SpringBoot自定义权限控制实现

最新推荐文章于 2024-06-24 14:35:12 发布
最新推荐文章于 2024-06-24 14:35:12 发布
阅读量906 收藏 5
点赞数 1
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mollen/article/details/100083889
版权
1、全局拦截前端接口请求
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

import com.mollen.exam.interceptor.UserAuthorityInterceptor;

@Configuration
public class SecurityConfiguration extends WebMvcConfigurerAdapter {

	//自定义拦截器
	@Autowired
	private UserAuthorityInterceptor userAuthorityInterceptor;

	//用户权限拦截器配置
	@Override
	public void addInterceptors(InterceptorRegistry registry) {
		registry.addInterceptor(userAuthorityInterceptor).addPathPatterns("/**");
	}
}
2.配置无需拦截的接口
/**
*Model:无需拦截器拦截的请求
*Description:无需拦截器拦截的请求
*Author: mollen
*created:2019年8月26日
 */
import java.util.ArrayList;
import java.util.List;

public enum UnFilterURL {

    USER_LOGIN("loginByPwd", "用户登录"),
    USER_LOGIN_OUT("loginOut", "用户登出"),
    USER_UPDATE_PASSWORDS("updatePasswords", "修改密码"),
    USER_FORGET_PASSWORDS("forgetPasswords", "忘记密码"),
    GET_ORG_BY_ACCOUNT_NO("getOrgByAccountNo", "获取管理员机构列表"),
	GET_VALIDATE_CODE("getValidateCode", "获取验证码"),
	   
    UnFilterURL(String code, String desc) {
        this.code = code;
        this.desc = desc;
    }

    public static List<String> getUnFilterList() {
        UnFilterURL[] urls = UnFilterURL.values();
        List<String> unFilterList = new ArrayList<String>();
        for (UnFilterURL ufu : urls) {
            unFilterList.add(ufu.getCode());
        }
        return unFilterList;
    }
    
    //状态码
    private String code;
    
    //描述
    private String desc;

    public String getCode() {
        return code;
    }
    
    public String getDesc() {
        return desc;
    }

}
3.自定义权限接口注解
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
*Model:AuthAnnotation.java
*Description:自定义权限接口注解
*Author: mollen
*created:2019年8月26日
*/
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD}) //方法声明
public @interface AuthAnnotation {
    /**
     * 请求action
     * @return
     */
	String action();
	/**
	 * 参数,默认空
	 * @return
	 */
	String[] param() default {};
	/**
	 * 是否使用参数 默认false
	 * @return
	 */
	boolean useParam() default false;
}
4.过滤接口
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.bojun.author.AuthAnnotation;
import com.bojun.enums.ResponseCodeEnum;

import com.bojun.mollen.entity.dto.SysManageUserDTO;
import com.bojun.mollen.enums.UnFilterURL;
import com.bojun.mollen.service.ISysRoleService;

import com.whalin.MemCached.MemCachedClient;
import org.apache.commons.lang3.StringUtils;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import org.springframework.web.servlet.resource.ResourceHttpRequestHandler;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.Date;
import java.util.HashMap;
import java.util.List;
import java.util.Map;


/**
*Model:用户权限拦截器
*Description:用户权限拦截器
*Author: mollen
*created:2019年8月26日
 */
@Component
public class UserAuthorityInterceptor extends HandlerInterceptorAdapter {

	private Log log = LogFactory.getLog(UserAuthorityInterceptor.class);

	//角色业务接口
 	@Autowired
 	private ISysRoleService roleService;

	//MemCached缓存工具
	@Autowired
	private MemCachedClient memCached;

	//controller处理前调用
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
				
		log.info("--------------自定义拦截器----------------");
		System.out.println(handler+"..........");
		
		if (null == handler) {
			return true;
		}
		
		if(!(handler instanceof HandlerMethod)){
			return true;
		}
		
		//方法处理器
		HandlerMethod handlerMethod = (HandlerMethod) handler;
		String actionName = handlerMethod.getMethod().getName();
		List<String> unFilterURLList = UnFilterURL.getUnFilterList();
		
