Spring AOP 实现功能权限校验功能

最新推荐文章于 2024-01-30 13:46:55 发布
最新推荐文章于 2024-01-30 13:46:55 发布
阅读量138 收藏
点赞数
文章标签: json java runtime
原文链接:http://www.cnblogs.com/yhtboke/p/5749063.html
版权

版权声明:本文为博主原创文章,未经博主允许不得转载。

 
 

实现功能权限校验的功能有多种方法,其一使用拦截器拦截请求,其二是使用AOP抛异常。 
首先用拦截器实现未登录时跳转到登录界面的功能。注意这里没有使用AOP切入,而是用拦截器拦截,因为AOP一般切入的是service层方法,而拦截器是拦截控制器层的请求,它本身也是一个处理器,可以直接中断请求的传递并返回视图,而AOP则不可以。

1.使用拦截器实现未登录时跳转到登录界面的功能

1.1 拦截器SecurityInterceptor

package com.jykj.demo.filter; import java.io.PrintWriter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import com.alibaba.fastjson.JSON; import com.jykj.demo.util.Helper; import com.jykj.demo.util.Result; public class SecurityInterceptor implements HandlerInterceptor{ @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { System.out.println("SecurityInterceptor:"+request.getContextPath()+","+request.getRequestURI()+","+request.getMethod()); HttpSession session = request.getSession(); if (session.getAttribute(Helper.SESSION_USER) == null) { System.out.println("AuthorizationException:未登录!"+request.getMethod()); if("POST".equalsIgnoreCase(request.getMethod())){ response.setContentType("text/html; charset=utf-8"); PrintWriter out = response.getWriter(); out.write(JSON.toJSONString(new Result(false,"未登录!"))); out.flush(); out.close(); }else{ response.sendRedirect(request.getContextPath()+"/login"); } return false; } else { return true; } } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { // TODO Auto-generated method stub } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { // TODO Auto-generated method stub } }

 

1.2.spring-mvc.xml(拦截器配置部分)

<!-- Handles HTTP GET requests for /resources/** by efficiently serving up static resources in the ${webappRoot}/resources directory -->
    <mvc:resources mapping="/resources/**" location="/resources/" /> <mvc:interceptors> <mvc:interceptor> <mvc:mapping path="/*"/> <!-- 拦截/ /test /login 等等单层结构的请求 --> <mvc:mapping path="/**/*.aspx"/><!-- 拦截后缀为.aspx的请求 --> <mvc:mapping path="/**/*.do"/><!-- 拦截后缀为 .do的请求 --> <mvc:exclude-mapping path="/login"/> <mvc:exclude-mapping path="/signIn"/> <mvc:exclude-mapping path="/register"/> <bean class="com.jykj.demo.filter.SecurityInterceptor"> </bean> </mvc:interceptor> </mvc:interceptors>

 

 

这里需要特别说明:拦截器拦截的路径最好是带有后缀名的,否则一些静态的资源文件不好控制,也就是说请求最好有一个统一的格式如 .do 等等,这样匹配与过滤速度会非常快。如果不这样,例如 用 /** 来拦截所有的请求,则页面渲染速度会非常慢,因为资源文件也被拦截了。

2.使用AOP实现功能权限校验

对于功能权限校验也可以类似地用拦截器来实现,只不过会拦截所有的请求,对不需要权限校验的请求没有很好的过滤功能,所以采用AOP指定拦截需要校验的方法的方式来实现之。

