joinPoint) throws Throwable { // 获取当前方法名 String methodName = joinPoint.getSignature().getName(); // 检查权限... if (!hasPermission()) { throw new UnauthorizedException("用户无权执行此操作"); } // 如果权限检查通过，正常执行方法 return joinPoint.proceed(); } } ``` 在这个例子中，`@Around`注解定义了一个环绕通知，它会在匹配到的服务层方法执行前后被调用。`checkPermission`方法会检查用户是否有执行当前方法的权限，如果无权，抛出`UnauthorizedException`。 Spring AOP和拦截器在权限校验中各有优势，拦截器适合于处理控制器层面的权限控制，而AOP则适用于在业务逻辑内部进行深度权限验证。根据实际应用场景，开发者可以选择最适合的策略来保障系统的安全性。