自定义权限校验

已于 2022-07-02 13:28:44 修改
阅读量492 收藏 1
点赞数
分类专栏: Java 文章标签: 微信
于 2022-05-14 17:14:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ae86jaychou/article/details/124770968
版权

最近写一个小应用,有涉及到权限控制的,不想引入SpringSecurity等权限框架,感觉用框架太重了,于是自己用拦截器简单实现了下。思路就是自定义一个注解,标注在需要权限控制Contoller的方法上,该注解有一个roles属性,表示接口需要的角色,定义一个拦截器,拦截每个请求,根据请求头携带的Token查询用户信息,判断用户角色中是否有注解声明的某个角色,如果有权限就放行,并将用户信息保存在ThreadLcoal中以便后续使用,没有就拦截抛异常。

数据库表结构

登录

因为会拦截所有请求,从请求头中获取TokenID查询用户信息,而这个TokenID就是登录成功时返回给前端,由前端保存,在后续发起请求时,放在请求头中传给后端。在当前这个应用中,是小程序登录,根据前端传的code加上appid、appsecret,请求微信登录接口返回openId,确认是系统用户,就生成一个tokenId存在数据库中,并返回给前端。

自定义注解

使用注解可以很方便用来标识接口是否需要权限,需要哪些权限,类似于SpringSecurity的@PreAuthorize注解。自定义注解代码如下

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface HasAnyRole {

    Role[] value();
}

public enum Role {
    ADMIN, NORMAL
}

注解只能标注在方法上,并且有一个属性用来表示接口需要的权限,Role是一个枚举,表示系统中所有的角色。

保存用户信息到ThreadLocal

登录成功后为了在任何地方都能获取到当前登录用户信息,使用ThreadLocal保存登录用户的信息,并封装一个用户相关的静态工具类

public class UserInfoContextHolder {

    private static ThreadLocal<User> userThreadLocal = new ThreadLocal<>();

    public static void set(User user) {
        userThreadLocal.set(user);
    }

    public static User get() {
        return userThreadLocal.get();
    }


    public static void remove() {
        userThreadLocal.remove();
    }
}

public class CurrentUserUtils {

    private CurrentUserUtils () {

    }

    public static String currentUserId() {
        User user = UserInfoContextHolder.get();
        return user != null ? user.getId() : null;
    }
}

拦截器

@Component
@Slf4j
public class LoginInterceptor implements HandlerInterceptor {

    @Autowired
    private Isolator isolator;

    @Autowired
    private TokenMapper tokenMapper;

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response,
                                Object handler, Exception ex) throws Exception {
        //虽然线程销毁ThreadLocal里面的信息会删除,但是使用线程池可能会导致线程还在,这里请求结束手动删除ThreadLocal中的信息,以防出现问题
        UserInfoContextHolder.remove();
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception{

        log.info("this is login interceptor");
        if(handler instanceof HandlerMethod){
            HasAnyRole needAuthority = ((HandlerMethod) handler).getMethodAnnotation(HasAnyRole.class);
            if (needAuthority == null || needAuthority.value().length == 0) {
                return true;
            }
            String authorization = request.getHeader("Authorization");
            if (StringUtils.isEmpty(authorization) || !authorization.startsWith("Token ")) {
                log.info("current user not login");
                response.sendError(401, "请先登录");
                return false;
            }

            String tokenId = authorization.split(" ")[1];
            Token token = isolator.getTokenByTokenId(tokenId);
            if (token == null) {
                log.info("token is null");
                response.sendError(401, "Token为空, 请登录");
                return false;
            }

            if (token.isExpire()) {
                log.info("token is expire");
                tokenMapper.deleteById(tokenId);
                response.sendError(401, "Token过期, 请重新登录");
                return false;
            }

            User user = isolator.findUserByUserId(token.getUserId());
            if (user == null) {
                log.info("user is null");
                response.sendError(401, "用户为空");
                return false;
            }

            List<Role> roles = user.getRoles();
            if(CollectionUtils.isEmpty(roles)) {
                log.info("user has empty roles");
                response.sendError(401, "用户没有角色");
                return false;
            }

            boolean res = Arrays.stream(needAuthority.value()).anyMatch(roles::contains);
            if (res) {
                UserInfoContextHolder.set(user);
                tokenMapper.extend(tokenId);
                return true;
            }
            log.info("current user has no role to visit current interface");
            response.sendError(403, "暂无权限访问");
            return false;

        }
        log.info("handler type is not HandlerMethod");
        return false;
    }
}

