权限框架的搭建

最新推荐文章于 2024-04-15 09:29:19 发布
最新推荐文章于 2024-04-15 09:29:19 发布
阅读量2k 收藏
点赞数
分类专栏: JavaEE相关 文章标签: 权限 鉴权 Privilege 拦截器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pzxwhc/article/details/50300055
版权
一. 思路
二. 具体实现
     2.1 配置拦截器
     2.2 具体拦截器的处理方法
     2.3 注解的配置
     2.4 权限的配置
     2.5 注解的使用
     2.6 总结
三. 提升(白名单,默认全都要有权限)

一. 思路
          总体思路还是 利用 拦截器拦截每一个请求。
  1. 请求过来,拦截器拦截。
  2. 取得 该请求的方法,对应取得方法上(或者是类上)的权限注解。
  3. 再 通过 请求 传来的 用户Id 来得到用户被赋予的权限。
  4. 对比 方法上的权限注解 和 用户被赋予的权限。
  5. 匹配上 则让其通过,否则,不让其通过。 

二.具体实现
2.1 配置 拦截器。

          Spring Boot 配置拦截器可以继承 WebMvcAutoConfigurationAdaptor。如下代码: 

import org.springframework.boot.autoconfigure.web.WebMvcAutoConfiguration.WebMvcAutoConfigurationAdapter;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class PrivilegeConfiguration extends WebMvcAutoConfigurationAdapter{
	
	@Bean
	public PrivilegeInterceptor createPrivilegeFilter(){
		return new PrivilegeInterceptor();
	}
	
	@Override
	public void addInterceptors(org.springframework.web.servlet.config.annotation.InterceptorRegistry registry) {
		registry.addInterceptor(createPrivilegeFilter());
	};
}

2.2 具体的拦截器的处理方法: 

@Slf4j
public class PrivilegeInterceptor implements HandlerInterceptor{
	
	@Autowired
	private StaffService staffService;
	
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
	
		log.info("PrivilegeInterceptor class ... preHandle function ... ");
		
		//获得类的权限注解 和方法的权限注解
		HandlerMethod handlerMethod = (HandlerMethod) handler;
		
		PrivilegeRequired privilegeRequiredClass = handlerMethod.getBeanType().getAnnotation(PrivilegeRequired.class);
		PrivilegeRequired privilegeRequiredMethod = handlerMethod.getMethodAnnotation(PrivilegeRequired.class);
		
		log.info("PrivilegeInterceptor class ... privilegeRequiredClass = {}.",privilegeRequiredClass);
		log.info("PrivilegeInterceptor class ... privilegeRequiredMethod = {}.",privilegeRequiredMethod);
		
		//如果没有,那么则允许通过
		if(privilegeRequiredClass == null && privilegeRequiredMethod == null) return true;
		
		
		//如果有,那么 先把权限收集,最后比较
		Set<Privilege> priv = new HashSet<>();
		if(privilegeRequiredClass != null){
			 priv.addAll(Arrays.asList(privilegeRequiredClass.value()));
		}
		if(privilegeRequiredMethod != null){
			 priv.addAll(Arrays.asList(privilegeRequiredMethod.value()));
		}
        Privilege[] privileges = priv.toArray(new Privilege[priv.size()]);
			
		//对用户进行权限比较
		String staffId = request.getParameter("staffId");
        if(staffId == null || staffId.isEmpty())  return false;
        
        Staff staff = staffService.findStaffById(staffId);
        if(staff == null) return false;
        
        Set<Role> granted = (Set<Role>) staff.getRoleList();
        log.info("PrivilegeInterceptor class ... granted = {}.",granted);
        
        for (Privilege privilege : privileges) {
        	for (Role role : granted) {
        		if (role.getRoleName().equals(privilege.getPrivilege())) {
        			
        			log.info("PrivilegeInterceptor class ... granted pass. -> role.getRoleName() = {}. privilege.getPrivilege() = {}.",
        					role.getRoleName(),privilege.getPrivilege());
        			
                    return true;
                }
			}
            
        }
		
        log.info("PrivilegeInterceptor class ... method not allowed.Beacuse of no authority.");
        
		return false;
	}

	@Override
	public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
			ModelAndView modelAndView) throws Exception {
	}

