1.
面向初学者,需要会改代码
可以使用sa-token解决
对于初学者,我只想实现简单的权限控制
那么拦截器+注解是一个选择
(请求过来时判断有没有权限,注解控制哪些方法需要有什么权限的才能访问)
如@CheckRole("admin"):admin用户可以访问
数据库 角色表和 角色用户映射表
role_id
role_name
role_key
user_id
role_id
注解
@Target({ElementType.TYPE, ElementType.METHOD})//方法上或类型上
@Retention(RetentionPolicy.RUNTIME)
public @interface CheckRole {
/**
* 角色值
*/
String[] value();
}
拦截器
@Component
public class RoleInterceptor implements HandlerInterceptor {
@Autowired
private RedisUtil redisUtil;//查询权限 换成自己的查询方式
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
if (handler instanceof HandlerMethod handlerMethod) {
Method method = handlerMethod.getMethod();
CheckRole annotation = method.getAnnotation(CheckRole.class);//方法上注解
if (annotation != null) {
return checkRole(annotation);
}
for (Annotation a : handlerMethod.getBeanType().getAnnotations()) {//类上注解,不想要就不要
if (a instanceof CheckRole) {
return checkRole((CheckRole) a);
}
}
}
return true;
}
private boolean checkRole(CheckRole annotation) {
String[] value = annotation.value();//注解需要的权限 有则放行
JSONObject object = redisUtil.getObject(LOGIN_TOKEN_KEY + AuthInfoUtil.getLoginId());//用户对应的权限列表
if (object != null) {
JSONArray role = object.getJSONArray("role");
for (Object s : role) {
for (String val : value) {
if (s.equals(val)) {
return true;//有就放行
}
}
}
}
throw new AccessDeniedException("没有权限");
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
// 可以在此处进行后续处理,如果需要的话。
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
// 可以在此处进行清理工作,如果需要的话。
}
}
注册拦截器
@Configuration
public class AddInterceptor implements WebMvcConfigurer {
@Autowired
RoleInterceptor roleInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
xxxxxx。。。。
registry.addInterceptor(roleInterceptor)
.excludePathPatterns(xxxxxx);
}
}