方法鉴权:基于 Spring Aop 的注解鉴权

已于 2024-02-22 09:02:36 修改
阅读量1.7k 收藏
点赞数 22
分类专栏: JAVA 文章标签: spring java 后端
于 2024-02-22 09:02:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67624967/article/details/136224262
版权

在Spring框架中,可以使用面向切面编程(AOP)来实现注解鉴权。这通常涉及到定义一个切面(Aspect),该切面会在方法执行前进行拦截,并根据注解value值来决定是否允许执行该方法。

简单思路:

权限标识如:"business:project:list" 字段保存在菜单表,用户表与菜单表关联。如果自定义注解中的参数值@RequiresPermissions("business:project:list") 存在于当前用户所拥有的权限中,则该请求允许访问该方法,否则拒绝。

首先,需要定义一个注解 RequiresPermissions

/**
 * 权限认证:必须具有指定权限才能进入该方法
 * 
 * @author digipower
 *
 */
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD, ElementType.TYPE})
public @interface RequiresPermissions {
    /**
     * 需要校验的权限码
     */
    String[] value() default {};

}

然后,你需要定义一个切面,该切面会拦截带有 @RequiresPermissions 注解的方法

import java.lang.reflect.Method;

import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.stereotype.Component;

import com.digipower.component.security.annotation.RequiresLogin;
import com.digipower.component.security.annotation.RequiresPermissions;
import com.digipower.component.security.annotation.RequiresRoles;
import com.digipower.component.security.auth.AuthUtil;

/**
 * 基于 Spring Aop 的注解鉴权
 */
@Aspect
@Component
public class AuthAspect {
    
    /** 权限标识 */
    private static final String ALL_PERMISSION = "*:*:*";
    
    /**
     * 构建
     */
    public AuthAspect() {}

    /**
     * 声明AOP签名
     */
    @Pointcut(@annotation(com.bibo.test.RequiresPermissions))
    public void pointcut() {}

    /**
     * 环绕切入
     */
    @Around("pointcut()")
    public Object around(ProceedingJoinPoint joinPoint) throws Throwable {
        // 获取签名
        MethodSignature signature = (MethodSignature)joinPoint.getSignature();
        // 校验 @RequiresPermissions 注解
        RequiresPermissions requiresPermissions = signature.getMethod().getAnnotation(RequiresPermissions.class);
        if (requiresPermissions != null) {
            // 获取当前用户的全部权限,可以从redis、Spring Security安全上下文等
            Set<String> permissionSet = getXX();
            for (String permission : requiresPermissions.value()) {
                if (!hasPermission(permissionSet, permission)) {
                    throw new NotPermissionException(permission);
                }
            }
        }
        
        try {
            // 执行原有逻辑
            Object obj = joinPoint.proceed();
            return obj;
        } catch (Throwable e) {
            throw e;
        }
    }
    
    /**
     * 判断是否包含权限
     * 
     * @param authorities
     *            权限列表
     * @param permission
     *            权限字符串
     * @return 用户是否具备某权限
     */
    public boolean hasPermission(Collection<String> authorities, String permission) {
        return authorities.stream().filter()
            .anyMatch(x -> ALL_PERMISSION.contains(x) || PatternMatchUtils.simpleMatch(x, permission));
    }
}

最后,在你的服务或控制器中,你可以使用

@RequiresPermissions注解来标记需要进行鉴权的方法

/**
 * 查询列表
 */
@RequiresPermissions("business:project:list")
@GetMapping("/list")
public PageDataResult list(BizInfo bizInfo) {
    ...
    return ..
}