	@Override
	public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
			throws Exception {
		
	}

}

Ps:这里的 二重 for 循环 可以改为 JDK1.8 的 并行流,提高效率。


2.3 注解的配置

@Documented
@Retention(value = RetentionPolicy.RUNTIME)
@Target(value = {ElementType.TYPE, ElementType.METHOD})
public @interface PrivilegeRequired {
    /**
     * The name/code of the privileges required
     * 
     * @return 
     */
    public Privilege[] value();
}

2.4 权限的配置 

@ToString
public enum Privilege {
	
	STAFF("STAFF"), //员工权限
	
	ADMIN("ADMIN");  //管理员权限
	
	private String privilege;
	
	private Privilege(String privilege){this.privilege = privilege;}
	
	public String getPrivilege(){
		return this.privilege;
	}
}

2.5 注解的使用:

在方法前(或者是类的前面)加入:

@PrivilegeRequired(Privilege.ADMIN)

2.6 总结:
          拦截器的配置 和 权限之间的对比都不是特别的困难。就是 注意 如何取得类前面的权限 和方法前面的权限。使用利用了  HandlerMethod,该类的对象可以被 handler强转,然后就可以取得目前要访问的方法,从而也有方法获得权限相关的信息,也可以获得类上面的信息。
               另外还有一个就是如何定义注解的问题。


三. 提升(白名单,默认全都要有权限)
          有些程序员(包括本人)经常会忘记在方法前面写权限限制,这是不好的习惯,也和程序员自身水平有关。上面的Demo 的做法是 不写权限的注解,那么就默认没有权限,所有人都可以访问,这样其实不是特别好,因为实际上有些是需要权限的,只是程序员忘了。
          所以另外一个解决办法可以是:默认所有的方法都不可以进入,需要权限才可以进入。如果实际上是真的不需要权限就可以进入,那么也要加一个 FreePrivilege 之类的注解。也就是说,没有权限也是权限的一种。



