什么是 AOP ?
AOP:
Aspect Oriented Programming(面向切面编程、面向方面编程),其实就是面向特定方法编程。
实现:
- 动态代理是面向切面编程最主流的实现。而
SpringAOP是Spring框架的高级技术,旨在管理bean对象的过程中,主要通过底层的动态代理机制,对特定的方法进行编程。
AOP 核心概念
- 连接点:
JoinPoint, 可以被AOP控制的方法(暗含方法执行时的相关信息) - 通知:
Advice, 指哪些重复的逻辑,也就是共性功能(最终体现为一个方法) - 切入点:
PointCut, 匹配连接点的条件,通知仅会在切入点方法执行时被应用 - 切面:
Aspect, 描述通知与切入点的对应关系(通知+切入点) - 目标对象:
Target, 通知所应用的对象
场景说明
例如现有一个场景:定位执行耗时较长的业务方法,统计各个业务层方法的执行耗时
@Component
@Aspect // 切面类
@Slf4j
public class TimeAspect {
@Around ("execution (* com.itheima.service.impl.DeptServiceImpl.list ())") // 切面表达式
public Object recordTime (ProceedingJoinPoint joinPoint) throws Throwable {
long begin = System.currentTimeMillis ();
// 调用原始操作
Object result = joinPoint.proceed ();
long end = System.currentTimeMillis ();
log.info("执行耗时 : {} ms", (end-begin));
return result;
}
}
// 目标对象
@Service
public class DeptServiceImpl implements DeptService {
@Autowired
private DeptMapper deptMapper;
// region-begin 连接点
@Override
public List<Dept> list() {
List<Dept> deptList = deptMapper.list(); // 切入点
return deptList;
}
@Override
public void delete(Integer id) {
deptMapper.delete(id);
}
@Override
public void save(Dept dept) {
dept.setCreateTime(LocalDateTime.now());
dept.setUpdateTime(LocalDateTime.now());
deptMapper.save(dept);
}
// region-end 连接点
}
对于aop的五大核心概念,我们可以使用更加通俗易懂的类比来说明:
可以用 "学校检查卫生" 来类比:
- 连接点:学校里所有可能被检查的班级(每个班级都是一个潜在的检查点)
- 通知:检查卫生的具体操作流程(比如看地面是否干净、桌椅是否整齐,这是一套固定重复的动作)
- 切入点:筛选要检查的班级的条件(比如 "只查一年级的班级" 或 "只查偶数号的班级")
- 切面:检查计划(把 "检查流程" 和 "筛选条件" 结合起来,比如 "用标准流程检查所有一年级班级")
- 目标对象:最终被检查的那些班级(符合筛选条件,实际接受检查的对象)
简单来说就是:学校(AOP)要检查卫生(通知),所有的班级都可能被抽查到(连接点),但是只会查到一年级的(切入点),"用标准流程查一年级班级" 这个整体安排就是切面,而被查到的那些一年级班级就是目标对象。
特别注意:连接点
在Spring中用
JoinPoint抽象了连接点,用它可以获得方法执行时的相关信息,如目标类名、方法名、方法参数等。-
- 对于
@Around通知,获取连接点信息只能使用ProceedingJoinPoint - 对于其他四种通知,获取连接点信息只能使用
JoinPoint,它是ProceedingJoinPoint的父类型
- 对于
通知类型
通知类型
**@Around**:环绕通知,此注解标注的通知方法在目标方法前、后都被执行(常用)@Before:前置通知,此注解标注的通知方法在目标方法前被执行@After:后置通知,此注解标注的通知方法在目标方法后被执行,无论是否有异常都会执行@AfterReturning:返回后通知,此注解标注的通知方法在目标方法后被执行,有异常不会执行@AfterThrowing:异常后通知,此注解标注的通知方法发生异常后执行
注意事项
@Around环绕通知需要自己调用ProceedingJoinPoint.proceed()来让原始方法执行,其他通知不需要考虑目标方法执行@Around环绕通知方法的返回值,必须指定为Object,来接收原始方法的返回值。
通知顺序
当有多个切面的切入点都匹配到了目标方法,目标方法运行时,多个通知方法都会被执行。
执行顺序
- 不同切面类中,默认按照切面类的类名字母排序:
-
- 目标方法前的通知方法:字母排名靠前的先执行
- 目标方法后的通知方法:字母排名靠前的后执行
- 用
@Order(数字)加在切面类上来控制顺序
-
- 目标方法前的通知方法:数字小的先执行
- 目标方法后的通知方法:数字小的后执行
@PointCut
该注解的作用是将公共的切点表达式抽取出来,需要用到时引用该切点表达式即可。
@Pointcut("execution(* com.itheima.service.impl.DeptServiceImpl.*(..))")
public void pt(){
}
@Around("pt()")
public Object recordTime(ProceedingJoinPoint joinPoint) throws Throwable {
// 方法体内容
}
切入点表达式
execution
execution 主要根据方法的返回值、包名、类名、方法名、方法参数等信息来匹配,语法为:
execution(访问修饰符? 返回值 包名.类名.?方法名(方法参数) throws 异常?)
