若依的权限校验实现原理就是AOP+自定义注解，代码并不多，debug跟一遍之后很容易理解，详细流程整理如下

用到的类

• 注解类RequiresLogin、RequiresPermissions、RequiresRoles，分别用于登录认证、权限认证和角色认证
• 切面类PreAuthorizeAspect，基于 Spring Aop 的注解鉴权
• 被代理类SysJobController，被代理类就是添加注解的方法所在的类，可以是任意一个类

链路跟踪

在需要鉴权的方法上添加对应的注解
@RequiresPermissions(“monitor:job:list”)表示需要在该方法执行前进行权限认证，参数即具体权限

/**
* 查询定时任务列表
*/
@RequiresPermissions("monitor:job:list")
@GetMapping("/list")
public TableDataInfo list(SysJob sysJob) {startPage();List list = jobService.selectJobList(sysJob);return getDataTable(list);
}

执行切面类

package com.zhy.common.security.aspect;import java.lang.reflect.Method;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.stereotype.Component;
import com.zhy.common.security.annotation.RequiresLogin;
import com.zhy.common.security.annotation.RequiresPermissions;
import com.zhy.common.security.annotation.RequiresRoles;
import com.zhy.common.security.auth.AuthUtil;/*** 基于 Spring Aop 的注解鉴权** @author kong*/
@Aspect
@Component
public class PreAuthorizeAspect
{/*** 构建*/public PreAuthorizeAspect(){}/*** 定义AOP签名 (切入所有使用鉴权注解的方法)*/public static final String POINTCUT_SIGN = " @annotation(com.zhy.common.security.annotation.RequiresLogin) || "+ "@annotation(com.zhy.common.security.annotation.RequiresPermissions) || "+ "@annotation(com.zhy.common.security.annotation.RequiresRoles)";/*** 声明AOP签名*/@Pointcut(POINTCUT_SIGN)public void pointcut(){}/*** 环绕切入** @param joinPoint 切面对象* @return 底层方法执行后的返回值* @throws Throwable 底层方法抛出的异常*/@Around("pointcut()")public Object around(ProceedingJoinPoint joinPoint) throws Throwable{// 注解鉴权MethodSignature signature = (MethodSignature) joinPoint.getSignature();checkMethodAnnotation(signature.getMethod());try{// 执行原有逻辑Object obj = joinPoint.proceed();return obj;}catch (Throwable e){throw e;}}/*** 对一个Method对象进行注解检查*/public void checkMethodAnnotation(Method method){// 校验 @RequiresLogin 注解RequiresLogin requiresLogin = method.getAnnotation(RequiresLogin.class);if (requiresLogin != null){AuthUtil.checkLogin();}// 校验 @RequiresRoles 注解RequiresRoles requiresRoles = method.getAnnotation(RequiresRoles.class);if (requiresRoles != null){AuthUtil.checkRole(requiresRoles);}// 校验 @RequiresPermissions 注解RequiresPermissions requiresPermissions = method.getAnnotation(RequiresPermissions.class);if (requiresPermissions != null){AuthUtil.checkPermi(requiresPermissions);}}
}

debug进到around方法
signature.getMethod()获取到添加注解的方法

进到checkMethodAnnotation方法
拿到注解所在方法后首先判断该方法上添加了哪些注解，可以有一个或多个，此处只添加了@RequiresPermissions注解

进入校验权限认证的方法
权限验证工具类跟进到权限验证逻辑实现类

首先是调用SecurityContextHolder.setPermission

debug进入set方法

这里ROLE_PERMISSION是在SecurityConstants即权限相关通用常量类中定义的，该类中的其他属性如DETAILS_USER_ID、DETAILS_USERNAME、USER_KEY、LOGIN_USER等都是在用户登录时进行赋值

进入set方法，这里的getLocalMap最终获取的是TransmittableThreadLocal类型的THREAD_LOCAL集合，该集合中也存放了上面说的SecurityConstants类中的其他属性。TransmittableThreadLocal相比ThreadLocal而言优点在于能够处理处理父子线程变量不能共用的情况，ThreadLocal是跟当前线程挂钩的，所以脱离当前线程它就起不了作用

回到checkPermi方法中，这里判断为true，因为@RequiresPermissions注解中的logical默认值就是Logical.AND枚举字段，Logical枚举类有两个属性，AND和OR，表示验证用户所有的权限还是部分权限，继续执行checkPermiAnd方法

checkPermiAnd方法进来后首先获取当前账号的权限列表，debug进去

可以看到这里获取到admin账号的权限是"* : * : *"，这个值也是登录流程中进行赋值

现在账号权限有了，执行业务逻辑需要的权限也有了，接下来就是进行比对了，如果通过那么AOP的任务就完成了，可以继续执行业务逻辑，不通过的会会抛出异常

debug进入hasPermi方法，来看看是怎么进行比对的，这里传进来的两个参数authorities和permission就是需要比对的值，值分别为"* : * : *“和"monitor:job:list”,可以看到这里用到了java8Stream中提供的filter过滤器，StringUtils::hasText过滤条件使用了双冒号运算符，表示遍历authorities集合中的元素作为参数调用 StringUtils工具类中的 hasText方法。anyMatch()表示进行匹配，其中x表示authorities权限列表中的元素，ALL_PERMISSION.contains(x)表示在 ALL_PERMISSION字符串中是否存在字符串x，PatternMatchUtils.simpleMatch(x, permission)) 表示 permission 中是否存在与 x 相匹配的子字符串。这里用到了或运算，由于ALL_PERMISSION是个字符串，值就是"* : * : *"，所以ALL_PERMISSION.contains(x)永远为true，此处会发生或运算短路，意味着PatternMatchUtils.simpleMatch(x, permission)) 不会执行，所以return true

到此整个权限验证逻辑执行完毕