AOP实现用户权限验证

已于 2022-06-05 20:44:48 修改
阅读量457 收藏 1
点赞数
分类专栏: AOP JWT 文章标签: java spring spring boot
于 2022-06-05 20:44:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tiny_Demon/article/details/125135206
版权
AOP 同时被 2 个专栏收录
2 篇文章 0 订阅
订阅专栏
JWT
2 篇文章 0 订阅
订阅专栏

文章目录

前言

有些方法限定只有admin角色的用户访问

加依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-aop</artifactId>
</dependency>

一、定义注解


import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;

@Retention(RetentionPolicy.RUNTIME)
//RUNTIME:生命周期:注解不仅被保存到class文件中,还保存在内存中的字节码
public @interface CheckAuthorization {

    String value();
}

二、方法上加注解

    @PutMapping("/audit/{id}")
    @CheckAuthorization("admin")
    public Share auditById(@PathVariable Integer id, @RequestBody ShareAuditDTO auditDTO) {
        return this.shareService.auditById(id, auditDTO);
    }

三、定义切面


import com.itmuch.contentcenter.util.JwtOperator;
import io.jsonwebtoken.Claims;
import lombok.RequiredArgsConstructor;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;



import javax.servlet.http.HttpServletRequest;
import java.lang.reflect.Method;
import java.util.Objects;

@Aspect //切面注解
@Component
@RequiredArgsConstructor(onConstructor = @__(@Autowired))

public class AuthAspect {

    private final JwtOperator jwtOperator;

    private void checkToken() {
        try {
            // 1. 从header里面获取token
            HttpServletRequest request = getHttpServletRequest();

            String token = request.getHeader("X-Token");

            // 2. 校验token是否合法&是否过期;如果不合法或已过期直接抛异常;如果合法放行
            Boolean isValid = jwtOperator.validateToken(token);
            if (!isValid) {
                throw new SecurityException("Token不合法!");
            }

            // 3. 如果校验成功,那么就将用户的信息设置到request的attribute里面
            Claims claims = jwtOperator.getClaimsFromToken(token);
            request.setAttribute("id", claims.get("id"));
            request.setAttribute("wxNickname", claims.get("wxNickname"));
            request.setAttribute("role", claims.get("role"));
        } catch (Throwable throwable) {
            throw new SecurityException("Token不合法");
        }
    }

    private HttpServletRequest getHttpServletRequest() {
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes attributes = (ServletRequestAttributes) requestAttributes;
        return attributes.getRequest();
    }


    @Around("@annotation(com.itmuch.contentcenter.auth.CheckAuthorization)")
    //加了@CheckAuthorization的方法都会走到这里
    public Object checkAuthorization(ProceedingJoinPoint point){

        try{
            //1.验证token
            checkToken();

            //2.验证角色是否匹配
            HttpServletRequest request = getHttpServletRequest();
            //从request中拿role
            String role = (String) request.getAttribute("role");

            MethodSignature signature = (MethodSignature) point.getSignature();
            //拿到了添加了CheckAuthorization注解的方法定义
            Method method = signature.getMethod();
            CheckAuthorization annotation = method.getAnnotation(CheckAuthorization.class);

            String value = annotation.value();
            if(!Objects.equals(value,role)){
                throw new SecurityException("用户无权访问。");
            }
            return point.proceed();
        }catch (Throwable throwable) {
            throw new SecurityException("用户无权访问。");
        }
    }
}

测试

访问http://localhost:8081/admin/shares/audit/{id}时,
用JWT提前生成token,生成的token的Payload数据role可以为test或admin来测试,并加到hearder里。

