spring-boot aop 访问权限

最新推荐文章于 2024-09-22 16:40:51 发布
最新推荐文章于 2024-09-22 16:40:51 发布
阅读量1k 收藏 1
点赞数
分类专栏: spring aop 文章标签: aop spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengxing_2/article/details/85329400
版权

使用spring-boot aop处理访问权限

spring-boot 2.0.1

1、pom.xml 添加aop-starter

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-aop</artifactId>
</dependency>

2、配置权限注解类 RequiresPermissions

package com.common.permission.aop.annotation;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

import com.common.permission.aop.authz.Logical;

/**
 * 
 * Target: 注解类型,级别 Retention:RetentionPolicy.RUNTIME 运行时注解
 * 
 * @author kouht
 *
 */
@Target({ ElementType.TYPE, ElementType.METHOD })
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresPermissions {

	String[] value();

	Logical logical() default Logical.AND;
}

字段说明:value为权限值, logical为多个权限之间的链接关系,and和or的关系

3、Logical枚举类

package com.common.permission.aop.authz;

public enum Logical {
    AND, OR
}

4、切面处理

package com.common.permission.aop.aspect;

import java.io.OutputStream;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.HashSet;
import java.util.List;
import java.util.Map;
import java.util.Set;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.Signature;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;
import org.springframework.util.CollectionUtils;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.common.permission.aop.annotation.RequiresPermissions;
import com.common.permission.aop.authz.Logical;
import com.common.permission.aop.exception.AuthenticationException;
import com.util.CookieUtils;
import com.util.JsonUtil;
import com.web.constant.FxtxConstant;
import com.web.menu.FxtxCookie;
import com.web.menu.FxtxPermission;

/**
 * 权限校验,负责对RequiresRoles、RequiresPermissions标记的controller进行权限校验
 * 他执行的时机是interceptor之后、方法执行之前 Aspect 切面标识 Component 交给spring管理
 * Order 设置aop优先级执行顺序,数字越小越先执行
 * @author kouht
 *
 */
@Order(2)
@Aspect
@Component
public class PermissionAspect {

	private static final Logger logger = LoggerFactory.getLogger(PermissionAspect.class);

	/**
	 * 定义一个切入点方法,即某方法执行时进行切入, 会拦截含有此注解的方法
	 */
	@Pointcut("@annotation(com.fxtx.oss.common.permission.aop.annotation.RequiresPermissions)")
	private void permissionAnnotation() {
		// 切入点签名
	}

	@Around("permissionAnnotation()")
	public Object executeAround(ProceedingJoinPoint jp) throws Throwable {

		// 获取RequestAttributes
		RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
		// 从获取RequestAttributes中获取HttpServletRequest的信息
		HttpServletRequest request = (HttpServletRequest) requestAttributes.resolveReference(RequestAttributes.REFERENCE_REQUEST);
		HttpServletResponse response = ((ServletRequestAttributes) requestAttributes).getResponse();
		// 获取用户所有权限
		Set<String> userPermissions = getLoginUserPermission(request);

		Signature signature = jp.getSignature();
		MethodSignature methodSignature = (MethodSignature) signature;
		Method targetMethod = methodSignature.getMethod();
		// 根据被代理的类对象获取要执行的方法
		Method realMethod = jp.getTarget().getClass().getDeclaredMethod(signature.getName(), targetMethod.getParameterTypes());

		if (hasPermission(realMethod, userPermissions)) {
			// 用户拥有该方法权限时执行方法里面的内容
			return jp.proceed();
		} else {
			// 用户没有权限,则直接返回没有权限的通知
			if (realMethod.isAnnotationPresent(ResponseBody.class)) {
				// 判断是否有返回体
				response.setHeader("Content-type", "application/json; charset=UTF-8");
				OutputStream outputStream = response.getOutputStream();
				Map<String, String> resultMsg = new HashMap<>();
				resultMsg.put("msg", "权限不足,禁止访问!");
				outputStream.write(new ObjectMapper().writeValueAsString(resultMsg).getBytes("UTF-8"));
				return null;
			} else {
				throw new AuthenticationException("校验用户权限失败,权限不足");
			}
		}
	}

