基于Spring拦截器自定义注解CheckAuth实现用户认证校验

最新推荐文章于 2025-03-15 21:04:48 发布
最新推荐文章于 2025-03-15 21:04:48 发布
阅读量3.4k 收藏 1
点赞数 1
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mlwise/article/details/106153096
版权

基于Spring框架实现自定义登录验证CheckAuth注解,此注解主要用于类和方法上,实现接口调用时进行用户认证校验,注解代码如下:

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Retention(RetentionPolicy.RUNTIME)
@Target(value = { ElementType.METHOD, ElementType.TYPE })
public @interface CheckAuth {
	
	String value() default "";

	String describe() default "";
}

自定义拦截器代码如下

import java.lang.annotation.Annotation;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.annotation.AnnotationUtils;
import org.springframework.util.ClassUtils;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

public class AuthAnnotationInterceptor implements HandlerInterceptor {

	@Autowired
	AdminUtilsService adminUtils;

	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {

		CheckAuth CheckAuthAnnotation = findAnnotation(handler, CheckAuth.class);
		if (CheckAuthAnnotation != null && adminUtils != null) {
			boolean bLogin = adminUtils.isAuthenticated(); // 判断是否登录
			if (!bLogin) {
				response.reset();
				response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
				response.setCharacterEncoding("UTF-8");
				response.getWriter().write("Authentication required, Access denied.");
				response.flushBuffer();
				return false;
			}
			return true;
		}
		return HandlerInterceptor.super.preHandle(request, response, handler);
	}

	private <T extends Annotation> T findAnnotation(Object handler, Class<T> annotationClass) {

		if (handler instanceof HandlerMethod) {
			T annotation = null;
			HandlerMethod handlerMethod = (HandlerMethod) handler;
			annotation = handlerMethod.getMethodAnnotation(annotationClass); // 此代码只能获取作用于方法上的注解
			if (annotation == null) {
                // 注解用于类上时,必须通过AnnotationUtils来获取类上的注解
				annotation = AnnotationUtils.findAnnotation(handlerMethod.getBeanType(), annotationClass);
			}
			return annotation;
		} else {
			return AnnotationUtils.findAnnotation(ClassUtils.getUserClass(handler), annotationClass);
		}

	}

}

本人使用的shiro权限框架,为了模块解耦,随意组合,避免注解模块依赖于shiro,特地定义了AdminUtilsService来实现解耦,使之整合到其他项目时,只要实现AdminUtilsService接口就可以。

其中adminUtils.isAuthenticated()方法代码如下所示:

public boolean isAuthenticated() {
    // 很多时候基于token或session里面的值来判断是否登录的,shiro是通过如下代码来判断的。
	return SecurityUtils.getSubject().isAuthenticated();
}

   特别要注意的,获取注解时,网上很多代码获取直接都只实现了如下代码

if (handler instanceof HandlerMethod) {
	CheckAuth annotation = null;
	HandlerMethod handlerMethod = (HandlerMethod) handler;
	annotation = handlerMethod.getMethodAnnotation(CheckAuth.class);


    省略。。。。
}

这样判断只能获取方法上面的注解

上面代码用户

public class DemoController {
   @CheckAuth
   public Result getList() {
      // 代码省略
   }
}

假如注解作用于类上,即@Target(value={ElementType.TYPE},获取注解就不能用handlerMethod.getMethodAnnotation(CheckAuth.class);来获取了,幸运的是Spring本身自带了一个获取的注解工具类AnnotationUtils.findAnnotation,可以获取类上的注解。通过AnnotationUtils.findAnnotation来查找注解后,我们就不需要每个接口方法都添加@CheckAuth注解,使用方法如下:

@CheckAuth
public class DemoController {
   
   public Result getList() {
      // 代码省略
   }
   
   public Result getUser() {
      // 代码省略
   }
}

 

 

