spring拦截器实现登录与权限管理

最新推荐文章于 2023-02-20 16:33:37 发布
最新推荐文章于 2023-02-20 16:33:37 发布
阅读量674 收藏 3
点赞数
分类专栏: 项目笔记 文章标签: spring 拦截器 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Carlson_Chis/article/details/97126679
版权

目 录

1.0 前言

最近接触了公司项目的登陆模块,感觉相关技术的运用比我先前用shiro实现的登录更加简洁轻便,实现相关功能之后,做个summary。相关技术包括spring拦截器,自定义注解

2.0 登录实现

我这里就不贴LoginController.java跟login.html等相关页面了,也不贴用户,角色,权限相关了,比较偏题,自由发挥。我这是用户关联角色,角色关联菜单,把菜单当作权限管理,然后通过角色实现相关url的权限管理

2.1 定义相关注解

允许匿名访问注解

/**
 * 是否允许匿名
 * <p>
 * Copyright (c) 2018 Choice, Inc.
 * All Rights Reserved.
 * Choice Proprietary and Confidential.
 *
 * @author duhuo
 * @since 2018年03月27日
 */
@Target({ElementType.PARAMETER,ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface AllowAnonymous {
}

权限放行注解

/**
 * 用于admin拦截器放行其他角色使用权限
 * <p>
 * Copyright (c) 2018 Choice, Inc.
 * All Rights Reserved.
 * Choice Proprietary and Confidential.
 *
 * @author duhuo
 * @since 2018年12月24日
 */
@Target({ElementType.PARAMETER,ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface RolesAuth {
    String roleCodes();
}

2.2 创建LoginInterceptor 实现 HandlerInterceptor

/**
 * 权限拦截器
 * <p>
 * Copyright (c) 2018 Choice, Inc.
 * All Rights Reserved.
 * Choice Proprietary and Confidential.
 *
 * @author duhuo
 * @since 2018年05月18日
 */
@Component
public class LoginInterceptor implements HandlerInterceptor {
    private static final Logger logger = LoggerFactory.getLogger(LoginInterceptor.class);

    // 进入方法前,返回false未通过拦截,返回true通过拦截,在定义false时需要定义一些处理方式,可以设置重定向
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object methodHandler) throws Exception {
        AllowAnonymous allowAnonymous = ((HandlerMethod)methodHandler).getMethodAnnotation(AllowAnonymous.class);
        if (allowAnonymous != null) {
            // 允许匿名访问,放行
            logger.info("【匿名访问,】");
            return true;
        }
        HttpSession session = request.getSession();
        // 获取session值
        Object oper = session.getAttribute("oper");
        if (oper == null) {
            response.sendRedirect("/login");
            return false;
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }

    // 结束返回
    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }
}

2.3 创建WebMvcConfig继承WebMvcConfigurerAdapter

@Configuration
@EnableWebMvc
public class WebMvcConfig extends WebMvcConfigurerAdapter {

    @Autowired
    private LoginInterceptor loginInterceptor;

    @Autowired
    private AdminInterceptor adminInterceptor;

    public void configurePathMatch(PathMatchConfigurer configurer) {
        super.configurePathMatch(configurer);
    }

    public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
        super.configureMessageConverters(converters);
        FastJsonHttpMessageConverter4 fastConverter = new FastJsonHttpMessageConverter4();
        FastJsonConfig fastJsonConfig = new FastJsonConfig();
        fastJsonConfig.setSerializerFeatures(
                SerializerFeature.PrettyFormat,
                SerializerFeature.WriteNullStringAsEmpty,
                SerializerFeature.WriteNullBooleanAsFalse,
                SerializerFeature.WriteNullListAsEmpty,
                SerializerFeature.WriteNullNumberAsZero,
                SerializerFeature.BrowserCompatible
        );
        fastJsonConfig.setDateFormat("yyyy-MM-dd HH:mm:ss");
        fastConverter.setFastJsonConfig(fastJsonConfig);
        converters.add(fastConverter);
    }

    /**
     * 配置拦截器
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginInterceptor).excludePathPatterns("/user-login", "/login", "/logout", "/fegin/message-sms/**", "/app/**");
        // 登录拦截器

