AOP实现RBAC权限验证

最新推荐文章于 2023-09-30 00:01:09 发布
最新推荐文章于 2023-09-30 00:01:09 发布
阅读量419 收藏 5
点赞数 1
分类专栏: 衔接 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62902168/article/details/124823889
版权

首先引入AOP的依赖

         <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>

TokenUtil工具类

作用:1.通过用户生成token

           2.通过token 验证用户是否登录

           3.通过token获取用户实体类

 

public class TokenUtil {

    private static Map<String, User> tokenMap = new HashMap<>();

    public static String generateToken(User user){
        String token = UUID.randomUUID().toString();
        tokenMap.put(token,user);
        return token;
    }

    public static boolean verify(String token){
        return tokenMap.containsKey(token);
    }

    public static User getUser(String token){
        return tokenMap.get(token);
    }
}

AuthorityAop

作用:在调用方法的时候,拿到HEAD中的token,通过tokenUtil工具类获取用户,并通过连表查询查询到用户的权限字段menu,验证注解中的value是否在用户的权限字段中

@Component
@Aspect
public class AuthorityAop {
    @Autowired
    private HttpServletRequest httpServletRequest;


    //定义切入点   切入点就HasAuth注解标注的地方
    @Pointcut("@annotation(com.example.aoptest.common.annonation.HasAuth)")
    public void AuthorityAopPointCut() {

    }
    //环绕
    @Around("AuthorityAopPointCut()")
    public Object around(ProceedingJoinPoint joinPoint) throws Throwable {
        //在调用方法的时候,拿到HEAD中的token,通过tokenUtil工具类获取用户,并通过连表查询查询到用户的权限字段menu,验证注解中的value是否在用户的权限字段中

        MethodSignature signature = (MethodSignature) joinPoint.getSignature();
        Method method = signature.getMethod();
        HasAuth viewRecords = method.getAnnotation(HasAuth.class);
        String idValue = viewRecords.value();
        String token = httpServletRequest.getHeader(GlobalConstant.HEAD_TOKEN);
        User user = TokenUtil.getUser(token);
        Set<String> menuList = user.getMenu();
        if (!menuList.contains(idValue)) {
            throw new RuntimeException("权限不足");
        }
        //执行方法
        return joinPoint.proceed();
    }
}

GlobalConstant        全局变量类

public class GlobalConstant {
    public final static String HEAD_TOKEN="token";
}

aop中直接根据这个全局变量拿就ok了

HasAuth        注解类

@Target(ElementType.METHOD)
@Retention(RUNTIME)
public @interface HasAuth {
    String value() default "";
}

使用注解的时候这样用

@HasAuth(value = "menu1")

在方法前用这个注解,可以通过反射获取注解中的值,在aop中可以把注解中的值当作权限字符串,要求登录的用户有这个字符串权限才能访问

 

Controller

在登录的时候,拿到用户的id,通过用户id查到对应用户的权限字符串,把用户的权限字符串set进用户实体类中,并调用TokenUtil的生成token的方法,生成一串token

@RestController
@RequestMapping("/user")
public class UserController {
    @Autowired
    private UserService userService;


    @PostMapping("/login")
    public WebResultJson login(@RequestBody User user){
        QueryWrapper<User> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("username",user.getUsername());
        queryWrapper.eq("password",user.getPassword());
        User user1 =  userService.getOne(queryWrapper);
        if(user1!=null){
            Long userId = user1.getId();
            Set<String> menuList= userService.getMenu(userId);
            user1.setMenu(menuList);
            String token = TokenUtil.generateToken(user1);
            return WebResultJson.ok(token);
        }
        return WebResultJson.fail();
    }

    @PostMapping("/test")
    @HasAuth(value = "menu1")
    public WebResultJson test(){
       return WebResultJson.ok("我真厉害!");
    }

}

 

 

 如果不在HEAD中加token

就会报错 

User 用户实体类

@Data
@TableName("user")
public class User {
    @TableId
    private Long id;
    private String username;
    private String password;

    @TableField(exist = false)
    private Set<String> menu;
}

 xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.aoptest.mapper.UserMapper">
    <select id="getMenu" resultType="java.lang.String">
        select menu from user
                             left join user_role on user.id = user_role.user_id
                             left join role_menu on user_role.role_id = role_menu.role_id
                             left join menu on role_menu.menu_id=menu.id
        where user.id =#{userId}
    </select>
</mapper>

mapper

public interface UserMapper extends BaseMapper<User> {
    public Set<String> getMenu(@Param("userId")Long userId);
}

数据库

 

 

 

通过(用户id)   查  (角色id)   根据(角色id)查  (权限id)    

