Java轻松实现权限认证管理

已于 2024-03-09 18:31:31 修改
阅读量1.5k 收藏 4
点赞数 30
文章标签: java spring maven spring boot servlet java-ee mybatis
于 2023-11-15 16:36:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69156017/article/details/134423632
版权

我们在实际开发中经常会进行权限认证管理,给不同的人加上对应的角色和权限,对于不同的登录用户要求根据他们所扮演的的角色和拥有的权限去访问指定的接口,那具体该怎么实现呢

我这边参考了各个框架的实现逻辑,发现还是蛮简单的,今天就实现一个简易的权限验证管理系统

首先需要角色和权限表

角色表:字段为用户唯一标识(user_id),该用户所扮演的角色(role_name)

权限表:字段为用户所含有的角色(user_roles),该角色所拥有的权限(permission)

数据库脚本

-- 创建Roles表
CREATE TABLE Roles (
    id INT AUTO_INCREMENT PRIMARY KEY,
    user_id INT NOT NULL,
    role_name VARCHAR(255) NOT NULL
);

-- 创建Permissions表
CREATE TABLE Permissions (
    id INT AUTO_INCREMENT PRIMARY KEY,
    user_roles VARCHAR(255) NOT NULL,
    permission VARCHAR(255) NOT NULL
);

接下来该敲代码了,依旧是熟悉的套路,依赖配置写代码

核心逻辑如下

根据jwt登录得到redis的用户key获取用户信息,比如id,根据id拿到角色和权限
在每一个接口写一个aop切面,在切面中判断该登录用户是否含有对应接口所需要的角色和权限

登录jwt认证和拦截参考我的另一篇博客:JWT生成ToKen进行验证-CSDN博客 

1.使用aop切面先加上依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-aop</artifactId>
</dependency>

2. 接下来创建权限注解(注解大致就是一个类,包含一些属性,主要还是切面的逻辑)

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface DbmAuthority {
    String value(); // 权限字符串,格式为"功能:角色:权限"
}

3.创建一个简单的用户权限类,如下

@Data
public class User {
    private String id; //用户ID
    private List<String> roles; //角色
    private List<String> permissions; //权限
}

4.模拟从数据库根据登录用户id查询该角色的角色和权限

public interface UserRepository {
    User getUserById(String userId);
}

实现这个接口

public class UserRepositoryimpl implements UserRepository{

    @Resource
    private RolesMapper rolesMapper;
 
    @Resource
    private Permissions permissionsMapper;

    @Override
    public User getUserById(String userId) {
        //根据id获取该用户扮演的角色
        List<String> roles = rolesMapper.selectAll(userId);
        //根据id获取该用户拥有的权限 
        List<String> permissions = new ArrayList<>();  
         roles.stream().forEach(a->{
         List<String> permission =permissionsMapper.selectAll(a);   
         permission.stream().forEach(a->{
         permissions.add(a);
         });
        });       
        User user= new User(userId,roles,permissions);
        return user;
    }
}

用户的角色和权限一般都是一起查出来,参考sql如下

SELECT R.id AS id, 
       GROUP_CONCAT(R.role_name) AS role_list,
       GROUP_CONCAT(P.permission) AS permission_list
FROM Roles R
LEFT JOIN Permissions P ON R.role_name = P.user_roles
WHERE R.id = 1; -- 你的特定id
GROUP BY R.id;

5.在注解实现aop逻辑,本质和上面说的一样,很简单

@Aspect
@Component
public class DbmAuthorityAspect {

    @Resource
    private UserRepositoryimpl userRepositoryimpl;

    @Resource
    private RedisUtils redisutils;

    @Pointcut("@annotation(com.dabaimao.DbmAuthority)")
    public void authorityCheckPointcut(JoinPoint joinPoint) {
    }

    @Before("@annotation(com.dabaimao.DbmAuthority)")
    public void checkDbmAuthority(JoinPoint joinPoint) {
      try {
        // 获取当前用户的ID(从Redis中获取)
        String userId = getUserIdFromRedis(); 

        // 根据用户ID查询用户信息
        User user = userRepositoryimpl.getUserById(userId);
        
        // 获取注解类对象
        Signature signature = joinPoint.getSignature();
        MethodSignature methodSignature = (MethodSignature) signature;
        Method method = methodSignature.getMethod();
        DbmAuthority annotation = method.getAnnotation(DbmAuthority.class);

