基于注解和拦截器的权限控制

最新推荐文章于 2023-08-28 15:11:46 发布
最新推荐文章于 2023-08-28 15:11:46 发布
阅读量932 收藏 1
点赞数
分类专栏: Java 权限控制 文章标签: java 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/as84633270/article/details/50318191
版权

        互联网中各种各样的系统非常多,但是始终都离不开权限控制。一个好的权限控制对系统的安全性有着极大的提升,最近写了一个简单实用的权限验证的小例子,在这里分享下我的想法。
        我们使用注解+拦截器来实现权限控制,以注解来标示某个类或者方法的权限,用拦截器来验证用户的权限,把权限控制细化到了每个方法。

所需材料:
    注解:PrivCtrl
    控制器:UserController
    Bean:User,Request
    枚举:PrivCtrlType
    工具:RequestFactory,HttpClientUtil,SessionUtil
    拦截器:PrivCtrlInterceptor


首先我们需要一个枚举类来保存我们系统所拥有的各种权限类型:

package com.liyh.enumeration;

public enum PrivCtrlType {
	/** 游客 */
	PUBLIC(0),
	/** 会员 */
	MEMBER(1);
	
	private int code;
	
	private PrivCtrlType(int code) {
		this.code = code;
	}
	
	@Override
	public String toString() {
		return String.valueOf(code);
	}
}

紧接着我们需要定义一个注解用来标示类和方法的权限:

package com.liyh.annotation;

import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;

import com.liyh.enumeration.PrivCtrlType;

@Retention(RetentionPolicy.RUNTIME)
public @interface PrivCtrl {
	PrivCtrlType[] value() default {PrivCtrlType.PUBLIC};
}

使用一个用户对象来记录用户信息,一个Session工具来操作当前会话的用户以及其他信息:

package com.liyh.domain;

import com.liyh.enumeration.PrivCtrlType;


public class User {

	private String id;
	private String username;
	private String password;
	private String type = PrivCtrlType.MEMBER.toString();

	public String getId() {
		return id;
	}

	public void setId(String id) {
		this.id = id;
	}

	public String getUsername() {
		return username;
	}

	public void setUsername(String username) {
		this.username = username;
	}

	public String getPassword() {
		return password;
	}

	public void setPassword(String password) {
		this.password = password;
	}

	public String getType() {
		return type;
	}

	public void setType(String type) {
		this.type = type;
	}

}

package com.liyh.utils;

import java.util.Date;

import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;

import com.liyh.domain.User;

public class SessionUtil {
	
	private static final String KEY_USER = "User";
	private static final String KEY_LOGIN_TIME = "loginTime";
	
	public static void invalid() {
		RequestAttributes requestAttributes =  RequestContextHolder.getRequestAttributes();
		if (requestAttributes != null) {
			requestAttributes.removeAttribute(KEY_USER, RequestAttributes.SCOPE_SESSION);
			requestAttributes.removeAttribute(KEY_LOGIN_TIME, RequestAttributes.SCOPE_SESSION);
		}
	}
	
	public static void login(User user) {
		RequestAttributes requestAttributes =  RequestContextHolder.getRequestAttributes();
		if (requestAttributes != null) {
			requestAttributes.setAttribute(KEY_USER, user, RequestAttributes.SCOPE_SESSION);
			requestAttributes.setAttribute(KEY_LOGIN_TIME, new Date(), RequestAttributes.SCOPE_SESSION);
		}
	}
	
	public static User getCurrentUser() {
		User user = null;
		RequestAttributes requestAttributes =  RequestContextHolder.getRequestAttributes();
		if (requestAttributes != null) {
			user = (User)requestAttributes.getAttribute(KEY_USER, RequestAttributes.SCOPE_SESSION);
		}
		return user;
	}
	
	public static String getUserId() {
		User user = getCurrentUser();
		if (user != null) {
			return user.getId();
		}
		return null;
	}
	
	public static Date getlastLoginTime() {
		Date lastLoginTime = null;
		RequestAttributes requestAttributes =  RequestContextHolder.getRequestAttributes();
		if (requestAttributes != null) {
			lastLoginTime = (Date) requestAttributes.getAttribute(KEY_LOGIN_TIME, RequestAttributes.SCOPE_SESSION);
		}
		return lastLoginTime;
	}
}

