Java权限校验应优先使用Spring MVC的HandlerInterceptor,因其能获取Authentication、注解元数据和Bean实例;三步实现:定义@RequirePermission注解、提取权限标识、调用permissionService决策;需支持白名单、@PermitAll及异常分离;已有Spring Security时应直接使用其配置。
Java中实现统一权限校验拦截器,核心在于利用Spring MVC的HandlerInterceptor机制,在请求进入Controller前完成身份识别、角色判断与权限验证,避免在每个接口里重复写校验逻辑。
拦截器 vs 过滤器:选对扩展点
权限校验应优先使用HandlerInterceptor而非Servlet Filter,因为拦截器运行在Spring MVC上下文中,可直接获取Authentication、@RequestMapping元数据、Bean实例(如PermissionService),还能区分GET/POST、跳过静态资源,而Filter无法感知Spring Bean和注解信息。
- Filter适合字符编码、跨域、日志等通用HTTP层处理
- Interceptor适合业务语义明确的校验,如“当前用户是否有访问该URL+HTTP方法的权限”
- 若需支持非Spring MVC场景(如WebSocket、纯Filter链),再考虑结合Filter做兜底
三步实现可配置的权限拦截器
一个实用的权限拦截器应支持注解驱动(如@RequirePermission("user:delete"))或路径匹配规则,而非硬编码if-else。
-
定义权限注解:创建自定义注解
@RequirePermission,支持字符串权限码或SpEL表达式(如"#userId == authentication.principal.id") -
提取权限标识:在
preHandle中通过HandlerMethod获取目标方法上的注解;若无注解,则查配置表或根据URL路径(如/api/admin/** → "admin:access")推导所需权限 -
执行权限决策:调用
permissionService.hasPermission(authentication, requiredPermission),返回false则设置响应状态码403并写入JSON错误体,不放行
绕过校验与特殊场景处理
不是所有请求都需要权限检查,需合理设计白名单机制。
- 开放接口(登录、注册、健康检查)应通过
registry.excludePathPatterns("/login", "/actuator/**")在配置类中排除 - 支持匿名访问的接口可用
@PermitAll注解,拦截器中优先检查该注解并直接放行 - 对于JWT Token解析失败、签名无效等认证异常,应在拦截器外由全局异常处理器(
@ControllerAdvice)捕获,避免混入权限逻辑
与Spring Security集成更省力
如果项目已引入Spring Security,不建议从零手写拦截器——直接用其HttpSecurity.authorizeHttpRequests()配置即可:
requestMatchers("/api/user/**").hasAuthority("USER_READ")requestMatchers(HttpMethod.POST, "/api/admin/**").hasRole("ADMIN")- 配合
@PreAuthorize("hasPermission做方法级细粒度控制
(#id, 'User', 'WRITE')")
自研拦截器更适合轻量项目、遗留系统改造,或需要深度定制权限模型(如数据级权限、租户隔离)的场景。