通过AOP+自定义注解实现日志记录+接口权限校验
2301_77516476的博客
06-05 174
通过自定义注解+aop切面编程实现
Vue 3中实现基于角色的权限认证实现思路
笔记、经验、日常分享
03-21 901
在实际应用中,通常建议在创建路由器时就定义所有路由,以保持代码的清晰和可维护性。动态添加路由应该只在特殊情况下使用,比如在用户登录后根据其权限动态加载内容。确保使用HTTPS来保护用户认证信息,并且在后端验证Token时,应该使用强密码策略,避免潜在的安全威胁,如注入攻击、跨站请求伪造(CSRF)等。在上面的代码中,checkAuthentication 和 checkRole 是需要你根据实际情况实现的函数,用于检查用户是否登录以及用户的角色。
详解在Spring-Boot中实现通用Auth认证的几种方式
08-27
主要介绍了详解在Spring-Boot中实现通用Auth认证的几种方式,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring 3.0 Required注解检查
psiitoy的专栏
01-05 641
Spring 配置文件中 dependency-check 依赖检查的灵活性不够,并不能满足我们所有的需求 Spring还提供一种更加灵活的检查方式  @Required注解检查 但他只检查属性是否已经设置而不会测试属性是否非空 下面我们看一下如何使用Spring提供的此机制 首先我们需要在程序里面加上注解 [java] vie
注解+AOP实现权限控制
qq_74156239的博客
03-15 466
注解是Java提供的一种元数据机制,能够为代码添加额外的信息。注解本身不会影响代码的执行,但可以通过反射等机制在运行时读取这些信息,进而实现特定的功能。以下是一个自定义注解@AuthCheck@Target(ElementType . METHOD) // 注解只能用于方法 @Retention(RetentionPolicy . RUNTIME) // 注解在运行时保留 public @interface AuthCheck {// 必须具有的角色 }
Spring下基于注解的参数校验
pigzcz的博客
03-02 934
        前段时间,为了校验接口数据方便,实现了一个简易的参数校验功能。通过参数上加注解并且配置spring aop实现的。大概配置如下:public Object ArroundParamCheck(ProceedingJoinPoint pj) throws Throwable{ if(null == pj){ log.info("传入的对象是空的!!!!!!!!!!"); ...
Spring注解小节
checkking_2012的专栏
10-24 472
Spring 2.5 中除了提供 @Component 注释外,还定义了几个拥有特殊语义的注释,它们分别是:@Repository、@Service 和 @Controller。在目前的 Spring 版本中,这 3 个注释和 @Component 是等效的,但是从注释类的命名上,很容易看出这 3 个注释分别和持久层、业务层和控制层(Web 层)相对应。虽然目前这 3 个注释和 @Componen
利用自定义注解SpringMVC中实现自定义权限检查
weixin_33918357的博客
11-07 148
先描述一下应用场景,基于Spring MVC的WEB程序,需要对每个Action进行权限判断,当前用户有权限则允许执行Action,无权限要出错提示。权限有很多种,比如用户管理权限、日志审计权限、系统配置权限等等,每种权限还会带参数,比如各个权限还要区分读权限还是写权限。想实现统一的权限检查,就要对Action进行拦截,一般是通过拦截器来做,可以实现HandlerInterceptor或者Hand...
node.js制作一个简单的登录拦截器
10-15
在Web开发中,登录拦截器扮演着至关重要的角色,它确保只有经过身份验证的用户才能访问特定的受保护资源。本文将深入探讨如何使用Node.js,特别是结合Express框架,来创建一个简单的登录拦截器。 首先,我们需要...
OpenWRT实现Portal认证
04-21
OpenWRT实现Portal认证是一种网络认证方式,它涉及在OpenWRT开源路由器操作系统中配置特定软件来实现用户登录和身份验证。Portal认证通常用于无线网络环境中,使得用户在连接到无线热点时,必须通过一个登录页面输入...
Spring的几个注解(备忘)
Dxx_23的博客
06-29 242