	/**
	 * 获取登录用户权限
	 * 
	 * @param request
	 * @return
	 */
	@SuppressWarnings("unchecked")
	public Set<String> getLoginUserPermission(HttpServletRequest request) {

		String value = CookieUtils.getCookieValue(request, FxtxConstant.FXTX_COOKIE_KEY, true);
		if (value != null) {
			FxtxCookie fxtxCookie = JsonUtil.jsonToPojo(value, FxtxCookie.class);
			String code = fxtxCookie.getCode();
			Long tenantId = fxtxCookie.getTenantId();
			String key = code + "-" + tenantId;
			List<FxtxPermission> permissionsList = (List<FxtxPermission>) request.getSession().getAttribute(key);

			if (!CollectionUtils.isEmpty(permissionsList)) {
				Set<String> permissions = new HashSet<>();
				for (int p = 0; p < permissionsList.size(); p++) {
					if (!permissionsList.get(p).getPermissionValue().isEmpty()) {
						permissions.add(permissionsList.get(p).getPermissionValue());
					}
				}
				return permissions;
			}
		}

		return new HashSet<>();
	}

	/**
	 * 判断用户是否拥有权限
	 * 
	 * @param realMethod 访问当前的方法
	 * @param permissions 已拥有的所有权限
	 * @return
	 */
	private boolean hasPermission(Method realMethod, Set<String> permissions) {

		try {
			if (realMethod.isAnnotationPresent(RequiresPermissions.class)) {
				// 获取该方法的指定注解
				RequiresPermissions requiresPermissions = realMethod.getAnnotation(RequiresPermissions.class);
				// 获取方法的权限
				String[] values = requiresPermissions.value();
				Set<String> requiresPermissionsSet = new HashSet<>();

				StringBuilder permissionStr = new StringBuilder();
				for (int i = 0; i < values.length; i++) {
					requiresPermissionsSet.add(values[i]);
					permissionStr.append(values[i] + ", ");
				}
				logger.info(realMethod + " RequiresPermissions = " + permissionStr);
				// 获取权限值的链接关系
				if (requiresPermissions.logical() == Logical.OR) {
					// 任一权限
					return hasAnyPermission(permissions, requiresPermissionsSet);
				} else {
					// 所有权限
					return hasAllPermission(permissions, requiresPermissionsSet);
				}
			}
		} catch (Exception e) {
			return false;
		}
		
		return false;
	}

	/**
	 * 是否有所有权限
	 * 
	 * @param permissionNames
	 * @return
	 */
	private boolean hasAllPermission(Set<String> permissions, Set<String> requiresPermissions) {

		return !permissions.isEmpty() && !requiresPermissions.isEmpty() && permissions.containsAll(requiresPermissions);
	}

	/**
	 * 是否有任一权限
	 * 
	 * @param permissionNames
	 * @return
	 */
	private boolean hasAnyPermission(Set<String> permissions, Set<String> requiresPermissions) {

		boolean hasAnyPermission = false;

		if (!permissions.isEmpty() && !requiresPermissions.isEmpty()) {

			for (String permission : requiresPermissions) {
				// 判断权限是否存在
				if (permissions.contains(permission)) {
					hasAnyPermission = true;
					break;
				}
			}
		}

		return hasAnyPermission;
	}

}

5、异常处理

package com.common.permission.aop.exception;

public class PermissionsException extends RuntimeException {
	
	/**
	 * 
	 */
	private static final long serialVersionUID = 1L;

	/**
     * Creates a new PermissionsException.
     */
    public PermissionsException() {
        super();
    }

    /**
     * Constructs a new PermissionsException.
     *
     * @param message the reason for the exception
     */
    public PermissionsException(String message) {
        super(message);
    }

