1 引言

在现代软件开发中，尤其是在微服务架构下，服务接口的鉴权和内部认证是保障系统安全的重要环节。本文将详细介绍PmHub中如何利用自定义注解和AOP（面向切面编程）实现服务接口的鉴权和内部认证，所涉及的技术知识点对于理解和实现系统安全具有重要意义。

2 注解的基本概念

在Java中，注解（Annotation）是一种特殊的语法，以@符号开头，是Java 5开始引入的新特性。注解可看作特殊的注释，用于修饰类、方法或变量，为程序在编译或运行时提供信息。例如JDK内置的@Override注解，用于帮助编译器检查方法是否正确重写父类方法。

package java.lang;

import java.lang.annotation.*;

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.SOURCE)
public @interface Override {
}

2.1 注解的作用

1. 编译时检查：如@Override注解辅助编译器检查方法重写的正确性。
2. 代码生成：像@Entity注解可告知框架生成对应的数据库表。
3. 运行时处理：@Deprecated注解在运行时提醒开发者某方法或类已不建议使用。

2.2 注解的解析方法

1. 编译期直接扫描：编译器编译Java代码时扫描注解并处理，如@Override注解的处理。
2. 运行时通过反射处理：Spring框架中的@Value、@Component等注解通过反射处理，也是自定义注解常用的解析方式。

3 自定义注解的实现

自定义注解主要包括以下几个步骤：

• 定义注解：使用@interface关键字定义注解。
• 注解元素：在注解中定义元素，就像在接口中定义方法。
• 元注解：使用元注解（如@Retention、@Target等）来描述注解的行为。

3.1 定义注解

使用@interface关键字定义注解，例如：

import java.lang.annotation.*;

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface MyAnnotation {
    String value() default "";
    int number() default 0;
}

在上面的例子中，MyAnnotation注解有两个元素：value和number。其中，number有一个默认值0。

3.2 元注解

元注解用于描述注解本身的行为，常见元注解有：
@Retention：指明注解的保留策略。
@Target：指明注解的使用目标。

1. @Retention：指定注解的生命周期，取值包括：
   • RetentionPolicy.SOURCE：注解只在源代码中存在，编译后消失。
   • RetentionPolicy.CLASS：注解在编译后存在于.class文件中，运行时不存在。
   • RetentionPolicy.RUNTIME：注解在运行时存在，可通过反射读取。
2. @Target：指定注解的使用目标，常见取值有：
   • ElementType.TYPE：用于类、接口、枚举、注解类型。
   • ElementType.FIELD：用于字段或属性。
   • ElementType.METHOD：用于方法。
   • ElementType.PARAMETER：用于参数。
   • ElementType.CONSTRUCTOR：用于构造函数。
   • ElementType.LOCAL_VARIABLE：用于局部变量。

3.3 自定义注解示例

下面是一个包含@Retention和@Target元注解的完整自定义注解示例：

import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
import java.lang.annotation.ElementType;

// 定义注解
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface MyAnnotation {
    String value();
    int number() default 0;
}

3.4 使用自定义注解

定义完注解后，可以在代码中使用它：

public class Test {
    @MyAnnotation(value = "Test method", number = 42)
    public void testMethod() {
        // 方法的具体实现
    }
}

3.5 通过反射读取注解

import java.lang.reflect.Method;

public class Main {
    public static void main(String[] args) throws Exception {
        Method method = Test.class.getMethod("testMethod");

        if (method.isAnnotationPresent(MyAnnotation.class)) {
            MyAnnotation annotation = method.getAnnotation(MyAnnotation.class);
            System.out.println("Value: " + annotation.value());
            System.out.println("Number: " + annotation.number());
        }
    }
}

4 Spring AOP简介

AOP（面向切面编程）是一种编程范式，允许在不改变业务逻辑代码的情况下，将横切关注点（如日志记录、事务管理、安全检查等）模块化。Spring AOP提供了多种定义和使用切面的方式：

1. 注解：使用@Aspect和相关注解（如@Before、@After、@Around等）定义切面和切点。
2. XML配置：在Spring配置文件中定义切面和切点，但现代开发中较少使用。