欢迎访问我的博客shammgodyoung 由于这些注解使用的不那么频繁,很容易忘掉,所以在此记录一下 1.@Configuration 标记在类上,相当于把该类作为spring的xml配置文件中的<beans>,作用为:配置spring容器(应用上下文),相当于在启动容器时加载配置项,本人在项目中的应用主要是加载SpringMVC的拦截器。 @Configuration p...
AUTH_CHECK_TCODE手动debug修改自…
weixin_30618985的博客
01-22 169
一般basis会限制用户权限 但是对于开发而言,权限卡的太多了麻烦,又懒得找basis,就直接手动debug修改了 一般权限不足,会报错没权限 SU53去看没有的权限,可以把这个东西截图给basis,要求他给你放权限 比如 我想SM12查看锁的情况,但是没权限 为了省事儿,直接在AUTH_CHECK_TCODE函数里打断点 执行到这里,手动把subrc 改成 0 然后F8执...
自定义注解结合AOP实现权限校验
qq_61068952的博客
04-11 1106
自定义注解结合AOP实现权限校验
React Check Auth 项目教程
gitblog_00359的博客
08-31 745
React Check Auth 项目教程 react-check-authAdd auth protection anywhere in your react/react-native app项目地址:https://gitcode.com/gh_mirrors/re/react-check-auth 1. 项目的目录结构及介绍 react-check-auth/ ├── config/ ├─...
react-check-auth 使用教程
gitblog_00352的博客
08-31 290
react-check-auth 使用教程 react-check-authAdd auth protection anywhere in your react/react-native app项目地址:https://gitcode.com/gh_mirrors/re/react-check-auth 项目介绍 react-check-auth 是一个用于在 React 或 React Nat...
AspectJ 简单的权限管理
David宫洪深的博客
10-30 951
AspectJ实现权限管理的demo
[转]彻底征服 Spring AOP 之 实战篇
weixin_30315723的博客
11-14 253
Spring AOP 实战 看了上面这么多的理论知识, 不知道大家有没有觉得枯燥哈. 不过不要急, 俗话说理论是实践的基础, 对 Spring AOP 有了基本的理论认识后, 我们来看一下下面几个具体的例子吧.下面的几个例子是我在工作中所遇见的比较常用的 Spring AOP 的使用场景, 我精简了很多有干扰我们学习的注意力的细枝末节, 以力求整个例子的简洁性. 下面几个 Demo 的源码都可...
实现是否为管理员鉴权Aop
qq_55983332的博客
03-27 180
Aop
Springboot基于拦截器自定义权限认证讲解
weixin_49297205的博客
08-11 1779
Springboot基于自定义注解拦截器的权限控制
用gateway内置GatewayFilterFactory 校验是否携带了某个请求头
最新发布
04-08
<think>好的,我现在需要回答用户关于如何使用Spring Cloud Gateway内置的GatewayFilterFactory来校验请求是否携带某个请求头的问题。首先,我应该回忆一下Spring Cloud Gateway的相关知识,特别是内置的过滤器工厂。 首先,用户的问题是关于请求头校验的,所以需要确定是否有现成的过滤器工厂可以实现这个功能。我记得Spring Cloud Gateway提供了许多内置的过滤器工厂,比如AddRequestHeader、RemoveRequestHeader等,但具体哪个用于校验请求头呢? 可能需要使用到断言(Predicate)而不是过滤器(Filter),因为校验更类似于路由判断的条件。不过用户明确提到了GatewayFilterFactory,所以可能需要进一步确认。或者,是否存在一个过滤器可以在请求头不存在时进行拦截,比如返回错误状态码。 或者,可能用户希望当请求头不存在时,网关能够拒绝请求,这时可能需要自定义一个过滤器,或者使用现有的过滤器来检查请求头。例如,使用Header断言,但断言通常用于路由判断,而过滤器用于处理请求。