一、背景介绍

任何一个软件系统，都不可避免的会碰到【信息安全】这个词，尤其是对于刚入行的新手，比如我，我刚入行的时候，领导让我做一个数据报表导出功能，我就按照他的意思去做，至于谁有权限操作导出，导出的数据包含敏感信息应该怎么处理，后端接口是不是做了权限控制防止恶意抓取，这些问题我基本上不关心，我只想一心一意尽快实现需求，然后顺利完成任务交付。

实际上，随着工作阅历的增加，你会越来越能感觉到，实现业务方提的需求，只是完成了软件系统研发中的【能用】要求；服务是否【可靠】可能需要从架构层和运维方面去着手解决；至于是否【安全】、更多的需要从【信息安全】这个角度来思考，尤其是当我们的软件系统面对外界的恶意干扰和攻击时，是否依然能保障用户正常使用，对于大公司，这个可能是头等大事，因为可能一个很小很小的漏洞，一不小心可能会给公司带来几千万的损失！

最常见的就是电商系统和支付系统，尤其是需求旺季的时候，经常有黑客专门攻击这些电商系统，导致大量服务宕机，影响用户正常下单。像这样的攻击案例每天都有，有的公司甚至直接向黑客气妥，给钱消灾！

但是这种做法肯定不是长久之计，最重要的还是主动提升系统的【安全】防御系数。由于信息安全所涉及的要求内容众多，在这里仅仅介绍其中关于【审计日志】的要求和具体应用。

【审计日志】简单的说就是系统需要记录谁，在什么时间，对什么数据，做了什么样的更改！这个日志数据是极其珍贵的，后面如果因业务操作上出了问题，可以很方便进行操作回查。

二、方案实践

实现【审计日志】这个需求，我们有一个很好的技术解决方案，就是使用Spring的切面编程，创建一个代理类，利用afterReturning和afterThrowing方法来实现日志的记录。

2.1 创建表和引入依赖

先创建一张审计日志表，如下所示：

DROP TABLE IF EXISTS `tb_audit_log`;CREATE TABLE `tb_audit_log` (  `id` BIGINT(20) NOT NULL COMMENT '审计日志，主键ID',  `table_name` VARCHAR(500) DEFAULT '' COMMENT '操作的表名，多个用逗号隔开',  `operate_desc` VARCHAR(200) DEFAULT '' COMMENT '操作描述',  `request_param` VARCHAR(200) DEFAULT '' COMMENT '请求参数',  `result` INT(10) DEFAULT NULL COMMENT '执行结果，0:成功，1:失败',  `ex_msg` VARCHAR(200) DEFAULT '' COMMENT '异常信息',  `user_agent` TEXT COMMENT '用户代理信息',  `ip_address` VARCHAR(32) NOT NULL DEFAULT '' COMMENT '操作时设备IP',  `ip_address_name` VARCHAR(32) DEFAULT '' COMMENT '操作时设备IP所在地址',  `operate_time` DATETIME NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT '操作时间',  `operate_user_id` VARCHAR(32) DEFAULT '' COMMENT '操作人ID',  `operate_user_name` VARCHAR(32) DEFAULT '' COMMENT '操作人',  PRIMARY KEY (`id`)) ENGINE=INNODB DEFAULT CHARSET=utf8 COMMENT='审计日志表';

当前Spring Boot的版本为2.1.3，mybatis-plus的版本为3.5.3.1，在pom.xml文件中引入下述依赖：

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-aop</artifactId></dependency><dependency><groupId>com.baomidou</groupId><artifactId>mybatis-plus-boot-starter</artifactId><version>3.5.3.1</version></dependency><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId><version>8.0.33</version></dependency>

2.2 自定义注解 

然后编写一个注解类，如下所示：

import java.lang.annotation.Documented;import java.lang.annotation.ElementType;import java.lang.annotation.Retention;import java.lang.annotation.RetentionPolicy;import java.lang.annotation.Target;@Retention(RetentionPolicy.RUNTIME)@Target({ElementType.TYPE,ElementType.METHOD})@Documentedpublic @interface SystemAuditLog {    /**     * 操作的表名     * @return     */    String tableName() default "";    /**     * 日志描述     * @return     */    String description() default "";}

