如何在项目中自定义注解实现权限数据管理案例

最新推荐文章于 2024-03-31 23:41:10 发布
最新推荐文章于 2024-03-31 23:41:10 发布
阅读量525 收藏
点赞数
分类专栏: 项目问题 文章标签: mybatis java spring spring boot 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NICK_53/article/details/130603637
版权

如何在项目中自定义注解实现权限数据管理案例

一、准备工程基本功能

1. 创建工程并添加依赖

<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-freemarker</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.2</version>
        </dependency>
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-generator</artifactId>
            <version>3.5.2</version>
        </dependency>
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.5.1</version>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

2. 配置数据库信息

spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.url=jdbc:mysql:///ry?serverTimezone=Asia/Shanghai&useSSL=false

3. Mybatis-Plus 代码生成器生成基本项目结构

@SpringBootTest
class DataScopeApplicationTests {
    @Test
    void contextLoads() {
        FastAutoGenerator.create("jdbc:mysql:///ry?serverTimezone=Asia/Shanghai&useSSL=false", "root", "123456")
                .globalConfig(builder -> {
                    builder.author("fk") // 设置作者
                            .fileOverride() // 覆盖已生成文件
                            .outputDir("E:\\spring-boot-integration\\data-scope\\src\\main\\java"); // 指定输出目录
                })
                .packageConfig(builder -> {
                    builder.parent("com.kun.ds") // 设置父包名
                            .pathInfo(Collections.singletonMap(OutputFile.xml, "E:\\spring-boot-integration\\data-scope\\src\\main\\resources\\mapper\\")); // 设置mapperXml生成路径
                })
                .strategyConfig(builder -> {
                    builder.addInclude("sys_dept","sys_role","sys_user") // 设置需要生成的表名
                            .addTablePrefix("sys_"); // 设置过滤表前缀
                })
                .templateEngine(new FreemarkerTemplateEngine()) // 使用Freemarker引擎模板,默认的是Velocity引擎模板
                .execute();
    }
}

4. 因为项目中引入了spring-security,所有接口被保护了,所以用户实体和service分别实现UserDetails,UserDetailsService接口

@TableName("sys_user")
public class User implements Serializable, UserDetails {
	
	....前边省略实体类原有部分.....
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return userName;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

@Service
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements IUserService, UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper<User> wrapper = new QueryWrapper<>();
        wrapper.lambda().eq(User::getUsername,username);
        User user = getOne(wrapper);
        if (user == null){
            throw new UsernameNotFoundException("用户不存在!");
        }
        return user;
    }
}

5. 测试

@RestController
@RequestMapping("/dept")
public class DeptController {

    @Autowired
    IDeptService deptService;

    @GetMapping("/")
    public List<Dept> getAllDepts(){
        return deptService.list();
    }
}

在这里插入图片描述
现在查出的是所有的部门信息。

二、自定义@DataScope注解,实现只返回自己能看到的信息

1. 思路

  • 这里的思路很简单,就是根据权限,动态的给你的SQL后边追加过滤条件。
  • 创建一个实体类BaseEntity,里边是一个map叫做params,key就是data_scope,value就是要追加的SQL。
  • 然后让每个实体类都继承这个BaseEntity,接口参数传入实体类。
  • 利用AOP前置通知给map中放一个SQL语句,mapper中用==${params.data_scope}==追加实现功能。
public class BaseEntity {
    @TableField(exist = false)
    private Map<String,String> params = new HashMap<>();

    public Map<String, String> getParams() {
        return params;
    }

    public void setParams(Map<String, String> params) {
        this.params = params;
    }
}

让所以的实体类继承上边的BaseEntity

2. 定义注解

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface DataScope {
	//别名
    String deptAlias() default "";

    String userAlias() default "";
}

3. 编写切面类

因为要根据用户角色生成SQL,所以先给USER实体类添加roles属性,在service中设置角色,以便切面使用

	//实体类添加修改部分
	@TableField(exist = false)
    @JsonIgnore
    private List<Role> roles;
    
    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }

	@Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return roles.stream().map(r -> new SimpleGrantedAuthority(r.getRoleKey())).collect(Collectors.toList());
    }


	//service修改
	@Service
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements IUserService, UserDetailsService {

