使用spring aop实现URL地址参数权限控制

最新推荐文章于 2024-04-18 10:13:05 发布
最新推荐文章于 2024-04-18 10:13:05 发布
阅读量2.6k 收藏
点赞数
分类专栏: javaEE spring 文章标签: spring aop 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mzone2020/article/details/44538093
版权

我们传统的权限控制,一般是通过给角色分配一个URL,从而控制不同角色访问不同URL地址,但这往往只能控制到整个URL的访问权限,并未能根据URL中的参数的变化而动态控制访问的权限。

比如访问个人信息的链接通常为:http://192.168.1.110/web/sys/user.do?userId=1101,在做权限分配时,我们通常都是直接将 http://192.168.1.110/web/sys/user.do 的访问权分配给所有角色,以方便用户可以查看自己的个人信息,但这样会造成的问题显而易见,如果我知道了其他用户的userId,或者我直接就随便改个userId,我就可以访问到对应的用户信息了,这样很不安全。

解决的思路可以是这样:开发一个URL拦截功能,可以配置需要拦截的URL地址以及需要拦截的参数,再编写一个groovy脚本,结合拦截到的参数去判断当前用户是否有权访问此URL,结合spring 提供的AOP特性,我们可以拦截所有的控制层访问,在访问前检查是否需要拦截,如果需要拦截,则将URL中的参数取出来,结合groovy脚本进行权限的判断。

示例:

URL:http://192.168.1.110/web/sys/user.do

参数:userId

脚本:Object userId = map.get("userId"); // map是在AOP中构建的参数键值对

   if(BeanUtils.isEmpty(userId)) return false;// 没有权限

   // 如果当前登陆用户与参数中的用户ID一致,则有权访问

  return userId.equals(CurrentUserUtil.getCurrentUserId());


在这里只是举了一个简单的例子说明此功能的作用,我们还可以将其他运用到其他场景,比如说表单的访问权限,我们可以根据表单分类,给不同角色分配访问权限,然后在在访问表单详细页面的时候,我们可以拦截表单的ID,获取表单分类,再去查看当前用户是否有权限可以访问该表单分类等等……   