    /**
     * Constructs a new PermissionsException.
     *
     * @param cause the underlying Throwable that caused this exception to be thrown.
     */
    public PermissionsException(Throwable cause) {
        super(cause);
    }

    /**
     * Constructs a new PermissionsException.
     *
     * @param message the reason for the exception
     * @param cause   the underlying Throwable that caused this exception to be thrown.
     */
    public PermissionsException(String message, Throwable cause) {
        super(message, cause);
    }

}

package com.common.permission.aop.exception;

public class AuthenticationException extends PermissionsException {

	/**
	 * 
	 */
	private static final long serialVersionUID = 1L;

	/**
     * Creates a new AuthenticationException.
     */
    public AuthenticationException() {
        super();
    }

    /**
     * Constructs a new AuthenticationException.
     *
     * @param message the reason for the exception
     */
    public AuthenticationException(String message) {
        super(message);
    }

    /**
     * Constructs a new AuthenticationException.
     *
     * @param cause the underlying Throwable that caused this exception to be thrown.
     */
    public AuthenticationException(Throwable cause) {
        super(cause);
    }

    /**
     * Constructs a new AuthenticationException.
     *
     * @param message the reason for the exception
     * @param cause   the underlying Throwable that caused this exception to be thrown.
     */
    public AuthenticationException(String message, Throwable cause) {
        super(message, cause);
    }
    
}

6、处理权限异常处理跳转,权限异常跳转到403页面

package com.web;

import org.springframework.web.bind.annotation.ExceptionHandler;

import com.common.permission.aop.exception.AuthenticationException;

public abstract class BaseController {
	
	/**
	 * 授权登录异常
	 */
	@ExceptionHandler({AuthenticationException.class})
    public String authenticationException() {  
        return "error/403";
    }

}

7、所需拦截方法添加权限拦截控制

package com.web;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

import com.common.permission.aop.annotation.RequiresPermissions;
import com.common.permission.aop.authz.Logical;
import com.web.BaseController;


@Controller
@RequestMapping("/test")
public class Controller extends BaseController {

	
	/**
	 * 房东信息
	 * @return
	 */
	@RequiresPermissions("employee:view")
	@RequestMapping(value = {"/view" }, method = RequestMethod.GET)
	public String landlordManagementIndex() {
		
		return "view.html";
	}
	

	@RequiresPermissions(value={"employee:create", "employee:hello"}, logical=Logical.AND)
	@GetMapping("hello")
	@ResponseBody
	public String hello() {
		
		return "{\"ret\":\"0\",\"data\":\"你好aop\"}";
	}
}

@RequiresPermissions(value={"employee:create", "employee:hello"}, logical=Logical.AND)

表示访问需要有employee:create和employee:hello这两个权限,logical=Logical.AND表示这两个权限都必须有才可以访问

logical=Logical.OR表示任何一个权限都可以访问

 

注意: 问如果访问aop不生效,需要看切面的文件目录是否和主程序目录是否在相同目录下,spring-boot主程序启动默认扫描主程序同目录及同目录下的所有文件,如果不在同目录,则扫描不到切面,这个aop不生效,如果需要生效,解决方法两个:

1、将切面方放主程序目录下

2、主程序添加配置 @ComponentScan("aop目录")

