同事写的注解形式的权限验证代码有点牛

已于 2023-02-13 16:08:11 修改
阅读量145 收藏 1
点赞数 1
分类专栏: java 文章标签: java
于 2023-02-13 16:03:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_is_hard/article/details/129010876
版权
文章描述了一个使用自定义注解`@PreAuth`和AspectJ进行权限验证的实现。`@PreAuth`注解用于标记需要权限检查的方法,而`PreAuthAspect`切面处理这些注解,通过调用服务中心和用户服务来获取当前用户信息并进行权限校验。此外,`SecurityUtil`工具类用于从请求中获取用户信息和进行权限检测。
摘要由CSDN通过智能技术生成

自定义注解:

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Inherited
@Documented
public @interface PreAuth {

    /**
     * 是否启用
     *
     * @return boolean
     */
    boolean enabled() default true;

    /**
     * 验证用户是否授权
     *
     * @return String
     */
    String hasPerm() default "";
}

自定义权限:

package sg.mcc.aiis.aspect;

import io.swagger.annotations.ApiModelProperty;
import lombok.AllArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.ObjectUtils;
import org.springframework.util.PatternMatchUtils;
import org.springframework.util.StringUtils;
import sg.annotation.PreAuth;
import sg.constant.AuthConstant;
import sg.exception.Asserts;
import sg.mcc.aiis.centerbase.manpowerDB.vo.StaffViewVO;
import sg.mcc.aiis.feign.CenterBaseService;
import sg.mcc.aiis.feign.SysUserService;
import sg.mcc.aiis.user.model.SysUser;
import sg.mcc.aiis.util.SecurityUtil;

import javax.servlet.http.HttpServletRequest;
import java.lang.reflect.Method;
import java.util.Arrays;
import java.util.Collection;
import java.util.List;

/**
 * 自定义权限验证
 */
@Slf4j
@Aspect
@Component
@AllArgsConstructor
public class PreAuthAspect {
    @Autowired
    private CenterBaseService centerBaseService;

    @Autowired
    private SysUserService sysUserService;

    /**
     * 所有权限标识
     */
    private static final String ALL_PERMISSION = "*:*:*";

    private final HttpServletRequest request;

    //private final RedisService redisService;

    @Around("@annotation(sg.annotation.PreAuth)")
    public Object around(ProceedingJoinPoint point) throws Throwable {
        String fromWhere = request.getHeader(AuthConstant.FROM_WHERE);
        //System.out.println("around进入,fromWhere的值为:"+fromWhere);
        //IHOME暂时全部放行
        if (!StringUtils.isEmpty(fromWhere) && "IHOME".equals(fromWhere)) {
            return point.proceed();
        }
        //System.out.println("进入了环绕");
        MethodSignature methodSignature =(MethodSignature) point.getSignature();
//        MethodSignature methodSignature = (MethodSignature) signature;
        Method method = methodSignature.getMethod();
        PreAuth preAuth = method.getAnnotation(PreAuth.class);
        if (ObjectUtils.isEmpty(preAuth)) {
            //System.out.println("直接return");
            return point.proceed();
        }
        //System.out.println("preAuth.hasPerm()=" + preAuth.hasPerm());

        boolean kkk = hasPerm(preAuth.hasPerm());
        //System.out.println("kkk=" + kkk);
        if (kkk) {
            //System.out.println("进入权限校验");
            return point.proceed();
        } else {
            Asserts.fail("权限验证不通过");
        }
        return null;
    }


    /**
     * 验证用户是否具备某权限
     *
     * @param permission 权限字符串
     * @return 用户是否具备某权限
     */
    public boolean hasPerm(String permission) {
        //System.out.println("permission的值为:" + permission);
        StaffViewVO userInfo = SecurityUtil.getUsername(request, centerBaseService);
        if (StringUtils.isEmpty(userInfo)) {
            return false;
        }
        if (!StringUtils.isEmpty(userInfo) && StringUtils.isEmpty(permission)) {
            return true;
        }
        /**
         * 查询人员对象
         */
        SysUser userByEmployeeCode = sysUserService.getUserByEmployeeCode(userInfo.getStaff_no());
        if (null == userByEmployeeCode) {
            Asserts.fail("获取当前登录用户失败,请重试!");
        }
        //保存当前用户信息到线程中
        userInfo.setSysUser(userByEmployeeCode);
        // 如果用户是超级管理员,则直接跳过权限验证
        if (String.valueOf(userByEmployeeCode.getDepartId()).equals("-1")) {
            userInfo.setIsSuperAdmin(true);
            return true;
        } else {
            userInfo.setIsSuperAdmin(false);
        }
        //实时获取所有的菜单权限List<String>
//        sysUserService.getUserAuthorities(userInfo.getStaff_no());
        //暂不用缓存校验
        /*Map<String, Object> data = (Map<String, Object>) redisService.get(Oauth2Constant.MATE_PERMISSION_PREFIX
                + userInfo.getAccount() + StringPool.DOT + userInfo.getRoleId());
        List<String> authorities = (List<String>) data.get("permissions");*/
        List<String> authorities = sysUserService.getUserAuthorities(userInfo.getStaff_no());
        return hasPermissions(authorities, permission);
    }

