如何通过自定义注解获取用户登录信息

已于 2023-11-15 11:46:32 修改
阅读量206 收藏
点赞数
分类专栏: Spring 文章标签: java
于 2023-11-12 16:46:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63378258/article/details/134362051
版权

前言

最近在做权限管理,需要获取用户所属的角色信息,但是这些信息通过前端传参很不安全。大家可以试想这么一个场景:有两个用户A和B,A的角色是1,B的角色是2;我登录的是A用户,如果通过前端手动传入角色id获取信息(/getValue/1),我就可以绕过前端,手动向后端发送:/getValue/2,获取不属于我角色能获取到的信息,这样就会出现安全问题。那么这样的问题有解吗?肯定是有的!如果你还是偏爱前端传递,那么只需要把前端传递的roleId和登录角色的roleId进行比较,但是这样操作起来就很麻烦。

获取用户登录信息

如果我们不用前端传递参数呢?那就可以从请求头中获取用户的登录信息!每一个登录后的请求都会携带token或cookie

因此我们就可以通过请求头获取用户的登录信息

public R responsibleNameList(HttpServletRequest request) {
        String authorization = request.getHeader("Authorization");
        String userByToken = userTokenService.getUserByToken(authorization);
        User user = userService.getById(Long.valueOf(userByToken));
       ......
    }

其中,getUserByToken方法要看你们的项目在用户登录拦截时,如何保存的用户信息,以我的项目为例,我们保存在了redis中

......
// 登录成功发放token令牌
        String token = userTokenService.createToken(userInfo.getName(), String.valueOf(userInfo.getId()));
......
@Service
public class UserTokenServiceImpl implements UserTokenService {

    @Autowired
    private RedisTemplate redisTemplate;

    @Autowired
    private SecurityProperties securityProperties;

    @Autowired
    private TokenProvider tokenProvider;


    @Override
    public void refreshToken(String token) {
        redisTemplate.expire(token, securityProperties.getRenew(), TimeUnit.MILLISECONDS);
    }


    @Override
    public String getToken(String userId) {
        return (String) redisTemplate.opsForValue().get(securityProperties.getUserLoginKey() + userId);
    }


    @Override
    public String createToken(String username, String userId) {
        String token = tokenProvider.createToken(username);

        //token保存到redis
        this.saveUser(token, userId, securityProperties.getTokenValidityInSeconds());
        return token;
    }


    @Override
    public void saveUser(String token, String userId, Long time) {
        if (!securityProperties.isMultiLogin()) {
            Object oldTokenKey = redisTemplate.opsForValue().get(securityProperties.getUserLoginKey() + userId);
            if (oldTokenKey != null) {
                redisTemplate.delete(oldTokenKey);
            }
        }
        redisTemplate.opsForValue().set(token, userId, time, TimeUnit.SECONDS);
        redisTemplate.opsForValue().set(securityProperties.getUserLoginKey() + userId, token);
    }


    @Override
    public String getUserByToken(String token) {
        return (String) redisTemplate.opsForValue().get(token);
    }
}

通过该方式,就可以获取到用户的登录信息。

但是这样的话,我每个需要用户登录信息的请求,都要执行一遍request.getHeander吗?答案是yes,是的,不用我说,你也会觉得这样的方式很麻烦,对吧?

获取用户信息进阶版

在我们学习Spring时,我们知道,所有的请求都会经过拦截器的拦截处理,然后放行;我们又知道,注解可以简化一些通用的操作,比如@Data就简化了对象的get和set方法。那么我们是不是可以将以上两者结合起来,简化我们的开发?答案一定是yes!