        // admin拦截器
//        registry.addInterceptor(adminInterceptor).excludePathPatterns("/user-login", "/login", "/appadmin/**", "/merchant-admin/**", "/logout", "/fegin/message-sms/**", "/app/**");

        super.addInterceptors(registry);
    }

    // 跨域支持
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("PUT", "DELETE", "GET", "POST", "OPTIONS")
                .allowedHeaders("*")
                .allowCredentials(false).maxAge(3600);
    }
	// 映射资源路径
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
     	// 第一个方法资源访问路径前缀,第二个方法设置资源路径
        registry.addResourceHandler("/assets/**").addResourceLocations("classpath:/static/assets/");
    }

}

此处注意几点

  • registry.addInterceptor(loginInterceptor),这一步是添加先前我们自己定义的拦截器。
  • registry.excludePathPatterns("/user-login", “/login”, “/logout”, “/fegin/message-sms/", "/app/”) 这一步是添加放行路径,访问这些url不会被拦截,这里有个坑,springBoot1.X版本的拦截器默认不拦截静态资源(static下面的资源),但是springBoot2.0版本的拦截器默认拦截静态资源,所以你要是使用2.X版本,此处需添加静态资源路径。
  • 你访问的页面里,可能访问了别的资源,但是这些资源有没有放行,所以会报错,所以放行资源还是要设置好。

到这里就实现了登陆相关,但是这还是不够的,因为在不同的角色下所能访问到的资源是不同的,我这虽然通过角色管理了菜单,但是还是能够url访问到一些不愿意暴露的接口,所以接下来就是权限管理了。

3.0 权限管理

在这里先理一下拦截器的流程,首先需要明白spring的拦截器略微区别于servlet的过滤器,两者差别不大,一个依赖spring坐拥spring全家桶,能够获取ioc的相关支持,能够获取到容器中的bean;一个依赖servlet,存在依赖于servlet容器,在spring项目中少了很多优势。然后在自定义拦截器的时候,主要分为两步,

  • 1,实现 HandlerInterceptor 接口,同步骤2.2;
  • 2,前端映射器注册拦截器 ,同步骤2.3;

一般出问题在第二步,资源管理放行这一块,需要做到,功能尚未实现,代码务必谨慎。

3.1 定义管理员拦截器

管理员拦截器

**
 * 超级管理员拦截器, 拦截除应用管理员及机构管理员除外
 * <p>
 * Copyright (c) 2018 Choice, Inc.
 * All Rights Reserved.
 * Choice Proprietary and Confidential.
 *
 * @author duhuo
 * @since 201812/21
 */
@Component
public class AdminInterceptor implements HandlerInterceptor {
    private static final Logger logger = LoggerFactory.getLogger(AdminInterceptor.class);

    // 进入方法前
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object methodHandler) throws Exception {

        AllowAnonymous allowAnonymous = ((HandlerMethod)methodHandler).getMethodAnnotation(AllowAnonymous.class);
        if (allowAnonymous != null) {
            // 允许匿名访问,放行
            logger.info("【匿名访问,】");
            return true;
        }
        HttpSession session = request.getSession();
        // session中获取角色信息,需要在登陆的时候将用户角色信息存进session
        Object role = session.getAttribute("roles");
        if (role == null) {
            response.sendRedirect("/error-page?errorMessage=auth error!!!");
            return false;
        }
        String roles = (String)role;
        // 判断该方法是否允许其他角色使用,配合最早定义的相关注解使用,若注解中包含该角色,则可以访问,否则权限错误
        RolesAuth rolesAuth = ((HandlerMethod) methodHandler).getMethodAnnotation(RolesAuth.class);
        if (rolesAuth != null) {
            rolesAuth.roleCodes().split(",");
            for (String roleCode : rolesAuth.roleCodes().split(",")) {
                if (roles.indexOf(roleCode) != -1) {
                    return true;
                }
            }
        }
        // admin用户可以访问
        if (roles.indexOf("admin") == -1) {
            // 判断是否是ajax请求 application/x-www-form-urlencoded; charset=UTF-8
            String contentType = request.getHeader("Content-Type");
            if (StrUtil.isNotEmpty(contentType) && contentType.equals("application/x-www-form-urlencoded; charset=UTF-8")) {
                // ajax 返回
                response.setContentType("applation/json; charset=UTF-8");
                ApiResult<String> stringApiResult = new ApiResult<>("", false, "权限错误!!!");
                response.getWriter().write(JSON.toJSONString(stringApiResult));
                return false;
            } else {
                response.sendRedirect("/error-page?errorMessage=auth error!!!");
            }
            return false;
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }

    // 结束返回
    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }
}

此处拦截器主要包括三个功能,一个是匿名访问,一个是被相关注解标记过的接口可被对应角色访问,最后一个是设置管理员可访问。

3.2 前端映射器添加admin拦截器

将之前创建的映射器里的注解打开即可

 // admin拦截器
       registry.addInterceptor(adminInterceptor).excludePathPatterns("/user-login", "/login", "/appadmin/**",

在配置完拦截器之后,检查放行资源路径。此处需要知道,注册的拦截器自上而下执行,此处定义了两个拦截器,一个登录,一个权限管理,在通过第一个拦截器后会返回true否则false,然后执行第二个拦截器里的内容,这点跟servlet里过滤器里的chain差不多。

3.3 controller 添加相关注解

例:
在这里插入图片描述
到这就实现了权限管理,代码不是特别难,思路比较重要,把握好细节基本没问题。

另外申明一点: 本人菜鸟,代码参考自公司大佬,所以比较片面,甚至一些地方会有描述不恰当或是错误,请指正,也欢迎朋友一块讨论。。。。

Carlson_Chis
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
拦截,利用拦截进行登陆权限控制
while(True): print('adorable')
09-07 1212
拦截登录权限控制demo1. 拦截demo2. 登录权限控制 地址: https://github.com/sevenyoungairye/spring-mvc-interceptor 1. 拦截demo 什么是拦截 拦截基于是aop思想实现的。 针对controller里面的目标方法进行拦截。 对比过滤是过滤所有请求,及静态资源。 创建拦截 实现HanlderInceptro接口 拦截1 package cn.bitqian.interceptor; import org.s
springmvc拦截实现权限管理
筑梦的博客
08-19 861
一:配置pringmvc拦截,如果分为很多web项目模块,则每个项目maven引入一个common模块,拦截class指向common的拦截实现: 二:实现pringmvc拦截实现handlerInterceptor接口,共有三个实现:prehandle(执行handler之前执行,正常把逻辑写这里),posthandle(在handler返回modleandview之前执行,
Spring MVC】教程——使用拦截实现权限控制
咖啡爬虫
03-25 4331
这几天在整理mvc的拦截的一些知识,分享下拦截来控制不同角色的权限的项目
拦截-案例用户登录权限控制
QAQ
01-21 194
登录方法就不要拦截了,因为你点了登录但是拦截拦截你说你还没登录,搁着不是搞笑吗,我就是想登录才按了登录,结果你拦截我了。得排除登录方法(静态资源不会被拦截的)
Spring MVC:拦截】 介绍,简例,登陆权限拦截
Zhou_LC的博客
04-10 237
文章目录拦截一、介绍二、自定义拦截测试 拦截 一、介绍 二、自定义拦截 测试 1、控制 @RestController public class MyController { @RequestMapping("i1") public String i1() { System.out.println("=====执行方法i1====="); return "ok"; } } 2、自定义拦截,必须实现 HandlerInterceptor
Spring MVC 拦截实现登录
08-30
Spring MVC 拦截实现登录 Spring MVC 框架中提供了拦截(Interceptor)机制,该机制允许开发者在请求处理之前、之中和之后执行自定义的逻辑。拦截是一种可拔插式的设计,开发者可以根据需要选择是否应用某个...
Spring MVC实现登录拦截代码分享
08-29
Spring MVC 实现登录拦截代码分享 在本文中,我们将学习 Spring MVC 中的登录拦截实现代码分享。拦截是一个非常重要的概念在 Web 应用程序中,它可以帮助我们解决一些通用性问题,例如权限验证、乱码问题...
Spring MVC 拦截实现代码
08-31
在本文中,我们将详细探讨Spring MVC 拦截实现、使用场景以及与过滤的区别。 ### 1. 拦截实现 Spring MVC 拦截实现`HandlerInterceptor`接口,该接口提供了三个关键方法: - `preHandle`: 这是拦截...
spring boot如何使用spring AOP实现拦截
08-30
总结起来,Spring Boot结合Spring AOP实现拦截,主要是通过定义切面类,声明拦截规则(切点),然后编写环绕通知,以在方法执行前后插入自定义的行为,如记录日志、检查权限等。这种做法可以有效地解耦业务逻辑和...
浅析java中 Spring MVC 拦截作用及其实现
08-30