2.3 构建切面类 

import cn.hutool.core.util.IdUtil;import cn.hutool.core.util.ObjectUtil;import cn.hutool.json.JSONUtil;import com.example.demo.annotation.SystemAuditLog;import com.example.demo.dto.BaseRequest;import com.example.demo.entity.AuditLog;import com.example.demo.serivice.impl.SystemAuditLogService;import org.aspectj.lang.JoinPoint;import org.aspectj.lang.annotation.After;import org.aspectj.lang.annotation.AfterReturning;import org.aspectj.lang.annotation.AfterThrowing;import org.aspectj.lang.annotation.Aspect;import org.aspectj.lang.annotation.Before;import org.aspectj.lang.annotation.Pointcut;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.stereotype.Component;import org.springframework.web.context.request.RequestAttributes;import org.springframework.web.context.request.RequestContextHolder;import org.springframework.web.context.request.ServletRequestAttributes;import javax.servlet.http.HttpServletRequest;import java.lang.reflect.Method;import java.util.Date;@Component@Aspectpublic class SystemAuditLogAspect {    @Autowired    private SystemAuditLogService systemAuditLogService;    /**     * 定义切入点，切入所有标注此注解的类和方法     *     * @annotation(com.example.demo.annotation.SystemAuditLog)： 表示将匹配所有带有@SystemAuditLog注解的方法。     * ‌@within(com.example.demo.annotation.SystemAuditLog)‌：这个表达式的含义是匹配所有在特定注解的类中的方法，不管这个方法本身有没有这个注解。     * 具体来说，@within(com.foo.MyAnnotation)将匹配所有在带有@MyAnnotation注解的类中的方法。     * 这意味着，只要类上有指定的注解，那么该类中的所有方法都会被匹配，无论这些方法本身是否带有该注解。     */    @Pointcut("@within(com.example.demo.annotation.SystemAuditLog) || @annotation(com.example.demo.annotation.SystemAuditLog)")    public void methodAspect() {    }    /**     * 方法调用前拦截     *     * @Before：前置通知，在目标方法执行之前执行     */    @Before("methodAspect()")    public void before(){        System.out.println("SystemAuditLog代理 -> 调用方法执行之前......");    }    /**     * 方法调用后拦截     *     * @After：后置通知，在目标方法执行之后执行，无论目标方法是否抛出异常。     */    @After("methodAspect()")    public void after(){        System.out.println("SystemAuditLog代理 -> 调用方法执行之后......");    }    /**     * 调用方法结束拦截     *     * @AfterReturning：返回通知，在目标方法成功执行后执行，即目标方法返回结果后。     */    @AfterReturning(value = "methodAspect()")    public void afterReturning(JoinPoint joinPoint) throws Exception {        System.out.println("SystemAuditLog代理 -> 调用方法结束拦截......");        //封装数据        AuditLog entity = warpAuditLog(joinPoint);        entity.setResult(0);        //插入到数据库        systemAuditLogService.add(entity);    }    /**     * 抛出异常拦截     *     * @AfterThrowing：异常通知，在目标方法抛出异常后执行。     */    @AfterThrowing(value="methodAspect()", throwing="ex")    public void afterThrowing(JoinPoint joinPoint, Exception ex) throws Exception {        System.out.println("SystemAuditLog代理 -> 抛出异常拦截......");        //封装数据        AuditLog entity = warpAuditLog(joinPoint);        entity.setResult(1);        //封装错误信息        entity.setExMsg(ex.getMessage());        //插入到数据库        systemAuditLogService.add(entity);    }    /**     * 封装插入实体     */    private AuditLog warpAuditLog(JoinPoint joinPoint) throws Exception {        //获取请求上下文        HttpServletRequest request = getHttpServletRequest();        //获取注解上的参数值        SystemAuditLog systemAuditLog = getServiceMethodDescription(joinPoint);        //获取请求参数        Object requestObj = getServiceMethodParams(joinPoint);        //封装数据        AuditLog auditLog = new AuditLog();        auditLog.setId(IdUtil.getSnowflakeNextId());        //从请求上下文对象获取相应的数据        if(ObjectUtil.isNotEmpty(request)){            auditLog.setUserAgent(request.getHeader("User-Agent"));            //获取登录时的ip地址            //auditLog.setIpAddress(IpAddressUtil.getIpAddress(request));            auditLog.setIpAddress("192.168.1.75");            //调用外部接口，获取IP所在地            //auditLog.setIpAddressName(IpAddressUtil.getLoginAddress(auditLog.getIpAddress()));            auditLog.setIpAddressName("广州");        }        //封装操作的表和描述        if(ObjectUtil.isNotEmpty(systemAuditLog)){            auditLog.setTableName(systemAuditLog.tableName());            auditLog.setOperateDesc(systemAuditLog.description());        }        //封装请求参数        auditLog.setRequestParam(JSONUtil.toJsonStr(requestObj));        //封装请求人        if(ObjectUtil.isNotEmpty(requestObj) && requestObj instanceof BaseRequest){            auditLog.setOperateUserId(((BaseRequest) requestObj).getLoginUserId());            auditLog.setOperateUserName(((BaseRequest) requestObj).getLoginUserName());        }        auditLog.setOperateTime(new Date());        return auditLog;    }    /**     * 获取当前的request     * 这里如果报空指针异常是因为单独使用spring获取request     * 需要在配置文件里添加监听     *     * 如果是spring项目，通过下面方式注入     * <listener>     * <listener-class>     * org.springframework.web.context.request.RequestContextListener     * </listener-class>     * </listener>     *     * 如果是springboot项目，在配置类里面，通过下面方式注入     * @Bean     * public RequestContextListener requestContextListener(){     *     return new RequestContextListener();     * }     */    private HttpServletRequest getHttpServletRequest(){        RequestAttributes ra = RequestContextHolder.getRequestAttributes();        ServletRequestAttributes sra = (ServletRequestAttributes)ra;        HttpServletRequest request = sra.getRequest();        return request;    }    /**     * 获取请求对象     *     */    private Object getServiceMethodParams(JoinPoint joinPoint) {        Object[] arguments = joinPoint.getArgs();        if(ObjectUtil.isNotEmpty(arguments) && arguments.length > 0){            return arguments[0];        }        return null;    }    /**     * 获取自定义注解里的参数     *     * @param joinPoint     * @return 返回注解里面的日志描述     * @throws Exception     */    private SystemAuditLog getServiceMethodDescription(JoinPoint joinPoint) throws Exception {        //类名        String targetName = joinPoint.getTarget().getClass().getName();        //方法名        String methodName = joinPoint.getSignature().getName();        //参数        Object[] arguments = joinPoint.getArgs();        //通过反射获取示例对象        Class targetClass = Class.forName(targetName);        //通过实例对象方法数组        Method[] methods = targetClass.getMethods();        for(Method method : methods) {            //判断方法名是不是一样            if(method.getName().equals(methodName)) {                //对比参数数组的长度                Class[] clazzs = method.getParameterTypes();                if(clazzs.length == arguments.length) {                    //获取注解里的日志信息                    return method.getAnnotation(SystemAuditLog.class);                }            }        }        return null;    }}

