Shiro权限注解与Aop冲突问题的前世今生

最新推荐文章于 2024-02-21 15:43:32 发布
置顶 最新推荐文章于 2024-02-21 15:43:32 发布
阅读量2.3k 收藏 16
点赞数 7
分类专栏: springboot 文章标签: aop spring boot java spring shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33306246/article/details/106573462
版权

在做springboot和shiro集成时,在度娘的多篇博文上相关DefaultAdvisorAutoProxyCreator有下图的描述,但实际测试时将usePrefix和proxyTargetClass二者任意一值设为true都可以解决无法映射请求的问题,此文即是基于此的拓展,有兴趣的童鞋可以在测试项目中进行测试。

image-20200516234105315

猜测

要搞明白为这两个配置能够解决这个问题,可以先从DefaultAdvisorAutoProxyCreator开始看起,从类名上我们很容易得知这是spring自动代理创建器之一。该类可以对通知器进行过滤。

源码注释中表明,通过设置usePrefix值为true,类将仅在通知器bean名称为advisorBeanNamePrefix+.时生效。

image-20200517001821588

而proxyTargetClass则配置了代理时是否时基于类代理。

由前面两点可以猜测

  • usePrefix能够解决这个问题,是由于具体问题的发生场景和通知器bean名称有关,由于usePrefix使某个通知器被过滤使问题被解决。
  • proxyTargetClass能够解决这个问题,是因为此配置修改了代理机制,使代理的冲突消失了。

猜测不一定是正确的,并且由于二者都可以解决这个问题,还需要探求二者之间的关联。

由请求开始

当aop与权限注解共存时,不对DefaultAdvisorAutoProxyCreator进行任何配置并跟踪请求,部分执行链如下:

// {}表示同上
.
├── DispatcherServlet.doService
│   ├── DispatcherServlet.doDispatch
│   	├── DispatcherServlet.getHandler
│   		├── AbstractHandlerMapping.getHandler
│   			├── RequestMappingInfoHandlerMapping.getHandlerInternal
│   				└── AbstractHandlerMethodMapping.lookupHandlerMethod

之所以跟踪这个请求,是由于在doDispatch方法中的HandlerExecutionChain类型变量是spring由容器中取得的实际处理请求的对象。

image-20200517004212046

以下是测试控制器的部分代码

@RestController
public class IndexController {
    @GetMapping
    @RequiresPermissions("admin")
    public String empty() {
        return "hello";
    }
}

AbstractHandlerMethodMapping.lookupHandlerMethod中,可以看到此处从一个映射注册表中的两个hashMap对象中为请求获取最合适的处理方法,而在映射注册表中根本不存在我们的自定义控制器,由此得知问题的根源在于映射注册表中控制器的缺失。

image-20200517010753991

异常与错误图对比

映射注册表初始化

AbstractHandlerMethodMapping类中对类变量mappingRegistry进行查找,可以找到registerHandlerMethod方法,用于向注册表中注册处理方法。

image-20200517123702327

而该方法的调用在detectHandlerMethods方法中,通过对该方法断点调试(启动时)并向上查找堆栈信息,我们可以得到这样一条调用链:

.
├── AbstractAutowireCapableBeanFactory.invokeInitMethods
│   ├── RequestMappingHandlerMapping.afterPropertiesSet
│		├── AbstractHandlerMethodMapping.afterPropertiesSet
│   		├── AbstractHandlerMethodMapping.initHandlerMethods
│   			├── AbstractHandlerMethodMapping.processCandidateBean
│   				└── AbstractHandlerMethodMapping.detectHandlerMethods

