在springboot中使用拦截器进行鉴权操作

最新推荐文章于 2024-06-28 11:04:18 发布
最新推荐文章于 2024-06-28 11:04:18 发布
阅读量300 收藏
点赞数
文章标签: spring boot java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65206614/article/details/133963637
版权
文章详细描述了数据库设计中的表结构创建、数据插入以及使用UserMapper接口获取用户权限的SQL查询。同时展示了如何在SpringMVC中使用拦截器进行权限检查,确保只有特定用户可以访问/sys路径下的资源。
摘要由CSDN通过智能技术生成

数据库设计

create databse rbacdb;
use rbacdb
-- ----------------------------
-- Table structure for sys_role_menu
-- ----------------------------
DROP TABLE IF EXISTS `sys_role_menu`;
CREATE TABLE `sys_role_menu` (
  `role_id` int(11) NOT NULL,
  `menu_id` int(11) NOT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of sys_role_menu
-- ----------------------------
INSERT INTO `sys_role_menu` VALUES ('4', '6');
INSERT INTO `sys_role_menu` VALUES ('4', '7');
INSERT INTO `sys_role_menu` VALUES ('5', '7');
INSERT INTO `sys_role_menu` VALUES ('5', '8');

-- ----------------------------
-- Table structure for sys_user_role
-- ----------------------------
DROP TABLE IF EXISTS `sys_user_role`;
CREATE TABLE `sys_user_role` (
  `user_id` int(11) NOT NULL,
  `role_id` int(11) NOT NULL,
  PRIMARY KEY (`user_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of sys_user_role
-- ----------------------------
INSERT INTO `sys_user_role` VALUES ('18', '4');
INSERT INTO `sys_user_role` VALUES ('19', '5');

-- ----------------------------
-- Table structure for t_menu
-- ----------------------------
DROP TABLE IF EXISTS `t_menu`;
CREATE TABLE `t_menu` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `menu_name` varchar(255) NOT NULL,
  `menu_path` varchar(255) NOT NULL,
  `desc` varchar(255) NOT NULL,
  `create_time` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  `is_delete` char(1) NOT NULL DEFAULT '0',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=9 DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_menu
-- ----------------------------
INSERT INTO `t_menu` VALUES ('6', '用户管理', '/sys/user', '1', '2023-10-21 15:08:45', '0');
INSERT INTO `t_menu` VALUES ('7', '评论管理', '/sys/pinglun', '111', '2023-10-21 15:08:41', '0');
INSERT INTO `t_menu` VALUES ('8', '测试', '/sys/test', '111', '2023-10-21 16:43:12', '0');

-- ----------------------------
-- Table structure for t_role
-- ----------------------------
DROP TABLE IF EXISTS `t_role`;
CREATE TABLE `t_role` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `role_name` varchar(100) NOT NULL,
  `desc` varchar(200) DEFAULT NULL,
  `create_time` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP,
  `is_delete` char(1) DEFAULT '0',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=6 DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_role
-- ----------------------------
INSERT INTO `t_role` VALUES ('4', '超级管理员', '权限最高', '2023-10-21 15:06:10', '0');
INSERT INTO `t_role` VALUES ('5', '普通用户', '权限很低', '2023-10-21 15:06:25', '0');

-- ----------------------------
-- Table structure for t_user
-- ----------------------------
DROP TABLE IF EXISTS `t_user`;
CREATE TABLE `t_user` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `account` varchar(18) NOT NULL,
  `password` varchar(500) NOT NULL,
  `sex` char(1) NOT NULL,
  `nickname` varchar(50) NOT NULL,
  `img_url` varchar(255) DEFAULT NULL,
  `create_time` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP,
  `is_delete` char(1) DEFAULT '0',
  PRIMARY KEY (`id`),
  UNIQUE KEY `account` (`account`)
) ENGINE=InnoDB AUTO_INCREMENT=20 DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_user
-- ----------------------------
INSERT INTO `t_user` VALUES ('18', 'admin', '111', '1', '管理员', 'xxx', '2023-10-21 15:05:27', '0');
INSERT INTO `t_user` VALUES ('19', 'test', '111', '1', '普通用户', 'xxx', '2023-10-21 15:05:49', '0');

编写接口


@RestController
public class LoginController {
    @Autowired
    private UserMapper userMapper;
    @GetMapping("/login")
    public String login(@RequestBody User user){
        LambdaQueryWrapper<User>warpper=new LambdaQueryWrapper<>();
        warpper.eq(User::getAccount,user.getAccount());
        warpper.eq(User::getPassword,user.getPassword());
        User user1 = userMapper.selectOne(warpper);
        if (!Objects.isNull(user1)){
            String token = JwtUtils.getToken(user1.getId().toString());
            return token;
        }
        return "账号密码错误";
    }
}

@RestController
@RequestMapping("/sys")
public class PingLunController {
    @GetMapping("/pinglun/getpinglun")
    public String getPingLun(){
        return "获取评论成功";
    }
}