        // 检查用户是否具有所需的角色和权限
        if (userHasRequiredAuthority(user, annotation.value())) {
            // 用户具有权限,允许访问
        } else {
            throw new SecurityException("权限不够,拒绝访问");
        }
       } catch (Exception ex) {
           throw new RuntimeException("权限处理异常");
       }
    }

    private boolean userHasRequiredAuthority(User user, String requiredAuthority) {
        // 实际权限检查逻辑,需要根据用户的角色和权限信息以及 requiredAuthority 判断
        // 这里只是一个示例,实际逻辑可能更复杂
        return user.getRoles().contains(requiredAuthority) || user.getPermissions().contains(requiredAuthority);
    }

    private String getUserIdFromRedis() {
        // 实际从Redis中获取用户ID的逻辑
        // redisutils.getkey...
        return "user123"; // 示例
    }
}

最后在需要加权限访问的接口加上这个注解,写上访问这个接口所需要的角色和权限就行了

@RestController
public class MyController {
 
    @DbmAuthority("功能:角色:权限") //访问这个功能登录用户所需要的角色和权限
    @GetMapping("/protectedEndpoint")
    public ResponseEntity<String> protectedEndpoint() {
        // 执行需要权限验证的操作
        return ResponseEntity.ok("访问成功");
    }
}