RequestMappingHandlerMapping是springboot WebMvcAutoConfiguration中预定义的,自动初始化的bean,用于处理被RequestMapping注解标记的方法。

image-20200517151500795

而由于该类父类实现了InitializingBean接口,bean初始化完毕时会调用afterPropertiesSet方法,由调用链可以看出,映射注册表的初始化即是由这个逻辑促成的。跟踪正常映射的请求可以验证这一点:

image-20200517152329552

AbstractHandlerMethodMapping.processCandidateBean方法中可以找到类能否被注册进映射注册表的逻辑:

image-20200517153006969

spring从应用上下文中获取根据名称获取对应bean的类对象并根据类对象中是否含有Controller和RequestMapping注解来判断是否注册。

image-20200517153216257

通过调试可以看到加入权限异常映射的bean,在容器中取到的类对象是代理对象,下面是几种情况取到的类对象:

获取bean结果比对

可以看到前者取到的对象是由jdk动态代理的,而后两者取到的对象都是由cglib代理的。

由以上情况又引申出了三个问题:

  • 为什么在jdk动态代理的情况下认为不存在注解
  • 使用哪种代理方式是如何判断的
  • 为什么设置usePrefix时需要使用cglib代理

如何判断注解的存在

这里涉及到调用链:

.
├── AnnotatedElementUtils.hasAnnotation
│   ├── TypeMappedAnnotations.isPresent
│		├── TypeMappedAnnotations.scan
│   		├── AnnotationsScanner.scan
│   			├── AnnotationsScanner.scan
│   				├── AnnotationsScanner.process
│   					├── AnnotationsScanner.processClass
| 							└── AnnotationsScanner.processClassHierarchy

AnnotationsScanner.processClassHierarchy中可以看到spring首先判断类对象上是否存在注解,如果不存在则递归查找该类对象父类,所有的接口和内部类。

/**
 * 按层次执行类查找
 *
 * @param context 需要寻找的注解
 * @param aggregateIndex
 * @param source 类对象
 * @param processor 注解处理器
 * @param classFilter 类过滤(判断是否要忽略某些类查找)
 * @param includeInterfaces 是否包含接口
 * @param includeEnclosing 是否包含匿名内部类
 * @param <R> 此处为Boolean
 * @return 匹配成功返回true 否则返回false或者null
 */
private static <C, R> R processClassHierarchy(C context, int[] aggregateIndex, Class<?> source, AnnotationsProcessor<C, R> processor, @Nullable BiPredicate<C, Class<?>> classFilter, boolean includeInterfaces, boolean includeEnclosing) {
    try {
        R result = processor.doWithAggregate(context, aggregateIndex[0]);
        if (result != null) {
            return result;
        }
        // 是否仅有普通的java注解
        if (hasPlainJavaAnnotationsOnly(source)) {
            return null;
        }
        // 判断类本身是否存在注解
        Annotation[] annotations = getDeclaredAnnotations(context, source, classFilter, false);
        result = processor.doWithAnnotations(context, aggregateIndex[0], source, annotations);
        if (result != null) {
            return result;
        }
        aggregateIndex[0]++;
        // 如果存在实现接口则遍历接口执行查找 判断接口上是否存在该注解
        if (includeInterfaces) {
            for (Class<?> interfaceType : source.getInterfaces()) {
                R interfacesResult = processClassHierarchy(context, aggregateIndex,
                        interfaceType, processor, classFilter, true, includeEnclosing);
                if (interfacesResult != null) {
                    return interfacesResult;
                }
            }
        }
        // 向上查找所有父类
        Class<?> superclass = source.getSuperclass();
        if (superclass != Object.class && superclass != null) {
            R superclassResult = processClassHierarchy(context, aggregateIndex,
                    superclass, processor, classFilter, includeInterfaces, includeEnclosing);
            if (superclassResult != null) {
                return superclassResult;
            }
        }
        // 查找内部类
        if (includeEnclosing) {
            // Since merely attempting to load the enclosing class may result in
            // automatic loading of sibling nested classes that in turn results
            // in an exception such as NoClassDefFoundError, we wrap the following
            // in its own dedicated try-catch block in order not to preemptively
            // halt the annotation scanning process.
            try {
                Class<?> enclosingClass = source.getEnclosingClass();
                if (enclosingClass != null) {
                    R enclosingResult = processClassHierarchy(context, aggregateIndex, enclosingClass, processor, classFilter, includeInterfaces, true);
                    if (enclosingResult != null) {
                        return enclosingResult;
                    }
                }
            }
            catch (Throwable ex) {
                AnnotationUtils.handleIntrospectionFailure(source, ex);
            }
        }
    }
    catch (Throwable ex) {
        AnnotationUtils.handleIntrospectionFailure(source, ex);
    }
    return null;
}

