使用自定义注解和拦截器实现角色验证的权限控制

最新推荐文章于 2024-06-30 20:12:32 发布
最新推荐文章于 2024-06-30 20:12:32 发布
阅读量443 收藏 9
点赞数 4
文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/diligent_man_z/article/details/137020285
版权
本文介绍了如何在JavaWeb应用中使用Spring框架的自定义注解NoAuth和AuthInterceptor实现角色验证的权限控制,包括注解的定义、拦截器的实现以及如何在控制器中应用这些机制。
摘要由CSDN通过智能技术生成

简介:
在现代的Web应用程序中,权限控制是一项重要的安全功能。通过对用户角色进行验证,我们可以限制用户对敏感资源的访问。本文将介绍如何使用自定义注解和拦截器来实现角色验证的权限控制。

正文:
在Java开发中,使用Spring框架可以方便地构建Web应用程序。我们将使用Spring框架提供的功能来实现权限控制。具体来说,我们将创建一个自定义注解NoAuth和一个拦截器AuthInterceptor,通过在方法上标记注解来控制是否需要进行权限验证。

首先,我们创建自定义注解NoAuth,用于标记不需要进行权限验证的方法。注解的定义如下:

import java.lang.annotation.*;

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface NoAuth {
}

接下来,我们创建拦截器AuthInterceptor,用于拦截请求并进行权限验证。拦截器的定义如下:

import org.springframework.core.env.Environment;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class AuthInterceptor implements HandlerInterceptor {

    private final Environment environment;

    public AuthInterceptor(Environment environment) {
        this.environment = environment;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        boolean securityEnabled = environment.getProperty("myapp.security.enabled", Boolean.class, true);

        if (!securityEnabled) {
            // 如果权限验证开关关闭,则直接放行
            return true;
        }

        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            NoAuth noAuthAnnotation = handlerMethod.getMethodAnnotation(NoAuth.class);
            if (noAuthAnnotation != null) {
                // 如果方法上标记了 @NoAuth 注解,则不进行权限验证,直接放行
                return true;
            }
        }

        String requestURI = request.getRequestURI();
        if (requestURI.startsWith("/notify/") && !isAllowedRole(request)) {
            // 对 /notify/** URL 进行拦截,并验证角色是否允许访问
            response.setStatus(HttpServletResponse.SC_FORBIDDEN);
            return false;
        }

        return true;
    }

    private boolean isAllowedRole(HttpServletRequest request) {
        // 在这里实现根据用户角色判断是否允许访问
        // 可以通过 request 获取用户角色信息,并与 ALLOWED_ROLES 进行比较
        // 返回 true 表示允许访问,返回 false 表示拒绝访问
        return true;
    }

    // 其他方法和逻辑保持不变
}

AuthInterceptor中,我们首先通过environment对象获取配置属性myapp.security.enabled,用于控制是否开启权限验证。如果权限验证开关关闭,则直接放行请求。接下来,我们判断处理请求的方法上是否标记了@NoAuth注解,如果标记了,则不进行权限验证,直接放行。然后,我们对以/notify/开头的URL进行拦截,并调用isAllowedRole方法进行角色验证。在isAllowedRole方法中,您可以根据实际需求实现根据用户角色判断是否允许访问的逻辑。

为了使拦截器生效,我们需要创建一个配置类WebConfig,并将拦截器添加到InterceptorRegistry中。配置类的定义如下:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.env.Environment;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    private final Environment environment;

    @Autowired
    public WebConfig(Environment environment) {
        this.environment = environment;
    }

    @Bean
    public AuthInterceptor authInterceptor() {
        return new AuthInterceptor(environment);
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authInterceptor())
                .addPathPatterns("/notify/**");
    }
}

WebConfig中,我们通过@Configuration注解标记该类为配置类,并通过@Autowired注解注入Environment对象。然后,我们创建一个AuthInterceptor的Bean,并将其添加到InterceptorRegistry中,指定拦截的URL模式为/notify/**

最后,我们创建一个控制器类MyController,用于演示权限控制的效果。控制器的定义如下:

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class MyController {

    @GetMapping("/notify/someMethod")
    public String someMethod() {
        // 该方法需要进行权限验证
        return "Some method";
    }

    @NoAuth
    @GetMapping("/notify/publicMethod")
    public String publicMethod() {
        // 该方法不需要进行权限验证
        return "Public method";
    }
}

