springboot+自定义注解+AOP实现权限控制(二)

最新推荐文章于 2023-05-30 14:31:56 发布
最新推荐文章于 2023-05-30 14:31:56 发布
阅读量2.8k 收藏 30
点赞数 8
分类专栏: SpringBoot 文章标签: springboot 自定义注解 AOP 权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bytearr/article/details/103992016
版权

文末有下载链接!!!

在上文《springboot+自定义注解+AOP实现权限控制(一)》中,简单介绍了自定义注解和AOP的作用,本文开始从代码角度详细解释该如何使用。

实现效果

    我想要这样一个效果,如:在某个接口加上自定义的权限注解,表示只有拥有此权限的用户才能访问。如A用户访问到add接口,如果有add接口的权限,允许访问,否则返回权限不足信息并不允许访问。其中返回信息为了美化,我通过全局异常来捕获。

设计思路:

1. 用户分为四种权限,管理员,添加和修改员,删除员,普通用户(只有查看权限);

2. 通过访问product类的增删改查接口来验证权限是否成功;

3. 流程:

(1)接口添加对应的注解,如add接口设置@Permission(value=add),表示拥有add权限的人才能访问

(2)用户登录后产生一个token,token包含用户的id信息(此步省略。假设token即userId)。

(3)访问接口,通过AOP拦截到此用户的登录信息,到数据库查询该用户的对应权限permissons

(4)查看permissons中是否包含注解的属性值value=add,

(5)如果包含,允许访问;否则抛出异常,不允许访问。

4. 关键点

(1)自定义权限注解如何设计

(2)AOP的切面如何编写

(3)用户-角色-权限如何设计

一. 搭建基本结构

二. 设计用户-角色-权限表结构

添加测试用户,userId=1为管理员,userId=2可以添加或修改,userId=3可以删除,其他只有查看权限。

用户表-角色表-权限表分别用中间表来关联外键。

三. 自定义注解

首先我定义了几个常量表示CRUD的权限

public class PermissionConsts {

    /**
     * 查看权限
     */
    public static final String R = "R_PERMISSION";

    /**
     * 添加权限
     */
    public static final String C = "C_PERMISSION";

    /**
     * 修改权限
     */
    public static final String U = "U_PERMISSION";

    /**
     * 删除权限
     */
    public static final String D = "D_PERMISSION";
}

自定义注解:

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface MyPermission {

    /**
     * 默认只有查看权限
     * @return
     */
    String value() default PermissionConsts.R;
}

四. AOP切面

@Aspect
@Component
@Slf4j
public class PermissionAspect {

    @Resource
    private UserDao userDao;

    /**
     * 目标方法
     */
    @Pointcut("@annotation(com.mac.annotation.MyPermission)")
    private void permission() {

    }

    /**
     * 目标方法调用之前执行
     */
    @Before("permission()")
    public void doBefore() {
        System.out.println("================== step 2: before ==================");
    }

    /**
     * 目标方法调用之后执行
     */
    @After("permission()")
    public void doAfter() {
        System.out.println("================== step 4: after ==================");
    }

    /**
     * 环绕
     * 会将目标方法封装起来
     * 具体验证业务数据
     */
    @Around("permission()")
    public Object doAround(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {
        System.out.println("================== step 1: around ==================");
        long startTime = System.currentTimeMillis();
        /*
         * 获取当前http请求中的token
         * 解析token :
         * 1、token是否存在
         * 2、token格式是否正确
         * 3、token是否已过期(解析信息或者redis中是否存在)
         * */
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = attributes.getRequest();

        String token = request.getHeader("token");
        if (StringUtils.isEmpty(token)) {
            throw new RuntimeException("非法请求,无效token");
        }
        // 校验token的业务逻辑

        //假设token里只是一个userId,查询到他有删除和查看的权限,没有添加和修改的权限
        // 解析token之后,获取当前用户的账号信息,查看它对应的角色和权限信息
        //String userId = parse(token);
        List<UserPermissionDto> codes = userDao.findPermissionCodeByUserId(token);
        List<String> permissionCodes = codes.stream().map(UserPermissionDto::getPermissionCode).collect(Collectors.toList());
        /*
         * 获取注解的值,并进行权限验证
         * */
        Method method = ((MethodSignature) proceedingJoinPoint.getSignature()).getMethod();
        MyPermission myPermission = method.getAnnotation(MyPermission.class);

        String value = myPermission.value();
        // 将注解的值和token解析后的值进行对比,查看是否有该权限,如果权限通过,允许访问方法;否则不允许,并抛出异常
        if(!permissionCodes.contains(value)){
            throw new RuntimeException("对不起,您没有权限访问!");
        }
        // 执行具体方法
        Object result = proceedingJoinPoint.proceed();

        long endTime = System.currentTimeMillis();