在使用cglib代理的情况下,可以在父类中查找到原始类对象,并获取到注解。

image-20200518170620227

而在jdk动态代理情况下获得的对象中无法从类的父子关系,接口实现,内部类中得到原始类对象,也就无法获得原始注解。

以上可以得知代理方式的变更会导致类无法注册入映射注册表,导致bean无法映射请求。

在上面的探究中对比两种代理类的实现接口还发现,获取到jdk动态代理类对象时似乎被二次代理了,其中的原因我们放到后面再探究。

实现接口比对

代理方式的选择

bean的后置处理

要了解这个问题,需要对bean的创建过程进行跟踪:

.
├── AbstractAutowireCapableBeanFactory.doCreateBean
│   ├── {}.initializeBean
│		├── {}.applyBeanPostProcessorsAfterInitialization
│   		├── AbstractAutoProxyCreator.postProcessAfterInitialization
│   			├── AbstractAutoProxyCreator.wrapIfNecessary
│   				├── {}.createProxy
│   					├── AnnotationsScanner.processClass
| 							└── AnnotationsScanner.processClassHierarchy

在bean初始化完成后将在AbstractAutowireCapableBeanFactory.applyBeanPostProcessorsAfterInitialization方法进行后置处理,spring从容器中获取所有的后置处理器即所有实现BeanPostProcessor接口的bean对bean进行后置处理,在这里可以找到DefaultAdvisorAutoProxyCreator

image-20200522230758590

在跟踪DefaultAdvisorAutoProxyCreator之前,先跟踪AnnotationAwareAspectJAutoProxyCreator,以了解一个正常执行的代理流程。

AnnotationAwareAspectJAutoProxyCreator的加载

AnnotationAwareAspectJAutoProxyCreator是spring aop工作的重要构建器,上文我们猜测异常bean可能被二次代理了,第一次代理便是来自spring aop的代理。

在AopAutoConfiguration可以看到在默认配置(且存在Advice类)下使用注解开启了Aspect J自动代理

image-20200521224957601

在此注解存在的情况下AspectJAutoProxyRegistrar将工作,这里将进行AnnotationAwareAspectJAutoProxyCreator的注册工作:

.
├── AspectJAutoProxyRegistrar.registerBeanDefinitions
│   ├── AopConfigUtils.registerAspectJAnnotationAutoProxyCreatorIfNecessary
│		└── {}.registerOrEscalateApcAsRequired

image-20200521225632059

可以看到此处为bean定义在注册表中指定了名称

image-20200521230100754

并且在另一处自动配置中将proxyTargetClass值设为了true:

image-20200521230329847

image-20200521230255707

AbstractAutoProxyCreator.wrapIfNecessary可以跟踪到AnnotationAwareAspectJAutoProxyCreator的创建代理的工作流程:

/**
 * 按需包装(代理)bean
 *
 * @param bean bean
 * @param beanName bean名称
 * @param cacheKey 缓存key 用以标记该bean是否需要被通知
 * @return 包装(代理)后的bean
 */
protected Object wrapIfNecessary(Object bean, String beanName, Object cacheKey) {
    if (StringUtils.hasLength(beanName) && this.targetSourcedBeans.contains(beanName)) {
        return bean;
    }
    // this.advisedBeans在postProcessBeforeInstantiation即前置操作中初始化过一次 
	// 这里是跳过已经预先知道不需要被通知的bean
    if (Boolean.FALSE.equals(this.advisedBeans.get(cacheKey))) {
        return bean;
    }
    // 在bean的前置处理时其实已经做过类似的判断
	// isInfrastructureClass是判断是否为aop的基础设施类 诸如Advice,Pointcut,Advisor等
	// shouldSkip是由bean名称判断是否为原始示例 如果为是(名称为bean类名+.ORIGINAL)则跳过
    if (isInfrastructureClass(bean.getClass()) || shouldSkip(bean.getClass(), beanName)) {
        this.advisedBeans.put(cacheKey, Boolean.FALSE);
        return bean;
    }
    // Create proxy if we have advice.
    // 获取所有的通知bean 存在则进行代理操作
    Object[] specificInterceptors = getAdvicesAndAdvisorsForBean(bean.getClass(), beanName, null);
    if (specificInterceptors != DO_NOT_PROXY) {
        this.advisedBeans.put(cacheKey, Boolean.TRUE);
        // 创建代理
        Object proxy = createProxy(
                bean.getClass(), beanName, specificInterceptors, new SingletonTargetSource(bean));
        this.proxyTypes.put(cacheKey, proxy.getClass());
        return proxy;
    }
    // 不存在通知类 则标记为不需要通知
    this.advisedBeans.put(cacheKey, Boolean.FALSE);
    return bean;
}

创建代理时用到了创建器本身的proxyTargetClass属性用以判断是否基于类代理,这里前面提到,在自动配置时就已经将该bean proxyTargetClass属性默认设置为true,因此由该类创建的代理对象默认都是基于cglib代理的:

image-20200523190042803

如果在配置中配置默认代理方式不基于类(spring.aop.proxy-target-class =false),但类不存在合适的代理接口,spring仍可能选择cglib代理:

/**
 * 评估接口是否适合代理
 *
 * @param beanClass bean类对象
 * @param proxyFactory 代理工厂
 */
protected void evaluateProxyInterfaces(Class<?> beanClass, ProxyFactory proxyFactory) {
    // 获取所有实现接口
    Class<?>[] targetInterfaces = ClassUtils.getAllInterfacesForClass(beanClass, getProxyClassLoader());
    boolean hasReasonableProxyInterface = false;
    for (Class<?> ifc : targetInterfaces) {
        // isConfigurationCallbackInterface判断接口是否配置回调接口 例如:InitializingBean,Closeable等
        // isInternalLanguageInterface判断接口是否内部语言接口 例如:GroovyObject,cglib代理工厂接口等
        if (!isConfigurationCallbackInterface(ifc) && !isInternalLanguageInterface(ifc) &&
                ifc.getMethods().length > 0) {
            hasReasonableProxyInterface = true;
            break;
        }
    }
    if (hasReasonableProxyInterface) {
        // Must allow for introductions; can't just set interfaces to the target's interfaces only.
        for (Class<?> ifc : targetInterfaces) {
            proxyFactory.addInterface(ifc);
        }
    } else {
        // 没有合适的实现接口则也设置为true
        proxyFactory.setProxyTargetClass(true);
    }
}

这一点也解释了为何不引入spring aop的情况下权限注解可用,有兴趣的童鞋可以尝试下载代码进行设置跟踪。这里只讲结论:

  • 不引入spring aop只有DefaultAdvisorAutoProxyCreator生效的情况下,bean实例仍是cglib代理的。
  • 引入了spring aop时DefaultAdvisorAutoProxyCreator获得的类是已代理的,有了在此判断外的实现接口,被判断为适合接口代理,因此bean实例最终使用了jdk动态代理。