2.4 创建实体类

import com.baomidou.mybatisplus.annotation.TableName;import lombok.Data;import java.util.Date;@Data@TableName("tb_audit_log")public class AuditLog {    /**     * 审计日志，主键ID     */    private Long id;    /**     * 操作的表名，多个用逗号隔开     */    private String tableName;    /**     * 操作描述     */    private String operateDesc;    /**     * 请求参数     */    private String requestParam;    /**     * 执行结果，0:成功，1:失败     */    private Integer result;    /**     * 异常信息     */    private String exMsg;    /**     * 请求代理信息     */    private String userAgent;    /**     * 操作时设备IP     */    private String ipAddress;    /**     * 操作时设备IP所在地址     */    private String ipAddressName;    /**     * 操作时间     */    private Date operateTime;    /**     * 操作人ID     */    private String operateUserId;    /**     * 操作人     */    private String operateUserName;}

import lombok.Data;import java.io.Serializable;@Datapublic class BaseRequest implements Serializable {    /**     * 请求token     */    private String token;    /**     * 登录人ID     */    private String loginUserId;    /**     * 登录人姓名     */    private String loginUserName;}

import lombok.Data;@Datapublic class UserLoginDTO extends BaseRequest {    /**     * 用户名     */    private String userName;    /**     * 密码     */    private String password;}

2.5 构建Mapper接口

import com.baomidou.mybatisplus.core.mapper.BaseMapper;import org.springframework.stereotype.Repository;@Repositorypublic interface AuditLogMapper extends BaseMapper<AuditLog> {}

2.6 创建服务实现类 

import cn.hutool.json.JSONUtil;import lombok.extern.slf4j.Slf4j;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.stereotype.Service;@Slf4j@Servicepublic class SystemAuditLogService {    @Autowired    private AuditLogMapper auditLogMapper;    public void add(AuditLog entity ){        log.info("保存入库：{}", JSONUtil.toJsonStr(entity));        auditLogMapper.insert(entity);    }}

2.7 创建Controller

最后，只需要在对应的接口或者方法上添加审计日志注解即可：

import com.example.demo.annotation.SystemAuditLog;import com.example.demo.dto.UserLoginDTO;import org.springframework.web.bind.annotation.PostMapping;import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RestController;@RestController@RequestMapping("api")public class LoginController {    /**     * 用户登录，添加审计日志注解     */    @SystemAuditLog(tableName = "tb_user", description = "用户登录")    @PostMapping("login")    public void login(UserLoginDTO request){        //登录逻辑处理    }}

三、小结

整个程序的实现过程，主要使用了 Spring AOP 特性，对特定方法进行前、后拦截，从而实现业务方的需求。