自定义注解+AOP实现接口鉴权和认证

于 2024-08-15 08:00:00 发布
阅读量1.3k 收藏 51
点赞数 47
分类专栏: PmHub项目学习 文章标签: AOP 鉴权 java springcloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apple_74262176/article/details/141071355
版权

文章目录

如何自定义注解?

自定义注解主要包括以下几个步骤:

  1. 定义注解:使用@interface关键字定义注解。
  2. 注解元素:在注解中定义元素,就像在接口中定义方法。
  3. 元注解:使用元注解(如@Retention、@Target等)来描述注解的行为。

定义注解
  • 可以使用@interface关键字来定义一个注解。下面是一个简单的例子:
  • MyAnnotation注解有两个元素:value和number。其中,number有一个默认值0。
public @interface MyAnnotation {
    String value();
    int number() default 0;
}

元注解

元注解是注解的注解,用来描述注解本身的行为。常见的元注解有:

  • @Retention:指明注解的保留策略。
  • @Target:指明注解的使用目标。

@Retention

  • @Retention指定了注解的生命周期,它有三个取值:
  • RetentionPolicy.SOURCE:注解只在源代码中存在,编译后就不存在了
  • RetentionPolicy.CLASS:注解在编译后会存在于.class文件中,但在运行时不会存在。
  • RetentionPolicy.RUNTIME:注解在运行时依然存在,可以通过反射读取。

@Target

  • @Target指定了注解可以使用的地方,如类、方法、字段等。常见的取值有:
  • ElementType.TYPE:用于类、接口、枚举、注解类型。
  • ElementType.FIELD:用于字段或属性。
  • ElementType.METHOD:用于方法。
  • ElementType.PARAMETER:用于参数。
  • ElementType.CONSTRUCTOR:用于构造函数。
  • ElementType.LOCAL_VARIABLE:用于局部变量。

完整的自定义注解示例
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
import java.lang.annotation.ElementType;

// 定义注解
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface MyAnnotation {
    String value();
    int number() default 0;
}

使用自定义注解
public class Test {
    @MyAnnotation(value = "Test method", number = 42)
    public void testMethod() {
        // 方法的具体实现
    }
}

通过反射读取注解
import java.lang.reflect.Method;

public class Main {
    public static void main(String[] args) throws Exception {
        Method method = Test.class.getMethod("testMethod");

        if (method.isAnnotationPresent(MyAnnotation.class)) {
            MyAnnotation annotation = method.getAnnotation(MyAnnotation.class);
            System.out.println("Value: " + annotation.value());
            System.out.println("Number: " + annotation.number());
        }
    }
}

Pmhub的架构图

7_GVWIHPIJ@5%YGP8)_QN.png

认证

  • 将生成的 JWT 字符串在 Redis 上也保存一份,并设置过期时间,
  • 判断用户是否登录时,需要先去 Redis 上查看 JWT 字符串是否存在,
  • 存在的话再对 JWT 字符串做解析操作,
  • 如果能成功解析,就没问题,如果不能成功解析,就说明令牌不合法。

在这里插入图片描述

用户登录请求

image.png

查询用户信息

image.png
image.png

返回用户信息

image.png

返回登录状态和token

image.png

AuthFilter网关鉴权

image.png

AuthFilter设置用户信息到请求头

image.png

AuthFilter接口耗时统计

image.png

将请求头中用户信息放入TTL中( HeaderInterceptor )

image.png

清除TTL中的用户信息

image.png

鉴权

  • 鉴权(或者说是授权)是请求到达每个微服务后,
  • 需要对请求进行权限判定,看是否有权限访问,
  • 通常不会放在网关中来做。还是在微服务中自己来做

  1. 外部请求 :

请求到达网关后,通过自定义请求头拦截器(可以放在公共包下面,每个服务都可以引用),配合自定义注解和 AOP,拦截请求头,获取用户和权限信息,然后进行比对,有权限则放行,没权限则抛出异常。

image.png

  1. 内部请求 :

对于内部的请求来说,正常是不需要鉴权的,内部请求可以直接处理。问题是如果使用了 OpenFeign,数据都是通过接口暴露出去的,不鉴权的话,又会担心从外部来的请求调用这个接口,对于这个问题,我们也可以自定义注解+AOP,然后在内部请求调用的时候,额外加一个头字段加以区分。

自定义内部认证注解
/**
 * 内部认证注解
 * 
 * @author canghe
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface InnerAuth
{
    /**
     * 是否校验用户信息
     */
    boolean isUser() default false;
}