		// 无需权限过滤的URL
		if (unFilterURLList.contains(actionName)) {
			return true;
		}

		// 登录判断
		String token = request.getHeader("token");
		log.info("--------------token----------------:" + token);
		
		JSONObject json = new JSONObject();
		if (StringUtils.isBlank(token)) {
			json.put("code", 401);
			json.put("msg", "超时请登录!");
			outString(response, JSON.toJSONString(json));
			return false;
		}

		// 根据token获取缓存信息
		if (null == memCached.get(token)) {
			json.put("code", 401);
			json.put("msg", "超时请登录!");
			outString(response, JSON.toJSONString(json));
			return false;
		}
		
		//获取用户对象信息
		String valStr = JSON.toJSONString(memCached.get(token));
		SysManageUserDTO manageUser = JSON.parseObject(valStr, SysManageUserDTO.class);

		// 超级管理不用过滤权限
		if (null != manageUser.getType() && 0 == manageUser.getType()) {
			memCached.set(token, manageUser, new Date(15 * 60 * 1000));
			request.setAttribute("manageUser", manageUser);
			return true;
		}
		/**********************接口权限控制****************************/
		String authority = null;
		try {
			//自定义注解找方法
			authority = handlerMethod.getMethodAnnotation(AuthAnnotation.class).action();
		} catch (Exception e) {
			log.error("找不到权限注解方法异常", e);
		}
		
		//方法为空的情况
		if (StringUtils.isEmpty(authority)) {
			json.put("code", "400");
			json.put("msg", "拦截器找不到方法异常");
			outString(response, JSON.toJSONString(json));
			return false;
		}

		// 获取用户权限列表()
		if (StringUtils.isNotEmpty(manageUser.getRoleId())) {
			Map<String, Object> paramsMap = new HashMap<String, Object>();
			paramsMap.put("accountNo", manageUser.getAccountNo());
			//根据账号找菜单
			List<String> authorityMenu = roleService.getLoginAuthorityUrl(paramsMap);
			//菜单为空或者为"common"提示无权限
			if (null == authorityMenu || (!authorityMenu.contains(authority) && !"common".equals(authority))) {
				json.put("code", "403");
				json.put("msg", "暂无访问权限");
				outString(response, JSON.toJSONString(json));
				return false;
			}
		}else{
			json.put("code", "403");
			json.put("msg", "账户未分配角色");
			outString(response, JSON.toJSONString(json));
			return false;
		}

		/****************************************************************/

		memCached.set(token, manageUser, new Date(15 * 60 * 1000));
		request.setAttribute("manageUser", manageUser);
		return true;
	}

	public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)
			throws Exception {

	}

	public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, ModelAndView arg3)
			throws Exception {

	}

	/**
	 * 将字符串转换成JSON字符串发送
	 * @param str
	 */
	public void outString(HttpServletResponse response, String str) {
		try {
			response.setCharacterEncoding("UTF-8");
			PrintWriter out = response.getWriter();
			out.write(str);
			out.flush();
			out.close();
		} catch (IOException e) {
			log.error(e);
		}
	}
	
}
5.使用方式
  /**
     * @Description:  分页查询用户
     * @Author: mollen
     * @create: 2019/6/28  13:48
     *
     */
    @RequestMapping(value = "/getAllByCondition", method = RequestMethod.POST)
    //@AuthAnnotation(action = "common")							//放行注解
    //@AuthAnnotation(action = "manageUser:getAllByCondition")		//控制注解
    public  void  getAllByCondition(HttpServletRequest request,
                                    @RequestParam(value = "pageNum") int pageNum,
                                    @RequestParam(value = "pageSize") int pageSize){
        try {
        
         //业务代码
        	...
         