就可以查到对应用户的权限,返回的是Set类型

桑英豪
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot:切面AOP实现权限校验:实例演示与注解全解(1)
2401_83412285的博客
04-17 620
经过日积月累, 以下是小编归纳整理的深入了解Java虚拟机文档,希望可以帮助大家过关斩将顺利通过面试。由于整个文档比较全面,内容比较多,篇幅不允许,下面以截图方式展示。由于篇幅限制,文档的详解资料太全面,细节内容太多,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!24686019)][外链图片转存中…(img-LXTLY9ur-1713324686019)]
使用AOP来进行权限鉴定
xcxcxcxx1的博客
04-18 646
我们在开发一个系统的时候,对于不同的用户会有不同的操作权限,比如管理员和普通用户。不能让普通用户也能去调用一些只能管理员调用的接口。总的来说,需要提高系统安全性就需要权限校验。aop是面向切面编程,是oop的一种补充,可以对某些事务进行统一管理,比如(权限校验、日志、事务管理),将共性需求的代码抽离出来,通过配置的方式,声明这些代码什么时候调用,还不用修改原有的代码。还是我们对aop的解释中说到,aop能将共性代码抽离,通过配置的方式声明什么时候调用,还不用修改原有代码。再定义一个权限校验的aop类。
基于AOP方式实现数据权限的校验
weixin_39956506的博客
02-20 1049
基于AOP方式实现数据权限的校验。
SpringBoot基础-AOP权限验证
weixin_46899412的博客
05-21 3110
AOP权限验证,@Around使用小案例
讲的太通透了,切面 AOP 优雅的实现权限校验!
最新发布
良月柒
09-30 59
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 15 分钟。来自:blog.csdn.net/mu_wind/article/details/1027580051 理解AOP1.1 什么是AOPAOP(Aspect Oriented Programming),面向切面思想,是Spring的三大核心思想之一(两外两个:IOC-控制反转、DI-依赖注入)。那么AOP为何那么重要呢...
基于AOP实现权限控制,优化Java项目开发
weixin_54017930的博客
06-18 1237
本文所用的开发语言为Java,应用框架为Spring cloud/MyBatis-plus。示例中的代码为个人开发的缺陷跟踪系统代码片段。我们可以使用@Around上面代码中,我们首先引入了@Component注解和@Aspect注解,将这个类定义为一个切面。然后,在切面中,我们编写了一个方法,用于根据当前用户的权限等级进行权限校验。在方法中,我们通过解析切点的方法参数,找到其中的当前用户ID值,并依此获取到该用户的权限等级信息。之后,我们根据当前方法所定义的权限名称来进行具体的权限校验。
JavaSpring AOP 实现用户权限验证
08-31
本篇文章主要介绍了JavaSpring AOP 实现用户权限验证,用户登录、权限管理这些是必不可少的业务逻辑,具有一定的参考价值,有兴趣的可以了解一下。
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
主要介绍了SpringBoot使用AOP+注解实现简单的权限验证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
aop 权限验证demo
02-27
aop 权限验证
Spring AOP实现权限检查的功能
09-07
主要介绍了Spring AOP实现权限检查的功能,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring aop实现用户权限管理的示例
08-28
本篇文章主要介绍了spring aop实现用户权限管理的示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
讲的太通透了,切面 AOP 优雅的实现权限校验!(VIP典藏版)
java_2017_csdn的博客
09-27 143
AOP(Aspect Oriented Programming),面向切面思想,是Spring的三大核心思想之一(两外两个:IOC-控制反转、DI-依赖注入)。那么AOP为何那么重要呢?在我们的程序中,经常存在一些系统性的需求,比如权限校验、日志记录、统计等,这些代码会散落穿插在各个业务逻辑中,非常冗余且不利于维护。例如下面这个示意图:有多少业务操作,就要写多少重复的校验和日志记录代码,这显然是无法接受的。
aop实现权限及流程讲解(优化)
weixin_47729434的博客
03-30 2435
深入理解aop权限
springAop 运用之权限验证
qq_26138699的博客
09-04 540
注解类import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target;@Retention(RetentionPolicy.RUNTIME) @T
Spring AOP 实现功能权限校验功能
热门推荐
後雪寒的专栏
06-23 2万+
实现功能权限校验的功能有多种方法,其一使用拦截器拦截请求,其二是使用AOP抛异常。 首先用拦截器实现未登录时跳转到登录界面的功能。注意这里没有使用AOP切入,而是用拦截器拦截,因为AOP一般切入的是service层方法,而拦截器是拦截控制器层的请求,它本身也是一个处理器,可以直接中断请求的传递并返回视图,而AOP则不可以。 1.使用拦截器实现未登录时跳转到登录界面的功能 1.1 拦截...
使用springaop进行权限拦截
赶路人儿
08-04 3436
一个SSI的项目(springmvc+mybatis),需要加上权限验证(非数据权限),考虑使用aop实现。大致思路是使用自定义注解,在需要权限控制的方法前(controller层)使用注解定义方法所需的权限,然后使用AOP拦截访问的方法,在执行目标对象前通过反射取得目标对象所需的权限,然后从当前session中取得登陆用户,遍历用户所拥有的权限,如果有权限则继续执行目标对象,如果没有权限则跳转
springboot AOP拦截全局变量Log
weixin_45863786的博客
03-05 657
利用AOP做web请求统一日志收集,一般的访问,判断一下请求中参数的个数有参数,大多数情况下是添加,删除,修改,查询` 1.pom导入aop包 <!-- aop --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>...
总结基于RBAC模型如何实现AOP权限验证
weixin_44836517的博客
07-13 436
一·RBAC模型初步认识 所谓RBAC模型,是在用户和角色以及角色权限之间实现一对多,多对多的权力控制模式,从单个角色到,一个单一的角色拥有多个权限,以及不同角色之间的权限分配,是一个比较均衡化的控制模型,通过简单的数据视图看一下。 该模型涉及到多种权限的分配和管理, 二·如何实现AOP权限校验 首先需要知道一点,在Spring框架下,AOP是属于面向切面编程的,根据自定义切点切入程序的运行,从而实现不同的操作。 @Aspect @Component 1...
AOP实现自定义权限注解
07-25
3. 实现权限验证逻辑:在切面类中,你可以使用@Before或@After注解来定义权限验证的逻辑。在方法执行前或执行后,你可以进行相应的权限验证操作。 4. 配置AOP:最后,你需要在Spring配置文件中配置AOP,将切面类和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值