芒果先生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro动态URL权限控制
01-16
1 / 10 shiro动态URL权限控制 用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL时进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制,不过需要稍微改造下来满足实际需求。不过在Shiro中,更多的是通过AOP进行分散的权限控制,即方法级别的;而通过URL进行权限控制是一种集中的权限控制。本章将介绍如何在Shiro中完成动态URL权限控制
post请求的url可以携参数
qq_44761854的博客
12-23 5352
可以的,可以url和body参数同时
java请求url可以参数
weixin_34329187的博客
10-27 326
/** * * @param urlStr * url * @param content * 提交的参数 * @param encoding * 编码格式 * @return */ public static ...
使用URL参数+Controls层实现网站用户权限管理
yaoyaoopen的专栏
08-14 785
昨天去杭州的信诺科技面试,被问到一个关于用户权限管理的问题,当时做了一个些简单的回答以后,自己又好好的想了想自己曾使用过的一种网站用户权限管理方法,就是本人原创的使用URL参数+Controls层实现网站用户权限的方式,我本人感觉很不错,所以向大家介绍一下,也可以讨论一下,下面我先列举一些常用的用户权限管理实现的方法,然后再介绍我自己原创的使用URL参数+Controls层实现网站用户权限的方法。
基于URL实现权限控制
GetStudyMessages的专栏
10-30 1万+
最近一直在做毕业设计的后台管理模块。很早以前就想写一篇关于权限控制的文章,苦于一直不理解如何用URL实现。以至于当初设计数据库和编写页面实现的时候都没有将权限URL考虑进去,当时只想直接匹配权限的名称就可以了。直到前几天在JavaEye论坛上看到了一篇题为《一个简易实用的web权限管理模块的应用与实现》的文章才对基于URL权限控制有了较深的认识。加上之前一直在用另一种方法来实现相同功能,所以这
设置和修改url的某个参数值的方法
程序媛的博客
09-21 1532
修改url某个参数
SpringMvc (二) 通过URL限定:URL表达式/模拟请求方法/注解绑定方法参数/入参方式
雨一直下、、
01-17 1284
1.url 通配符 的 使用 (/,/**/,?,/{PathVariableName},等)/user/*/createUser 匹配/user/aaa/createUser、/user/bbb/createUser等URL。/user/**/createUser 匹配/user/createUser、/user/aaa/bbb/createUser等URL。/user/creat
SpringBoot】73、SpringBoot中使用AOP+反射将URL参数映射到实体入参
热门推荐
Asurplus
12-07 20万+
我们有时候的全局参数是根据 URL 传递的,例如:token、timestamp 等,我们需要获取 URL 上的参数进行处理,但又需要跟随这实体参数进行传递,手动赋值显得不够智能,所以通过 AOP + 反射的方式对其进行自动注入
权限AOP(AuthorityAop)实现RBAC方法各角色权限访问
gg1229505432的博客
12-15 1320
源码地址:四组项目: 青城博雅四组 视频讲解:基于SpringBoot的权限字符串和AOP注解拦截验证权限字符串以及布隆过滤器的使用问题_哔哩哔哩_bilibili 首先写注解 package com.fourthgroup.schoolmanagementsystem.annonation; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.a
easyShiro:使用shiro+springboot+mybatis实现登录和权限管理(AOP自定义注解)
05-14
easyShiro使用shiro+springboot+mybatis实现简单的登录和权限管理,使用自定义权限注解实现权限管理。数据库表user字段名示例id1username1password1数据库表auth字段名示例id1username1roleuserpermissionuser:hi...
HappyCat:这是一个比较完整的项目(尽管功能很简单),校实习项目的时候做的,一个笑话共享平台,只完成了基本的功能(后面重复的编码太无聊,达到学校要求的工作量就停止了,,你懂得)。但是麻雀虽小,五脏俱全。技术栈:maven项目管理,Spring + SpringMVC + Mybatis + Druid + Log4j + Shiro。其中,权限管理细化到每个URL,日志记录使用Spring AOP。也是自己随便搞搞,管理员页面使用了Super-ui开源框架,首页面支持响应式,手机浏览器打开可以实现
03-23
HappyCat:这是一个比较完整的项目(尽管功能很简单)...其中,权限管理细化到每个URL,日志记录使用Spring AOP。也是自己随便搞搞,管理员页面使用了Super-ui开源框架,首页面支持响应式,手机浏览器打开可以实现自适应
spring security 参考手册中文版
02-01
使用Spring 4.0.x和Gradle 24 2.4.3项目模块 25 核心 - spring-security-core.jar 25 远程处理 - spring-security-remoting.jar 25 Web - spring-security-web.jar 25 配置 - spring-security-config.jar 26 LDAP - ...
Spring面试题
05-06
4.容器提供了AOP技术,利用它很容易实现权限拦截,运行期监控等功能 5.容器提供了众多的辅助类,能加快应用的开发 6.spring对于主流的应用框架提供了集成支持,如hibernate,JPA,Struts等 7.spring属于低侵入...
Spring Security管理下的ajax请求登录超时问题处理
芒果先生
11-06 3883
在系统中通常有这样的情况, 在系统中通常有这种情况,我们在发送ajax请求时,由于长时间没操作系统,用户登录的session超时了,因此通过ajax得到的结果,直接就是登录页面的html代码,但浏览器并没有跳转到登录页面或者提示用户登录超时
JMS原理说明
芒果先生
03-22 895
JMS原理说明
实际开发使用中缓存的使用
芒果先生
03-22 758
实际开发中缓存的设计及使用,以及memcached和Redis的小小比较
怎么在 Spring 服务响应时控制响应时间?
最新发布
Itmastergo的博客
04-18 698
Spring应用程序中控制服务响应时间是确保系统性能和用户体验的关键方面之一。在处理请求时,响应时间是指从客户端发送请求到服务端返回响应所花费的时间。在某些情况下,需要对响应时间进行控制,以确保系统能够及时响应用户请求,并且不会因为响应时间过长而影响用户体验。
springboot 文件上传Linux环境报错
标竿人生的专栏
04-16 207
程序部署到Linux环境下,文件上传报错,这是因为服务器编码问题。
SpringSecurity实现权限控制
08-03
Spring Security中,权限控制可以通过四种常见的方式实现:[1]。其中,常见的方式包括基于URL权限控制和基于方法的权限控制。基于URL权限控制是通过配置URL的访问规则来限制用户的访问权限。而基于方法的权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值