还需要一个对象来记录请求信息,一个工厂来实例化一个请求信息:

package com.liyh.domain.utils;

import java.util.Map;

/* 请求参数 */
public class Request {
	
	private boolean send;

	private String url;
	
	private String method;
	
	private Map<String, String[]> parameterMap;

	public boolean isSend() {
		return send;
	}

	public void setSend(boolean send) {
		this.send = send;
	}

	public String getUrl() {
		return url;
	}

	public void setUrl(String url) {
		this.url = url;
	}

	public String getMethod() {
		return method;
	}

	public void setMethod(String method) {
		this.method = method;
	}

	public Map<String, String[]> getParameterMap() {
		return parameterMap;
	}

	public void setParameterMap(Map<String, String[]> parameterMap) {
		this.parameterMap = parameterMap;
	}

}

package com.liyh.factory;

import javax.servlet.http.HttpServletRequest;

import com.liyh.domain.utils.Request;

public class RequestFactory {
	
	public static Request createReuqest(HttpServletRequest request) {
		Request myRequest = new Request();
		myRequest.setUrl(request.getRequestURL().toString());
		myRequest.setMethod(request.getMethod());
		myRequest.setParameterMap(request.getParameterMap());
		return myRequest;
	}
}


我们首先通过拦截器验证当前用户是否有请求权限:

package com.liyh.interceptor;

import java.io.IOException;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.liyh.annotation.PrivCtrl;
import com.liyh.domain.User;
import com.liyh.enumeration.PrivCtrlType;
import com.liyh.factory.RequestFactory;
import com.liyh.utils.SessionUtil;

/** 权限拦截器 */
public class PrivCtrlInterceptor extends HandlerInterceptorAdapter {
	
	@Override
	public boolean preHandle(HttpServletRequest request,
			HttpServletResponse response, Object handler) throws Exception {
		if (!(handler instanceof HandlerMethod)) {
			return true;
		}
		PrivCtrl privCtrl = getPrivCtrl((HandlerMethod) handler);
		if (isLoginRequired(privCtrl) && !verifyPrivCtrl(privCtrl)) {
			loginRedirect(request, response);
		}
		return true;
	}
	
	/** 获取权限注解 */
	private PrivCtrl getPrivCtrl(HandlerMethod method) {
		PrivCtrl ctrlAnnnotation = method.getMethodAnnotation(PrivCtrl.class);
		if (ctrlAnnnotation == null) {
			ctrlAnnnotation = method.getBeanType().getAnnotation(PrivCtrl.class);
		}
		return ctrlAnnnotation;
	}
	
	/** 判断是否需要登录 */
	private boolean isLoginRequired(PrivCtrl privCtrl) {
		if (privCtrl == null) {
			return false;
		}
		for (PrivCtrlType privCtrlType : privCtrl.value()) {
			if (privCtrlType != PrivCtrlType.PUBLIC) {
				return true;
			}
		}
		return false;
	}
	
	/** 权限验证 */
	private boolean verifyPrivCtrl(PrivCtrl privCtrl) {
		User user = SessionUtil.getCurrentUser();
		if (user == null) {
			return false;
		}
		for (PrivCtrlType privCtrlType : privCtrl.value()) {
			if (privCtrlType.toString().equals(user.getType())) {
				return true;
			}
		}
		return false;
	}
	
	/** 登录重定向 */
	private void loginRedirect(HttpServletRequest request, HttpServletResponse response) throws IOException {
		request.getSession().setAttribute("request", RequestFactory.createReuqest(request));
		response.setStatus(302);
		response.addHeader("Location", request.getContextPath() + "/user/login");
		response.flushBuffer();
	}
}