实现HandlerInterceptor接口,重写preHandle方法,Isolator属性是根据tokenID来Mock Token的,在跑测试的时候是直接获取所有角色。tokenMapper就是操作token表的。

逻辑就是和文章开头说的一样,从request对象拿tokenId,再获取用户的角色,获取方法标注的自定义注解,拿到里面声明的角色列表,判断用户拥有的角色是否有一个在注解声明的角色列表中,如果有就通过校验,否则返回403。如果接口需要权限但是请求头中没有带tokenId说明没有登录,返回401。

拦截器还需要配置,设置拦截规则。

@Configuration
public class WebConfigurer implements WebMvcConfigurer {

    @Autowired
    private LoginInterceptor loginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry){
        registry.addInterceptor(loginInterceptor)
            .addPathPatterns("/**");
    }
}

使用

在需要角色校验的地方加上自定义注解即可

@RestController
@RequestMapping("/user")
public class UserController {

    @Autowired
    private IUserService iUserService;

    @PostMapping("/login")
    public UserLoginVO login(@RequestBody UserLoginCommand command) {
        String tokenId = iUserService.login(command.getCode());
        return UserLoginVO.from(tokenId);
    }

    @GetMapping("/test")
    @HasAnyRole({Role.NORMAL, Role.ADMIN})
    public String test() {
        String userId = CurrentUserUtils.currentUserId();
        return "111";
    }
}