5 微服务架构下的鉴权基础

微服务架构由多个独立服务组成，服务间通讯、监控等聚合而成。其优点包括提高开发效率、增强可维护性、灵活技术选型、支持持续交付和部署、实现故障隔离、按需扩展等。

鉴权是对权限认证和授权控制，专业的鉴权框架有Spring Security和Shiro等。常见鉴权方式有：

1. 用户名和密码：传统鉴权方式，需注意密码存储和传输安全。
2. 多因素认证（MFA）：通过多种验证因素确认用户身份，如知识因子、拥有因子、生物因子。
3. OAuth（开放授权）：允许第三方应用以有限权限访问用户资源，常用于社交登录和API访问控制。
4. JWT（JSON Web Token）：基于JSON的开放标准，用于各方之间传递声明，包含用户信息和签名，可用于鉴权和授权，PmHub采用此方式鉴权。

6 PmHub中的鉴权认证实现

6.1 PmHub架构

PmHub采用微服务架构，有单独的认证服务pmhub-auth。请求分为通过API网关的请求和微服务内部请求。

6.2 PmHub中的认证

PmHub 采用微服务架构，其认证流程如下：

1. 登录请求转发
   用户发起登录请求，该请求先到达网关（如端口 8080 ）。网关根据配置的路由规则，将请求转发到认证中心服务pmhub - auth（如端口 6800 ） 。
2. 用户信息查询
   认证服务接收到登录请求后，依据用户输入的用户名，查询对应的用户信息。
3. 密码校验
   从Redis中获取密码相关信息（文中未明确密码存入Redis的过程，但逻辑上是从中获取用于校验 ），对用户输入的密码进行正确性校验。
4. 记录登录日志
   若密码校验通过，认证服务记录此次登录日志，留存登录相关信息。
5. 生成登录token
   认证服务生成JWT（JSON Web Token）字符串作为登录token ，JWT中包含用户信息、签名等内容。
6. 存储token至Redis
   将生成的JWT字符串存入Redis，并设置过期时间，以此维护用户登录状态及确定过期时间。
7. 返回token信息
   认证服务将生成的token信息返回给客户端。后续客户端携带该token进行请求时，系统会先去Redis检查JWT字符串是否存在，若存在则对其进行解析，能成功解析则认定用户已登录且身份合法 。

6.3 PmHub中的鉴权

6.3.1 外部请求

请求到达网关后，通过微服务的自定义请求头拦截器（放置在公共包，各服务可引用），配合自定义注解和AOP，拦截请求头获取用户和权限信息，有权限则放行，无权限则抛出异常。

6.3.2 内部请求

正常情况下内部请求无需鉴权，可以直接处理。但使用OpenFeign时，数据都是通过接口暴露出去的，为防止外部请求调用接口，采用自定义内部请求注解，AOP控制拦截，然后在内部请求调用的时候，额外加一个头字段加以区分。

PmHub做内部请求鉴权流程如下：

1. 自定义注解
   定义内部认证注解InnerAuth ，使用@Target(ElementType.METHOD)指定该注解用于方法上，@Retention(RetentionPolicy.RUNTIME)表示注解在运行时存在，可通过反射读取。注解包含元素isUser() ，用于标识是否校验用户信息，默认值为false 。代码如下：

/**
 * 内部认证注解
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface InnerAuth {
    /**
     * 是否校验用户信息
     */
    boolean isUser() default false;
}

2. AOP切面控制
   创建InnerAuthAspect类，实现Ordered接口 ，并使用@Aspect和@Component注解，将其定义为一个切面并纳入Spring容器管理。通过@Around("@annotation(innerAuth)")定义环绕通知，拦截标注了InnerAuth注解的方法。具体逻辑为：
   • 从请求头中获取FROM_SOURCE字段值，判断是否等于内部请求标识SecurityConstants.INNER ，若不相等，抛出InnerAuthException异常，提示没有内部访问权限。
   • 若配置了需校验用户信息（innerAuth.isUser()为true ），从请求头获取用户ID（DETAILS_USER_ID ）和用户名（DETAILS_USERNAME ），若二者有空白情况，抛出InnerAuthException异常，提示没有设置用户信息。
   • 若上述校验都通过，执行point.proceed()，放行请求，让目标方法正常执行。