这样一个简单的权限认证就实现了

大白猫~
关注
  • 30
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
Java,设计,功能权限和数据权限,用户、角色、权限和用户组
zhaohuodian的博客
08-28 9579
ACL是一种访问控制机制,包含三个关键要素:用户(User)、资源(Resource)和操作(Operate),当用户请求操作资源时,检查资源的权限列表,如果资源的权限列表中存在该用户的操作权限则允许,否则拒绝。RBAC模型,三个基础组成部分:用户(User)、角色(Role)和权限(Privilege),通过定义角色的权限,授予用户某个角色从而来控制用户的权限实现了用户和权限的逻辑分离(区别于ACL模型);...
SpringAOP+自定义注解模拟shiro框架实现
chunsuo2480的博客
08-04 1036
一、概念 权限管理就是管理用户对于资源的操作。本 CRM 系统的权限(也称作资源)是基于角色操作权限实现的,即RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,...
java(springboot) mybatis 数据权限详细实现(图文)
热门推荐
cyy9487的博客
05-18 1万+
一、啥子是数据权限? 嗯,数据权限?有些朋友可能会问了,“嗯,数据还有权限?”.
使用自定义注解进行权限校验
最新发布
weixin_54925172的博客
06-16 901
对于一些重复性的操作我们可以用提取为util的方式进行处理,但也可以更简便一些,比如自定义个注解进行。选择看这篇文章的小伙伴想必都对注解不陌生,但是可能对它的工作原理不太清楚。这里我们用注解实现对接口的权限校验,让大家感受一下,自定义注解的魅力。
Java自定义注解实现权限管理
小识的博客
07-02 8774
前言 对自定义注解不太了解的可以看我的相关文章:https://blog.csdn.net/zzti_erlie/article/details/80829569 源码 参考博客
一个轻量级 Java 权限认证框架——Sa-Token
专注Java后端技术干货、项目源码总结分享,期待您的关注。
11-11 575
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。
JAVA写一个员工权限校验接口
weixin_42576467的博客
02-16 162
好的,以下是一个使用Java编写的员工权限校验接口的示例代码: public interface EmployeeAuthorization { /** * 校验员工权限 * @param employeeId 员工ID * @param permission 权限名称 * @return 校验结果,true为有权限,false为无权限 ...
java服务-springboot拦截器实现用户登录Token及权限校验
码者人生的技术博客
05-30 4418
springboot拦截器主要目标: 拦截请求,验证请求的用户对访问的资源是否有访问权限; 需要排除一些不在权限控制范围内的url,如swagger的接口文档列表; 需要排除的url,在配置文件中进行配置; 双拦截器
java权限管理系统的jar包
11-10
标题中的"java权限管理系统的jar包"指的是一个包含实现权限管理功能的Java类库,这个库可能封装了如用户认证、授权、权限检查等关键组件。这种jar包通常是开发人员为了简化权限管理开发而准备的,它可以方便地集成到...
一个轻量级 Java 权限认证框架让鉴权变得简单优雅-登录认证权限认证分布式Session会话微服务网关鉴权
04-14
一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!—— 登录认证权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0。Sa-Token 目前主要五大功能模块:登录认证权限认证、单点登录、OAuth...
Java实现权限管理(已经验证过,导入可以直接使用)
03-29
3. **Java实现**:在Java中,我们可以使用Spring Security框架来轻松实现权限管理。Spring Security提供了强大的访问控制和身份验证功能,可以方便地集成到Spring Boot或MyEclipse项目中。你需要配置安全拦截器,...
java 访问权限验证
12-12
java 访问权限验证,包括代码注释及个人笔记
java8源码-authority:集成CAS单点登录,单点登录与权限控制插件化
06-04
java8 源码 Authority Authority 是一个集成权限控制与单点登录的系统。 Authority 由以下三部分组成: authority-service 提供用户与权限的 restful api 服务 authority-web 权限管理后台 authority-plug 权限插件 这里还需要 Cas 单点登录服务器,在这里 准备 环境要求: java8+ mysql 一些基本参数说明: 单点登录服务器 CAS 域名: (根据需要配置为你自己的域名) 权限管理后台域名: (根据需要配置为你自己的域名) 由于 CAS 要求必须使用 https 协议,所以我们需要生成 https 证书: 生成证书详细步骤可以参考这里: ,该文章中 CAS 单点登录域名为 sso.com, 这里需要修改为我们自己的域名,在这里是: sso.localcodeblog.net Nginx 配置: server{ listen 80; server_name authority.localcodeblog.net; proxy_set_header Host $host; proxy_set_
java的细粒度权限和shiro权限校验 ssh
11-22
java的细粒度权限和shiro权限校验 Spring + Struts + hibernate
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
主要介绍了SpringBoot使用AOP+注解实现简单的权限验证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring security实现权限管理示例
08-31
总结来说,Spring Security提供了一套完整的解决方案,涵盖了用户认证、授权、会话管理等多个方面,是Java应用实现权限管理的理想选择。通过配置和编程接口,我们可以灵活地控制用户对系统资源的访问,从而保护应用...
java 企业级权限管理视频教程
02-04
总结来说,"java 企业级权限管理视频教程"将带领你深入理解并掌握Java后端如何实现安全、灵活的权限管理系统,包括使用Apache Shiro或Spring Security框架、数据库设计、MVC架构的应用以及测试策略。通过学习这个...
java中关于第三方应用的权限校验方案
zhouyf
09-27 1186
目录前言事先准备实现步骤一、新建spring boot项目,并引入依赖二、配置多数据源1.修改配置文件2.创建切换数据源注解3.创建数据源类,读取配置文件中配置的数据源3.创建DynamicDataSource类扩展Spring的AbstractRoutingDataSource抽象类,重写 determineCurrentLookupKey() 方法5.注册刚创建的实体DynamicDataSource并把数据源信息传进去6.创建注解@UseDataSource的切面三、配置swagger方便测试四、对接
java 权限校验_权限验证 · Java高效编程 · 看云
weixin_33139275的博客
02-16 623
## 重写MyRealm中的doGetAuthorizationInfo方法```@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {User user = (User) SecurityUtils.getSubject().getPrincipa...
java 权限认证框架有哪些
05-15
Java权限认证框架是一个广泛使用的Java技术,它使应用程序能够管理用户访问权限和安全性。Java权限认证框架包括以下几种: 1. Spring Security:Spring Security是一个强大的安全框架,可管理用户认证和授权。它为安全性提供了包括基于角色的访问控制在内的各种功能。 2. Apache Shiro:Apache Shiro是另一个流行的Java安全框架,可管理对应用程序的访问。它提供基于角色和权限的安全性,可保护Web、服务和桌面应用程序。 3. JAAS: Java Authentication and Authorization Service(JAAS)是Java SE中的一种标准机制,用于用户身份验证和授权。JAAS通过使用插件来实现多样化的认证策略,使应用程序开发人员能够更轻松地控制用户访问和权限。 4. CAS:企业单点登录(CAS)是一种跨多个应用程序的身份认证和授权解决方案。它支持多种身份验证方法,包括用户名/密码、LDAP、Active Directory、Kerberos等,并且可通过CAS代理过滤器来保护Web程序。 以上框架都具有广泛的应用和功能,应该根据实际使用需求选取最适合的框架。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大白猫~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值