这样,每当 list 方法被调用时,AuthAspect 会进行鉴权检查。如果鉴权失败,将抛出异常或返回错误信息,阻止方法的执行。

程序吟游
关注
  • 22
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring AOP注解的应用1
01-23
关于AOP注解前置通知、后置通知、返回通知、异常通知的注解注释及应用
Spring Aop之AspectJ注解配置实现日志管理的方法
08-28
下面小编就为大家分享一篇Spring Aop之AspectJ注解配置实现日志管理的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Spring拦截器实现鉴权
qq_32473523的博客
06-27 1773
拦截器(Interceptor)类似于Servlet中的过滤器,主要用于拦截用户请求并做出相应的处理,例如拦截器可以进行权限验证、记录请求信息的日志、判断用户是否登录等。拦截器允许自定义预处理(Pre-Processing),在其中可以选择禁止对应Handler 的执行;也允许自定义后处理(Post-Precessing);。
这才是 SpringBoot 统一登录鉴权、异常处理、数据格式 的正确姿势!!!
群群的博客
08-06 194
本篇将要学习 Spring Boot 统一功能处理模块,这也是 AOP 的实战环节。
Spring】使用自定义注解方式实现AOP鉴权
像风走过八千里
08-26 713
AOP,是一种面向切面编程,可以通过预编译方式和运行期间动态代理实现程序功能的统一维护的一种技术。在软件开发中,鉴权(Authentication)是一项非常重要的安全措施,用于验证用户身份和权限。在应用程序中,我们通常会使用AOP(Aspect-Oriented Programming)来实现鉴权功能,以便在需要进行鉴权的地方进行统一的处理。一种常用的实现AOP鉴权的方式是使用自定义注解
SpringBoot项目的 4 种鉴权方案
程序员闪充宝
10-22 2977
大家好,我是宝哥!‍最近在重构公司以前产品的前端代码,摈弃了以前的session-cookie鉴权方式,采用token鉴权,忙里偷闲觉得有必要对几种常见的鉴权方式整理一下。目前我们常用的鉴权有四种:HTTP Basic Authenticationsession-cookieToken 验证OAuth(开放授权)一.HTTP Basic Authentication这种授权方式是浏览器遵守http...
Spring AOP 基于注解详解及实例代码
01-08
Spring AOP 基于注解详解及实例代码 1.启用spring对@AspectJ注解的支持: <beans xmlns:aop=http://www.springframework.org/schema/aop...> <!--启动支持--> <aop> 也可以配置...
基于注解实现SpringAop
12-15
基于注解实现SpringAop基于注解实现SpringAop基于注解实现SpringAop
spring-validation:使用Spring AOP的参数验证Spring扩展
04-30
基于Spring AOP的参数验证框架,在日常的开发过程中,经常会遇到参数校验的问题,使用这个扩展可以把参数校验的逻辑从业务代码中解藕出来,成为单独的模块,使业务代码看起来更清爽。 环境要求 spring-aop 3.2.6....
Spring Boot 项目鉴权的 4 种方式
weixin_43805579的博客
12-29 1038
鉴权的4种实现方式
SpringSecurity登录验证和鉴权粗解
javaFrom0To100的博客
09-13 887
SpringSecurity是Spring家族中的一个安全管理框架,它的底层是一系列的拦截器和拦截规则,相当于一个拦截器链。
基于SpringBoot2.7+SpringSecurity5.7的登录鉴权方案
Loli_Wolf的博客
11-04 6615
基于SpringBoot 2.7以上,SpringSecurity5.7以上的一套完整的安全验证方案
Spring Boot整合Spring Security实现认证鉴权
weixin_57392053的博客
06-24 2099
Spring Security是一个基于Spring框架的安全性框架,可以为Web应用程序提供身份验证(Authentication)、授权(Authorization)、攻击防御等安全功能。Spring Security框架提供了一整套的身份验证、授权、ACL(访问控制列表)等模块和类库,还提供了一系列的安全过滤器、安全标签等,可以方便地实现常见的安全性控制。
SpringCloud-Gateway鉴权
海的那边,还是海吗
09-15 2489
API 网关是位于客户端和后端服务之间的中间层,负责管理、监控和保护 API。它可以用于实现许多功能,包括路由请求、负载均衡、鉴权、日志记录、缓存和限速等。在这里,我们将重点关注如何使用 API 网关来实现鉴权。API 网关是实现鉴权和安全性的重要工具之一。它可以集中管理鉴权逻辑,提供监控和日志记录功能,同时还具有灵活性和性能优势。在构建微服务架构或任何需要鉴权的应用程序时,考虑使用 API 网关来提高安全性并简化管理。
springboot基本使用十二(PageHelper分页查询)
最新发布
weixin_41670405的博客
05-31 214
startPage(page,pageSize)方法进行分页查询,这个方法需要传入两个参数,第一个参数为页码(page自定义名称),第二个为每页的数量(pageSize自定义名称)分页查询还得到数据总量。
SpringBoot 的 Java 代码配置(二)
xiaotu的博客
05-29 905
因此,如果使用 HikariCP 只用声明你要用它就行,而声明要使用 Druid,你需要自己指定所使用的版本。上面的 DruidDataSource ,我们为其属性赋值时,它的四个属性都是简单类型属性,因此十分容易处理。但是,在 Spring 的容器中,Java Bean 可能会存在引用。在上面的 Druid 的配置中,数据库连接的四大属性值是在代码中『写死』的。而在 Java 代码配置中,通过 @Bean 方法的入参来表达 Bean 之间的引用关系。,所以,我们可以直接将自定义的配置项写在。
java运行普通jar包和springboot对应的jar包中指定类的main方法
liaomingwu的专栏
05-30 150
这里分几种情况进行说明,包括普通jar包和springboot生成的jar包,运行默认启动类,运行默认启动类以外的指定类。
Spring基础知识总结(纯文字版)
weixin_54925172的博客
05-29 471
1)传播行为Spring定义了七种传播行为,以下为常见类型:PROPAGATION_REQUIRED:表示当前方法必须运行在事务中。如果当前事务存在,方法将会在该事务中运行。否则,会启动一个新的事务PROPAGATION_SUPPORTS:表示当前方法不需要事务上下文,但是如果存在当前事务的话,那么该方法会在这个事务中运行PROPAGATION_MANDATORY:表示该方法必须在事务中运行,如果当前事务不存在,则会抛出一个异常2)隔离级别隔离级别定义了一个事务可能受其他并发事务影响的程度。
springaop注解
07-27
Spring AOP注解是一种使用注解方式实现AOP方法。在Spring框架中,可以使用注解来定义切面、切入点和通知等元素,从而实现对目标方法的增强处理。常用的注解包括: 1. @Aspect: 用于定义切面类,通常是一个带有切入点和通知的类。 2. @Pointcut: 用于定义切入点,可以通过表达式指定要拦截的方法。 3. @Before: 在目标方法执行之前执行的通知。 4. @After: 在目标方法执行之后执行的通知。 5. @AfterReturning: 在目标方法返回结果后执行的通知。 6. @AfterThrowing: 在目标方法抛出异常后执行的通知。 7. @Around: 在目标方法执行前后都执行的通知。 Spring AOP注解可以通过配置文件或者使用@ComponentScan注解来启用。在使用注解方式实现AOP时,可以更加简洁和灵活地定义切面和通知,提高了代码的可读性和可维护性。 #### 引用[.reference_title] - *1* [spring注解:spring aop注解详解](https://blog.csdn.net/weixin_37862824/article/details/122397507)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值