使用spring aop实现URL地址参数权限控制

我们传统的权限控制，一般是通过给角色分配一个URL，从而控制不同角色访问不同URL地址，但这往往只能控制到整个URL的访问权限，并未能根据URL中的参数的变化而动态控制访问的权限。

比如访问个人信息的链接通常为：http://192.168.1.110/web/sys/user.do?userId=1101，在做权限分配时，我们通常都是直接将 http://192.168.1.110/web/sys/user.do 的访问权分配给所有角色，以方便用户可以查看自己的个人信息，但这样会造成的问题显而易见，如果我知道了其他用户的userId，或者我直接就随便改个userId，我就可以访问到对应的用户信息了，这样很不安全。

解决的思路可以是这样：开发一个URL拦截功能，可以配置需要拦截的URL地址以及需要拦截的参数，再编写一个groovy脚本，结合拦截到的参数去判断当前用户是否有权访问此URL，结合spring 提供的AOP特性，我们可以拦截所有的控制层访问，在访问前检查是否需要拦截，如果需要拦截，则将URL中的参数取出来，结合groovy脚本进行权限的判断。

示例：

URL：http://192.168.1.110/web/sys/user.do

参数：userId

脚本：Object userId = map.get("userId"); // map是在AOP中构建的参数键值对

   if(BeanUtils.isEmpty(userId)) return false;// 没有权限

   // 如果当前登陆用户与参数中的用户ID一致，则有权访问

  return userId.equals(CurrentUserUtil.getCurrentUserId());

在这里只是举了一个简单的例子说明此功能的作用，我们还可以将其他运用到其他场景，比如说表单的访问权限，我们可以根据表单分类，给不同角色分配访问权限，然后在在访问表单详细页面的时候，我们可以拦截表单的ID，获取表单分类，再去查看当前用户是否有权限可以访问该表单分类等等……