        } catch (Exception e) {
            log.error("getAllByCondition:", e);
            outJson(errorInfo(ResponseCodeEnum.EXCEPTION_REQUEST.getCode()));
        }
    }
6.总结
1.自定义适配器
继承WebMvcConfigurerAdapter类重写addInterceptors()方法拦截所有接口。(Spring5 要用WebMvcConfigurer)
2.自定义拦截规则
继承HandlerInterceptorAdapter类,重写preHandle()方法。
3.枚举不过滤接口。
4.自定义权限控制注解。
拦截器通过handlerMethod.getMethodAnnotation(AuthAnnotation.class).action()拿到这个注解里面的值判断是否有接口权限。
阔皮大师
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring AOP自定义注解实现权限控制
xzp_12345的博客
09-19 1万+
在学习Java Spring框架中,学习到AOP的过程中,有一个很难理解的问题就是:自定义注解,然后解析注解实现权限控制。           权限控制:因为在一些项目中,service层的一些方法需要不同的权限才能访问。所以需要权限控制。          所以,我下面写了一个小例子来看一下具体的实现过程。 实现方案:   1. 自定义一个注解PrivilegeInfo,使用这个注解
自定义权限控制
BinGeneral的博客
03-20 178
SE11创建一个带域的数据元素在域中维护值。
全网最详细的SpringBoot管理系统开发教程
最新发布
欢迎光临
06-24 1061
此文章适用于等,提供源码下载。基于SpringBoot + Vue3 管理系统的完整搭建教程,过程中存在任何疑问欢迎随时与我联系。个人WX:tool4j(添加请注明来意)
springboot整合spring security(一) :身份认证,自定义用户授权管理
xiaoping__的博客
10-15 1982
文章目录springboot整合spring security使用UserDetailsService 身份认证前端html数据库1.导入security的启动依赖2.创建Customer(用户信息)、Authority(用户权限) 两个实体类3.创建查询接口CustomerRepository、AuthorityRepository4.创建RedisConfig类5.添加CustomerService业处理类 (查询用户信息和权限)6.自定义接口实现类UserDetailsServiceImpl 进
SpringBoot 集成 Spring Security 自定义权限逻辑备忘
nangongyanya的专栏
03-28 2425
继上一次记录《SpringBoot 集成 Spring Security 自定义认证逻辑备忘》之后,这次记录一下SpringBoot 集成 Spring Security 自定义权限逻辑 源码位置:码云地址、CSDN下载地址 主要分为三步:1、用户自定义认证通过后获取数据库栏目地址列表;2、添加自定义权限校验器SecurityPermissionEvaluator; 3、注入自定...
springboot实现简单自定义权限控制
泉眼和溪流的关系,大概是泉眼会被溪流一点一滴的占据
07-10 2191
框架选择 权限控制是管理系统必不可少的模块,当前成熟的权限控制框架有Shiro,spring security等,利用框架开发的好处就是简洁方便快捷。 本文权限思路——注解方式 本文实现权限的方式是没有使用框架,而是通过自定义注解方式实现简单的权限管理控制。 关于表设计 一般权限表的设计都可以通过5张表来实现,用户表,角色表,权限表,用户角色关系表,角色权限关系表,其中用户与角色是多对多关系,角色与权限也是多对多关系,下图是实现思路举例,具体要根据各自业务逻辑灵活设计。 本文思路是通过自定义注解进行权限控制
SpringBoot使用自定义注解实现权限拦截的示例
08-29
SpringBoot 使用自定义注解实现权限拦截的示例 在本篇文章中,我们将介绍如何使用 SpringBoot 框架使用自定义注解实现权限拦截的示例。权限拦截是指在用户请求资源时,服务器端对用户的请求进行检查和验证,以确保...
springboot整合shiro实现权限控制.zip
02-04
我们需要自定义一个Realm类,继承`AuthorizingRealm`,并重写其中的`doGetAuthenticationInfo`和`doGetAuthorizationInfo`方法,以实现用户登录验证和权限获取。 4. **配置过滤器链**:在Shiro配置类中,我们需要...
springboot工程自定义response注解、自定义规范化返回数据结构
09-02