    /**
     * 判断是否包含权限
     *
     * @param authorities 权限列表
     * @param permission  权限字符串
     * @return 用户是否具备某权限
     */
    private boolean hasPermissions(Collection<String> authorities, String permission) {
        //System.out.println("authorities的值为-AIIS:" + authorities);
        //System.out.println("permission的值为-AIIS:" + permission);
        //逗号分隔拆分
        if (!StringUtils.isEmpty(permission)) {
            List<String> strings = Arrays.asList(permission.split(","));
            //System.out.println("strings的值为:" + strings);
            for (String onePer : strings) {
                boolean b = authorities.stream().filter(StringUtils::hasText)
                        .anyMatch(x -> ALL_PERMISSION.contains(x) || PatternMatchUtils.simpleMatch(onePer, x));
                if (b) {
                    //System.out.println("命中permission的值为:" + permission);
                    return true;
                }
            }
        }
        return authorities.stream().filter(StringUtils::hasText)
                .anyMatch(x -> ALL_PERMISSION.contains(x) || PatternMatchUtils.simpleMatch(permission, x));

    }
}

token安全检测工具类:查询该登录用户是否具有某个页面或按钮的配置权限

package sg.mcc.aiis.util;

import cn.hutool.core.bean.BeanUtil;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.BeanUtils;
import sg.api.CommonResult;
import sg.api.ResultCode;
import sg.constant.AuthConstant;
import sg.exception.Asserts;
import sg.mcc.aiis.centerbase.manpowerDB.vo.StaffViewVO;
import sg.mcc.aiis.context.UserContext;
import sg.mcc.aiis.feign.CenterBaseService;

import javax.servlet.http.HttpServletRequest;

/**
 * token安全检测工具类
 */
@Slf4j
public class SecurityUtil {

    /**
     * 从HttpServletRequest获取LoginUser信息
     *
     * @param request HttpServletRequest
     * @return LoginUser
     */
    public static StaffViewVO getUsername(HttpServletRequest request, CenterBaseService centerBaseService) {
        String realToken = getToken(request);
        String fromWhere = request.getHeader(AuthConstant.FROM_WHERE);
        // 然后根据token获取用户登录信息,这里省略获取用户信息的过程
        CommonResult<StaffViewVO> result = null;
        if (fromWhere.equalsIgnoreCase("PC") || fromWhere.equalsIgnoreCase("MOBILE")) {
            result = centerBaseService.getStaffByView(realToken, fromWhere);
        } else if (fromWhere.equalsIgnoreCase("APP")) {
            result = centerBaseService.getStaffByViewForApp(realToken);
        } else {
            Asserts.fail(ResultCode.UNAUTHORIZED);
        }
        StaffViewVO loginUser = new StaffViewVO();
        StaffViewVO data = result.getData();
        if (BeanUtil.isNotEmpty(data)) {
            BeanUtil.copyProperties(data, loginUser);
        }
        loginUser.setFromWhere(fromWhere);
        UserContext.setUser(loginUser);
        return loginUser;
    }


    /**
     * 从HttpServletRequest里获取token
     *
     * @param request HttpServletRequest
     * @return token
     */
    public static String getHeaderToken(HttpServletRequest request) {
        return request.getHeader("realToken");
    }

    /**
     * 从HttpServletRequest里获取token
     *
     * @param request HttpServletRequest
     * @return token
     */
    public static String getToken(HttpServletRequest request) {
        String headerToken = getHeaderToken(request);
        if (StringUtils.isBlank(headerToken)) {
            Asserts.fail("没有携带Token信息!");
        }
        return headerToken;
    }