MyController中,我们定义了两个方法,其中someMethod方法需要进行权限验证,而publicMethod方法不需要进行权限验证,我们使用@NoAuth注解标记了该方法。

根据您的实际需求,您可以在AuthInterceptorisAllowedRole方法中实现根据用户角色判断是否允许访问的逻辑。您可以通过HttpServletRequest对象获取用户角色信息,并与允许访问的角色进行比较,返回true表示允许访问,返回false表示拒绝访问。

总结:
通过使用自定义注解和拦截器,我们可以在Spring应用程序中实现灵活的角色验证的权限控制。通过在方法上标记注解,我们可以精确地控制哪些方法需要进行权限验证,哪些方法不需要进行权限验证。希望本文能帮助您实现安全可靠的权限控制功能。如有任何问题,请随时提问。

程序员入门中
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SpringBoot自定义拦截器实现权限过滤功能(基于责任链模式)
jike11231的博客
06-04 2448
项目采用Spring Boot 2.7.12 + JDK 8实现权限认证就是一个拦截的过程,所以在实现的时候理论上可以做到任意的配置,对任意接口设置任意规则。考虑到鉴权是一系列顺序执行,所以使用了责任链模式进行设计和实现
grpc auth interceptor+ Identifier Type设计模式+JWT验证
hero_java的专栏
05-27 278
1、自定义 grpc interceptor const ( authorizationHeader = "authorization" bearerPrefix = "Bearer " ) //Interceptor creates a grpc auth interceptor. func Interceptor(publicKeyFile string) (grpc.UnaryServerInterceptor, error) { f, err := os.Open(publ
拦截器interceptor
qq_17885583的博客
03-05 269
[html] view plain copy使用springmvc的拦截器interceptor来实现对用户登录状态的判断。  1.spring-mvc.xml配置文件中加入下面代码:[html] view plain copy<mvc:interceptors>          <!-- <mvc:interceptor>              <mvc...
单点登录(基于注解方式的拦截器
qq_38151401的博客
01-30 1310
目录 一、用户直接点击登录功能登录 1、访问首页 2、点击“你好,请登录”跳转到登录页面 3、点击登录按钮 二、结算时被登录功能拦截 1、点击去结算 2、拦截器拦截,并跳转到登陆页面 3、拦截器 (1)AuthInterceptor (2)WebMvcConfiguration (3)LoginRequired (4)CookieUtil (5)JwtUtil (6)H...
Webwork使用Interceptor进行登录验证
我的世界我的梦
04-01 2026
所谓登录验证,就是在执行action之前,判断用户是否登录,这点和struts的filter比较类似,但是和struts filter不同的是,webwork的interceptor可以访问action中的资源JSP: ...@ page language="java" contentType="text/html; charset=GB18030"    pageEncoding
SpringBoot使用自定义注解实现权限拦截的示例
08-29
SpringBoot 使用自定义注解实现权限...我们首先介绍了 HandlerInterceptor 的概念,然后讨论了如何配置拦截器,最后实现使用自定义注解实现权限拦截的示例。该示例可以作为 SpringBoot 框架中权限拦截的参考实现
springboot通过自定义注解完成简单的权限认证.zip
10-11
通过本案例实现了通过自定义注解的拦截的方法可以设置访问权限;通过拦截器获取指定方法上的自定义的注解,然后判断当前的接口需不要权限校验;然后通过对应的访问去处理;demo里面的代码简单;文档齐全,初学者秒懂.本文...
SpringBoot-自定义注解AOP实现拦截器示例
04-12
Spring Boot框架中,自定义注解和AOP(面向切面编程)是两种强大的工具,可以帮助我们实现灵活...在提供的"SpringBoot-自定义注解AOP实现拦截器示例代码"中,你可以找到具体的实现细节,进一步学习和实践这些概念。
SpringMvc自定义拦截器注解)代码实例
08-18
Spring MVC框架中,拦截器...通过自定义拦截器,开发者能够更好地控制请求的生命周期,实现更精细的控制和功能扩展,提高应用的可维护性和安全性。希望本文的介绍能帮助你理解和运用Spring MVC中的自定义拦截器
ssm+自定义标签+自定义注解 实现权限细粒度控制
04-13
在这个项目中,开发者尝试模仿Apache Shiro框架,通过自定义标签和自定义注解实现权限的细粒度控制,从而更好地管理和限制用户访问特定的资源。 Apache Shiro是一个强大且易用的Java安全框架,处理认证、授权、...
springboot--全注解式的权限管理系统源码
08-30
spring security 全注解式的权限管理/动态配置权限角色和资源,权限控制到按钮粒度/采用token进行权限校验,禁用session,未登录返回401,权限不足返回403 /采用redis存储token及权限信息
拦截器实现权限管理
11-18
拦截器实现权限管理,没与数据库交互,不过原理差不多了
SpringBoot2.* 配置拦截器(Interceptor) 并 集成swagger2 3.0版本
weixin_39527642的博客
09-20 1172
SpringBoot 拦截器 swagger2 V3
在项目中通过注解+拦截器实现权限控制