        /*
         * 记录相关执行结果
         * 可以存入MongoDB 后期做数据分析
         * */
        // 打印请求 url
        System.out.println("URL            : " + request.getRequestURL().toString());
        // 打印 Http method
        System.out.println("HTTP Method    : " + request.getMethod());
        // 打印调用 controller 的全路径以及执行方法
        System.out.println("controller     : " + proceedingJoinPoint.getSignature().getDeclaringTypeName());
        // 调用方法
        System.out.println("Method         : " + proceedingJoinPoint.getSignature().getName());
        // 执行耗时
        System.out.println("cost-time      : " + (endTime - startTime) + " ms");

        return result;

    }

}

五. 接口添加注解

@RestController
@RequestMapping(value = "/product")
public class ProductController {

    @Resource
    private ProductService productService;

    @GetMapping(value = "/findAll")
    @MyPermission(value = PermissionConsts.R)
    public Result<List<ProductDto>> findAll(){
        return productService.findAll();
    }

    @PostMapping(value = "/add")
    @MyPermission(value = PermissionConsts.C)
    public Result<Boolean> add(@RequestBody ProductAddParam productParam){
        return productService.add(productParam);
    }

    @PostMapping(value = "/update")
    @MyPermission(value = PermissionConsts.U)
    public Result<Boolean> update(@RequestBody ProductUpdateParam productParam){
        return productService.update(productParam);
    }

    @GetMapping(value = "/delete")
    @MyPermission(value = PermissionConsts.D)
    public Result<Boolean> delete(@RequestParam Long id){
        return productService.delete(id);
    }
    
}

六. 其他代码可以查看文末的下载链接

七. 测试

1. 查看接口。

测试token=1到6(后期可用jwt优化token,这里简单设置为token=userId)的用户,发现数据库每个用户都可以访问。但userId不存在的用户,如token=100,则无法访问接口。

2. 添加/修改接口

添加/修改产品,userId=3的用户无法删除,因为数据库查询到权限不足;只有userId=2的用户可以添加/修改

3. 删除接口

删除productId=1的产品,userId=2的用户无法删除,因为数据库查询到权限不足;只有userId=1或3的用户可以删除

 

