若依框架基于@PreAuthorize注解的权限控制

一、Java注解（Annotation）

1. 概述

    Java 注解（Annotation）又称 Java 标注，是 JDK5.0 引入的一种注释机制。

    Java 定义了一套注解，共有 7 个，3 个在 java.lang 中，剩下 4 个在 java.lang.annotation 中。

作用在代码的注解是：

• @Override - 检查该方法是否是重写方法。如果发现其父类，或者是引用的接口中并没有该方法时，会报编译错误。
• @Deprecated - 标记过时方法。如果使用该方法，会报编译警告。
• @SuppressWarnings - 指示编译器去忽略注解中声明的警告。

作用在其他注解的注解(或者说 元注解)是:

• @Retention - 标识这个注解怎么保存，是只在代码中，还是编入class文件中，或者是在运行时可以通过反射访问。
• @Documented - 标记这些注解是否包含在用户文档中。
• @Target - 标记这个注解应该是哪种 Java 成员。
• @Inherited - 标记这个注解是继承于哪个注解类(默认 注解并没有继承于任何子类)

2. Annotation通用定义

@Documented
@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
public @interface MyAnnotation1 {
}

（1）@interface

    使用 @interface 定义注解时，意味着它实现了 java.lang.annotation.Annotation 接口，即该注解就是一个Annotation。定义 Annotation 时，@interface 是必须的。

（2）**@Documented**

    类和方法的 Annotation 在缺省情况下是不出现在 javadoc 中的。如果使用 @Documented 修饰该 Annotation，则表示它可以出现在 javadoc 中。

    定义 Annotation 时，@Documented 可有可无；若没有定义，则 Annotation 不会出现在 javadoc 中。

（3）**@Target(ElementType.TYPE)**

    ElementType 是 Annotation 的类型属性。而 @Target 的作用，就是来指定 Annotation 的类型属性。

ElementType.METHOD：该注解只能声明在一个类的方法前。

ElementType.TYPE：该注解只能声明在一个类前。

（4）**@Retention(RetentionPolicy.RUNTIME)**

    @Retention(RetentionPolicy.RUNTIME) 的意思就是指定该 Annotation 的策略是 RetentionPolicy.RUNTIME。这就意味着，编译器会将该 Annotation 信息保留在 .class 文件中，并且能被虚拟机读取。

总结：

   @interface 用来声明 Annotation，@Documented 用来表示该 Annotation 是否会出现在 javadoc 中， @Target 用来指定 Annotation 的类型，@Retention 用来指定 Annotation 的策略。

Java中常用的Annotation：

@Deprecated  -- @Deprecated 所标注内容，不再被建议使用。
@Override    -- @Override 只能标注方法，表示该方法覆盖父类中的方法。
@Documented  -- @Documented 所标注内容，可以出现在javadoc中。
@Inherited   -- @Inherited只能被用来标注“Annotation类型”，它所标注的Annotation具有继承性。
@Retention   -- @Retention只能被用来标注“Annotation类型”，而且它被用来指定Annotation的RetentionPolicy属性。
@Target      -- @Target只能被用来标注“Annotation类型”，而且它被用来指定Annotation的ElementType属性。
@SuppressWarnings -- @SuppressWarnings 所标注内容产生的警告，编译器会对这些警告保持静默。

二、基于@PreAuthorize注解的权限控制

    若依框架使用 Spring Security来进行鉴权， Spring Security提供了Spring EL表达式，允许我们在定义接口访问的方法上面添加注解，来控制访问权限。

@PreAuthorize注解用于配置接口，要求用户拥有某些权限才可访问，它拥有如下方法
方法参数描述hasPermiString验证用户是否具备某权限lacksPermiString验证用户是否不具备某权限，与 hasPermi逻辑相反hasAnyPermiString验证用户是否具有以下任意一个权限hasRoleString判断用户是否拥有某个角色lacksRoleString验证用户是否不具备某角色，与 isRole逻辑相反hasAnyRolesString验证用户是否具有以下任意一个角色，多个逗号分隔

1. 数据权限

整体逻辑：每个用户分配角色之后，都会有一定的权限，在用户访问某个接口时，会判断用户所拥有的权限是否包含该接口需要的权限，然后将判断的结果（"true"或者"fales"）传入@PreAuthorize注解实现数据权限的控制。当Spring EL 表达式返回TRUE，则权限校验通过；

**示例： **

例如在判断用户是否具有新增用户权限时，加上了下面这个注解：

（1）@PreAuthorize 注解：

@PreAuthorize注解括号里面接收的是String类型的参数，且值为 "true" 或者 "false"

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Inherited
@Documented
public @interface PreAuthorize {
    String value();
}

（2）ss.hasPermi() 方法：

ss：ss是PermissionService类实例化后起的的对象名

hasPermi() 方法接收一个 String类型的参数，值为'system:user:add'，返回值为布尔类型，首先进行校验，判断参数是否为空，然后拿到当前登录系统的用户，判断当前用户是否为空以及用户拥有的权限是否为空（调用 loginUser.getPermissions() 方法，返回一个Set集合的权限列表），最后调用 hasPermissions(loginUser.getPermissions(), permission) 方法判断用户是否有该权限，如果包含就返回 true。

** 存储权限信息表：**

2. 角色权限

角色权限时根据用户所属的角色来进行权限控制，实际原理和数据权限一样。

// 属于user角色
@PreAuthorize("@ss.hasRole('user')")

// 不属于user角色
@PreAuthorize("@ss.lacksRole('user')")

// 属于user或者admin之一
@PreAuthorize("@ss.hasAnyRoles('user,admin')")