Sauron1
关注
专栏目录
Shiro 权限框架搭建
追梦的郑某艺
03-22 1207
1 项目框架 spring+springMVC (Dao层框架对本次shiro框架集成无影响) 2 设计思路 提供给北辰会展中心一套基于shiro 框架开发的权限管理系统, 实现自定义角色并赋予角色相应的权限,来控制用户访问功能, 例如广告的增加,删除,发布,修改等等; 3 shiro 主要功能 1) 权限管理 : 给用户分配角色 , 也可以给用户分配权限 或者把权限绑定到角...
react+antd搭建后台管理框架
05-20
react+antd搭建前端管理框架(***支持响应式***),主要模块分为:菜单、选项卡、面包屑;通过路由监听,实现三个模块之间的联动(同时监听浏览器);状态采用react-redux进行集中管理。目前只包含前端代码,未与...
轻量级的权限系统框架搭建
qq_37730370的博客
02-03 269
https://www.renren.io/guide/security#introduce renren-security(人人权限系统)是一套轻量级的权限系统,主要包括用户管理、角色管理、部门管理、菜单管 理、定时任务、参数管理、字典管理、文件上传、系统日志、文章管理、APP模块等功能。其 中,还拥有多数据源、数据权限、Redis缓存动态开启与关闭、统一异常处理等技术特点。 ...
SpringSecurity(二)、权限项目框架搭建
qq_61026557的博客
11-30 584
SpringSecurity框架搭建
Shiro1-权限框架搭建及认证
战无道的博客
09-26 184
一、Shiro简介 权限框架 ​ 认证 authentacation,登录(不需要自己写拦截器) ​ 授权 authorization,有没有执行操作的权限 整体架构 从编码使用的角度来看,shiro的一些核心 详细架构 二、搭建(最简单) 2.1 jar包 2.2 配置文件 以后存到数据库 2.3 类 token里面已经有比较了,把这个结果交给subject.login 用户名密码不匹配,报凭证错误异常,继承自runtimeexception 自己捕获异常 三、自定义Ream
SpringBoot 后台权限框架搭建
02-22
SpringBoot 后台权限框架搭建:主要实现后端权限管理系统,包括用户管理、 角色管理、部门管理、菜单管理等。 项目采用前后端分离模式开发,后端使用springboot+shiro+mybatis+MySQL等。前端选用Element UI框架,...
SSH2框架搭建实例源码
04-25
总的来说,SSH2框架搭建实例是一个学习和理解Java Web开发的好素材。通过实践这个项目,开发者可以深入理解如何整合三大框架,以及如何利用它们来实现常见的业务功能。同时,这也是提升数据库操作、MVC设计模式和...
Spring MVC 框架搭建配置方法及详解
01-20
搭建Spring MVC环境时,首先要确保引入必要的依赖库。对于Spring 2.5.6版本,你需要添加以下JAR包: 1. `spring.jar`:Spring核心库,包含了依赖注入、AOP等基础功能。 2. `spring-webmvc.jar`:Spring MVC的核心...
SSH框架搭建源码
10-19
这个压缩包文件"SSHdemo"提供了一个SSH框架搭建登录功能的示例,帮助开发者了解并实践如何整合这三个框架来构建一个完整的Web应用程序。 **Struts2** 是一个基于MVC(Model-View-Controller)设计模式的Java Web...
学习权限框架
03-16
用到的是oracle数据库,ssm框架,权限的分配和新增权限包含角色管理
一个免费的java权限后台管理系统框架
01-23
技术支持:www.walkersoft.net。 java权限后台开发框架,采用spring + srpingsecurity + springMVC + Hibernate + freemarker + jquery 等技术实现,页面及源文件打包发布程序。 完整的功能应用,包括:后台权限、人员机构、参数代码、角色权限、上传文件、日志管理等内容。 您可以直接在其上面开发业务模块,具体下载和演示可访问:www.walkersoft.net。 开发文档整理中,很快会更新到网站中。希望能和广大开发者交流,并提供更多支持。 2019-08-16更新 请下载最新版:https://download.csdn.net/download/pxzsky/10587447 积分过多,不是个人原因,csdn改版后就这样了,你懂的,不再一一回复。
完整J2EE架构的用户权限管理系统源码
04-28
基于整合了Struts_和Hibernate_的J2EE_架构的用户权限管理系统的设计与实现,有完整文档,可运行,比较完整。
SpringBoot结合Shiro框架权限管理搭建
Kasey_L的博客
06-17 345
一、权限框架介绍 1、 什么是权限管理   权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。   权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。   1.1 用户身份认证   身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一
权限框架Apache Shiro 和 Spring Security及RBAC
i_hanjt的博客
05-23 5415
前言 一年半年前,我负责的一个项目中需要权限管理。当时google了一些权限管理的资料,发现了RBAC这个东西。可惜一直没狠下心来学习更详细的RBAC模型非常复杂。之后又在各大社区论坛接触到了Shiro和Spring security,下面就是我个人对这三种技术的一些认识与简单对比。 RBAC RBAC(Role-Based Access Control )基于角色的访问控制。 在20世纪...
搭建spring cloud框架并且配置权限架构
AnNanDu的博客
03-07 7701
搭建微服务框架:https://blog.csdn.net/AnNanDu/article/details/104311229 spring boot集成shiro:https://blog.csdn.net/qq_34021712/article/details/80294096 如果把上面的流程走完,大概已经搭建好了一个简单的cloud框架,但是还没有集成zuul网关、nginx负载均衡(...
java权限框架_Shiro实现权限管理
weixin_42601134的博客
12-18 749
前言Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。功能介绍资源-角色-权限登录认证,密码加密(Authentication, Authorization, Cryptography)用户角色和权限放入缓存(Caching)会话管理(Session Management)功能实现实现...
【Spring Security系列】一文带你了解权限框架与Spring Security核心概念
最新发布
小威的博客
04-15 1万+
权限框架是软件开发中用于管理用户权限和访问控制的工具。在企业或者我们毕设复杂的系统中,不同的用户或角色需要拥有不同的访问和操作权限,以确保系统的安全性和数据完整性。今天我们就讨论一下Java中的安全框架
springboot 后台权限框架搭建
05-13
在使用SpringBoot开发Web应用程序时,如果需要为...以上步骤可以用来搭建后台权限框架,以确保只有授权的用户才能访问受保护的资源。实现后,可以通过使用Spring Security提供的安全注释保护希望限制访问的方法或URL。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值