dream_xin2013的专栏
12-12 110
简单介绍通过使用注解+拦截器(HandlerInterceptor)方式实现请求拦截,身份验证
springboot自定义权限注解(1)-NoAuth
u013008898的博客
03-05 1009
NoAuth: package com.zy.basy.upload.annotation; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Target({Ele
自定义@NoAuth注解跳过登录验证
最新发布
m0_62074940的博客
06-30 322
自定义@NoAuth注解跳过登录验证
springboot 注解+拦截器 实现角色权限拦截
qq_41026693的博客
08-28 1286
第一步: 需要注解实现权限拦截,先创建自定义注解类: import java.lang.annotation.*; /** * 角色注解 * */ @Target({ElementType.METHOD}) // 方法注解 @Retention(RetentionPolicy.RUNTIME) // 运行时 //@Documented public @in...
SpringBoot>15 - 自定义注解实现权限控制
cp026la的博客
01-16 9937
简介: 较原始的项目中使用的是JSP页面标签结合后台方法上注解配合实现权限控制,目前前后端完全分离开发已经是主流模式,大型的项目中可能会用到 shiro 或者 spring security 做安全校验,但是在小型项目中可以使用自定义注解达到权限控制的要求。 误区: 很多人认为权限控制就是控制不同用户在页面上拥有不同的功能(即不同的按钮),这是用户体验范围,这种情况下,只要知道后端地址,还是...
springboot通过自定义注解实现AOP角色权限校验
崔向阳@李晓的博客
04-02 2331
通过SpringBoot自定义注解实现AOP角色权限校验之前,首先先要了解一下注解的基本知识: Annotation是Java重要的组成部分,从J2SE 5.0时代就已经存在了。在我们的代码中,我们随处可以看到许多注解,例如@Autowired、@Override、@Service。这些注解我们可能非常熟悉,但是注解的作用、工作原理、工作方式以及我们如何自定义注解,我们可能并不熟悉。下面将逐步介...
写出使用springboot 注解拦截器实现权限认证代码
04-26
好的,以下是使用Spring Boot注解拦截器实现权限认证的代码示例: 1. 创建自定义拦截器: ```java public class AuthInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 在此处实现权限认证逻辑 String token = request.getHeader("Authorization"); if(token == null || token.isEmpty()) { response.setStatus(HttpStatus.UNAUTHORIZED.value()); return false; } // 验证通过,放行 return true; } } ``` 2. 创建配置类: ```java @Configuration public class WebMvcConfig implements WebMvcConfigurer { @Autowired private AuthInterceptor authInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(authInterceptor) .addPathPatterns("/**") .excludePathPatterns("/login", "/register"); } } ``` 3. 在Controller类或方法上标注注解: ```java @RestController @RequestMapping("/api") public class MyController { // 标注注解,需要认证权限 @GetMapping("/userinfo") @AuthRequired public String getUserInfo() { // 实现获取用户信息逻辑 return "UserInfo"; } } ``` 4. 创建自定义注解: ```java @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface AuthRequired { } ``` 5. 在拦截器中获取自定义注解: ```java @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 获取请求处理方法的所有注解 Method method = ((HandlerMethod)handler).getMethod(); Annotation[] annotations = method.getDeclaredAnnotations(); // 遍历注解数组,寻找 AuthRequired 注解 boolean authRequired = false; for(Annotation annotation : annotations) { if(annotation.annotationType() == AuthRequired.class) { authRequired = true; break; } } if(authRequired) { // 需要认证权限的逻辑处理 } // 验证通过,放行 return true; } ``` 以上就是使用Spring Boot注解拦截器实现权限认证的简单示例代码。请注意,在实际项目中,需要根据具体需求进行修改和完善。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员入门中

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值