github链接:https://github.com/laoyog/customize-permission

CSDN链接:https://download.csdn.net/download/byteArr/12104797

laoyog
关注
  • 8
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springBoot+aop+自定义注解+本地线程实现统一接口日志及接口响应时长
02-01
内容概要:springboot+拦截器+aop+自定义注解+本地线程实现统一接口日志记录,记录下接口所在模块、接口描述、接口请求参数、接口返回参数、接口请求时间以及接口耗时用于接口优化,接口记录参数以及操作人防止使用人员误操作不认或者业务人员暗中操作系统的情况导致吵架现象; 核心原理:通过自定义注解实现每个接口的描述及所在模块还有接口的操作类型,通过拦截器及访问方法后的切面aop记录接口的总耗时,在接口请求前在本地线程记录请求的参数,接口请求后记录返回参数及记录请求日志 可以学习: 拦截器的使用、aop切面的使用、如何自定义注解以及自定义注解的使用、本地线程的使用方法及适用场景 有不懂的地方可以找我,项目readme介绍提供了联系方式 拦截器+aop+自定义注解+本地线程实现统一接口日志记录
基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip
08-30
【资源介绍】 基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip基于springboot+mvc+freemarker+aop实现校友信息管理系统.zip 【备注】 该项目是个人毕设项目,答辩评审分达到95分,代码都经过调试测试,确保可以运行!欢迎下载使用,可用于小白学习、进阶。 该资源主要针对计算机、通信、人工智能、自动化等相关专业的学生、老师或从业者下载使用,亦可作为期末课程设计、课程大作业、毕业设计等。 项目整体具有较高的学习借鉴价值!基础能力强的可以在此基础上修改调整,以实现不同的功能。 欢迎下载,欢迎沟通,互相学习,共同进步!提供答疑!
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
主要介绍了SpringBoot使用AOP+注解实现简单的权限验证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip
最新发布
01-08
【资源说明】 1、基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 4、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.zip 基于springboot+mvc+freemarker+aop实现校友信息管理系统源码.
自定义注解+AOP实现权限控制.zip
01-15
详情请查看博客: springboot+自定义注解+AOP实现权限控制(一)和 springboot+自定义注解+AOP实现权限控制
Spring Boot AOP 自定义注解实现权限控制
诗情画意林子淳
12-20 1万+
写在前面 在网上搜了一天,结果居然没有发现什么太详细的spring boot中使用的aop教程,很多照着做了,结果都没有什么效果实现。。无奈,只能去查谷歌,翻官方文档了 附:Spring中aop的官方文档地址:https://docs.spring.io/spring/docs/5.0.12.BUILD-SNAPSHOT/spring-framework-reference/core.html...
springboot+自定义注解+AOP实现权限控制(一)
laoyog
01-15 2790
文末有下载链接!!! 通过自定义注解+AOP可以学习到: 1. 权限控制框架的底层的一些实现,以及权限控制的流程 2. 拦截器和AOP的区别 3. 通过自定义注解来学习spring注解的实现 一. 权限控制 在之前项目里的权限控制,一般会选择这几种方案: 1. shiro 2. spring security 3. JWT 4. 自定义拦截器 ...
Spring AOP自定义注解实现权限控制
weixin_39209728的博客
01-03 383
1.创建注解类,controller控制层使用该注解进行权限控制使用 import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPoli...
使用注解和AOP实现接口权限控制
lhc66666的博客
05-19 845
使用注解和AOP实现接口权限控制
基于AOP自定义注解实现的接口权限管理
Cocowwy的博客
12-06 442
⚡️ 在开发钉钉机器人的时候,由于想要做权限控制,但是又不想做复杂,只想做一个轻量级的区分,于是搭了一个轻量级的Demo ⚡️ 实现思路:对用户的唯一标识进行权限等级的设置,并将请求等级放在线程的上下文当中,请求接口的时候,通过动态代理判断用户的接口权限 ⚡️部分代码已经隐藏了哈~ SQL create table xxxx.t_robot_authority ( id bigint auto_increment primary key, user_id v
Spring Boot 通过AOP自定义注解实现权限控制
wanghao112956的博客
11-21 423
【北京】 IT技术人员面对面试、跳槽、升职等问题,如何快速成长,获得大厂入门资格和升职加薪的筹码?与大厂技术大牛面对面交流,解答你的疑惑。《从职场小白到技术总监成长之路:我的职场焦虑与救赎》活动链接:码客 恭喜fpx,新王登基,lpl*b 我们是冠军 相逢便是 缘 ,路过点个 赞 ^.^ 源码:https://github.com/yulc-coding/java-note/tree...
SpringBoot AOP切面实现权限校验,实例演示与注解全解
qq_50523945的博客
05-30 2272
面向切面思想,是Spring的三大核心思想之一(两外两个:IOC-控制反转、DI-依赖注入)。那么AOP为何那么重要呢?在我们的程序中,经常存在一些系统性的需求,比如权限校验、日志记录、统计等,这些代码会散落穿插在各个业务逻辑中,非常冗余且不利于维护。例如下面这个示意图:有多少业务操作,就要写多少重复的校验和日志记录代码,这显然是无法接受的。
springboot下的aop实现权限控制
weixin_44310277的博客
01-15 754
添加aop依赖 <!-- AOP配置依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> <version&gt...
SpringBoot 自定义注解权限校验
这就是快乐嘛
07-20 1240
通过注解加上拦截器实现对指定注解参数的拦截 注解类: @Target({ ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interface PermissionCheck { // 根据参数判断 String resourceKey(); } 再对过滤的方法上面加注解: @GetMapping("v2") @PermissionCheck(resourceKey = "t
SpringBoot自定义注解实现AOP
blblccc
09-18 440
SpringBoot自定义注解实现AOP
springboot自定义权限注解(1)-NoAuth
u013008898的博客
03-05 951
NoAuth: package com.zy.basy.upload.annotation; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Target({Ele
pointcut注解_Spring自定义注解+AOP实现权限控制
weixin_39751679的博客
12-02 584
本文转载于 SegmentFault 社区作者:锦城前言作业系统在测试过程中出现了学生修改路由可以到达教师界面并且可以使用教师功能的问题,学生不用任何工具就可以修改自己的成绩,真的挺要命的,这就要用权限管理进行控制了。由于没有接触过权限管理,所以一开始也是有点懵,后来应用到实践中,发现也还可以吧。自定义注解@Admin如果在实现方式上去描述自定义注解,其实就是接口+注解package c...
自定义注解结合AOP实现接口权限校验
Tyler.shi的博客
09-07 1338
在编写接口api时,基于数据安全的考虑,我们通常会在接口进行权限校验,有权限的才可以查询数据,没有权限我们可以抛出异常“没有权限,禁止访问“。通常,我们实现是这样的: @ApiOperation("根据id查询用户信息") @GetMapping("/data/{id}") public BaseResponse<String> getData(@PathVa...
java利用aop切面,用注解的方式实现权限控制(亲测可用)
热门推荐
java小白白之没有最白的博客
08-28 4万+
首先说一下,是很简单的权限控制,user表和role表,还有一个role和user关联表。 流程:用户访问接口,接口加上自己的切面注解,注解传入所需的权限,进入切面后进行相应判断。 注意:我这里的获取用户信息用到了token,token里面存入了用户id,需要token工具类的key留言发给你。 下面开始代码 为什么要自己发一个:网上有很多,但是都不能直接使用,需要自己解读,我写的这个不说多好,但是逻辑清晰,代码简单,扩展性比较强,而且除了获取用户那块,其他代码都可以直接复制到项目中 使用。 定.
SpringBoot+AOP自定义权限注解
07-25
- *2* *3* [springboot+自定义注解+AOP实现权限控制(一)](https://blog.csdn.net/byteArr/article/details/103984725)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值