一般小应用可以就使用简单的方式,如果稍微复杂点的应用,权限控制可以抽出来,放到网关中进行处理,可以再配合Redis和Jwt进行优化。

AE86Jag
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
自定义hive的权限
asfjgvajfghaklsbf的博客
05-08 727
hive的自定义权限
自定义APP权限
jennyliliyang的博客
03-07 1763
本文讲解APP开发者怎样利用Android的安全特性来自定义APP的权限。通过自定义权限,APP可以把它的资源和功能分享给其它APP。 一些背景知识 Android是权限分离操作系统,每个APP都运行在独自的运行空间内(用Linux user ID 和 group ID来区分),所以每个APP都互相独立的。APP可以定义供其它APP请求的权限,也可以定义供其它有相同签名的APP使用的权限, 以...
自定义注解实现权限验证
欢迎一起学习交流
03-02 3378
一、前言 在我们写项目时,一个项目通常会有拥有不同角色的用户,在进入某个方法前,会判断该用户是否具有此权限,今天我们来用自定义注解实现一下这个功能。 二、业务场景 1.场景介绍 假如有一个学生管理系统,我们来对一个用户是否具有对学生管理这个模块操作的权限进行验证 2.数据库 存储用户基本信息的用户表 角色表 用户角色关联表 3.前情提示 在写权限验证之前要把登录功能并传入token,在token里保存登录用户的角色id(后面会用到) //登录 @Reque..
自定义注解实现RBAC权限校验,不要再说你不会了
小学生波波
01-22 3943
拦截器+自定义注解实现RBAC权限校验,你绝对看得懂
【SpringBoot-3】切面AOP实现权限校验:实例演示与注解全解
最新发布
2401_85117868的博客
06-24 1063
这样,代码冗余和可维护性的问题得到了解决,但每个业务方法中依然要依次手动调用这些公共方法,也是略显繁琐。:处理,包括处理时机和处理内容。在我们的程序中,经常存在一些系统性的需求,比如权限校验、日志记录、统计等,这些代码会散落穿插在各个业务逻辑中,非常冗余且不利于维护。包名:表示需要拦截的包名,后面的两个句点表示当前包和当前包的所有子包,在本例中指 com.mutest.controller包、子包下所有类的方法。):这个星号表示方法名,* 表示所有的方法,后面括弧里面表示方法的参数,两个句点表示任何参数。
SpringBoot项目自定义注解实现RBAC权限校验
qq_45830276的博客
08-27 1895
SpringBoot项目可以集成Spring Security做权限校验框架,然后在Controller接口上直接使用@PreAuthorize注解来校验权限,那么我们能够自制简易的权限呢,通过看该博客能够自己自制一套简易的权限管理模式。...
自己实现注解式权限校验(SpringBoot)
LitongZero的博客
12-20 4146
权限校验(SpringBoot注解式) 权限校验是很多情况都会用到的,结合Java注解和拦截器,直接在Controller层的方法上添加一个注解,可以无侵入式的进行权限校验。 一.Java注解 1.RequestMapping 我们打开一个最常用的Spring注解 可以看到,RequestMapping注解上,还有几个注解,分别代表 ①Target:注解目标(如:可以在方法、类、参数中使用)...
自定义权限校验方法
Leon_Jinhai_Sun的博客
06-08 307
自定义权限校验方法
springboot下自定义注解校验数据权限
05-22
以上就是使用Spring Boot自定义注解进行数据权限校验的基本步骤。通过这种方式,我们可以将权限逻辑从业务代码中分离出来,使得代码更加模块化和易于维护。在实际应用中,还可以根据项目需求进一步扩展和完善权限...
ASP.NET Core使用自定义验证属性控制访问权限详解
10-17
主要给大家介绍了关于ASP.NET Core使用自定义验证属性控制访问权限的相关资料,这是我们在日常工作中经常会遇到的一个需求,文中通过示例代码介绍的非常详细,需要的朋友可以参考下
利用Spring Security做角色权限校验
12-10
综上所述,利用Spring Security进行角色权限校验是一个多步骤的过程,涉及认证、授权、动态数据查询和自定义配置等多个方面。通过灵活的配置和扩展,我们可以构建一个安全、高效且符合业务需求的权限管理系统。在...
springboot通过自定义注解完成简单的权限认证.zip
10-11
springboot自定义注解的demo;通过本案例实现了通过...通过拦截器获取指定方法上的自定义的注解,然后判断当前的接口需不要权限校验;然后通过对应的访问去处理;demo里面的代码简单;文档齐全,初学者秒懂.本文一篇文章搞定
java的细粒度权限和shiro权限校验 ssh
11-22
Shiro是Apache组织提供的一款强大且易用的Java安全框架,它提供了身份认证、授权、会话管理和加密等功能,非常适合在Spring+Struts+Hibernate(SSH)这样的经典企业级开发框架中实现权限校验。 细粒度权限管理的...
SpringBoot:切面AOP详解及应用举例(配合自定义注解实现权限校验、日志记录)
张大安的博客
03-30 2732
文章目录1.理解AOP1.1 什么是AOP1.2 AOP体系与概念2.AOP应用2.1 配合自定义注解实现权限校验2.2 日志记录3.AOP相关注解3.1 @Pointcut3.2 @Around3.3 @Before3.4 @After3.5 @AfterReturning3.6 @AfterThrowing 1.理解AOP 1.1 什么是AOP AOP(Aspect Oriented Programming),面向切面思想,是Spring的三大核心思想之一(两外两个:IOC-控制反转、DI-依赖注入)。
Spring Security 结合jwt 自定义权限认证 基于huike CRM系统
jikeyeka的博客
07-26 1951
crm系统的登录模块 spring security 登录验证 jwt token 鉴权 权限管理
Springboot使用注解实现权限校验
qq_59622162的博客
07-13 1298
记录一下使用springboot的注解来给方法加权限 避免了每个方法都需要大量的权限判断
自定义接口并设置权限验证
qq_53480941的博客
10-29 4726
我们可以通过形如@PreAuthorize("@ss.hasPermi('system:xxx:xxx')")的格式授予前端访问的权限;我们可以通过在学生系统里边自定义一个权限验证的按钮;首先打开菜单管理里边的学生信息管理系统里添加一个按钮plain>权限验证debugTestalert("验证成功!");},后端在MystudentsController里边添加");}此时打开学生信息管理系统 里边多了一个权限验证按钮点击权限验证按钮。
sprringboot3整合springsecurity6.0(只做token权限验证)+redis+自定义权限验证+自定义操作日志
weixin_44900881的博客
06-28 4046
}// 获取错误信息 String exception =(String) request . getAttribute(CacheConstants . TOKEN_EXCEPTION);// 获取错误状态码 String exceptionCode = request . getAttribute(CacheConstants . TOKEN_EXCEPTION_CODE) . toString();} }
SpringBoot自定义登录、权限验证
chenguixu的博客
04-19 1592
没有添加 @CAuth注解,所以不会进行拦截,登录成功后返回一个token值,后续请求需要在header中增加C-Token:token参数。1、首先最基础的User实体类,使用了lombok,所以省略了getter、setter方法。5、使用HandlerInterceptor拦截器进行权限验证,详细方法。2、redis基础操作,登录成功后,信息保存到redis中。4、声明注解,只有加了自定义注解的方法,才进行权限验证。无此资源权限,会返回 “您没有权限进行此操作!3、登录成功后token相关处理。
springsecurity 自定义校验
05-19
自定义校验方式可以通过继承`WebSecurityConfigurerAdapter`类,重写其中的`configure(HttpSecurity http)`方法,通过`.antMatchers().permitAll()`或`.antMatchers().hasAuthority()`等方法设置不同的URL访问权限,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AE86Jag

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值