@RestController
@RequestMapping("/sys")
public class UserController {
    @GetMapping("/user/getUser")
    public String getUser(){
        return "获取用户成功";
    }
    @GetMapping("/test/abcd/test")
    public String test(){
        return "获取成功";
    }
}

编写一个查找用户权限的接口

UserMapper中
public interface UserMapper extends BaseMapper<User> {
    List<String> getMenu(String userId);
}

userMapper.xml中
 <select id="getMenu" resultType="java.lang.String">
        select
            DISTINCT
            m.menu_path
        from t_user u,t_role r,t_menu m,sys_role_menu rm,sys_user_role ur
        where
            u.id=ur.user_id and r.id=ur.role_id and m.id=rm.menu_id and r.id=rm.role_id and u.id=19
    </select>

拦截器规则

@Component
public class Interceptor implements HandlerInterceptor {
    @Autowired
    private UserMapper userMapper;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("拦截器执行");
        System.out.println(request.getRequestURI());// 打印请求路径

        String token=request.getHeader("token"); //获取请求头中的token
        if (!StringUtils.hasText(token)){
            throw new TokenException("token为空"); //这里抛出的异常会进入全局异常处理类
        }
        String userId=null;
        try{
            Claims claims = JwtUtils.parseToken(token); //对token进行解析
             userId = claims.getSubject();
            System.out.println(userId);
        }catch (RuntimeException e){
            throw new TokenException("token异常");
        }


        //鉴权操作 如果路径出现/sys 则需要鉴权
        if (request.getRequestURI().indexOf("/sys")!=-1){
            String requestPath = request.getRequestURI(); //获取请求路径
            List<String> menuPath = userMapper.getMenu(userId); //获取该用户能访问的路径列表
            System.out.println(menuPath);
            for (String path : menuPath) {
                if(requestPath.indexOf(path)!=-1){  //如果访问路径包含放行路径则放行 如放行/sys/user 下所有路径 用户访问 /sys/user/getUser
                    return true;
                }
            }

            throw new RuntimeException("权限不足");
        }
        return true; //拦截器 返回false就是拦截,返回true就是放行
    }
}

拦截器配置类

@Configuration
public class webconfig implements WebMvcConfigurer {
    @Bean Interceptor myInterceptor(){ //对拦截器进行Bean处理,不然在拦截器里面拿不到其他Bean对象
        return new Interceptor();
    }
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(myInterceptor())
                .addPathPatterns("/sys/**");
    }
}