DefaultAdvisorAutoProxyCreator的工作

DefaultAdvisorAutoProxyCreatorAnnotationAwareAspectJAutoProxyCreator的工作过程基本类似。从以上工作过程中其实可以大概了解(实际也是如此),DefaultAdvisorAutoProxyCreator异常工作时,对bean再次进行了代理行为,由于该类的proxyTargetClass的默认值为false,且获取的代理对象被判断为适合接口代理,因此采用了jdk动态代理,从bean实例上来看就是被二次代理了。

image-20200523141226334

另外需要提及的是当仅proxyTargetClass为true时虽然进行了两次代理,代理类上获取的直接父类还是原始类(而不是父类的父类才是原始类)。详见:

.
├── AbstractAutoProxyCreator.wrapIfNecessary
│   ├── {}.createProxy
│		├── ProxyFactory.getProxy
|			└──	CglibAopProxy.getProxy

image-20200523170810525

为什么设置usePrefix时需要使用cglib代理

这里的问题其实应该是,为什么设置usePrefix为true时不进行代理,事实上usePrefix为true时,DefaultAdvisorAutoProxyCreator是不工作的。

这里需要从getAdvicesAndAdvisorsForBean方法中进行跟踪,因为当设置usePrefix为true时,该方法取到的通知器是空的。

.
├── AbstractAutoProxyCreator.wrapIfNecessary
│   ├── {}.getAdvicesAndAdvisorsForBean
│		├── AbstractAdvisorAutoProxyCreator.findEligibleAdvisors
│   		├── {}.findCandidateAdvisors
│   			└── BeanFactoryAdvisorRetrievalHelper.findAdvisorBeans

BeanFactoryAdvisorRetrievalHelper.findAdvisorBeans中,从容器中取得的通知器是否要最终返回用于代理,存在isEligibleBean判断。

image-20200523143345185

前面都是和构建器父层抽象类打交道,到这里终于和DefaultAdvisorAutoProxyCreator本身打上了交道。

这个判断最终使用了DefaultAdvisorAutoProxyCreator.isEligibleAdvisorBean的返回结果。

image-20200523144138787

DefaultAdvisorAutoProxyCreator.isEligibleAdvisorBean中得知,当usePrefix为false时该方法总是返回true,而当usePrefix为true时需要判断bean名称是否以类属性advisorBeanNamePrefix+.开头判断如何返回。

image-20200523144605015

当只定义了usePrefix为true而未定义advisorBeanNamePrefix时,大部分情况下bean名称是无法匹配的,因此通知器无法返回,也就不会执行具体的代理行为。而定义usePrefix为false时代理行为总是执行的。

总结

再次提出之前的两条猜测:

  • usePrefix能够解决这个问题,是由于具体问题的发生场景和通知器bean名称有关,由于usePrefix使某个通知器被过滤使问题被解决。
  • proxyTargetClass能够解决这个问题,是因为此配置修改了代理机制,使代理的冲突消失了。

现在看,两个猜测都是部分正确的,并且以上的探究对其进行了拓展,在探究的过程中我们得知,冲突的本质在于是否使用jdk动态代理,只要bean没有被jdk动态代理,这个映射问题就不会存在。下面是各种场景下的运行情况:

开启AOPusePrefixproxyTargetClass代理情况运行情况
falsefalsejdk+cglib404
falsetruecglib+cglib权限生效
truefalsecglib权限生效
truetruecglib权限生效
falsefalsecglib权限生效
falsetruecglib权限生效
truefalse权限无效
truetrue权限无效

最后总结usePrefix,proxyTargetClass解决的问题:

  • userPrefix属性设为true,阻止了DefaultAdvisorAutoProxyCreator代理创建行为。
  • proxyTargetClass为true,使类对象在被二次代理时,仍旧能够找到原始类对象,并且被成功放入映射注册表。