首先,我们定义了一个自定义注解

@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface CurrentUser {
}

然后编写一个登录处理器

@Component
public class LoginUserHandlerMethodArgumentResolver implements HandlerMethodArgumentResolver {

    @Resource
    private UserService userService;

    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        return parameter.hasParameterAnnotation(CurrentUser.class);
    }

    @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer container,
                                  NativeWebRequest request, WebDataBinderFactory factory) {
       
        String authorization = request.getHeader("Authorization");
        String userByToken = userTokenService.getUserByToken(authorization);
        User user = userService.getById(Long.valueOf(userByToken));
        return user;
    }
}

最后在Spring中配置该处理器

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Resource
    private LoginUserHandlerMethodArgumentResolver loginUserHandlerMethodArgumentResolver;

    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
        argumentResolvers.add(loginUserHandlerMethodArgumentResolver);
    }
......
}

这样就完成了!只需要在请求中加入我们的注解

public R responsibleNameList(@CurrentUser User user) {
       // 直接进行后续的操作
       ......
    }

总结

使用自定义注解可以极大的简化我们的代码开发,但是也要结合实际的业务需求,不能为了注解而注解。谢谢大家的观看,我们下次再见。

SpringMvc自定义注解获取用户登陆信息.rar
07-05
自定义注解:SpringBoot中针对SpringMvc自定义注解获取用户登陆信息
使用@RequestHeader注解获取HTTP请求头信息
热门推荐
果酱 の 博客
06-30 1万+
注解是Spring框架中的一个注解,用于从HTTP请求头获取特定的信息。通过使用注解,我们可以方便地获取HTTP请求头中的各种信息,如用户代理、授权信息、内容类型等。注解可以用于方法的参数或方法的参数注解上。当用于方法的参数时,它将绑定HTTP请求头的值到方法参数上;当用于方法的参数注解时,它将绑定特定请求头的值到被注解的参数上。
自定义注解接收消息头信息
PhilsphyPrgram的博客
06-18 186
Target(ElementType . PARAMETER) // 代表 加在 方法的参数上 (@Token String token) @Retention(RetentionPolicy . RUNTIME) // 注解在运行期有效 public @interface Token {这个方法代表对某注解能不能支持解析,返回true,代表支持这个方法代表解析支持的注解后,返回给参数的值= null;} }} }
Spring Boot AOP日志记录,使用token传递用户信息
weixin_44226956的博客
03-28 1180
一、AOP 1、自定义注解 package com.zongtu.aop.annotation; import java.lang.annotation.*; /** * @Description: 定义注解,拦截controller */ @Retention(RetentionPolicy.RUNTIME)//元注解定义注解被保留策略,一般有三种策略 ...
自定义注解实现对象获取当前登录用户信息
2201_75630288的博客
07-24 369
*** 获取当前登录的用户注解*//*** Type 类型*/INSERT, // 新增类型UPDATE // 修改类型Class<?// 对象类型/*** 获取当前登录的用户切面*/@Aspect@Component@Autowired/*** 包含currentUser 注解的参数 进行初始化*/Class<?i++) {/*** 获取当前登录的用户信息*/
自定义注解实现拦截sql.rar
10-08
本示例中,“自定义注解实现拦截SQL”是关于如何通过注解来动态修改执行的SQL语句,以在其中增加特定的条件。这个功能在数据库操作中特别有用,比如在MyBatisPlus框架中,可以用来实现灵活的数据过滤或者权限控制。 ...
谈谈Java自定义注解及使用场景
09-07