这篇文章将深入探讨Spring MVC拦截的作用、实现方式以及其在实际应用中的使用场景,并对比拦截与过滤的区别。 首先,让我们来看看如何实现一个Spring MVC拦截: 1. **编写拦截类**:你需要创建一个类并...
拦截实现权限管理
11-18
拦截实现权限管理,没与数据库交互,不过原理差不多了
java 拦截 权限控制_struts2如何使用拦截进行用户权限控制实例
weixin_32807673的博客
03-02 168
大多数网站会设置用户权限,如过滤非法用户,用户不登录时不能进行访问,或者设置访问的权限,如部分内容仅对VIP开放等等,这些权限的控制都可以用struts2中的拦截实现。下面通过一个简单的Demo来模拟这种用户权限控制的实现流程,设定三种不同身份的用户,commen为普通用户,VIP为会员用户,还有一种admin为管理员。先看一下Demo的整体结构:首先搭建struts2框架的开发环境(前面博客...
用户的登录拦截
wu1317581750的博客
06-12 2889
首先我们得找到登录的backLogin,jsp页面 然后我们在做一个拦截 用户登录了就放行 用户没有登录拦截 LoginFilter 现在我们回到UserServlet进行操作 如果你是密码和用户名错了 页面会提示你信息 如果你是密码和用户名正确 但你不是管理员的话 页面会提示你信息 做登录拦截比较难的就是什么你该拦什么你不该拦 ...
使用拦截控制用户访问权限
枫叶
12-29 2313
JavaEE权限管理系统的搭建-------使用拦截实现菜单URL的跳转权限验证和页面的三级菜单权限按钮显示 本小结讲解,点击菜单进行页面跳转,看下图,点击管理员列表后会被认证拦截首先拦截,验证用户是否登录,如果登录就放行,紧接着会被权限验证拦截再次拦截拦截的时候,会根据URL地址上找到对应的方法,然后查询方法上标注的自定义权限注解,紧接着根据当前登录用户查询出所有权限列表,然后进行验证,如果包含对应注解中的权限代码,就放行,否则提示或者跳转到404. /** * 进入管理用户列表页面
SpringMVC拦截Interceptor
qq_26915707的博客
07-11 163
  1.拦截Interceptor与过滤filter的区别:点击打开链接,实际使用中为了对不同角色(管理员,普通用户)做权限拦截,涉及不同接口controller的save,delete,get等做不同的拦截,所以使用拦截Intercepter. 2.使用拦截分两个步骤,实现拦截和配置拦截,首先实现拦截实现HandlerInterceptor接口。简易拦截示意:      ...
springboot拦截实现管理权限控制功能
m0_46494630的博客
05-26 1951
思路是这样的,在页面展示中,只显示权限内能使用的功能模块,进入每一个界面都需要拦截对其进行权限验证,对不能使用的功能使用拦截进行拦截。 这是主要设计到的三张数据库表格: 这是拦截: package com.video.handler; import com.video.model.Admin; import com.video.model.User; import com.video.service.AdminLoginService; import org.springfram
拦截实现权限控制
weixin_55666891的博客
08-03 1050
SpringBoot使用拦截实现操作权限检查
mybatis拦截实现权限管理
奋斗男孩的博客
02-20 2010
我们定义了一个拦截,把将要执行Executor的sql语句进行拦截,通过线程上下文拿到此前封装好的数据形式MybatisDataAuthority,在由Jsqlparser解析将一段完整的Sql解析成方便拼装的Sql表达式,最后将此sql输出由执行执行,达到控制的效果。上面代码为根据认证用户所拥有的资源进行数据的封装传递给拦截的过程。我们看到了可以拦截Executor接口的部分方法,比如update,query,commit,rollback等方法,还有其他接口的一些方法等。
Springboot集成security,自定义@Anonymous标签实现登录,免鉴权
evil_lrn的博客
02-16 5068
首先,项目springboot使用了2.6.8版本,集成security的过程中,使用了比较严格的自定义策略,任何请求都需要认证和授权,判断用户是否有查询改接口的权限。并且提供了配置或者注解两种方式提供匿名访问的接口。引起需要收集@Anonymous注解标注的controller。于是就像参照spring启动扫描注解的方式实现,然后自定义了。参照spring scan。第二种使用自定义注解。
spring mvc提供的拦截实现授权验证和权限管理
最新发布
01-06
Spring MVC提供的拦截可以用于实现授权验证和权限管理,具体实现步骤如下: 1. 创建一个实现HandlerInterceptor接口的拦截类,该类需要实现preHandle方法。 2. 在preHandle方法中,可以进行授权验证的逻辑判断...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值