可以使用通配符描述切入点
-
*:单个独立的任意符号,可以通配任意返回值、包名、类名、方法名、任意类型的一个参数,也可以通配包、类、方法名的一部分execution(* com.**.service.**.update*(*))..:多个连续的任意符号,可以通配任意层级的包,或任意类型、任意个数的参数execution(* com.itheima..DeptService.*(..))
切入点表达式-@annotation
@annotation切入点表达式,用于匹配标识有特定注解的方法。@annotation(com.itheima.anno.Log)
@Before("@annotation(com.itheima.anno.Log)")
public void before(){
log.info("before ....");
}
Spring 实战代码演示
依赖导入
引入aop依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-aop</artifactId>
</dependency>
日志响应拦截
主要作用:对controller上的
@Around("execution(* com.lantzuc.lanucbackend.controller.*.*(..))")
public Object doInterceptor(ProceedingJoinPoint joinPoint) throws Throwable {
// 开始计时
StopWatch stopWatch = new StopWatch();
stopWatch.start();
// 获取请求路径
RequestAttributes requestAttributes = RequestContextHolder.currentRequestAttributes();
HttpServletRequest servletRequest = ((ServletRequestAttributes) requestAttributes).getRequest();
// 生成唯一请求id
String requestId = UUID.randomUUID().toString();
String url = servletRequest.getRequestURI();
// 获取请求参数
Object[] args = joinPoint.getArgs();
String reqParams = "[" + StringUtils.join(args, ", ") + "]";
// 输出请求日志
log.info("request start,id: {}, path: {}, ip: {}, params: {}", requestId, url,
servletRequest.getRemoteHost(), reqParams);
// 执行原方法
Object result = joinPoint.proceed();
// 输出原日志
stopWatch.stop();
long totalTimeMillis = stopWatch.getTotalTimeMillis();
log.info("request end, id: {}, cost: {}ms", requestId, totalTimeMillis);
return result;
}
结果显示
2025-10-15 17:13:48.649 INFO 23396 --- [nio-8080-exec-5] c.l.lanucbackend.aop.LogInterceptor : request start,id: ad4061ee-d5ed-47f3-bf2e-e0567867fabc, path: /api/user/login, ip: 0:0:0:0:0:0:0:1, params: [UseLoginRequest(userAccount=Lantz, userPassword=12345678), org.apache.catalina.connector.RequestFacade@6ce7aed7]
2025-10-15 17:13:49.265 INFO 23396 --- [nio-8080-exec-5] c.l.lanucbackend.aop.LogInterceptor : request end, id: ad4061ee-d5ed-47f3-bf2e-e0567867fabc, cost: 623ms
相比原来没有添加日志拦截的,我们可以更加清晰地看到对某一路径发送请求的状态,比如请求路径,请求参数,IP 地址等等信息,而且我们还可以获悉到某一请求的执行时间是多少,可以在后续有针对的目的优化
权限响应拦截
首先要创建一个注解:
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface AuthCheck {
/**
* 必须有某一个角色(默认无)
* @return
*/
String mustRole() default "";
}
然后再编写权限校验拦截代码:
@Around("@annotation(authCheck)")
public Object doInterceptor(ProceedingJoinPoint joinPoint, AuthCheck authCheck) throws Throwable {
String mustRole = authCheck.mustRole();
RequestAttributes requestAttributes = RequestContextHolder.currentRequestAttributes();
HttpServletRequest httpServletRequest = ((ServletRequestAttributes) requestAttributes).getRequest();
// 当前登录用户
User loginUer = userService.getLoginUer(httpServletRequest);
UserRoleEnum mustRoleEnum = UserRoleEnum.getEnumByValue(mustRole);
// 不需要权限,放行
if (mustRoleEnum == null) {
return joinPoint.proceed();
}
// 必须有该权限才放行
UserRoleEnum userRoleEnum = UserRoleEnum.getEnumByValue(loginUer.getUserRole());
if (userRoleEnum == null) {
throw new BusinessException(ErrorCode.NO_AUTH);
}
// 如果被封号,直接拒绝
if (UserRoleEnum.BAN.equals(userRoleEnum)) {
throw new BusinessException(ErrorCode.NO_AUTH);
}
// 必需有管理员权限
if (UserRoleEnum.ADMIN.equals(mustRoleEnum)) {
// 用户没有管理员权限,拒绝
if (!UserRoleEnum.ADMIN.equals(userRoleEnum)) {
throw new BusinessException(ErrorCode.NO_AUTH);
}
}
// 通过管理权限,放行
return joinPoint.proceed();
}
在controller中使用:
@GetMapping("/search")
@AuthCheck(mustRole = ADMIN_ROLE) // 需要管理员权限
public List<User> searchUser(String userName, HttpServletRequest request){
QueryWrapper<User> queryWrapper = new QueryWrapper<>();
if (StringUtils.isNotBlank(userName)) {
queryWrapper.like("userName", userName);
}
List<User> userList = userService.list(queryWrapper);
return userList.stream().map(user -> userService.getSafetyUser(user)).collect(Collectors.toList());
}
测试结果:
如果登录用户为管理员则正常通过,如果不是,则会报错:
Postman Body显示:
{
"code": 40101,
"data": null,
"message": "无权限",
"description": ""
}
记得如果使用了jwt鉴权,在Postman中测试的时候记得选择Bearer Token然后粘贴进去登录时候产生的Token