风行傲天
关注
专栏目录
spring-boot-aop:Spring Boot AOP示例
04-29
Spring Boot框架中,AOP(面向切面编程)是一种强大的设计模式,它允许程序员将关注点分离,比如日志记录、事务管理、性能监控等,从核心业务逻辑中解耦出来。本示例"spring-boot-aop"将深入探讨如何在Spring Boot...
shiro添加注解@RequiresPermissions不起作用
qq_41183828的博客
11-11 368
这是因为没有开启spring拦截器, 在spring-mvc.xml中加入以下代码就可以了(一定要写在最先加载的xml中,写在后面加载的xml中也不起作用) <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" /> <bean class="org.apache.shir
SpringBoot】通过AOP实现权限控制,认证失败调用指定方法
纸上得来终觉浅,绝知此事要躬行
07-30 493
/需要什么样的权限//认证失败调用的方法名}
SpringBoot Aop 详解
最新发布
m0_74293254的博客
09-22 811
AOP是一种编程范式,它通过将横切关注点(如日志、安全、事务等)从主要业务逻辑中分离,降低模块间的耦合度,提升代码的可重用性和可维护性。AOP可以看作是对传统面向对象编程(OOP)的补充,尤其是在处理那些跨多个类的公共逻辑时。前置通知(@Before):在目标方法调用之前执行。适用于执行前的准备工作,如日志记录、权限检查等。System.out.println("目标方法即将被调用");后置通知(@After):在目标方法完成之后执行,不论目标方法是否成功。通常用于清理工作或收尾日志。
SpringBoot中controller权限控制RequiresPermissions
lockie的博客
04-11 1万+
springboot项目在没有使用spring cloud之前可以使用Shiro做权限控制 增加pom依赖 <!-- 使用Shiro认证 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifac...
@requirespermissions注解是什么意思_如何基于spring开发自定义注解实现对接口访问频次限制?...
weixin_39638304的博客
11-21 426
做JavaWeb的开发的同学们都应该遇到过,客户要求某个接口进行频次的限制,如每秒并发10个,或者短信验证码发送场景,60秒内只允许发送一次。 通常开发的小伙伴们肯定是拿到以上需求在接口逻辑里进行实现,噼里啪啦一顿输出,OK搞定了,很简单。的确,这些需求比较简单,但是,有没有想过,这种频次限制其实是和业务耦合度不高,能不能统一封装,在业务需要的时候直接设置就行了呢? 答案是肯定的。自定义注解来实...
Spring春风拂面系列---SpringBoot 设置response header的方法总结
FeelTouch Labs
05-16 1万+
主要分为两类,一是单个响应增加响应头,而是对所有响应增加响应头 单个响应 如果我们要在单个请求响应response增加header,可以使用httpServletResponse或者ResponseEntityobjects. UsingHttpServletResponse We simply have to add theHttpServletResponseobject to our REST endpoint as an argument, then use theaddHead......
spring-boot示例项目
03-25
本项目示例基于spring boot 最新版本(2.1.9)实现,Spring Boot、Spring Cloud 学习示例,将持续更新…… 在基于Spring Boot、Spring Cloud 分布微服务开发过程中,根据实际项目环境,需要选择、集成符合项目...
spring-boot-shiro-demo
04-22
配合Spring Boot的数据访问层,我们可以方便地从数据库中查询用户的角色和权限,并将这些信息映射到Shiro的权限模型中。 **3. Session共享** 在分布式系统中,Session共享是个挑战。Shiro提供了SessionManager和...
42-Spring Boot使用AOP1
08-08
本篇将详细介绍如何在 Spring Boot 中使用 AOP,并通过实例展示其五种不同类型的通知。 1. 前置通知:在目标方法执行之前运行。在提供的代码示例中,前置通知用于打印日志,但实际应用中,它可以用来进行权限验证、...
spring-and-spring-bootSpringSpring Boot课程的实验室解决方案
01-30
2. **面向切面编程(Aspect-Oriented Programming,AOP)**:Spring支持AOP,可以方便地实现日志记录、事务管理等横切关注点。 3. **数据访问集成**:Spring提供了JDBC、ORM(如Hibernate、MyBatis)等多种数据访问...