自定义内部服务调用验证处理切面

检查请求头中的特定字段, 确保只有内部请求和已设置用户信息的请求才能继续执行目标方法

/**
 * 内部服务调用验证处理
 *
 * @author canghe
 */
@Aspect
@Component
public class InnerAuthAspect implements Ordered {
    @Around("@annotation(innerAuth)")
    public Object innerAround(ProceedingJoinPoint point, InnerAuth innerAuth) throws Throwable {
        String source = ServletUtils.getRequest().getHeader(SecurityConstants.FROM_SOURCE);
        // 内部请求验证
        if (!StringUtils.equals(SecurityConstants.INNER, source)) {
            throw new InnerAuthException("没有内部访问权限,不允许访问");
        }

        String userid = ServletUtils.getRequest().getHeader(SecurityConstants.DETAILS_USER_ID);
        String username = ServletUtils.getRequest().getHeader(SecurityConstants.DETAILS_USERNAME);
        // 用户信息验证
        if (innerAuth.isUser() && (StringUtils.isEmpty(userid) || StringUtils.isEmpty(username))) {
            throw new InnerAuthException("没有设置用户信息,不允许访问 ");
        }
        return point.proceed();
    }

    /**
     * 确保在权限认证aop执行前执行
     */
    @Override
    public int getOrder() {
        return Ordered.HIGHEST_PRECEDENCE + 1;
    }
}
  • 因为使用的是 OpenFeign,请求通过 OpenFeign 调用也需要鉴权,
  • 所以实现了 feign.RequestInterceptor 接口来定义一个 OpenFeign 的请求拦截器,
  • 在拦截器中,统一为 OpenFeign 请求设置请求头信息

Feign 配置注册
/**
 * Feign 配置注册
 *
 * @author canghe
 **/
@Configuration
public class FeignAutoConfiguration
{
    @Bean
    public RequestInterceptor requestInterceptor()
    {
        return new FeignRequestInterceptor();
    }
}

Feign 请求拦截器
/**
 * feign 请求拦截器
 *
 * @author canghe
 */
@Component
public class FeignRequestInterceptor implements RequestInterceptor {
    @Override
    public void apply(RequestTemplate requestTemplate) {
        HttpServletRequest httpServletRequest = ServletUtils.getRequest();
        Map<String, String> headers = ServletUtils.getHeaders(httpServletRequest);
        // 传递用户信息请求头,防止丢失
        String userId = headers.get(SecurityConstants.DETAILS_USER_ID);
        if (StringUtils.isNotEmpty(userId)) {
            requestTemplate.header(SecurityConstants.DETAILS_USER_ID, userId);
        }
        String userKey = headers.get(SecurityConstants.USER_KEY);
        if (StringUtils.isNotEmpty(userKey)) {
            requestTemplate.header(SecurityConstants.USER_KEY, userKey);
        }
        String userName = headers.get(SecurityConstants.DETAILS_USERNAME);
        if (StringUtils.isNotEmpty(userName)) {
            requestTemplate.header(SecurityConstants.DETAILS_USERNAME, userName);
        }
        String authentication = headers.get(SecurityConstants.AUTHORIZATION_HEADER);
        if (StringUtils.isNotEmpty(authentication)) {
            requestTemplate.header(SecurityConstants.AUTHORIZATION_HEADER, authentication);
        }