以上为本文全部内容。

tks

猿枫小店

毛胚公众号弱弱的求一波大佬关注。

ice-maple
关注
  • 7
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
spring aop和事务同时开启带来的一些问题
小小少年的博客
01-05 1647
最近自己在写一个aop切面,主要是用来记录日志和打印一些信息的,在测试过程中,发现,业务方法在加了事务之后,如果有其他异常抛出,事务并没有回滚,于是,就Google了一把,发现有大佬遇到过这个问题,大部分博客给到的答案是:因为切面的优先级低于事务的优先级,导致事务advisor生成的代理对象被,切面生成的代理对象给覆盖了,需要在切面上加上@Order(1)注解,这样可以保证,切面的优先级较高 我自己忽然间想到之前,遇到过类似的问题,并且也记录到了线上问题模块,按照实际操作之后,确实:在切面上加了@Order
SpringShiro整合及加载权限表达式问题
08-25
SpringShiro整合及加载权限表达式问题 SpringShiro整合是一种常见的身份验证和授权机制,Shiro提供了强大的权限控制机制,而Spring是一个流行的Java框架。这篇文章主要介绍了如何将SpringShiro整合,並加载...
基于AOP实现权限管理:通过shiro认证身份和模拟授权认证
时光在路上
01-21 6404
有记录和总结的学习,才是完整的学习。不能总是低头忙于平台项目的开发,更重要的是在学习过程中思考和总结,颗粒归仓,一年之计在于秋。   身份认证和授权认证是权限管理中的核心模块。本文讲讲通过安全框架shiro进行身份认证和模拟授权认证,并可以看到授权之后的效果。   认证 登录模块,在完成用户名和密码的匹配基础上,查询该用户具有的操作权限,缓存到本地。 该权限系统是基于角色的RBAC模型
ShiroAop 冲突 (基于Spring Boot 项目)
FangWenJuno的博客
08-27 1128
org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'shiroFilterFactoryBean' defined in class path resource [com/coder/walker/shiro/config/ShiroConfig.class]: BeanPostProcessor before instantiation of bean failed; nested
引入shiro与原有自定义AOP冲突
sgoob的博客
09-10 514
出现错误: java.lang.IllegalStateException: No MethodInvocation found: Check that an AOP invocation is in progress, and that the ExposeInvocationInterceptor is upfront in the interceptor chain. Specifically, note that advices with order HIGHEST_PRECEDENCE will
权限解决方案:Shiro自定义Permission、AOP + Shiro
qq_45716444的博客
06-01 2650
权限解决方案 Shiro自定义Permission Shiro授权扩展 Shiro AuthorizerRealm重写isPermitted AOP + Shiro AOPShiro
vue与shiro结合实现权限按钮
12-15
vue+shiro实现前端细颗粒按钮级权限,并且可以实现删除和禁用两种不同模式,里面需要的前置技术包括 :vue\vue的自定义指令\vue的自定义插件\vuex
SpringBootShiro、 自定义注解权限控制源码下载
04-06
SpringBootShiro、 自定义注解权限控制
详解spring整合shiro权限管理与数据库设计
08-30
Spring整合Shiro权限管理与数据库设计 本文主要介绍了Spring整合Shiro权限管理与数据库设计的相关知识点。Shiro是一个开源的权限管理框架,广泛应用于Java Web开发中,而Spring则是Java企业版的框架,用于构建企业...
跟我学Shiro第12章Demo(仅JAVA SE+Web+Shiro权限注解
09-22
本人亲自写的Demo,可运行没问题,其中包括Java SE + Java Web + Shiro权限注解章节,可SE运行,也可以用jetty运行
spring整合shiro,且使用shiro注解出现代理异常解决方案
李凯伦的博客
01-26 1816
spring整合shiro出现代理异常解决方案 aop部分配置 这里启用了类代理: shiro部分配置 当service层不写接口,只有实现类时,调用后台报错: 给调用的service层加个接口可解决该问题,或者修改shiro配置文件,如下图: ...
Spring Boot——Druid在application.yml文件中配置【spring.datasource.druid.aop-patterns】无效解决方案