    @Autowired
    UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper<User> qw = new QueryWrapper<>();
        qw.lambda().eq(User::getUserName, username);
        User user = getOne(qw);
        if (user == null) {
            throw new UsernameNotFoundException("用户不存在");
        }
        user.setRoles(userMapper.getRolesByUid(user.getUserId()));
        return user;
    }
}

<select id="getRolesByUid" resultType="com.kun.ds.entity.Role">
    select r.* from sys_role r,sys_user_role ur where r.role_id=ur.role_id and ur.user_id=#{userId}
</select>

下边是切面类代码,详见注释:

@Aspect
@Component
public class DataScopeAspect {
    //权限的分类
    public static final String DATA_SCOPE_ALL = "1";//查所有
    public static final String DATA_SCOPE_CUSTOM = "2";//表中自定义
    public static final String DATA_SCOPE_DEPT = "3";//本部门
    public static final String DATA_SCOPE_DEPT_AND_CHILD = "4";//本部门及子部门
    public static final String DATA_SCOPE_SELF = "5";//只能看自己
    public static final String DATA_SCOPE = "data_scope";//param的key

    @Before("@annotation(dataScope)")
    public void doBefore(JoinPoint jp, DataScope dataScope){
        //防止SQL注入
        clearDataScope(jp);
        //获取当前用户信息
        User user = (User) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        //超级管理员,不需要权限过滤
        if (user.getUserId() == 1L){
            return;
        }

        //其他权限生成过滤sql语句
        StringBuilder sql = new StringBuilder();
        List<Role> roles = user.getRoles();

        //select * from sys_dept d where d.del_flag='0' and (xxx OR xxx OR xxx)
        //d.dept_id in(select rd.dept_id from sys_user_role ur,sys_role_dept rd where ur.user_id=2 and ur.role_id=rd.role_id) 代表一个 xxx
        for (Role role:roles){
            String ds = role.getDataScope();
            //循环遍历角色根据权限生成sql
            if (DATA_SCOPE_ALL.equals(ds)) {
                //如果用户能够查看所有数据,这里什么都用不做
                return;
            } else if (DATA_SCOPE_CUSTOM.equals(ds)) {
                //自定义的数据权限,那么就根据 用户角色去查找到部门 id
                sql.append(String.format(" OR %s.dept_id in(select rd.dept_id from sys_role_dept rd where rd.role_id=%d)", dataScope.deptAlias(), role.getRoleId()));
            } else if (DATA_SCOPE_DEPT.equals(ds)) {
                //只看自己的部门
                sql.append(String.format(" OR %s.dept_id=%d", dataScope.deptAlias(), user.getDeptId()));
            } else if (DATA_SCOPE_DEPT_AND_CHILD.equals(ds)) {
                //自己部门和子部门
                sql.append(String.format(" OR %s.dept_id in(select dept_id from sys_dept where dept_id=%d or find_in_set(%d,`ancestors`))", dataScope.deptAlias(), user.getDeptId(), user.getDeptId()));
            } else if (DATA_SCOPE_SELF.equals(ds)) {
                //只能看自己
                String s = dataScope.userAlias();
                if ("".equals(s)) {
                    //数据权限仅限于本人
                    sql.append(" OR 1=0");
                } else {
                    sql.append(String.format(" OR %s.user_id=%d", dataScope.userAlias(), user.getUserId()));
                }
            }
        }

        //and(xxx or xxx)
        Object arg = jp.getArgs()[0];
        if (arg != null && arg instanceof BaseEntity){
            BaseEntity baseEntity = (BaseEntity) arg;
            baseEntity.getParams().put(DATA_SCOPE," AND ("+sql.substring(4)+")");
        }
    }

    /**
     * 如果params中已经有参数,则删掉
     * @param jp
     */
    private void clearDataScope(JoinPoint jp) {
        Object arg = jp.getArgs()[0];
        if (arg != null && arg instanceof BaseEntity){
            BaseEntity baseEntity = (BaseEntity) arg;
            baseEntity.getParams().put(DATA_SCOPE,"");
        }
    }
    
}

4. 完善测试接口

修改刚才的测试接口,传入参数

@RestController
@RequestMapping("/dept")
public class DeptController {

    @Autowired
    IDeptService deptService;

    @GetMapping("/")
    public List<Dept> getAllDepts(Dept dept){
        return deptService.getAllDepts(dept);
    }
}