        // 配置客户端IP
        requestTemplate.header("X-Forwarded-For", IpUtils.getIpAddr());
    }
}
水蓝烟雨
关注
专栏目录
注解+切面 实现接口鉴权
qq_26885009的博客
08-23 1141
本案例介绍了如何使用自定义注解+AOP的方式实现通用的接口鉴权功能,代码结构清晰,具有良好的可复用性和可维护性。
权限控制:自定义注解AOP注入
some_mushroom的博客
09-02 395
1、自定义注解 自定义注解可以写业务需要的函数逻辑,验证权限 自定义注解有两个必要的元注解: (1)Target 用来描述注解的修饰范围,共四种: (a)TYPE:类、接口、enum (b)METHOD:方法 (c)PARAMETER:方法变量 (d)PACKAFE:包 (2)Retention 用来控制该注解的生命周期,共三种: (a)SOURCE:源文件中有效,编译无效 (b)CLASS:随源文件编译至class文件中,运行时无效 (c)RUNTIME:运行时也有效 举个栗子 @Target({ Ele
【Spring】使用自定义注解方式实现AOP鉴权
像风走过八千里
08-26 961
AOP,是一种面向切面编程,可以通过预编译方式和运行期间动态代理实现程序功能的统一维护的一种技术。在软件开发中,鉴权(Authentication)是一项非常重要的安全措施,用于验证用户身份和权限。在应用程序中,我们通常会使用AOP(Aspect-Oriented Programming)来实现鉴权功能,以便在需要进行鉴权的地方进行统一的处理。一种常用的实现AOP鉴权的方式是使用自定义注解
JAVA自定义注解+AOP实现认证授权
最新发布
m0_57836225的博客
07-18 676
在上述示例中,当执行带有 `@Authenticated` 注解的方法时,会先进入切面的 `authenticate` 方法进行认证授权的判断,如果认证成功则执行方法,否则抛出异常。当希望在运行时能够读取和处理注解的信息,以实现一些动态的功能(如通过反射获取注解并根据注解的值执行不同的逻辑)时,就需要将注解的保留策略设置为 `RetentionPolicy.RUNTIME`。需要注意的是,如果目标方法抛出了异常,将不会执行返回通知,而是直接跳转到异常通知(`@AfterThrowing`)。
自定义鉴权注解AOP
Jiangbohao_的博客
03-16 555
1.给上游业务方发放key和秘钥才能访问系统 2.上游根据DigestUtils.md5Hex(key.concat(时间戳).concat(秘钥).toUpperCase())生成token 3.传递给下游key,token,timespan 4.下游根据key查找数据库,用key和数据库的秘钥,时间戳重新进行加密 5.下游加密后的结果与上游传的token进行比较 上游传递参数: @Data public class AuthenticateBO { /** * 请求key
方法鉴权:基于 Spring Aop注解鉴权
程序吟游的博客
02-22 4744
权限标识如:"business:project:list" 保存在菜单表,用户表与菜单表关联。如果自定义注解中的参数值@RequiresPermissions("business:project:list") 存在于当前用户所拥有的权限中,则该允许访问该方法,否则拒绝。这通常涉及到定义一个切面(Aspect),该切面会在方法执行前进行拦截,并根据注解value值来决定是否允许执行该方法。然后,你需要定义一个切面,该切面会拦截带有 @RequiresPermissions 注解的方法。
设计自己的Annotation实现方法的鉴权
penbol的专栏
03-27 920
1、参照 如下文章- 实战篇:设计自己的Annotation  http://www.iteye.com/topic/36659  2、  Java代码  import java.lang.annotation.ElementType;   import java.lang.annotation.Retention;   import java.lang.a
关于AOP实现API接口签名校验
酸奶盖儿的博客
07-16 987
1. 签名的概念 目的: 为了确认某个信息确实是由某个发送方发送的,或者某个发布内容确实是由发送方发布的,任何人都不可能伪造消息,并且,发送方也不能抵赖。 方法: 对发布的信息内容,通过某种可靠的加工(比如进行MD5运算),生成签名标识(字符串序列或者证书之类) 验证: 任何人拿到发布的信息内容后,可以通过同样的加工,得出签名标识,如果比对和发布者公布的签名一致,则验证为真。 签名与加密区别: 加密是为了不让别人知道原来的信息,签名是为了保证大家获取到的原来的信息是没有经过改动的。 2. Web API使用
SpringBoot AOP各种注解自定义注解鉴权使用案例(免费下载)
02-24
自定义注解增强了代码的可读性和可扩展性,而权限验证则确保了系统的安全性。通过理解和实践这些概念,可以大大提高SpringBoot应用的开发效率和质量。在提供的`demo2`文件中,可能包含了这些概念的具体示例代码,...
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
SpringBoot 使用 AOP+注解实现简单的权限验证的方法 SpringBoot 框架提供了强大的权限验证机制,以确保应用程序的安全性。...本文介绍了如何使用 SpringAOP 框架和自定义注解实现权限验证,以确保应用程序的安全性。
SpringBoot自定义注解 + AOP 解决防止重复提交
2301_76607156的博客
04-06 329
Annotation(注解)从JDK 1.5开始, Java增加了对元数据(MetaData)的支持,也就是 Annotation(注解)。注解其实就是代码里的特殊标记,它用于替代配置文件,常见的很多,有 @Override、@Deprecated等什么是元注解注解注解注解,比如当我们需要自定义注解时会需要一些元注解(meta-annotation),如@Target和@Retentionjava内置4种元注解@Target 表示该注解用于什么地方。
自定义 Spring AOP 切面实战(鉴权、记录日志)
weixin_42118323的博客
05-24 1177