}
罗雨晴
关注
专栏目录
Springboot使用注解实现权限校验
qq_59622162的博客
07-13 1535
记录一下使用springboot的注解来给方法加权限 避免了每个方法都需要大量的权限判断
关于细粒度控制接口权限的设计思路
luoqiang616477607的专栏
09-06 576
前言: 目前安全问题越来越重要,以前只需要前端权限控制,目前前端的权限控制已经无法满足当前的安全需要了,一个更细粒度的控制,也就是接口粒度的控制变得越来越重要。 思路: 权限控制还是传统的RBAC(Role-Based Access Control: 基于角色访问控制)思想,添加了给角色绑定某个菜单的某些行为的能力。 用户,角色,菜单,行为 用户和角色绑定。 角色决定 有哪些菜单的哪些行为。 比如。 拥有某个菜单的行为( 添加、删除、修改、导出、导入、打印) 每个菜单在设计时,必须指定一个id,如xxxx
Spring boot 项目(七)——AOP权限校验
weixin_45974176的博客
09-18 401
前言 之前过AOP切面的详细解读以及通过AOP切面来进行操作日志的入库,本篇主要通过AOP切面来达到校验权限的目的 这是之前文章的链接 1、Spring boot 项目(五)——AOP切面:https://blog.csdn.net/weixin_45974176/article/details/120365438 2、 操作流程 1、新建权限校验注解 @Target(ElementType.METHOD) // 该注解可以作用于那些类型元素上:类、方法、字段 @Retention(Retentio
Spring Security认证授权-权限验证使用教程(一)
Jokers_lin的博客
05-12 6252
spring security核心组件有: SecurityContext、SecurityContextHolder、Authentication、Userdetails 和 AuthenticationManager等
一文学会SpringSecurity权限框架
qq_45243783的博客
11-20 1164
springsecurity权限框架实现认证授权
由量变到质变 出高质量代码
Nicholas.S的博客
01-28 1300
本文由于总结《阿里Java开发手册》、《用友技术review手册》及个人Java开发工作经验,结合这半年来的源码阅读经验进行编。回顾那些过的 读过的代码,回顾自己。 第一章 基础编码规范 1.1 命名规范 代码中的命名均不能以下划线或美元符号开始,也不能以下划线或美元符号结束。 tips:JDK动态代理生成的代理类 类名使用了$符号开头,如$Proxy1。 代码中的命名严禁使用拼音与英...
13.Spring security权限管理
EdSheeran的博客
04-14 1万+
文章目录*权限管理**13.1什么是权限管理**13.2Spring security权限管理策略**13.3核心概念**13.3.1角色与权限**13.3.2角色继承**13.3.3两种处理器**13.3.4前置处理器**投票器**决策器**13.3.5后置处理器**13.3.6权限元数据**`ConfigAttribute`**`SecurityMetadataSource`**13.3.7权限表达式**`SecurityExpressionRoot`**`WebSecurityExpressionRo
注解与反射(二)
Jackson_Stars的博客
05-09 53
前提--基础知识:在运行的时候代码可以根据某些条件改变自身的结构主要的动态语言:Object-c、C# 、Pthon与动态语言相对的,在运行时结构不可以改变的语言主要语言:java 、c 、c++虽然说java是静态语言 但是java是可以被称为“准动态语言”的。java是有一定的动态性!可以利用反射机制使java获得类似动态语言的特性。也使得java的动态性让编程更具有灵活性!这也是java的市场价值所在!
WebServer代码实现第二版
qq_41765518的博客
02-14 624
WebServer代码实现第二版:通过注册登录功能完善WebServer前言1.通过注册登录功能完善WebServer编注册页面:reg.html在HttpRequest中处理get请求中的参数程序设计原则:高内聚,低耦合MVC模式简单说明创建RegServlet并在ClientHandler里调用获取请求信息的安全性问题实现注册功能RegServlet实现登录功能Loginservlet2.WebServer代码实现第二版1.WebServer/src/main/java/common/HttpCont
BAT 大厂Java 面试题集锦之核心篇附参考答案
AI天才研究院
11-05 1万+
核心篇数据结构与算法网路:TCP/IP,HTTP操作系统, 文件, shell, CPU, IO, epoll, 非阻塞IO,进程/线程/协程,锁HashMap, Co...
java多态的三种表现形式
m0_57286518的博客
06-19 3248