使用SpringAop拦截请求参数,请求头信息,响应结果,响应时间
热门推荐
汐日南莘的博客
05-29 2万+
在Web应用中线上请求的监控非常重要,在大部分的应用中对于请求参数返回参数,响应时间,请求头信息都是非常重要的,对于线上问题排查是非常重要的。 这里使用Spring aop来实现对每个请求监控,打印请求参数,返回参数等等。在实际应用中随着线上应用的稳定需要对uri做监控管理,哪些需要监控,哪些不需要等等设置,如果稳定的请求监控会消耗大量的性能。 最好能够对每个请求实体返回实体实现系列化接口,重...
SpringBoot 设置response header
m0_67402118的博客
06-22 4652
单个请求响应设置 如果我们要在单个请求响应response增加header,可以使用httpServletResponse 或者 ResponseEntity objects.Using HttpServletResponse We simply have to add the HttpServletResponse object to our REST endpoint as an argument, then use the addHeader() method: Using ResponseEn
springboot使用注解方式aop,获取注解参数,处理request和response
爱音乐的程序猿的博客
04-15 2万+
springboot使用注解aop,获取注解参数,处理request和response 这里实现一个简单的登陆判断注解 加了LonginAction的方法必须登陆才能执行 1 首先检查是否导入相关springboot aop启动器依赖 <dependency> <groupId>org.springframework.boot</groupI...
Springboot中使用AOP切面思想完成用户权限验证
WWXA
06-21 5895
aop切面编程真是个好东西,他类似于过滤器又不同于过滤器,因为这次项目中需要对用户的token进行验证。同事写了一个过滤器,但是他要加黑名单(不是所有请求都需要验证token),这样一来这个黑名单就很难维护。所以我想到了aop,可以使用自定义注解的形式来验证用户的token信息。 另外springboot中使用aop也很方便,几个注解就搞定了 引入依赖 <dependency&gt......
shiro授权RequiresPermissions注解使用
nanfang1012的博客
07-20 2万+
权限控制是shiro最核心的东西 Shiro权限声明通常是使用以冒号分隔的表达式。一个权限表达式可以清晰的指定资源类型,允许的操作,可访问的数据。同时,Shiro权限表达式支持简单的通配符,可以更加灵活的进行权限设置。 下面以实例来说明权限表达式。 可查询用户数据 User:view 可查询或编辑用户数据 User:view,edit 可对用户数据进行所有操作 User:* 或 user 可编辑i...
通过AOP 实现权限登录拦截 springboot+mybatis-plus
weixin_41831221的博客
06-19 1279
实现方式有两种,一种是通过自定义注解的方式,一种是通过@Pointcut切点的方式实现,对我来说Java对外的接口基本都要拦截,注解的方式并不适合我,于是选择了切点的方式拦截自定义的controller类即可,下面两种都可以简单的记录下,以供参考。定义一个切点,表示需要对哪些类生效,我这里暂时是想拦截所有的控制层的代码,加上对用的不是很熟练下这样将就着用吧。如果要注解生效的话可以看下图,类的标识符号是变了的哦,会有一个绿色的@符号。定义一个前置方法的注解,我是想在程序执行前就执行我的拦截方法。
SpringBoot 之AOP实现过滤器、拦截器、切面
const_
03-25 6968
文章目录AOP概述过滤器、拦截器、切面区别过滤器 Filter使用过滤器统一请求耗时拦截器 Interceptor使用拦截器判断是否登录切面 AspectJ AOP概述 AOP表示面向切面编程(Aspect-Oriented Programming)。 首先AOP不是一项技术,它是一种编程思想。 过滤器、拦截器、切面都可以理解为AOP的实现方式。 过滤器、拦截器、切面区别 过滤器 拦截器 Aspect 关注的点 所有web请求 部分web请求 偏向于业务层面的拦截 实现原理 函数回调
Spring Boot AOP 实战:统一Web请求日志处理
"本文将深入探讨如何在Spring Boot应用中利用AOP(面向切面编程)来统一处理Web请求日志。通过AOP,我们可以创建一个全局的拦截器,无侵入地对所有Web请求进行日志记录,提高代码的可维护性和整洁性。" 在Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值