Aspect 注解的作用?@Aspect 注解的作用是定义一个切面,需要再自定义切面类上加上次注解。@Component 注解@Component 注解表示这个类交给 Spring 容器管理,如果不使用 @Component 注解,也要以其他方法是注册切面类,以确保 Spring 容器能够识别并管理这个切面。Pointcut 切点中 execution 和 @annotation 定义切面的区别?@annotation:切点表达式是注解的全限类名,是根据注解来匹配的,有注解的方法才会被拦截。
学习笔记-若依-微服务-自定义权限认证流程
一天无聊
09-14 6511
刚开始接触若依-微服务时,我一直以为它使用了Spring Security,然后就一直在源代码中查找相关的配置,发现怎么也找不到。仔细阅读 ruoyi-common-security模块才知道若依-微服务并没有使用 Spring Security 。这也是我第一次知道原来 Spring AOP 还能这么使用,之前在学习Spring 的时候,只知道 AOP 的特点是切面编程,以及基本的使用方式,并没有在项目中使用过。 以下是学习笔记,如果有问题,请多谢指出。 若依-微服务并没有采用 Spring Secu.
使用Spring AOP接口权限校验和日志记录
m0_49692893的博客
01-30 1412
AOP: 翻译为面向切面编程(Aspect Oriented Programming),它是一种编程思想,是面向对象编程(OOP)的一种补充。它的目的是在不修改源代码的情况下给程序动态添加额外功能。
如何用Spring AOPJava自定义注解实现登陆鉴权
starlh35的博客
12-19 6113
教你如何用Spring AOPJava自定义注解实现简单的登陆鉴权
内部验证
热门推荐
FanJin的博客
11-13 1万+
严格的建模流程,需要将数据划分成训练集和测试集,测试集不参与训练模型的参数(包括超参数)的过程。对于不需要选择超参数的模型(如广义线性模型或树模型的变量已确定时),直接使用训练集进行训练即可得到较为可靠的参数。但对于需要确定超参数的情况(比如SVM模型、广义线性模型或树模型需要筛选变量时),必须进一步将训练集划分成一部分验证集,以确定超参数。此时,内部验证是十分重要的环节。另外,当样本量不够大而缺...
自定义注解结合AOP实现接口权限校验
Tyler.shi的博客
09-07 1392
在编写接口api时,基于数据安全的考虑,我们通常会在接口进行权限校验,有权限的才可以查询数据,没有权限我们可以抛出异常“没有权限,禁止访问“。通常,我们实现是这样的: @ApiOperation("根据id查询用户信息") @GetMapping("/data/{id}") public BaseResponse<String> getData(@PathVa...
使用 spring 拦截器和自定义注解进行接口鉴权、登录校验
DONGHONGBAI的专栏
03-01 3206
项目中涉及到接口鉴权和登录超时判断等校验,所以研究下强大spring的拦截器功能,如下转载、学习几篇不错博文,在此先谢过原作者的分享。 https://www.jianshu.com/p/97362fdf039e http://www.scienjus.com/restful-token-authorization/ 一、写注解 编写一个自定义注解:用于需要鉴权或者登录校验功能的接口(方法上) ...
自定义注解实现aop鉴权
09-05
自定义注解可以用于实现AOP鉴权,以下是一个简单的示例代码,展示了如何使用自定义注解实现AOP鉴权。 首先,定义一个自定义注解 `@Authorization`: ```java import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface Authorization { String[] roles() default {}; } ``` 然后,在需要进行鉴权的方法上添加 `@Authorization` 注解,并指定允许访问的角色列表: ```java public class MyService { @Authorization(roles = {"admin", "superuser"}) public void performAuthorizedAction() { // 执行需要鉴权的操作 } public void performUnauthenticatedAction() { // 执行无需鉴权的操作 } } ``` 接下来,创建一个切面类 `AuthorizationAspect`,在该类中使用 `@Around` 注解来拦截被 `@Authorization` 注解修饰的方法,并进行鉴权验证: ```java import org.aspectj.lang.ProceedingJoinPoint; import org.aspectj.lang.annotation.Around; import org.aspectj.lang.annotation.Aspect; import org.springframework.stereotype.Component; @Component @Aspect public class AuthorizationAspect { @Around("@annotation(authorization)") public Object authorize(ProceedingJoinPoint joinPoint, Authorization authorization) throws Throwable { // 模拟鉴权逻辑 if (isUserAuthorized(authorization.roles())) { return joinPoint.proceed(); // 继续执行被拦截方法 } else { throw new UnauthorizedAccessException("Access denied"); // 抛出异常或执行其他处理 } } private boolean isUserAuthorized(String[] roles) { // 实际的鉴权逻辑,比如根据用户角色判断是否有权限访问 // 返回 true 表示有权限,返回 false 表示无权限 return true; } } ``` 最后,使用 Spring 或其他 AOP 框架来启用该切面,确保切面类被正确加载和生效。 通过以上步骤,你可以实现自定义注解用于AOP鉴权,对指定的方法进行权限验证。当调用被 `@Authorization` 注解修饰的方法时,会触发切面逻辑,在切面中进行鉴权验证,根据验证结果决定是否允许继续执行方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值