本文將通過aop的方式實現一個相對更加簡易靈活的api安全認證服務。

我們先看實現，然后介紹和分析aop基本原理和常用術語。

一、authorized實現

1、定義注解

這個注解看上去什么都沒有，僅僅是一個占位符，用于標志是否需要安全認證。

2、表現層使用注解

看上去就是在一個方法上加了authorized注解，其實它也可以作用于類上，也可以類和方法混合使用。

3、請求認證切面

下面的代碼是實現靈活的安全認證的關鍵：

需要注意的是，對類和方法上的authorized處理，定義了重載的處理方法dobefore。authtokenservice和上文介紹的處理邏輯一樣，如果安全認證不通過，則拋出異常。

如果我們在類上或者方法上都加了authorized注解，不會進行重復安全認證，請放心使用。

4、統一異常處理

上文已經提到過，對所有發生異常的api，都返回統一格式的報文至調用方。主要代碼大致如下：

認證不通過的api調用結果如下：

異常的整個堆棧可以非常非常方便地幫助我們排查到問題。

我們再結合上文來看安全認證的時間先后，根據理論分析和實踐發現，過濾器filter先于攔截器interceptor先于自定義authorized方法認證先于authorized類認證。

到這里，我們發現通過aop框架aspectj，一個@aspect注解外加幾個方法幾十行業務代碼，就可以輕松實現對rest api的攔截處理。

那么為什么會有@pointcut，既然有@before，是否有@after？

其實上述簡易安全認證功能實現的過程主要利用了spring的aop特性。

下面再簡單介紹下aop常見概念（主要參考spring實戰），加深理解。aop概念較多而且比較乏味，經驗豐富的老鳥到此就可以忽略這一段了。

二、aop

1、概述

aop（aspect oriented programming），即面向切面編程，可以處理很多事情，常見的功能比如日志記錄，性能統計，安全控制，事務處理，異常處理等。

aop可以認為是一種更高級的“復用”技術，它是oop（object oriented programming，面向對象編程）的補充和完善。aop的理念，就是將分散在各個業務邏輯代碼中相同的代碼通過橫向切割的方式抽取到一個獨立的模塊中。將相同邏輯的重復代碼橫向抽取出來，使用動態代理技術將這些重復代碼織入到目標對象方法中，實現和原來一樣的功能。這樣一來，我們在寫業務邏輯時就只關心業務代碼。

oop引入封裝、繼承、多態等概念來建立一種對象層次結構，用于模擬公共行為的一個集合。不過oop允許開發者定義縱向的關系，但并不適合定義橫向的關系，例如日志功能。日志代碼往往橫向地散布在所有對象層次中，而與它對應的對象的核心功能毫無關系對于其他類型的代碼，如安全性、異常處理和透明的持續性也都是如此，這種散布在各處的無關的代碼被稱為橫切（cross cutting），在oop設計中，它導致了大量代碼的重復，而不利于各個模塊的重用。

aop技術恰恰相反，它利用一種稱為"橫切"的技術，剖解開封裝的對象內部，并將那些影響了多個類的公共行為封裝到一個可重用模塊，并將其命名為"aspect"，即切面。

所謂"切面"，簡單說就是那些與業務無關，卻為業務模塊所共同調用的邏輯或責任封裝起來，便于減少系統的重復代碼，降低模塊之間的耦合度，并有利于未來的可操作性和可維護性。

使用"橫切"技術，aop把軟件系統分為兩個部分：核心關注點和橫切關注點。

業務處理的主要流程是核心關注點，與之關系不大的部分是橫切關注點。橫切關注點的一個特點是，它們經常發生在核心關注點的多處，而各處基本相似，比如權限認證、日志、事務。aop的作用在于分離系統中的各種關注點，將核心關注點和橫切關注點分離開來。