前言 MyBatis是一个支持普通SQL查询、存储过程和高级映射的优秀持久层框架。MyBatis 去掉了几乎所有的JDBC代码和参数的手工设置以及对结果集的检索封装。MyBatis可以使用简单的XML或注解进行配置和原始映射,以将接口和Java的POJO (Plain Old Java Objects,普通的Java对象)映射成数据库中的记录。 MyBatis作为持久层框架,其主要思想是将程序中的大量SQL语句剥离出来,配置在配置文件中,以实现SQL的灵活配置。这样做的好处是将SQL与程序代码分离,做到可以
C#静态代码检查工具StyleCode
weixin_33788244的博客
05-15 878
C#静态代码检查工具StyleCode -- 初探 最近我们Advent Data Service (ADS) 在项目上需要按照代码规范进行代码的编工作,以方便将来代码的阅读与维护。 但是人工检查起来容易遗漏或者格式不统一, ReSharper又是收费的,而且费用不菲。 于是美国的同事推荐了我们一款开源工具 StyleCop,我想无论是对公司项目还是个人的项目,都是有所帮助的,所以想下来...
环境企业表单权限分配填报数据系统设计与实现
子舆的专栏
06-05 1万+
环境信息化是政府信息化建设的重要组成部分,深入推进环境信息化建设是国家信息化发展的客观要求,是建设服务型政府的重要手段,是实现环境管理科学决策和提升环境监管效能的基本保障。对于一套兼容并包的信息管理系统,不同的类型的企业机构有相对应的属性业务表单,需要对建立的表单建立关联关系,并且系统的用户有填报、审核及管理的多重功能。 本文开发一套系统应用于环境企业的差异化表单填报与用户权限分配的实际场景,可以有效提升系统的管理与业务数据的汇总和分析。 本文完成的主要工作如下: 1.通过对当前业界
在前面的一些话:《Learning OpenCV》中文版
热门推荐
09-17 1万+
 <!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0
工厂模式的介绍及实现
户伟伟的博客
09-25 102
工厂模式(Factory Pattern)是一种创建型设计模式,提供了一种创建对象的接口,而无需显式指定对象的具体类。在这种模式中,我们通过定义一个工厂类,专门负责生产各种类型的对象,这样我们可以避免直接在代码中实例化具体类,使代码更具扩展性、灵活性和维护性。解耦:客户端代码与具体的类解耦,避免了对象创建逻辑的重复。简化对象创建:通过工厂统一管理对象的创建逻辑,使代码更清晰易懂。扩展性强:新增类时,只需在工厂中增加创建逻辑,而不必修改现有的业务代码
Spring Boot 学习和使用
cesske的博客
09-24 1025
Spring Boot是一款开源的Java Web应用框架,旨在简化Spring应用的初始搭建以及开发过程。Spring Boot通过整合Spring技术栈中的诸多关键组件,为开发者提供了一种快速、简便的Spring应用开发方式。它遵循“约定优于配置”的原则,通过自动配置、起步依赖和内置的Servlet容器,极大地简化了传统Spring应用的配置和部署过程。Spring Boot通过其自动化配置、起步依赖、内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。
基于Hive和Hadoop的哔哩哔哩网站分析系统
最新发布
图南的博客
09-27 245
本项目是一个基于大数据技术的哔哩哔哩平台分析系统,旨在为用户提供全面的哔哩哔哩视频数据和深入的用户行为分析。系统采用 Hadoop 平台进行大规模数据存储和处理,利用 MapReduce 进行数据分析和处理,通过 Sqoop 实现数据的导入导出,以 Spark 为核心进行高效的数据处理。整个系统结合了大数据处理技术,为用户提供精准的内容推荐和深入的用户兴趣分析,帮助平台更好地了解视频趋势和用户需求。
基于JavaWeb开发的Java+SpringMvc+vue+element实现驾校管理系统详细设计
央顺科技官方博客
09-24 853
机遇与挑战始终并存。在开放的互联网平台面前,驾校预约管理系统的信息管理面临着巨大的挑战。传统的管理模式局限于简单数据的管理,无法适应不断变化的市场格局。在早期阶段,在将计算机技术和网络技术融入驾校预约管理系统数据管理方法之前,所有管理方式都通过人工操作完成了管理信息的。系统管理也都将通过计算机进行整体智能化操作,对于驾校预约管理系统所牵扯的管理及数据保存都是非常多的,举例像所有详细信息包括,管理员;首页、个人中心、学员管理、驾校教练管理、驾校车辆管理、预约管理、取消预约管理、驾校公告管理、系统管理。
Java aop 注解拦截权限验证
06-10
使用 AOP 注解拦截权限验证Java 中常见的一种权限校验方式。以下是一个简单的示例: 1. 定义一个注解,用于标记哪些方法需要进行权限校验: ``` @Retention(RetentionPolicy.RUNTIME) @Target(ElementType....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值