补充:我们在拦截器中抛出的异常会被全局异常处理类捕获并处理

享受创作
关注
springboot拦截器实现拦截器 权限校验,登录demo
11-14
不知道为啥不能设置0。这个是demo,有时间博主吧git整理下 链接发出来
【302期】SpringBoot 项目鉴权的 4 种方式,你了解吗?
Java精选
04-16 229
点击上方“Java精选”,选择“设为星标”别问别人为什么,多问自己凭什么!下方有惊喜,留言必回,有问必答!每一天进步一点点,是成功的开始...文章介绍了spring-boot实现通用auth的四种方式,包括 传统AOP、拦截器、参数解析器和过滤器,并提供了对应的实例代码,最后简单总结了下他们的执行顺序。前言最近一直被无尽的业务需求淹没,没时间喘息,终于接到一个能让我突破...
Springboot JWT实现接口鉴权
最新发布
lovely0321的博客
06-28 209
【代码】JWT实现接口鉴权
SpringBoot工具篇--使用拦截器鉴权
拽着尾巴的鱼儿的博客
12-14 1261
使用拦截器鉴权
springboot拦截器鉴权
weixin_38977651的博客
05-29 470
实现处理器预处理,请求会先到这里,当这个方法返回值是true的时候表示处理器可以正常往下执行,返回false,则不会继续执行处理器的代码,一般用来身份验证和鉴权。在springboot可以通过实现HandlerInterceptor接口实现拦截器,这里主要介绍通过预处理做身份鉴权的方法。拦截器:作用类似于Servlet的Filter,用于对处理器进行预处理和后处理。在视图渲染完毕时候调用,一般用来进行统一的异常处理,日志处理。是后处理回调方法,也就是控制器完成后执行。
Spring拦截器实现鉴权
qq_32473523的博客
06-27 1940
拦截器(Interceptor)类似于Servlet的过滤器,主要用于拦截用户请求并做出相应的处理,例如拦截器可以进行权限验证、记录请求信息的日志、判断用户是否登录等。拦截器允许自定义预处理(Pre-Processing),在其可以选择禁止对应Handler 的执行;也允许自定义后处理(Post-Precessing);。
SpringBoot接口鉴权
这里没有简介
02-01 2943
HandlerInterceptorAdapter抽象类进行接口鉴权。有的时候,我们要对接口进行管理,避免敏感信息,然后就有了如下案例。鉴权处理类(这里仅仅是判定UA长度进行判定,请自行替换)若接口不满意还可以选择如下接口
SpringBoot整合sa-token,jwt登录及拦截器鉴权Demo
qq_36813853的博客
03-19 2520
SaCheckDisable:校验当前账号是否被封禁 comment 服务,如果已被封禁会抛出异常,无法进入方法。@SaCheckBasic:Http Basic 校验:只有通过 Basic 认证后才能进入该方法。SaMode.AND,标注一组权限,会话必须全部具有才可通过校验。(5)忽略认证:使用 @SaIgnore 可表示一个接口忽略认证。SaMode.OR,标注一组权限,会话只要具有其一即可通过校验。(4)角色权限双重 “or校验”4、自定义权限验证接口扩展。5、jwt token登录。
SpringBoot使用token简单鉴权的具体实现方法
08-25
拦截器,可以使用 token 进行鉴权,验证通过则放行,否则拒绝操作。 四、实现 token 鉴权的步骤 1. 用户登录请求登录接口时,验证用户名密码等,验证成功会返回给前端一个 token。 2. 后台可能将 token 存储在...
springboot使用拦截器拦截验证签名sign
wuxiao3816的博客
04-25 2746
1生成签名 2使用拦截器验证签名 2.1重写request,以读取存储二级制流 2.2配置过滤器,将默认的request替换为重写的 2.3配置过滤器 2.4写拦截器 2.5配置拦截器 1生成签名 import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.databind.ObjectMapper; import io.renren.common.utils.SM3Util; import
SpringBoot AOP各种注解、自定义注解、鉴权使用案例(免费下载)
02-24
SpringBoot,AOP的使用更为简洁,它简化了配置过程,使得开发者可以更专注于业务逻辑。 首先,我们来看看SpringBoot AOP的各种注解。最基础的是`@Aspect`,用于标记一个类为切面类,这个类会包含切点...
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码
04-22
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
7.5 SpringBoot 拦截器Interceptor实战 统一角色权限校验
天罡gg的专栏
07-16 5525
在【7.1】管理员图书录入和修改API,当时预告过:并没有写【校验是否是管理员】的逻辑,因为是通用逻辑,会单写一篇来细讲,那么今天就来安排!角色权限校验,是保证接口安全必备的能力:有权限才可以操作!所以,一般对于这种通用逻辑,推荐不与主业务逻辑耦合,那么怎么来解耦?在SpringBoot过滤器拦截器切面,都可以实现统一角色校验的功能解耦,为了和【3-3】用户身份认证的拦截器方案保持一致,我们采用SpringBoot拦截器Interceptor实战统一角色权限校验!使用AOP的话,你会实现吗?
Springboot接口鉴权简单方式
qq_29998003的博客
12-28 8241
Springboot接口鉴权简单方式 今天遇到需要给springboot单独的模块需要做接口鉴权的机制,因为我们是多模块开发的项目。为了接口安全,实现方式为: 对称加密 白名单 这种方式就从软件和网络二个方面进行了安全保障。 拦截器 类似于jwt那种方式,header添加对称加密之后的sign,客户端请求,需携带这个请求接口。服务器端拦截器,获取该sign,如果解密成功,说明合法请求。 pu...
Jwt使用
苍穹尘的博客
05-24 1746
Jwt在springboot项目使用示例代码: 1、引入pom依赖 <!--引入JWT依赖,由于是基于Java,所以需要的是java-jwt--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> ...
Spring boot拦截器实现
xinzi11243094的博客
06-28 522
场景:由于用Spring boot编写了关于Ranger策略以及Hive脱敏相关的接口,并以http方式向外部提供。为了防止请求被非法模仿,因而编写了一个访问Ip 鉴权类,也就是设置了访问ip白名单,只有在白名单上的ip才可以访问接口Spring boot自带HandlerInterceptor,可通过继承它来实现拦截功能,其的功能跟过滤器类似,但是提供更精细的的控制能力:在request被响应...
SpringBoot自定义拦截器实现权限过滤功能(基于责任链模式)
jike11231的博客
06-04 2573
项目采用Spring Boot 2.7.12 + JDK 8实现,权限认证就是一个拦截的过程,所以在实现的时候理论上可以做到任意的配置,对任意接口设置任意规则。考虑到鉴权是一系列顺序执行,所以使用了责任链模式进行设计和实现
SpringBoot学习:接口鉴权JWT
大小鱼鱼鱼鱼鱼
06-13 5561
import static org.apache.commons.lang3.StringUtils.defaultIfBlank; import static org.apache.commons.lang3.math.NumberUtils.toInt; import static org.apache.commons.lang3.math.NumberUtils.toLong; /** ...
springboot项目java代码鉴权过滤排除指定url接口
06-06
可以创建一个自定义的过滤器,在过滤器判断请求的URL是否需要排除,如果需要排除则直接放行,否则进行鉴权验证。例如: ```java @Component public class CustomFilter extends OncePerRequestFilter { @...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值