spring aop怎么进行方法级别的安全控制

在Spring中，可以使用AOP（面向切面编程）来实现方法级别的安全控制。AOP允许你在不修改原有代码的情况下，为程序添加新的功能。在这个场景中，我们可以使用AOP来实现对方法的访问控制。

以下是使用Spring AOP实现方法级别安全控制的步骤：

1. 引入依赖

在项目的pom.xml文件中，添加Spring AOP和AspectJ相关的依赖：

   org.springframework
   spring-aop
   5.3.10

   org.aspectj
   aspectjweaver
   1.9.7

2. 开启AOP

在Spring配置类上添加@EnableAspectJAutoProxy注解，以启用AOP功能：

@Configuration
@EnableAspectJAutoProxy
public class AppConfig {
}

3. 定义安全注解

创建一个自定义注解，例如@SecuredMethod，用于标记需要进行安全控制的方法：

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface SecuredMethod {
    String[] roles() default {};
}

4. 创建切面

创建一个切面类，例如SecurityAspect，并使用@Aspect注解标记：

@Aspect
@Component
public class SecurityAspect {
}

5. 实现安全控制逻辑

在切面类中，定义一个方法，使用@Before注解指定该方法在哪些方法执行前被调用。在这个方法中，实现安全控制逻辑：

@Aspect
@Component
public class SecurityAspect {

    @Before("@annotation(securedMethod)")
    public void checkAccess(JoinPoint joinPoint, SecuredMethod securedMethod) {
        // 获取当前登录用户的角色
        List currentUserRoles = getCurrentUserRoles();

        // 获取注解中定义的角色
        String[] requiredRoles = securedMethod.roles();

        // 检查用户是否具有访问权限
        boolean hasAccess = false;
        for (String requiredRole : requiredRoles) {
            if (currentUserRoles.contains(requiredRole)) {
                hasAccess = true;
                break;
            }
        }

        // 如果没有访问权限，抛出异常
        if (!hasAccess) {
            throw new AccessDeniedException("Access denied");
        }
    }

    private List getCurrentUserRoles() {
        // 根据实际情况获取当前用户的角色列表
        return Arrays.asList("ROLE_USER");
    }
}

6. 使用注解

在需要进行安全控制的方法上，添加@SecuredMethod注解，并指定允许访问的角色：

@Service
public class MyService {

    @SecuredMethod(roles = {"ROLE_ADMIN"})
    public void secureMethod() {
        // 方法实现
    }
}

现在，当调用secureMethod()方法时，会先执行SecurityAspect中的checkAccess()方法，对用户的角色进行检查。如果用户具有访问权限，方法将正常执行；否则，将抛出AccessDeniedException异常。