如何通过自定义注解获取用户登录信息

已于 2023-11-15 11:46:32 修改
阅读量167 收藏
点赞数
分类专栏: Spring 文章标签: java
于 2023-11-12 16:46:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63378258/article/details/134362051
版权

前言

最近在做权限管理,需要获取用户所属的角色信息,但是这些信息通过前端传参很不安全。大家可以试想这么一个场景:有两个用户A和B,A的角色是1,B的角色是2;我登录的是A用户,如果通过前端手动传入角色id获取信息(/getValue/1),我就可以绕过前端,手动向后端发送:/getValue/2,获取不属于我角色能获取到的信息,这样就会出现安全问题。那么这样的问题有解吗?肯定是有的!如果你还是偏爱前端传递,那么只需要把前端传递的roleId和登录角色的roleId进行比较,但是这样操作起来就很麻烦。

获取用户登录信息

如果我们不用前端传递参数呢?那就可以从请求头中获取用户的登录信息!每一个登录后的请求都会携带token或cookie

因此我们就可以通过请求头获取用户的登录信息

public R responsibleNameList(HttpServletRequest request) {
        String authorization = request.getHeader("Authorization");
        String userByToken = userTokenService.getUserByToken(authorization);
        User user = userService.getById(Long.valueOf(userByToken));
       ......
    }

其中,getUserByToken方法要看你们的项目在用户登录拦截时,如何保存的用户信息,以我的项目为例,我们保存在了redis中

......
// 登录成功发放token令牌
        String token = userTokenService.createToken(userInfo.getName(), String.valueOf(userInfo.getId()));
......
@Service
public class UserTokenServiceImpl implements UserTokenService {

    @Autowired
    private RedisTemplate redisTemplate;

    @Autowired
    private SecurityProperties securityProperties;

    @Autowired
    private TokenProvider tokenProvider;


    @Override
    public void refreshToken(String token) {
        redisTemplate.expire(token, securityProperties.getRenew(), TimeUnit.MILLISECONDS);
    }


    @Override
    public String getToken(String userId) {
        return (String) redisTemplate.opsForValue().get(securityProperties.getUserLoginKey() + userId);
    }


    @Override
    public String createToken(String username, String userId) {
        String token = tokenProvider.createToken(username);

        //token保存到redis
        this.saveUser(token, userId, securityProperties.getTokenValidityInSeconds());
        return token;
    }


    @Override
    public void saveUser(String token, String userId, Long time) {
        if (!securityProperties.isMultiLogin()) {
            Object oldTokenKey = redisTemplate.opsForValue().get(securityProperties.getUserLoginKey() + userId);
            if (oldTokenKey != null) {
                redisTemplate.delete(oldTokenKey);
            }
        }
        redisTemplate.opsForValue().set(token, userId, time, TimeUnit.SECONDS);
        redisTemplate.opsForValue().set(securityProperties.getUserLoginKey() + userId, token);
    }


    @Override
    public String getUserByToken(String token) {
        return (String) redisTemplate.opsForValue().get(token);
    }
}

通过该方式,就可以获取到用户的登录信息。

但是这样的话,我每个需要用户登录信息的请求,都要执行一遍request.getHeander吗?答案是yes,是的,不用我说,你也会觉得这样的方式很麻烦,对吧?

获取用户信息进阶版

在我们学习Spring时,我们知道,所有的请求都会经过拦截器的拦截处理,然后放行;我们又知道,注解可以简化一些通用的操作,比如@Data就简化了对象的get和set方法。那么我们是不是可以将以上两者结合起来,简化我们的开发?答案一定是yes!

首先,我们定义了一个自定义注解

@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface CurrentUser {
}

然后编写一个登录处理器

@Component
public class LoginUserHandlerMethodArgumentResolver implements HandlerMethodArgumentResolver {

    @Resource
    private UserService userService;

    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        return parameter.hasParameterAnnotation(CurrentUser.class);
    }

    @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer container,
                                  NativeWebRequest request, WebDataBinderFactory factory) {
       
        String authorization = request.getHeader("Authorization");
        String userByToken = userTokenService.getUserByToken(authorization);
        User user = userService.getById(Long.valueOf(userByToken));
        return user;
    }
}

最后在Spring中配置该处理器

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Resource
    private LoginUserHandlerMethodArgumentResolver loginUserHandlerMethodArgumentResolver;

    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
        argumentResolvers.add(loginUserHandlerMethodArgumentResolver);
    }
......
}

这样就完成了!只需要在请求中加入我们的注解

public R responsibleNameList(@CurrentUser User user) {
       // 直接进行后续的操作
       ......
    }

