在开发 Web 应用的过程中,我们经常需要对用户的访问权限进行控制,比如只有登录的用户才能访问某些页面,或者只有特定角色的用户才能执行某些操作。为了实现这样的功能,我们可以使用 Spring Boot 框架提供的拦截器(Interceptor)机制,通过自定义注解(Annotation)和拦截器类来实现权限控制的逻辑。
在本文中,我将介绍如何使用 RequireAuth 注解和 RequireAuthInterceptor 拦截器来实现权限控制的功能。RequireAuth 注解是一个自定义的注解,用于标记需要权限控制的方法或类,它有一个 value 属性,用于指定需要的权限值。RequireAuthInterceptor 拦截器是一个自定义的拦截器类,用于拦截所有的请求,判断请求的方法或类是否有 RequireAuth 注解,如果有,就检查请求的用户是否具有相应的权限,如果没有,就返回一个错误信息或者重定向到一个错误页面。
下面是 RequireAuth 注解和 RequireAuthInterceptor 拦截器的具体实现步骤:
1. 创建 RequireAuth 注解类
首先,我们需要创建一个 RequireAuth 注解类,用于标记需要权限控制的方法或类。我们可以使用 @Retention 和 @Target 注解来指定 RequireAuth 注解的作用范围和生命周期,这里我们选择作用于方法和类,生命周期为运行时。我们还需要定义一个 value 属性,用于指定需要的权限值,这里我们使用 String 类型,可以根据实际的业务需求来定义不同的权限值,比如 "admin","user" 等。RequireAuth 注解类的代码如下:
// 作用于方法和类,生命周期为运行时
// 定义一个 value 属性,用于指定需要的权限值
2. 创建 RequireAuthInterceptor 拦截器类
接下来,我们需要创建一个 RequireAuthInterceptor 拦截器类,用于拦截所有的请求,判断请求的方法或类是否有 RequireAuth 注解,如果有,就检查请求的用户是否具有相应的权限,如果没有,就返回一个错误信息或者重定向到一个错误页面。我们可以继承 HandlerInterceptorAdapter 类,重写 preHandle 方法,实现拦截器的逻辑。我们还需要注入一个 UserService 类,用于获取用户的信息和权限。RequireAuthInterceptor 拦截器类的代码如下:
// 注入 UserService 类
// 判断 handler 是否是 HandlerMethod 类型,如果不是,直接放行
// 强制转换 handler 为 HandlerMethod 类型
// 获取方法或类上的 RequireAuth 注解
// 如果没有 RequireAuth 注解,直接放行
// 获取 RequireAuth 注解的 value 属性,即需要的权限值
// 获取请求头中的 Authorization 字段,即用户的凭证
// 如果没有 Authorization 字段,返回 401 错误
// 解析 Authorization 字段,获取用户的 ID
// 根据用户的 ID,获取用户的信息和权限
// 如果用户不存在,或者用户的权限不符合要求,返回 403 错误
// 如果用户存在,且用户的权限符合要求,放行
3. 配置 RequireAuthInterceptor 拦截器
最后,我们需要配置 RequireAuthInterceptor 拦截器,让它能够拦截所有的请求。我们可以创建一个 WebConfig 类,实现 WebMvcConfigurer 接口,重写 addInterceptors 方法,添加 RequireAuthInterceptor 拦截器,并指定拦截的路径为 "/",即所有的请求。WebConfig 类的代码如下:
// 添加 RequireAuthInterceptor 拦截器,拦截所有的请求
这样,我们就完成了 RequireAuth 注解和 RequireAuthInterceptor 拦截器的配置,我们可以在需要权限控制的方法或类上添加 RequireAuth 注解,指定需要的权限值,比如:
@RequireAuth("admin") // 表示该类下的所有方法都需要 admin 权限
@RequireAuth("user") // 表示该方法需要 user 权限,覆盖了类上的注解
这样,当用户访问 /admin 或 /admin/user 时,就会被 RequireAuthInterceptor 拦截器拦截,检查用户的权限是否符合要求,如果不符合,就返回错误信息或者重定向到错误页面,如果符合,就放行,返回正常的响应。