不过,用户提到的是GatewayFilterFactory,所以应该寻找相关的过滤器。 查阅Spring Cloud Gateway文档,发现有一个名为Header的GatewayFilterFactory,但它的作用可能是添加或修改请求头,而不是校验。另一个可能是使用ModifyRequestBody或类似的过滤器,但这可能不适用。 或者,可能需要使用Pre类型的过滤器,在转发之前检查请求头是否存在,如果不存在则返回错误。这时可能需要自定义一个过滤器,但用户问的是内置的GatewayFilterFactory,所以是否有内置的实现呢? 可能用户的需求可以通过结合断言和过滤器来实现。例如,使用Header路由断言来确保只有带有特定请求头的请求才能被路由,否则返回404。但用户可能希望返回更具体的状态码,比如400,这时候可能需要自定义逻辑。 不过,用户的问题明确提到使用内置的GatewayFilterFactory来校验请求头是否存在。如果没有现成的过滤器,可能需要使用断言来处理,或者用户可能需要自定义过滤器。但根据我的记忆,可能有一个内置的过滤器可以实现这个功能,比如使用SetStatus GatewayFilterFactory,当请求头不存在时设置响应状态码。 或者,使用RedirectTo过滤器来重定向,但这可能不太合适。或者,使用一个过滤器来检查请求头,并在不存在时抛出异常,进而由错误处理机制处理。 可能需要进一步确认Spring Cloud Gateway的内置过滤器列表。例如,有一个名为RequestHeader的过滤器工厂,可能用于操作请求头,但校验是否存在可能需要使用断言。 突然想到,在路由配置中,可以使用断言(Predicates)来匹配请求头,例如Header断言,这样只有当请求包含指定头时才会路由到对应的服务。如果没有匹配的路由,则会返回404。但用户可能希望返回更具体的响应,如400 Bad Request,而不仅仅是404。这时候可能需要结合断言和过滤器,或者使用自定义逻辑。 但是用户的问题是如何使用内置的GatewayFilterFactory来实现校验。如果内置的过滤器工厂中没有直接提供这样的功能,可能需要使用自定义过滤器。不过可能存在一种方法,比如使用过滤器来检查请求头,并在不存在时设置响应状态。 例如,可以使用ModifyResponseBody或SetStatus过滤器,但需要结合条件判断。或者,使用Script GatewayFilterFactory,通过编写脚本来检查请求头,但这可能比较复杂。 或者,使用AddResponseHeader过滤器在特定条件下添加响应头,但这可能不够。 可能用户的问题的答案是需要使用断言来确保请求头存在,否则路由不匹配,返回404。但用户可能希望更主动地校验,并返回自定义的错误响应。这时可能需要自定义过滤器,但问题强调使用内置的GatewayFilterFactory,所以可能答案是需要结合断言和过滤器,或者指出没有直接的内置过滤器,但可以通过配置路由的断言来实现基本校验,或者使用自定义过滤器。 不过,可能我遗漏了某个内置的过滤器工厂。例如,Spring Cloud Gateway有一个名为CheckAuth的过滤器,但可能不是内置的。或者,可能需要使用CircuitBreaker过滤器,但这不相关。 再查资料,发现有一个名为SecureHeaders的过滤器工厂,但这是添加安全头的。另一个可能是使用RequestHeaderSize过滤器,但这检查头的大小而不是存在性。 综上,可能没有直接的内置GatewayFilterFactory来校验请求头是否存在,但可以通过路由的断言(Header断言)来实现,当请求头不存在时,该路由不会被匹配,可以返回404。或者,如果需要返回其他状态码,可能需要自定义过滤器。或者,使用某个内置的过滤器结合条件判断,比如使用RemoveRequestHeader过滤器,但需要条件判断是否存在。 不过,用户的问题明确要求使用内置的GatewayFilterFactory,所以可能的结论是:没有直接的内置过滤器来实现此功能,但可以通过配置路由的断言来间接实现校验,或者需要使用自定义过滤器。不过,可能我记错了,是否存在某个过滤器工厂可以直接实现? 另外,可能可以使用RewritePath或RedirectTo结合某些条件,但不太直接。 或者,使用AddRequestHeaderIfAbsent,但这可能不适用于校验,而是添加头。 可能正确的回答是:Spring Cloud Gateway没有直接的内置GatewayFilterFactory来校验请求头是否存在,但可以通过配置路由的断言(如Header断言)来确保只有携带特定请求头的请求才会被路由。如果请求头不存在,该路由将不匹配,返回404。