2.1 切面类 PermissionAspect

package com.jykj.demo.filter; import java.io.IOException; import java.lang.reflect.Method; import org.aspectj.lang.JoinPoint; import org.aspectj.lang.reflect.MethodSignature; import org.springframework.beans.factory.annotation.Autowired; import com.jykj.demo.annotation.ValidatePermission; import com.jykj.demo.exception.AccessDeniedException; import com.jykj.demo.service.SysUserRolePermService; /** * 事件日志 切面,凡是带有 @ValidatePermission 以及@ResponseBody注解 控制器 都要进行 功能权限检查, * 若无权限,则抛出AccessDeniedException 异常,该异常将请求转发至一个控制器,然后将异常结果返回 * @author Administrator * */ public class PermissionAspect { @Autowired SysUserRolePermService sysUserRolePermService; public void doBefore(JoinPoint jp) throws IOException{ System.out.println( "log PermissionAspect Before method: " + jp.getTarget().getClass().getName() + "." + jp.getSignature().getName()); Method soruceMethod = getSourceMethod(jp); if(soruceMethod!=null){ ValidatePermission oper = soruceMethod.getAnnotation(ValidatePermission.class); if (oper != null) { int fIdx = oper.idx(); Object[] args = jp.getArgs(); if (fIdx>= 0 &&fIdx<args.length){ int functionId = (Integer) args[fIdx]; String rs = sysUserRolePermService.permissionValidate(functionId); System.out.println("permissionValidate:"+rs); if(rs.trim().isEmpty()){ return ;//正常 } } } } throw new AccessDeniedException("您无权操作!"); } private Method getSourceMethod(JoinPoint jp){ Method proxyMethod = ((MethodSignature) jp.getSignature()).getMethod(); try { return jp.getTarget().getClass().getMethod(proxyMethod.getName(), proxyMethod.getParameterTypes()); } catch (NoSuchMethodException e) { e.printStackTrace(); } catch (SecurityException e) { e.printStackTrace(); } return null; } }

 

2.2自定义注解ValidatePermission

package com.jykj.demo.annotation;

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; /** * @Descrption该注解是标签型注解,被此注解标注的方法需要进行权限校验 */ @Target(value = ElementType.METHOD) @Retention(value = RetentionPolicy.RUNTIME) @Documented public @interface ValidatePermission { /** * @Description功能Id的参数索引位置 默认为0,表示功能id在第一个参数的位置上,-1则表示未提供,无法进行校验 */ int idx() default 0; }

 

 

说明: AOP切入的是方法,不是某个控制器请求,所以不能直接返回视图来中断该方法的请求,但可以通过抛异常的方式达到中断方法执行的目的,所以在before通知中,如果通过验证直接return返回继续执行连接点方法,否则抛出一个自定义异常AccessDeniedException来中断连接点方法的执行。该异常的捕获可以通过系统的异常处理器(可以看做控制器)来捕获并跳转到一个视图或者一个请求。这样就达到拦截请求的目的。所以需要配置异常处理器。

2.3 spring-mvc.xml(异常处理器配置,以及aop配置)

<bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
        <!-- <property name="defaultErrorView" value="rediret:/error"></property> --> <property name="exceptionMappings"> <props> <!--<prop key="com.jykj.demo.exception.AuthorizationException">redirect:/login</prop>--> <prop key="com.jykj.demo.exception.AccessDeniedException">forward:/accessDenied</prop> </props> </property> </bean> <bean id="aspectPermission" class="com.jykj.demo.filter.PermissionAspect" /> <!-- 对带有@ValidatePermission和ResponseBody注解的controller包及其子包所有方法执行功能权限校验 --> <aop:config proxy-target-class="true"> <aop:aspect ref="aspectPermission"> <aop:pointcut id="pc" expression="@annotation(com.jykj.demo.annotation.ValidatePermission) and @annotation(org.springframework.web.bind.annotation.ResponseBody) and execution(* com.jykj.demo.controller..*.*(..)) " /> <aop:before pointcut-ref="pc" method="doBefore"/> </aop:aspect> </aop:config>

 

 

2.5 异常处理器将请求转发到的控制器请求 forward:/accessDenied

@RequestMapping(value = "/accessDenied",produces = "text/html;charset=UTF-8")
@ResponseBody
public String accessDenied(){ return JSON.toJSONString(new Result(false,"您没有权限对此进行操作!")); }

 

2.6 请求校验不通过时 由上述的控制器返回 结果本身

如下所示:

{"info":"您没有权限对此进行操作!","success":false}
  • 1

2.7 功能校验service 示例

/**
     * 校验当前用户在某个模块的某个功能的权限
     * @param functionId
     * @return 空字符串表示 有权限 ,否则是错误信息
     * @throws Exception 
     */
    public String permissionValidate(int functionId){ Object o = request.getSession().getAttribute(Helper.SESSION_USER); //if(o==null) throw new AuthorizationException(); SysUser loginUser= (SysUser)o; if(loginUser.getUserid() == 1) return ""; try{ return mapper.permissionValidate(loginUser.getUserid(),functionId); }catch(Exception ex){ ex.printStackTrace(); return "数据库操作出现异常!"; } }

说明: 这里仅仅是对带有@ValidatePermission和@ResponseBody注解的controller包及其子包所有方法进行切入,这样肯定是不够通用的,应该是对带有@ValidatePermission的方法进行切入,在切面类中通过判断该方法是否有@ResponseBody注解来抛出不一样的异常,若带有@ResponseBody注解则抛出上述的异常返回json字符串, 
否则,应该抛出另一个自定义异常然后将请求重定向到一个合法的视图如error.jsp .