//service
@Service
public class DeptServiceImpl extends ServiceImpl<DeptMapper, Dept> implements IDeptService {

    @Autowired
    DeptMapper deptMapper;

    @Override
    @DataScope(deptAlias = "d")
    public List<Dept> getAllDepts(Dept dept) {
        return deptMapper.getAllDepts(dept);
    }
}

<select id="getAllDepts" resultType="com.kun.ds.entity.Dept">
     select * from sys_dept d where d.del_flag='0'
     ${params.data_scope}
</select>

5. 测试

  • 普通角色–data_scope=2,自定义权限
    在这里插入图片描述
  • data_scope=3,只看自己部门–105部门
    在这里插入图片描述
    在这里插入图片描述
    到这里自定义注解实现权限数据管理就完成了,点击跳转源码仓库地址
Anton丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
java自定义注解实现权限控制
zmsister的博客
07-19 1727
这3个生命周期分别对应于Java源文件(.java文件)--->.class文件--->内存的字节码。source注解只保留在源文件,当Java文件编译成class文件的时候,注解被遗弃;class注解被保留到class文件,但jvm加载class文件时候被遗弃,这是默认的生命周期。runtime注解不仅被保存到class文件,jvm加载class文件之后,仍然存在。上面定义的是作用于方法的注解,所以我们需要在方法使用@Permission。@Retention注解的作用。...
springAop+自定义注解实现权限管理
09-14
一个简单的采用自定义注解结合SpringAop实现方法执行的权限管理,这个demo并没有涉及到与数据库的交互和业务代码,用户权限在登陆时采用简单的手动初始化。该demo用的jdk1.7编译,Spring4.0版本,只想通过这个demo熟悉相关技术,如有不足之处还望各位大佬多多包涵并指出。
SpringBoot使用自定义注解和拦截器实现简单的权限控制
最新发布
云景的博客
03-31 587
众所周知,作为系统的最后一道防线,对于一些重要操作(crud等),后端默认接收的所有的请求都是“不可信”的,除了确认用户登录状态之外,还要对接收的数据进行一系列的合法性校验等等,即使已经在前端页面对用户输入信息做了一定的限制。因为请求可以伪造,也可能被拦截篡改,即使在正常情况下,用户也可能因为误操作或者恶意行为发送不合法的请求。如果多角色系统的接口不做权限校验的话,那无疑是在“裸奔”,任何一个普通的登录用户都能调用所有的接口。Q:什么是权限控制?A:让特定的用户只能访问特定的资源。
自定义注解+拦截器实现权限管理
weixin_60376559的博客
01-31 996
自定义注解+拦截器实现权限管理
自定义注解实现权限验证
欢迎一起学习交流
03-02 3171
一、前言 在我们写项目时,一个项目通常会有拥有不同角色的用户,在进入某个方法前,会判断该用户是否具有此权限,今天我们来用自定义注解实现一下这个功能。 二、业务场景 1.场景介绍 假如有一个学生管理系统,我们来对一个用户是否具有对学生管理这个模块操作的权限进行验证 2.数据库 存储用户基本信息的用户表 角色表 用户角色关联表 3.前情提示 在写权限验证之前要把登录功能并传入token,在token里保存登录用户的角色id(后面会用到) //登录 @Reque..
Spring Boot使用注解的方式实现数据权限控制
m0_71777195的博客
05-19 1281
** * 数据权限过滤注解 * */@Target(ElementType.METHOD)@Retention(RetentionPolicy.RUNTIME)@Documentedpublic @interface DataScope{/** * 部门表的别名 */ public String deptAlias() default "";/** * 用户表的别名 */ public String userAlias() default "";
SpringBoot自定注解实现权限管理项目实现
weixin_48913290的博客
08-27 1059
本文章讲解的是基于RBAC模型的数据库设计的拦截器+自定义注解的形式实现权限验证。service层(主要的作用是获取用户相应的token,并存入redis)拦截器的配置(拦截了所有的请求并,验证是否存在token以及是否过期)切面的方式(环绕的方式返回验证结果)接下来,就是该用户是否有权限访问。登入的controller层。...
Security方法注解权限控制过程及自定义权限表达式
pscool的博客
05-02 1576
(也可以采用若依的方法,自定义权限表达式,其实就是利用了el表达式,但是通过自定义权限表达式的过程,可以更加清楚security处理方法权限时的整个处理过程)