权限验证不通过时保存请求信息并跳转到登录页面进行登录:

package com.liyh.controller;

import java.util.Map;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.servlet.ModelAndView;

import com.liyh.annotation.PrivCtrl;
import com.liyh.domain.User;
import com.liyh.domain.utils.Request;
import com.liyh.enumeration.PrivCtrlType;
import com.liyh.service.UserService;
import com.liyh.utils.HttpClientUtil;
import com.liyh.utils.SessionUtil;
import com.liyh.utils.StringUtil;

@Controller
@RequestMapping("/user")
public class UserController {
	
	@Resource
	private UserService userService;
	
	@RequestMapping(value="/login", method = RequestMethod.GET)
	public ModelAndView login(Map<String, Object> model,
			HttpServletRequest request) {
		HttpSession session = request.getSession();
		Request preRequest = (Request) session.getAttribute("request");
		if (preRequest != null) {
			if (preRequest.isSend()) {
				session.removeAttribute("request");
			} else {
				preRequest.setSend(true);
			}
		}
		return new ModelAndView("user/login");
	}
	
	@RequestMapping(value="/login", method = RequestMethod.POST)
	public String login(String username, String password, Map<String, Object> model,
			HttpServletRequest request, HttpServletResponse response) throws Exception{
		User user = userService.findByUsername(username);
		if (user == null || !StringUtil.equals(user.getPassword(), password)) {
			model.put("rs", "fail");
			model.put("msg", "登录失败");
			model.put("username", username);
			return "user/login";
		}
		SessionUtil.login(user);
		HttpSession session = request.getSession();
		Request preRequest = (Request) session.getAttribute("request");
		if (preRequest != null) {
			session.removeAttribute("request");
			user = (User) session.getAttribute("User");
			HttpClientUtil.send(response, preRequest);
			return null;
		}
		return "redirect:/";
	}
	
	@PrivCtrl(PrivCtrlType.MEMBER)
	@RequestMapping(value="/login_success", method = RequestMethod.GET)
	public ModelAndView login_success(Map<String, Object> model, HttpServletRequest request) {
		return new ModelAndView("user/login_success");
	}
	
}

登录过后通过自制的Http客户端工具跳转到保存的请求页面:

package com.liyh.utils;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.Map;

import javax.servlet.http.HttpServletResponse;

import com.liyh.domain.utils.Request;

public class HttpClientUtil {
	
	public static void send(HttpServletResponse response, Request request) throws IOException {
	   response.setContentType("text/html");
	   PrintWriter out = response.getWriter();
	   out.println("<!DOCTYPE HTML PUBLIC \"-//W3C//DTD HTML 4.01 Transitional//EN\">");
	   out.println("<HTML>");
	   out.println(" <HEAD><TITLE>sender</TITLE></HEAD>");
	   out.println(" <BODY>");
	   out.println("<form name=\"submitForm\" action=\"" + request.getUrl() + "\" method=\"" + request.getMethod() +"\">");
	   Map<String, String[]> params = request.getParameterMap();
	   for (String key : params.keySet()) {  
           String[] values = params.get(key);
           for (String value : values) {
        	   out.println("<input type=\"hidden\" name=\"" + key + "\" value=\"" + value + "\"/>");
           }
       }  
	   out.println("</from>");
	   out.println("<script>window.document.submitForm.submit();</script> ");
	   out.println(" </BODY>");
	   out.println("</HTML>");
	   out.flush();
	}
}