代码如下：

/**
 * 内部服务调用验证处理
 */
@Aspect
@Component
public class InnerAuthAspect implements Ordered {
    @Around("@annotation(innerAuth)")
    public Object innerAround(ProceedingJoinPoint point, InnerAuth innerAuth) throws Throwable {
        String source = ServletUtils.getRequest().getHeader(SecurityConstants.FROM_SOURCE);
        // 内部请求验证
        if (!StringUtils.equals(SecurityConstants.INNER, source)) {
            throw new InnerAuthException("没有内部访问权限，不允许访问");
        }
        String userid = ServletUtils.getRequest().getHeader(SecurityConstants.DETAILS_USER_ID);
        String username = ServletUtils.getRequest().getHeader(SecurityConstants.DETAILS_USERNAME);
        // 用户信息验证
        if (innerAuth.isUser() && (StringUtils.isEmpty(userid) || StringUtils.isEmpty(username))) {
            throw new InnerAuthException("没有设置用户信息，不允许访问 ");
        }
        return point.proceed();
    }
}

3. OpenFeign请求拦截器处理
   实现feign.RequestInterceptor接口，创建FeignRequestInterceptor类，并使用@Component注解纳入Spring容器管理 。在apply(RequestTemplate requestTemplate)方法中：
   • 获取当前请求HttpServletRequest 。
   • 从请求头中提取用户ID（DETAILS_USER_ID ）、用户密钥（USER_KEY ）、用户名（DETAILS_USERNAME ）、认证信息（AUTHORIZATION_HEADER ）等信息，若存在则设置到RequestTemplate的请求头中，防止用户信息在OpenFeign调用时丢失。
   • 获取客户端IP，通过X-Forwarded-For头字段设置到请求头中。

代码如下：

/**
 * feign请求拦截器
 */
@Component
public class FeignRequestInterceptor implements RequestInterceptor {
    @Override
    public void apply(RequestTemplate requestTemplate) {
        HttpServletRequest httpServletRequest = ServletUtils.getRequest();
        if (StringUtils.isNotNull(httpServletRequest)) {
            Map<String, String> headers = ServletUtils.getHeaders(httpServletRequest);
            // 传递用户信息请求头，防止丢失
            String userId = headers.get(SecurityConstants.DETAILS_USER_ID);
            if (StringUtils.isNotEmpty(userId)) {
                requestTemplate.header(SecurityConstants.DETAILS_USER_ID, userId);
            }
            String userKey = headers.get(SecurityConstants.USER_KEY);
            if (StringUtils.isNotEmpty(userKey)) {
                requestTemplate.header(SecurityConstants.USER_KEY, userKey);
            }
            String userName = headers.get(SecurityConstants.DETAILS_USERNAME);
            if (StringUtils.isNotEmpty(userName)) {
                requestTemplate.header(SecurityConstants.DETAILS_USERNAME, userName);
            }
            String authentication = headers.get(SecurityConstants.AUTHORIZATION_HEADER);
            if (StringUtils.isNotEmpty(authentication)) {
                requestTemplate.header(SecurityConstants.AUTHORIZATION_HEADER, authentication);
            }
            // 配置客户端IP
            requestTemplate.header("X-Forwarded-For", IpUtils.getIpAddr());
        }
    }
}

7 总结

本文围绕PmHub展开，介绍了Java注解的概念、实现，Spring AOP的方式。阐述微服务架构下鉴权基础，详细说明PmHub的鉴权认证流程，包括认证、外部及内部请求鉴权，旨在助力开发者理解和实现系统安全功能。

8 参考链接

1. PmHub自定义注解加 AOP 实现服务接口鉴权和内部认证
2. 项目仓库（GitHub）
3. 项目仓库（码云）：（国内访问速度更快）