通过客户端发送 /moduleAccess.do 请求,该请求对应的方法同时具有@ValidatePermission和@ResponseBody,并且有功能Id参数fid,这样AOP可以切入该方法,执行doBefore通知,通过功能参数fid,对它结合用户id进行权限校验,若校验通过直接返回,程序继续执行,否则抛出自定义异常AccessDeniedException,该异常由系统捕获(需要配置异常处理器)并发出请求 forward:/accessDenied ,然后对应的控制器 /accessDenied 处理该请求返回一个包含校验失败信息的json给客户端。这样发送 /moduleAccess.do 请求,如果校验失败,转发到了/accessDenied请求,否则正常执行。绕了这么一个大圈子才实现它。

 
 

转载于:https://www.cnblogs.com/yhtboke/p/5749063.html

bacouhuai7918
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JavaSpring AOP 实现用户权限验证
08-31
本篇文章主要介绍了JavaSpring AOP 实现用户权限验证,用户登录、权限管理这些是必不可少的业务逻辑,具有一定的参考价值,有兴趣的可以了解一下。
基于spring AOP权限校验
LYR 的博客
04-02 170
package com.example.mongodemo.config; import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper; import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper; import com.example....
使用Spring AOP做接口权限校验和日志记录
最新发布
m0_49692893的博客
01-30 1342
AOP: 翻译为面向切面编程(Aspect Oriented Programming),它是一种编程思想,是面向对象编程(OOP)的一种补充。它的目的是在不修改源代码的情况下给程序动态添加额外功能
Spring AOP实现功能权限校验功能的示例代码
08-28
本篇文章主要介绍了Spring AOP实现功能权限校验功能的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
使用AOP进行权限验证
CSDN_ss4018的博客
09-10 283
首先我们定义一个切入点(匹配com.ed.controller.Seller开头的controller的所有public方法) @Pointcut("execution(public * com.ed.controller.Seller*.*(..))") public void checkToken() {} 然后在进入这些方法之前进行token校验 @Be...
aop实现权限校验的过程
03-15
以下是如何在Spring中使用AOP实现权限校验的步骤: 1. **定义切面(Aspect)**:首先,创建一个带有`@Aspect`注解的类,这个类就是我们的切面。在这个类中,我们可以定义切点和通知。 2. **定义切点(Pointcut)**...
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
SpringBoot 使用 AOP+注解实现简单的权限验证的方法 SpringBoot 框架提供了强大的权限验证机制,以确保应用程序的安全性。...本文介绍了如何使用 SpringAOP 框架和自定义注解来实现权限验证,以确保应用程序的安全性。
Spring AOP实现例子(基于XML配置实现
01-06
在实际开发中,我们经常使用AOP来处理如日志记录、事务管理、权限校验等横切关注点问题,以提高代码的复用性和可维护性。 XML配置是Spring AOP早期的主要实现方式,虽然现在有更简洁的注解式配置,但理解XML配置...
spring AOP 和自定义注解进行身份验证
weixin_30892763的博客
10-25 167
一个SSH的项目(springmvc+hibernate),需要提供接口给app使用。首先考虑的就是权限问题,app要遵循极简模式,部分内容无需验证,用过滤器不能解决某些无需验证的方法 所以最终选择用AOP 解决。大致思路是使用自定义注解,在需要权限控制的方法前(controller层)使用注解然后使用AOP拦截访问的方法,判断当前用户是否登录了(判断是否携带了登录之后获取到的 token ),从...
通过AOP 实现权限登录拦截 springboot+mybatis-plus
weixin_41831221的博客
06-19 1199