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
主要介绍了Spring Boot 通过AOP和自定义注解实现权限控制,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot使用自定义注解实现权限拦截的示例
08-29
本篇文章主要介绍了SpringBoot使用自定义注解实现权限拦截的示例,具有一定的参考价值,有兴趣的可以了解一下
spring AOP自定义注解方式实现日志管理的实例讲解
08-28
下面小编就为大家分享一篇spring AOP自定义注解方式实现日志管理的实例讲解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
自定义注解实现拦截sql.rar
10-08
自定义注解实现拦截sql,并在sql增加相应的条件 。 对应博客: https://blog.csdn.net/qq_37716298/article/details/120659139
SpringSecurity 自定义PermissionEvaluator进行数据权限校验和访问限制
明平姚的博客
12-14 1107
SpringSecurity 自定义PermissionEvaluator进行数据权限校验和访问限制
自定义注解实现RBAC权限校验,不要再说你不会了
小学生波波
01-22 3854
拦截器+自定义注解实现RBAC权限校验,你绝对看得懂
spring自定义注解及使用
ZHANGLIZENG的博客
05-31 7831
一文搞懂spring自定义注解及使用场景
SpringAop(自定义注解实现用户操作日志记录
yjt520557的博客
12-19 4217
1.简介 我在使用spring完成项目的时候需要完成记录日志,我开始以为Spring 的AOP功能,就可以轻松解决,半个小时都不用,可是经过一番了解过后,发现一般的日志记录,只能记录一些简单的操作,例如表名、表名称等记录不到。这个时侯就用到了自定义注解,把想要记录的内容放在注解,通过切入点来获取到注解参数,然后将参数插入数据库记录 2.Spring AOP 对于Spring Aop的基本介...
自定义注解实现身份校验和权限校验
莫须有的博客
08-02 298
自定义一个注解,运用Spring AOP实现一个简单的用户身份和权限验证功能
一种通过注解处理数据权限设计整理
发现问题,面对问题,分析问题,解决问题,总结问题
11-10 607
【1】如果所示,通过注解和SQL注入变量的方式去处理数据权限,相对于硬编码的方式这样的处理更加简单。【2】因为筛选条件是通过${}变量注入的方式,所以在当前切面需要进行适当的安全处理,避免出现SQL注入的危险。【3】这种的方式需要配合sys_dept这类的单位/部门表进行关联,可能无法适配其他场景,需要进行适当的调整。【4】当前方式是在ORM框架执行前做切面处理的,除此之外,我们也可以通过类似MyBatis的拦截器机拦截执行SQL进行场景处理。
【Ruoyi学习】数据权限分析
qq_52469048的博客
11-03 1127
Ruoyi数据权限分析
自定义注解实现接口管理
08-18
自定义注解可以用于实现接口管理。在开发步骤,我们可以使用自定义的注解类来标记接口,然后通过相应的处理器来处理这些标记的接口。 首先,我们需要定义一个自定义注解类,比如`@CustomEndpoint`。这个注解可以使用`@Retention`注解来指定其保留策略为`RUNTIME`,表示在运行时仍然可用。同时,可以使用`@Target`注解来指定注解的作用目标为类。这样,我们就可以在接口上使用`@CustomEndpoint`注解来标记该接口需要进行管理。 接着,在接口管理的处理器,我们可以使用反射来扫描并处理所有标记了`@CustomEndpoint`注解的接口。我们可以通过获取所有带有该注解的类,然后对这些类进行相应的操作,比如注册、调用等。 在这个处理器,我们可以使用类似于`@Component`注解的机制来扫描和管理这些接口。我们可以定义一个`HandlerMapping`类,该类负责维护一个接口与处理器的映射关系。当扫描到一个标记了`@CustomEndpoint`注解的接口时,我们可以将其实例化,并将其加入到`HandlerMapping`进行管理。 通过这种方式,我们就可以实现自定义注解来进行接口管理。每当有新的接口需要加入管理时,我们只需要在接口上添加`@CustomEndpoint`注解即可。而处理器会自动将其加入到管理,方便后续的操作和调用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [SpringMVC自定义注解实现接口调用](https://blog.csdn.net/asoklove/article/details/114986898)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [基于SpringBoot 的图书管理系统](https://download.csdn.net/download/weixin_52395743/85850783)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Anton丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值