如果需要返回更具体的状态码,可以结合自定义的过滤器或者错误处理。 不过,用户可能希望更直接的解决方案,比如在过滤器链中检查请求头并返回错误。这时候需要使用自定义过滤器,但用户问题明确询问内置的GatewayFilterFactory,因此需要明确说明是否有内置的支持。 经过仔细回忆,可能Spring Cloud Gateway的内置过滤器中并没有直接提供校验请求头是否存在的过滤器工厂,因此答案是需要通过断言或者自定义过滤器来实现。但需要确认这一点。 或者,是否有其他方式,例如使用ModifyRequestBody过滤器,结合SpEL表达式来检查请求头,但可能不太适用。 最后,正确的步骤应该是: 1. 使用路由配置中的Header断言来确保请求必须包含特定头。 2. 如果断言不满足,路由不匹配,返回404。 3. 如果需要自定义响应,可以配置默认的路由或全局过滤器来处理这种情况。 因此,在回答中应该说明如何通过Header断言来实现校验,并指出如果需要更复杂的处理(如返回400),则需要自定义过滤器。</think>以下是如何使用Spring Cloud Gateway内置机制校验请求头是否存在的分步说明: $$注意:Spring Cloud Gateway没有直接校验请求头的内置过滤器工厂,但可通过路由断言实现基础校验$$ ### 一、通过`Header`路由断言实现校验 在路由配置中添加断言(Predicate),仅当请求包含指定头时才匹配路由: ```yaml spring: cloud: gateway: routes: - id: header_validation_route uri: http://backend-service predicates: - Header=X-Required-Header, \d+ # 校验是否存在且值匹配正则表达式 filters: - AddRequestHeader=X-Status, Valid ``` #### 效果说明: 1. 当请求**携带**`X-Required-Header`头且值符合正则时: - 路由匹配成功,请求转发至后端服务 - 自动添加`X-Status: Valid`头 2. 当请求**未携带**该头或值不匹配时: - 返回`404 Not Found`(默认行为) --- ### 二、进阶处理(自定义响应) 若需要返回`400 Bad Request`等自定义响应,需结合自定义过滤器: #### 1. 创建全局过滤器 ```java @Component public class HeaderValidationFilter implements GlobalFilter { @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { if (!exchange.getRequest().getHeaders().containsKey("X-Required-Header")) { exchange.getResponse().setStatusCode(HttpStatus.BAD_REQUEST); return exchange.getResponse().setComplete(); } return chain.filter(exchange); } } ``` #### 2. 配置生效范围 通过`@Order`注解控制过滤器执行顺序,或使用`routes`配置局部过滤器: ```yaml routes: - id: custom_filter_route uri: http://backend-service filters: - name: HeaderValidationFilter # 注册为Bean后可直接引用 ``` --- ### 三、方案对比 | 方案 | 优点 | 缺点 | |--------------------|------------------------------|------------------------------| | Header路由断言 | 配置简单,无代码侵入 | 仅返回404,无法自定义响应 | | 自定义全局过滤器 | 完全控制响应逻辑 | 需要编写Java代码 | --- ### 最佳实践建议 1. **简单校验**:优先使用`Header`断言 2. **复杂逻辑**:通过`GlobalFilter`实现自定义校验 3. **响应标准化**:结合`ErrorWebExceptionHandler`统一处理错误格式
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值