实现方式有两种,一种是通过自定义注解的方式,一种是通过@Pointcut切点的方式实现,对我来说Java对外的接口基本都要拦截,注解的方式并不适合我,于是选择了切点的方式拦截自定义的controller类即可,下面两种都可以简单的记录下,以供参考。定义一个切点,表示需要对哪些类生效,我这里暂时是想拦截所有的控制层的代码,加上对用的不是很熟练下这样将就着用吧。如果要注解生效的话可以看下图,类的标识符号是变了的哦,会有一个绿色的@符号。定义一个前置方法的注解,我是想在程序执行前就执行我的拦截方法。
Springboot AOP 拦截 直接返回结果数据
默默不代表沉默
09-01 3891
Springboot AOP 拦截 直接返回结果数据
SpringBoot AOP切面实现权限校验,实例演示与注解全解
qq_50523945的博客
05-30 2798
面向切面思想,是Spring的三大核心思想之一(两外两个:IOC-控制反转、DI-依赖注入)。那么AOP为何那么重要呢?在我们的程序中,经常存在一些系统性的需求,比如权限校验、日志记录、统计等,这些代码会散落穿插在各个业务逻辑中,非常冗余且不利于维护。例如下面这个示意图:有多少业务操作,就要写多少重复的校验和日志记录代码,这显然是无法接受的。
SpringBoot:切面AOP实现权限校验:实例演示与注解全解
程序员麦冬的博客(公众号同名)
11-03 1585
1 理解AOP 1.1 什么是AOP AOP(Aspect Oriented Programming),面向切面思想,是Spring的三大核心思想之一(两外两个:IOC-控制反转、DI-依赖注入)。 那么AOP为何那么重要呢?在我们的程序中,经常存在一些系统性的需求,比如权限校验、日志记录、统计等,这些代码会散落穿插在各个业务逻辑中,非常冗余且不利于维护。例如下面这个示意图: 有多少业务操作,就要写多少重复的校验和日志记录代码,这显然是无法接受的。当然,用面向对象的思想,我们可以把这些重复的代码抽离出来,
使用AOP来进行权限鉴定
xcxcxcxx1的博客
04-18 674
我们在开发一个系统的时候,对于不同的用户会有不同的操作权限,比如管理员和普通用户。不能让普通用户也能去调用一些只能管理员调用的接口。总的来说,需要提高系统安全性就需要权限校验aop是面向切面编程,是oop的一种补充,可以对某些事务进行统一管理,比如(权限校验、日志、事务管理),将共性需求的代码抽离出来,通过配置的方式,声明这些代码什么时候调用,还不用修改原有的代码。还是我们对aop的解释中说到,aop能将共性代码抽离,通过配置的方式声明什么时候调用,还不用修改原有代码。再定义一个权限校验aop类。
AOP的另类用法 (权限校验&&自定义注解)
qq_51033936的博客
03-07 1851
告别了OOP编程, 迎来了一个新的AOP编程时代👍👍👍, 最近有同学问我AOP除了写日志还能干什么, 其实AOP能干的事情挺多的, 可能只是他们写的代码中暂时用不到. 其实如果当我们写一些简单的程序的时候, SpringSecurity完全用不到的时候, 就可以使用AOP与自定义注解来为角色的访问权限进行鉴定, 绝对比Security更轻量👉👉👉 我们在接触框架的时候经常会用到注解, 但是我们自己自定义注解的情况比较少, 一般都是配合切面编程使用, 一起来看看吧
Spring Boot 切面AOP实现权限校验(实例演示与注解全解)
程序员小明1024
09-22 451
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
soringcloud接口鉴权_springcloud项目实现自定义权限注解进行接口权限验证
weixin_42206399的博客
12-24 259
一般在项目开发中会根据登录人员的权限大小对接口也会设置权限,那么对接口权限是怎么实现的呢,大多数都是用自定义权限注解,只需要在接口上加上一个注解就可以实现对接口的权限拦截,是否对该接口有权调用接下来我们用一个简单的案例测试一下如何实现自定义权限注解1、首先,创建一个类,命名随意,这里为MyPermissionpackagecom.study.permission;import java.lang....
spring AOP 注解实现登录权限拦截
热门推荐
LuisChen的博客
05-04 1万+
使用spring AOP实现登录的权限拦截,项目使用Maven进行依赖管理,spring+springMVC+Mybatis框架进行项目的开发。现在主要使用的是SpringAOP切面编程使用环绕通知进行对方法的监听来实现用户是否登录和权限的管理。本次使用的AOP注解来实现的1.springAOP依赖的jar包(springAOP jar包是必须的): &lt;dependency&gt;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值