雪峰.贵
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot:切面AOP实现权限校验:实例演示与注解全解
程序员麦冬的博客(公众号同名)
11-03 1604
1 理解AOP 1.1 什么是AOP AOP(Aspect Oriented Programming),面向切面思想,是Spring的三大核心思想之一(两外两个:IOC-控制反转、DI-依赖注入)。 那么AOP为何那么重要呢?在我们的程序中,经常存在一些系统性的需求,比如权限校验、日志记录、统计等,这些代码会散落穿插在各个业务逻辑中,非常冗余且不利于维护。例如下面这个示意图: 有多少业务操作,就要写多少重复的校验和日志记录代码,这显然是无法接受的。当然,用面向对象的思想,我们可以把这些重复的代码抽离出来,
java怎么写判断用户权限_从零开始学 Java - Spring AOP 实现用户权限验证
weixin_42512966的博客
02-27 516
每个项目都会有权限管理系统无论你是一个简单的企业站,还是一个复杂到爆的平台级项目,都会涉及到用户登录、权限管理这些必不可少的业务逻辑。有人说,企业站需要什么权限管理阿?那行吧,你那可能叫静态页面,就算这样,但你肯定也会有后台管理及登录功能。每个项目中都会有这些几乎一样的业务逻辑,我们能不能把他们做成通用的系统呢?AOP 实现用户权限验证在从零开始学 Java - Spring AOP 拦截器的基本...
从零开始学 Java - Spring AOP 实现用户权限验证
weixin_33882452的博客
09-09 245
每个项目都会有权限管理系统 无论你是一个简单的企业站,还是一个复杂到爆的平台级项目,都会涉及到用户登录、权限管理这些必不可少的业务逻辑。有人说,企业站需要什么权限管理阿?那行吧,你那可能叫静态页面,就算这样,但你肯定也会有后台管理及登录功能。 每个项目中都会有这些几乎一样的业务逻辑,我们能不能把他们做成通用的系统呢? AOP 实现用户权限验证 在从零开始学 Java - Spring AOP 拦截...
AOP权限验证
m0_47760827的博客
03-02 706
创建自定义注解--给方法加验证 @Target(ElementType.METHOD)//此注解只能放在方法用 @Retention(RetentionPolicy.RUNTIME)//运行时生效 public @interface Ano { //默认游客 一个判断 规则的枚举 Role[] value() default Role.CUST; } 创建枚举类 用来修饰权限 public enum Role { /** *用户 管理员 游客 */
AOP实现RBAC权限验证
博客
05-17 438
首先引入AOP的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </dependency> TokenUtil工具类 作用:1.通过用户生成token ...
JavaSpring AOP 实现用户权限验证
08-31
本篇文章主要介绍了JavaSpring AOP 实现用户权限验证,用户登录、权限管理这些是必不可少的业务逻辑,具有一定的参考价值,有兴趣的可以了解一下。
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
SpringBoot 使用 AOP+注解实现简单的权限验证的方法 SpringBoot 框架提供了强大的权限验证机制,以确保应用程序的安全性。其中一种方法是使用 AOP(Aspect-Oriented Programming)和注解来实现简单的权限验证。本文...
Spring AOP实现功能权限校验功能的示例代码
08-28
权限管理是指对用户访问系统资源的控制,包括身份验证权限校验、资源访问控制等。权限管理是系统安全的重要组成部分,需要根据不同的业务需求来实现权限管理逻辑。 总结 本篇文章主要介绍了Spring AOP实现功能...
aop 权限验证demo
02-27
在IT行业中,AOP(Aspect-Oriented Programming,面向切面编程)是一种编程范式,它旨在提高...通过对不同类型的AOP通知的理解和实践,我们可以更好地设计和实现权限验证系统,为应用程序提供强大而灵活的安全保障。
SpringBoot-3】切面AOP实现权限校验:实例演示与注解全解
热门推荐
云深不知处
10-26 6万+
何为AOPAOP的注解详解,AOP的使用详例,以上内容尽在本文
SpringAOP01 利用AOP实现权限验证、利用权限验证服务实现权限验证
weixin_30591551的博客
04-29 140
1 编程范式   1.1 面向过程   1.2 面向对象   1.3 面向切面编程   1.4 函数式编程   1.5 事件驱动编程 2 什么是面向切面编程   2.1 是一种编程范式,而不是一种编程语言   2.2 解决一些特定的问题   2.3 作为面向对象编程的一种补充 3 AOP产生的初衷   3.1 解决代码重复性问题 Don't Repeat ...
aop 权限
qq_34787240的博客
09-14 276
Aspectj与androidM的Permission简单结合   https://m.aliyun.com/jiaocheng/780701.html
使用AOP来进行权限鉴定
xcxcxcxx1的博客
04-18 680
我们在开发一个系统的时候,对于不同的用户会有不同的操作权限,比如管理员和普通用户。不能让普通用户也能去调用一些只能管理员调用的接口。总的来说,需要提高系统安全性就需要权限校验。aop是面向切面编程,是oop的一种补充,可以对某些事务进行统一管理,比如(权限校验、日志、事务管理),将共性需求的代码抽离出来,通过配置的方式,声明这些代码什么时候调用,还不用修改原有的代码。还是我们对aop的解释中说到,aop能将共性代码抽离,通过配置的方式声明什么时候调用,还不用修改原有代码。再定义一个权限校验的aop类。
SpringBoot基础-AOP权限验证
weixin_46899412的博客
05-21 3133
AOP权限验证,@Around使用小案例
基于AOP方式实现数据权限的校验
weixin_39956506的博客
02-20 1088
基于AOP方式实现数据权限的校验。
使用AOP进行权限验证
CSDN_ss4018的博客
09-10 290
首先我们定义一个切入点(匹配com.ed.controller.Seller开头的controller的所有public方法) @Pointcut("execution(public * com.ed.controller.Seller*.*(..))") public void checkToken() {} 然后在进入这些方法之前进行token校验 @Be...
使用Spring AOP做接口权限校验和日志记录
最新发布
m0_49692893的博客
01-30 1396
AOP: 翻译为面向切面编程(Aspect Oriented Programming),它是一种编程思想,是面向对象编程(OOP)的一种补充。它的目的是在不修改源代码的情况下给程序动态添加额外功能。
AOP实现RBAC的角色访问权限验证
我是老伯的博客
06-01 329
AOP实现RBAC的角色访问权限验证
Spring AOP 实现权限校验:代码示例
Spring AOP和拦截器在权限校验中各有优势,拦截器适合于处理控制器层面的权限控制,而AOP则适用于在业务逻辑内部进行深度权限验证。根据实际应用场景,开发者可以选择最适合的策略来保障系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值