先描述一下应用场景，基于Spring MVC的WEB程序，需要对每个Action进行权限判断，当前用户有权限则允许执行Action，无权限要出错提示。权限有很多种，比如用户管理权限、日志审计权限、系统配置权限等等，每种权限还会带参数，比如各个权限还要区分读权限还是写权限。

想实现统一的权限检查，就要对Action进行拦截，一般是通过拦截器来做，可以实现HandlerInterceptor或者HandlerInterceptorAdapter，但是每个Action都有不同的权限检查，比如getUsers要用户管理的读权限，deleteLogs要日志审计的写权限，只定义一个拦截器很难做到，为每种权限定义一个拦截器又太乱，此时可以通过自定义注解来标明每个Action需要什么权限，然后在单一的拦截器里就可以统一检查了。

具体这么做，先实现一个自定义注解，名叫AuthCheck：

package com.lwq.controller;

import java.lang.annotation.Documented;

import java.lang.annotation.Inherited;

import java.lang.annotation.Retention;

import java.lang.annotation.Target;

import java.lang.annotation.ElementType;

import java.lang.annotation.RetentionPolicy;

@Documented

@Target(ElementType.METHOD)

@Inherited

@Retention(RetentionPolicy.RUNTIME)

public @interface AuthCheck {

/**

    * 权限类型

    * @return

    */

    String type()default "";

/**

    * 是否需要写权限

    * @return

    */

    boolean write()default false;

}

具体可根据需要来定义类型，此处只建立两个

这个注解里包含2个属性，分别用于标定权限的类型与读写要求。然后为需要检查权限的Action加注解，此处以getUsers和deleteLogs为例，前者要求对用户管理有读权限，后者要求对日志审计有写权限，注意@AuthCheck的用法：

然后定义权限拦截代码

package com.lwq.controller;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.springframework.web.method.HandlerMethod;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

/**

* 全局拦截器

*/

public class ActionTestInterceptorimplements HandlerInterceptor {

/**

    * 前置拦截，用于检查身份与权限

    */

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)throws Exception {

//从传入的handler中检查是否有AuthCheck的声明

        HandlerMethod method = (HandlerMethod)handler;

AuthCheck auth = method.getMethodAnnotation(AuthCheck.class);

//找到了，取出定义的权限属性，结合身份信息进行检查

if(auth !=null) {

            String type = auth.type();

            boolean write = auth.write();

            //根据type与write，结合session/cookie等身份信息进行检查

            //如果权限检查不通过，可以输出特定信息、进行跳转等操作

            //并且一定要return false，表示被拦截的方法不用继续执行了

            if(!"user".equals(type)){

                    //具体根据业务去查询，比如数据查询出来之后与type和write进行比较，注意：对比失败一定要返回false

                    return false;

            }

}

//检查通过，返回true，方法会继续执行

        return true;

}

@Override

    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView model)throws Exception {

}

@Override

    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception exception)throws Exception {

}

}

最后要实现拦截器：

注意 要声明拦截器的拦截路径，不然无法实现拦截功能

package com.lwq.controller;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

/**

* 拦截器配置

* Created by gaocl on 16-3-1.

*/

@Configuration

public class InterceptorConfigextends WebMvcConfigurerAdapter {

//注入需要拦截的类

   @Bean

    public ActionTestInterceptor logInterceptor() {

             return new ActionTestInterceptor();

     }

   @Override

    public void addInterceptors(InterceptorRegistry registry) {

                //配置拦截路径，运行访问即可生效

              registry.addInterceptor(logInterceptor()).addPathPatterns("/**");

     }

}