通过在控制器方法上使用自定义注解,拦截器可以检测并执行相应的逻辑,例如检查用户是否已登录。 2. **注解+AOP(面向切面编程)** 自定义注解可以与Spring AOP结合,用于实现特定的切面逻辑。例如,可以创建一个`...
Spring MVC通过添加自定义注解格式化数据的方法
08-28
这个自定义注解继承了`@DateTimeFormat.ISO.DATE`的默认行为,同时允许用户通过`pattern`属性指定自定义的日期时间格式。 5. **处理自定义注解** 在控制器中,当接收到带有`@MyDateTimeFormat`注解的参数时,我们...
自定义注解实现伪动态传参的小demo
09-13
@ApiCallLog(description = "获取用户信息", logLevel = 2) public User getUserInfo(String userId) { // 实现获取用户信息的逻辑 } } ``` 在实际应用中,我们可能需要在运行时获取这些注解信息,这可以通过...
java 获取定义参数类型_Springboot中使用自定义参数注解获取 token 中用户数据...
weixin_35461942的博客
02-25 678
使用自定义参数注解获取 token 中User数据使用背景在springboot项目开发中需要从token中获取用户信息时通常的方式要经历几个步骤拦截器中截获tokenTokenUtil工具类解析token中的用户信息把解析结果存入到成员变量中controller中通过TokenUtil工具类提供的静态方法获取用户信息下面是过程示例代码/*--------1.拦截器中获取---------*/St...
实际开发中使用自定义注解动态获取用户信息
perfecterjj的博客
06-11 360
自定义注解
【Spring Security】springboot + mybatis-plus + mysql 从数据库读取用户信息验证登录
锥栗的博客
05-20 1705
实现spring security 从数据库读取用户信息验证登录,仅仅能用,不含前端。
自定义注解获取请求Header中的值
weixin_37799575的博客
11-04 2711
这几天开发一个项目,为了方便,前台将当前登陆人的ID和名称放在每个请求的Header中(这里不考虑安全性之类的),这样后台只要需要用到,就直接从Header中get出来就可以了。关于自定义注解的原理和说明,这里不做解释,不懂得伙伴百度一下吧,也不难。/*** 自定义注解, 从Header中获取指定key的值**/}我们这里只是实现我们一开始的需求,不做复杂的注解,所以这里只定义一个value()方法,默认值是“”。下一步我们需要实现这个注解的请求解析处理,也就是实现一个类。/**
使用自定义注解获取当前登录用户
蔡大炮
04-02 4465
在开发过程中,我们经常需要用到当前登录用户的信息。那如何优雅而又方便的拿呢?强大的spring大表哥已经帮我们想好了。
SpringMvc自定义注解获取用户登陆信息
m0_37974328的博客
08-10 1887
一.先声明注解类 package com.wfy.controller; import java.lang.annotation.*; /** * Created with IntelliJ IDEA. * Description: * * @author 王飞焱 * Date: 11:29 * Time: 2018/8/10 */ @Target({ElementType....
SpringBoot使用自定义注解实现登录用户获取(详细步骤+图解)
撸码社区的博客
04-17 2851
SpringBoot使用自定义注解实现登录用户获取
SpringBoot通过aop自定义注解实现请求头校验
qq_43653355的博客
04-10 1333
1、定义我们的注解:@InterfaceCheck。2、实现我们的切面类。
通过自定义注解实现获取当前登录用户
最新发布
weixin_67391802的博客
07-12 762
今天在开发的时候想获取当前登录用户的信息时看到了一下这行代码,该代码通过一个注解就能获取当前登录用户的信息属实方便。就是获取当前登录信息的方法)因为我这里使用Session来保存用户信息,所以通过key获取到当前登录用户并返回。接口,该接口用于解析控制器方法的参数。定义一个配置类实现该接口,重写其两个主要方法,将这个解析器注册到 Spring MVC 配置中,定义一个配置类,实现。:用于判断当前解析器是否支持给定的参数类型。:用于解析参数并返回该参数的值。该注解的实现原理即为交给spring的一个。
自定义注解的使用(将request参数中的数据解释成对象)
y_hai_yang的博客
12-13 4808
项目中,每个controller方法都需要验证用户登录,这里工程写了一个简单的注解,来将cookie中的用户信息还原成对象 注解类 package com.cheshangma.operation.wx.annotation; import java.lang.annotation.Documented; import java.lang.annotation.ElementType;
Java自定义注解获取用户信息
09-04
要在Java自定义注解获取用户信息,您可以按照以下步骤进行操作: 1. 创建自定义注解:使用`@interface`关键字创建一个新的注解类型。例如,您可以创建一个名为`UserInfo`的注解获取用户信息。 ```java ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YuuuZh。

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值