总结:
        存在问题:Ajax请求的接口没有做额外处理,暂时还没有完善
        解决方案:拦截器中判断是否是请求接口,如果是请求接口,则返回权限不足,需要封装Ajax请求方法,未登录时跳转到登录页面并记录当前URL

as84633270
关注
专栏目录
【D3S】数据权限 - 基于Mybatis的数据权限拦截器实现
罗小爬的技术宝书
07-02 1573
目录一、背景二、动机三、实现思路3.1 权限类型、操作类型3.2 统一用户及数据权限集合模型3.3 定义数据权限拦截注解3.4 提取配置属性3.5 数据权限拦截器实现四、集成方式五、关于D3S 一、背景 最近一直在做RBAC相关的架构设计与实现,传统的RBAC的权限控制只是控制到REST接口(url)、具体方法(权限码)等,而通常实际业务场景还需要对数据权限进行控制,例如: 用户仅允许查询自己的用户信息,不允许查询其他人的用户信息 用户仅被允许查询 同部门 或 同部门及子部门 的用户信息 用户仅允许查询指
Springboot基于拦截器自定义权限认证讲解
weixin_49297205的博客
08-11 1699
Springboot基于自定义注解拦截器权限控制
SpringMvc自定义拦截器注解)代码实例
08-18
主要介绍了SpringMvc自定义拦截器注解)代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
细粒度 自定义注解 权限控制具体实现
school11的专栏
12-27 2083
第一步: 注解和xml一样只是起到一个配置的作用。注解的本身是不可能完成这种拦截功能的。我们后面会通过注册一个驱动了去解析这个注解,完成这个注解背后所代表的功能。 新建注解: public @interface Permission {   }   我们这个项目是通过两个属性来代表这个权限的,所以我们这里也需要两个属性。 public @interface Permission {
使用拦截器和自定义注解实现权限控制
chuner201133的博客
12-06 353
使用注解为每个Action的方法声明权限。 1.首先创建自定义注解,用于设置权限: @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) public @interface PrivilegeControll { //权限的名称,可能有很多个权限,所以用数组表示 String[] privile...
基于拦截器注解实现页面的访问权限控制
yjc0403的博客
08-20 158
背景: 权限控制其实我们可以在程序中直接做,如下: Java代码   @Controller   @RequestMapping("/appDetail.htm")   public class AppDetailController {       @RequestMapping(method = RequestMethod.GET)       public ...
自定义后端URL访问权限控制注解方式)
女王其实不女王的博客
09-22 1471
后端URL访问权限控制注解方式)一、背景二、数据库建表三、后台代码实现1. 创建权限控制注解注解类名自定义)2. 获取注解3. 请求权限业务处理4. 使用:在需要做权限控制的接口方法或在类上贴上该注解注解值为权限标识 一、背景 该文章将记录本人在项目中遇到的一个小问题和解决方案。 项目中使用Spring Security做认证和授权,权限只在前端做了按钮控制,若没有权限的用户直接通过URL也能访问,该文章主要记录通过注解方式控制后端URL访问权限。 二、数据库建表 权限控制标配的五张表(关联关系如下图
5.springMvc基于注解使用拦截器
yfyh2021的博客
09-15 707
1.springMvc拦截器 拦截器采用AOP的设计思想, 它跟过滤器类似, 用来拦截处理方法在之前和之后执行一些跟主业务没有关系的一些公共功能: 比如:可以实现:权限控制、日志、异常记录、记录方法执行时间..... 自定义的拦截器必须实现HandlerInterceptor接口。然后在spring配置文件中配置interceptor public class MyInterceptor implements HandlerInt...
基于Shiro 拦截URL,实现权限控制
08-02
在实现URL权限控制时,Shiro通过定义一系列的拦截器(Interceptors)来过滤请求。这些拦截器可以基于URL路径或特定的HTTP方法(如GET、POST等)来决定是否允许用户访问。Shiro的Web模块提供了一个名为`...
java基于注解实现方法执行拦截_手把手教你使用Java注解配合过滤器实现权限控制(超级简单)...
weixin_31190007的博客
02-24 930
过滤器:首先我们先定义一个过滤器Filter实现HandlerInterceptor接口。package com.mlb.filter;import org.springframework.web.servlet.HandlerInterceptor;import org.springframework.web.servlet.ModelAndView;import javax.servlet...
request中getParameter和getAttribute的区别
qq_39263750的博客
05-14 612