总结

使用自定义注解可以极大的简化我们的代码开发,但是也要结合实际的业务需求,不能为了注解而注解。谢谢大家的观看,我们下次再见。

YuuuZh。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringMvc自定义注解获取用户登陆信息.rar
07-05
// 从session或JWT中获取用户信息,判断是否已登录 // 如果未登录,可以抛出异常或重定向到登录页面 } } ``` 或者使用拦截器: ```java public class LoginInterceptor implements HandlerInterceptor { @...
Spring MVC通过添加自定义注解格式化数据的方法
08-28
这个自定义注解继承了`@DateTimeFormat.ISO.DATE`的默认行为,同时允许用户通过`pattern`属性指定自定义的日期时间格式。 5. **处理自定义注解** 在控制器中,当接收到带有`@MyDateTimeFormat`注解的参数时,我们...
使用@RequestHeader注解获取HTTP请求头信息
果酱 の 博客
06-30 9611
注解是Spring框架中的一个注解,用于从HTTP请求头获取特定的信息。通过使用注解,我们可以方便地获取HTTP请求头中的各种信息,如用户代理、授权信息、内容类型等。注解可以用于方法的参数或方法的参数注解上。当用于方法的参数时,它将绑定HTTP请求头的值到方法参数上;当用于方法的参数注解时,它将绑定特定请求头的值到被注解的参数上。
自定义注解接收消息头信息
PhilsphyPrgram的博客
06-18 140
Target(ElementType . PARAMETER) // 代表 加在 方法的参数上 (@Token String token) @Retention(RetentionPolicy . RUNTIME) // 注解在运行期有效 public @interface Token {这个方法代表对某注解能不能支持解析,返回true,代表支持这个方法代表解析支持的注解后,返回给参数的值= null;} }} }
Spring Boot AOP日志记录,使用token传递用户信息
weixin_44226956的博客
03-28 1131
一、AOP 1、自定义注解 package com.zongtu.aop.annotation; import java.lang.annotation.*; /** * @Description: 定义注解,拦截controller */ @Retention(RetentionPolicy.RUNTIME)//元注解定义注解被保留策略,一般有三种策略 ...
自定义注解实现对象获取当前登录用户信息
2201_75630288的博客
07-24 332
*** 获取当前登录的用户注解*//*** Type 类型*/INSERT, // 新增类型UPDATE // 修改类型Class<?// 对象类型/*** 获取当前登录的用户切面*/@Aspect@Component@Autowired/*** 包含currentUser 注解的参数 进行初始化*/Class<?i++) {/*** 获取当前登录的用户信息*/
java 获取定义参数类型_Springboot中使用自定义参数注解获取 token 中用户数据...
weixin_35461942的博客
02-25 644
使用自定义参数注解获取 token 中User数据使用背景在springboot项目开发中需要从token中获取用户信息时通常的方式要经历几个步骤拦截器中截获tokenTokenUtil工具类解析token中的用户信息把解析结果存入到成员变量中controller中通过TokenUtil工具类提供的静态方法获取用户信息下面是过程示例代码/*--------1.拦截器中获取---------*/St...
自定义注解实现拦截sql.rar
10-08
本示例中,“自定义注解实现拦截SQL”是关于如何通过注解来动态修改执行的SQL语句,以在其中增加特定的条件。这个功能在数据库操作中特别有用,比如在MyBatisPlus框架中,可以用来实现灵活的数据过滤或者权限控制。 ...
谈谈Java自定义注解及使用场景
09-07
通过在控制器方法上使用自定义注解,拦截器可以检测并执行相应的逻辑,例如检查用户是否已登录。 2. **注解+AOP(面向切面编程)** 自定义注解可以与Spring AOP结合,用于实现特定的切面逻辑。例如,可以创建一个`...
自定义注解实现伪动态传参的小demo
09-13
@ApiCallLog(description = "获取用户信息", logLevel = 2) public User getUserInfo(String userId) { // 实现获取用户信息的逻辑 } } ``` 在实际应用中,我们可能需要在运行时获取这些注解信息,这可以通过...
java SpringBoot自定义注解,及自定义解析器实现对象自动注入操作
08-24
该解析器通过解析 `LoginUser` 注解获取用户信息,并将其返回给 Controller 方法。 四、拦截器配置 在 SpringBoot 框架中,拦截器(Interceptor)可以用来拦截和处理请求。在上面的代码中,我们定义了一个名为 `...
spring AOP自定义注解方式实现日志管理的实例讲解
08-28
在本文中,我们将探讨如何使用 Spring AOP 实现日志管理,并使用自定义注解方式来记录日志信息。这种方式可以灵活地实现日志管理,提高系统的可维护性和可扩展性。 首先,我们需要在 applicationContext-mvc.xml ...
validate+@Constraint自定义注解1
08-08
本文将深入讲解如何利用`@Constraint`自定义注解来实现这一功能。 首先,我们需要了解Spring Boot中用于注解注解的四个核心元注解: 1. `@Retention`: 这个注解决定了注解的生命周期,即注解在哪个阶段可见。`...
Java利用自定义注解、反射实现简单BaseDao实例
08-29
通过自定义注解和反射机制,我们可以实现简单的BaseDao实例,提供基本的CRUD操作。这种方法可以帮助我们快速开发数据访问层,提高开发效率。但是,我们也需要注意到这种方法的局限性,例如,它不支持复杂的查询操作...
Java自定义注解md,学习代码
最新发布
06-21
Java自定义注解Java语言中的一个重要特性,它允许开发者创建自己的元数据,为代码提供额外的信息,这些信息可以被编译器或者运行时环境用来进行特定的处理。自定义注解可以用于代码的编译检查、代码生成、运行时...
【Spring Security】springboot + mybatis-plus + mysql 从数据库读取用户信息验证登录
锥栗的博客
05-20 1668
实现spring security 从数据库读取用户信息验证登录,仅仅能用,不含前端。
实际开发中使用自定义注解动态获取用户信息
perfecterjj的博客
06-11 326
自定义注解
使用自定义注解获取当前登录用户
蔡大炮
04-02 4322
在开发过程中,我们经常需要用到当前登录用户的信息。那如何优雅而又方便的拿呢?强大的spring大表哥已经帮我们想好了。
SpringMvc自定义注解获取用户登陆信息
m0_37974328的博客
08-10 1860
一.先声明注解类 package com.wfy.controller; import java.lang.annotation.*; /** * Created with IntelliJ IDEA. * Description: * * @author 王飞焱 * Date: 11:29 * Time: 2018/8/10 */ @Target({ElementType....
Java自定义注解获取用户信息
09-04
要在Java自定义注解获取用户信息,您可以按照以下步骤进行操作: 1. 创建自定义注解:使用`@interface`关键字创建一个新的注解类型。例如,您可以创建一个名为`UserInfo`的注解获取用户信息。 ```java ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YuuuZh。

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值