在Spring Boot中,可以创建一个自定义注解,例如`@CustomResponse`,用于标记控制器方法,指示该方法应返回特定的数据结构。这个注解通常会包含一些元信息,如状态码、消息等,以便在处理过程中填充到返回结果中。...
SpringBoot整合权限控制SpringSecurity.docx
12-10
在本文中,我们将探讨如何在SpringBoot项目中整合SpringSecurity实现权限控制,并结合前端Element UI的多标签页(Tabs)组件,提供更加高效的用户体验。SpringBoot是一个流行的Java开发框架,它简化了Spring应用的...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
springAop+自定义注解实现权限管理
09-14
一个简单的采用自定义注解结合SpringAop实现方法执行的权限管理,这个demo中并没有涉及到与数据库的交互和业务代码,用户权限在登陆时采用简单的手动初始化。该demo用的jdk1.7编译,Spring4.0版本,只想通过这个demo熟悉相关技术,如有不足之处还望各位大佬多多包涵并指出。
springBoot+security+mybatis 实现用户权限的数据库动态管理
05-03
NULL 博文链接:https://veiking.iteye.com/blog/2429172
最新SpringBoot框架后台管理模板(带权限控制)
12-22
最新SpringBoot框架后台管理模板 本SpringBoot框架采用零xml配置,全部动态启动、支持热部署 框架结构清晰明了! 框架管理:maven 框架: 1.核心框架---------Spring-boot 2.数据源框架-------mybatis、HikariCP(据说效率最高的数据源) 3.数据库-----------mysql 4.权限管理框架-----spring-security 5.监控框架---------actuator、remote-shell 6.日志-------------logback 7.前台框架---------thymeleaf 8.生成工具---------generator(自动生成bean、mapper、SQL) 9.分页插件---------pagehelper 功能: 1.后台登陆 2.用户资料编辑 3.权限分配 4.角色定义 5.自定义菜单 前端框架运用:h-ui.admin 超级管理员 账号:admin 密码:123456
SpringBoot 权限控制(菜单控制,页面元素控制,url控制
04-13
基于RBAC思想的权限控制,可先建立完整的库,也可以使用使用代码生成,包中提供两种方式, 代码先后顺序 菜单控制----》元素控制-------》url控制
一个炫酷的 springboot 后台模板,有菜单,权限,用户 管理的基本功能
09-21
一个后台管理系统,包含有菜单管理,比如新增、删除、修改菜单,同理有权限,用户多角色管理,多样报表,饼图,线形图,柱形图等 ,还有登录校验,当天登录次数过多限制,ip登录过多限制。等基本功能。后续可根据业务需求扩展。
SpringBoot整合SpringSecurity实现权限控制(二):权限数据基本模型设计
我的博客
08-24 3010
系列文章目录 《SpringBoot整合SpringSecurity实现权限控制(一):实现原理》 本文目录前言一、RBAC是什么?二、数据模型三、数据模型的测试 前言 在上篇文章中我们仅仅使用了静态权限数据进行了模拟测试。实际正常情况的流程是: 由管理员给用户分配权限权限数据写到数据库中。 后台服务在进行用户认证时从数据库读取用户的权限数据(动态数据)。 本文将通过 RBAC( Role-Based Access Control:基于角色的访问控制策略)进行权限模型设计 一、RBA
SpringBoot整合Shiro实现权限管理
恒哥的博客
12-23 1559
目录概述RBAC权限管理Shiro介绍Shiro入门自定义Realm密码加密加盐SpringBoot+MyBatis+Shiro整合RememberMe 概述 系统安全性是目前大大小小软件项目都会考虑的问题,这里我们来认识认识Apache的Shiro框架,了解如何用它来实现权限管理。 RBAC权限管理 问题:在企业OA系统中,部门主管和普通员工在系统中看到的菜单和操作的功能应该一样吗? 在企业中员工的职责不同,登录软件系统后不同的用户对于数据的操作和查询权限也肯定不应该相同,否则对于企业来说,内部管理和安全
spring boot 过滤器&拦截器与aop
喵酱
11-23 3615
spring boot 拦截器&过滤器 与aop
springboot 自定义报名系统
05-16
通过 SpringBoot 来开发自定义的报名系统可以实现快速、高效、可靠的开发。 在开发过程中,我们需要根据系统的需求进行设计数据库、编写后端 API 接口、设计前端界面、实现用户注册、登录、信息修改等常见功能。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值