2、aop術語

深刻理解aop，要掌握的術語可真不少。

target：目標類，需要被代理的類，如：userservice

advice：通知，所要增強或增加的功能，定義了切面的“什么”和“何時”，模式有before、after、after-returning,、after-throwing和around

join point：連接點，應用執行過程中，能夠插入切面的所有“點”（時機）

pointcut：切點，實際運行中，選擇插入切面的連接點，即定義了哪些點得到了增強。切點定義了切面的“何處”。我們通常使用明確的類和方法名稱，或是利用正則表達式定義所匹配的類和方法名稱來指定這些切點。

aspect：切面，把橫切關注點模塊化為特殊的類，這些類稱為切面，切面是通知和切點的結合。通知和切點共同定義了切面的全部內容：它是什么，在何時和何處完成其功能

introduction：引入，允許我們向現有的類添加新方法或屬性

weaving：織入，把切面應用到目標對象并創建新的代理對象的過程，切面在指定的連接點被織入到目標對象中。在目標對象的生命周期里有多個點可以進行織入：編譯期、類加載期、運行期

下面參考自網上圖片，可以比較直觀地理解上述這幾個aop術語和流轉過程。

3、aop實現

（1）動態代理

使用動態代理可以為一個或多個接口在運行期動態生成實現對象，生成的對象中實現接口的方法時可以添加增強代碼，從而實現aop：

缺點是只能針對接口進行代理，同時由于動態代理是通過反射實現的，有時可能要考慮反射調用的開銷，否則很容易引發性能問題。

（2）字節碼生成

動態字節碼生成技術是指在運行時動態生成指定類的一個子類對象（注意是針對類），并覆蓋其中特定方法，覆蓋方法時可以添加增強代碼，從而實現aop。

最常用的工具是cglib：

（3）定制的類加載器

當需要對類的所有對象都添加增強，動態代理和字節碼生成本質上都需要動態構造代理對象，即最終被增強的對象是由aop框架生成，不是開發者new出來的。

解決的辦法就是實現自定義的類加載器，在一個類被加載時對其進行增強。

jboss就是采用這種方式實現aop功能。

這種方式目前只是道聽途說，本人沒有在實際項目中實踐過。

（4）代碼生成

利用工具在已有代碼基礎上生成新的代碼，其中可以添加任何橫切代碼來實現aop。

（5）語言擴展

可以對構造方法和屬性的賦值操作進行增強，aspectj是采用這種方式實現aop的一個常見的java語言擴展。

比較：根據日志，上述流程的執行順序依次為：過濾器、攔截器、aop方法認證、aop類認證

附：記錄api日志
最后通過記錄api日志，記錄日志時加入api耗時統計（其實我們在開發.net應用的過程中通過aop這種記錄日志的方式也已經是標配），加深上述aop的幾個核心概念的理解：

標準的請求-應答模型，我們都會定義請求基類和應答基類，本文示例給到的是baseapirequest和baseapiresponse，搜集日志時，可以對錯誤日志加以區分特殊處理。

注意上述代碼中的@around環繞通知，參數類型是proceedingjoinpoint，而前面第一個示例的@before前置通知，參數類型是joinpoint。

下面是aspectj通知和增強的5種模式：

@before前置通知，在目標方法執行前實施增強,請求參數joinpoint,用來連接當前連接點的連接細節，一般包括方法名和參數值。在方法執行前進行執行方法體，不能改變方法參數，也不能改變方法執行結果。

@after 后置通知，請求參數joinpoint,在目標方法執行之后，無論是否發生異常，都進行執行的通知。在后置通知中，不能訪問目標方法的執行結果(因為有可能發生異常)，不能改變方法執行結果。

@afterreturning 返回通知，在目標方法執行后實施增強，請求參數joinpoint，其能訪問方法執行結果(因為正常執行)和方法的連接細節，但是不能改變方法執行結果。（注意和后置通知的區別）　

@afterthrowing 異常通知，在方法拋出異常后實施增強，請求參數joinpoint,throwing屬性代表方法體執行時候拋出的異常，其值一定與方法中exception的值需要一致。

@around 環繞通知，請求參數proceedingjoinpoint，環繞通知類似于動態代理的全過程，proceedingjoinpoint類型的參數可以決定是否執行目標方法，而且環繞通知必須有返回值，返回值即為目標方法的返回值。

以上就是本文的全部內容，希望對大家的學習有所幫助，也希望大家多多支持服務器之家。

原文鏈接：http://blog.51cto.com/13932491/2312412