无限迭代中......
03-22 4452
问题描述 在使用aop-patterns配置的时候发现Spring监控无效 Druid版本:1.1.22 如果SpringBoot的配置使用的是properties文件,该配置正常。 如果使用yml作为配置文件,则该配置无效。 问题分析 似乎不能以“-”作为分隔符。 使用了ConditionalOnProperty注解,该配置类并不会生效。 解决方案 方法一:重写DruidSpringAopConfiguration 如果我们想要使用yml文件,并且希望该配置生效,我们可以定义.
Spring AOP 不同配置方式产生的冲突问题
u010074988的博客
05-02 1080
Spring AOP的原理是 JDK 动态代理和CGLIB字节码增强技术,前者需要被代理类实现相应接口,也只有接口中的方法可以被JDK动态代理技术所处理;后者实际上是生成一个子类,来覆盖被代理类,那么父类的final方法就不能代理,因为父类的final方法不能被子类所覆盖。一般而言Spring默认优先使用JDK动态代理技术,只有在被代理类没有实现接口时,才会选择使用CGLIB技术来实现AOP...
druid之spring监控(spring.datasource.druid.aop-patterns)+SpringSecurity的认证过滤器导致项目起不来
AllureSoul的博客
03-31 397
druid之spring监控(spring.datasource.druid.aop-patterns)+SpringSecurity的认证过滤器导致项目起不来
修复dubbo注解spring aop冲突问题
weixin_30546189的博客
09-08 582
在使用dubbo2.8.4版本的时候,项目中有使用spring的声明式事务,dubbo的服务暴露使用了注解,发现服务一直没被监测到,后面查看源码debug,才发现dubbo有个bug,需要改动源码来修复。 找到com.alibaba.dubbo.config.spring.AnnotationBean类,然后修改 public Object postProcessAfterInitia...
Spring 事务第四篇 - Spring 事务遇到AOP会怎么样?
paralysed的博客
09-28 1499
前言 前面的文章探索了怎么拦截事务方法,怎么对其进行增强。但是我们讲解 AOP 的时候也聊过,如果想对一个对象进行增强,首先要生成一个代理对象,然后找到增强对象的拦截器链,这样才能逐个执行拦截方法进行增强。此外本文还会解答下上文提到的一个问题,就是当 AOP 和事务同时开启的话会怎么办呢? InfrastructureAdvisorAutoProxyCreator 我们前文也已经分析过,通过@EnableTransactionManagement 会引入该后置处理器,...
@RequiresPermissions注解的作用,超级简单的权限验证
qq_41625866的博客
03-13 2万+
shiro里面权限验证的一个注解 @RequiresPermissions(value = {"engineeringPause:download", "workContact:download", "supervisionNotice:download", "questionNotification:download"},logical = Logical.OR) value 值可以写一个 ,也可以写多个
@RequiresPermissions要求用户拥有某(些)权限
最新发布
圆圆学习笔记的博客
02-21 1119
如果有个多个注解的话,前面的通过了会继续检查后面的,若不通过则直接返回,处理顺序依次为(与实际声明顺序无关) RequiresRoles、RequiresPermissions、RequiresAuthentication、RequiresUser、RequiresGuest。注解用于配置接口要求用户拥有某(些)权限才可访问,它拥有两个参数。Shiro的认证注解处理是有内定的处理顺序的,,那就要求拥有此角色的同时还得拥有相应的权限。示例1: 以下代码表示必须拥有。示例2: 以下代码表示必须拥有。
@RequiresPermissions 解释
热门推荐
ATwill的专栏
12-01 8万+
@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。 @RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated() 结果为true); 另外一种是被记忆的(subject.isRemembered(
SpringAOP+自定义注解模拟shiro框架实现
06-06
首先,我们需要定义一个自定义注解 `@RequiresPermissions`,用于标识需要授权访问的方法,例如: ```java @Retention...这样,我们就通过 Spring AOP 和自定义注解模拟实现了类似 Shiro 权限校验的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值