request中getParameter和getAttribute的区别 首先request对象代表客户端的一次请求,可以用它来存储客户端请求的一些参数。 getParameter()方法 该方法是用于客户端通过get或者post传递过来的参数,它的返回值类型永远是是字符串类型 注意,这里强调的是客户端请求时,是客户端发送给服务器的参数,这个赋值动作是有客户端完成的。 例如: get方式的:htt...
http请求用法详解--requset
weixin_42472048的博客
08-14 660
目录 1、http请求格式 2、获取常用信息 3、获取HTTP请求头信息 4、获取请求URL 5、获取请求参数 6、请求转发和请求包含 7、request域 8、请求转发 和 响应重定向 的区别 =====================================================================...
mybatis:拦截器Interceptor:
最新发布
QJY1437758743的博客
08-28 2441
定义特定注解,在切入时需要检查字段中是否包含注解来是否加解密。Intercepts注解需要一个Signature(拦截点)参数数组。说明: @Intercepts:标识该类是一个拦截器;@Signature:指明自定义拦截器需要拦截哪一个类型,哪一个方法;Mybatis 插件的使用就是通过实现 Mybatis 中的 Interceptor 接口。这个方法的作用是就是让mybatis判断,是否要进行拦截,然后做出决定是否生成一个代理。3.ParameterHandler:拦截参数的处理。
ssm笔记之request.getAttribute()与request.getParameter区别
qq_44398094的博客
05-21 363
关于request.getAttribute()与request.getParameter区别的疑问 1.request.getParameter() 获取通过post,get方式从页面传入的值。 通过request.getParameter()方法传递的数据会从web客户端传到web服务器端,代表http请求数据,返回的是String类型 2.request.getAttribute() request.getAttribute()与request.setAttribute() 通过request.get
servlet session的setAttribute(),getAttribute()方法注意 点
荒岛过客
05-24 1万+
这两天一直在做手机验证码的工作,ajax一下子就连通了,但是session存放发送给手机的随机验证码就无法读出来了(其实不是无法读出来,往下看),导致无法验证用户填写的手机验证码,于是我查了session的一些过期设置,还一度怀疑setMaxInteractiveInterval()的参数单位是不是毫秒。弄了下个下午之后实在受不了,我一直往session是不是第二次请求action时就过期了的方向去
setAttribute()方法的使用
SHUSHANGLIUMIAN的博客
07-11 1万+
setAttribute() 方法添加指定的属性,并为其赋指定的值。如果这个指定的属性已存在,则仅设置/更改值。语法:element.setAttribute(attributename,attributevalue)getAttribute()方法返回指定属性名的属性值element.getAttribute(attributename);作业:定义一个高度和宽度都为200像素的球形盒子,通过生...
request.setAttribute()和request.getSession().setAttribute()解释
热门推荐
人圭先生
06-04 2万+
request.setAttribute()只能在一个request内有效,如果重定向客户端,将取不到值。request.getSession().setAttribute()可以通过sessionID得到自己的session,将参数存储在session中,即使重定向客户端也没事,这个值可以在多个页面上使用。比如访问一个网站,登录后用户信息被保存到session中,在session过期之前或者用户关
若依框架基于@PreAuthorize注解权限控制
weixin_49561506的博客
01-28 9496
介绍了Java注解的使用与定义以及对若依框架的权限控制进行解析
SpringBoot拦截器或过滤器中使用流读取参数后,controller中注解读取不到参数
大大肉包博客
09-28 3892
SpringBoot拦截器或过滤器中使用流读取参数后,controller中注解读取不到参数 ServletRequest中getReader()和getInputStream()只能调用一次。要是在在过滤器或者拦截器中获取了需要重新包装http请求 HttpServletRequestWrapper类   今天出现这样一个问题: 现在开发的项目是基于SpringBoot的maven项目,...
SpringBoot自定义注解实现权限拦截教程
通过创建自定义注解拦截器,我们可以对特定的控制器或方法进行权限验证,确保只有具有相应权限的用户才能访问。" 在SpringBoot框架中,权限拦截是保证系统安全的重要手段之一。自定义注解的使用可以让权限管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值