Springboot实现RBAC权限校验

已于 2022-08-27 18:08:20 修改
阅读量1.5k 收藏 11
点赞数 2
文章标签: java spring boot aop jwt token
于 2022-08-27 18:07:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57031340/article/details/126560425
版权

目录

RBAC思想

实现方式

一图流实现思路

代码实现

 导入相关依赖

实现登录与用户的token携带

编写登录controller接口

编写登录service业务

实现登录业务

实现登录后操作的权限验证

 实现token拦截器,对所有操作进行身份验证

自定义注解,作为权限验证的切入点

在切面中编写通知

编写测试接口,测试登录后的用户操作

使用postman测试

登录测试

正常登录

 密码或用户名有误

 token拦截测试

使用后正常登录后获取的token

使用错误token

 使用正常token但无访问权限

RBAC思想

        RBAC基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。

实现方式

Springboot+AOP切面+自定义注解+redis+jwt+mybatis+token拦截器

注:为了简化操作和流程,没有真正地从mysql中读取数据,而是以写死的数据进行演示

一图流实现思路

代码实现

 导入相关依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.16.12</version>
        </dependency>
        <dependency>
            <groupId>org.aspectj</groupId>
            <artifactId>aspectjrt</artifactId>
            <version>1.8.9</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.aspectj/aspectjtools -->
        <dependency>
            <groupId>org.aspectj</groupId>
            <artifactId>aspectjtools</artifactId>
            <version>1.8.9</version>
        </dependency>
        <dependency>
            <groupId>org.aspectj</groupId>
            <artifactId>aspectjweaver</artifactId>
            <version>1.7.4</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <!--hutool-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.7.17</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.62</version>
        </dependency>
        <!--hutool-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.7.17</version>
        </dependency>

实现登录与用户的token携带

编写登录controller接口

package com.melody.rest.restcontroller;

import com.melody.rest.domain.RestSysUser;
import com.melody.rest.model.ResultJson;
import com.melody.rest.service.RestAuthService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/rest")
public class LoginController {

    @Autowired
    private RestAuthService restAuthService;


    //登录
    @PostMapping("/login")
    public ResultJson index(@RequestBody RestSysUser restSysUser){
        //登录以及登录成功存入token
        return restAuthService.Login(restSysUser);
    }

}

编写登录service业务

package com.melody.rest.service;


import com.melody.rest.domain.RestSysUser;
import com.melody.rest.model.ResultJson;

public interface RestAuthService {

    //登录方法
    ResultJson Login(RestSysUser restSysUser);
    

}

实现登录业务

在业务中判断账号密码的正确性,并将用户账户、密码、token存入redis,设置token一天有效期

package com.melody.rest.service.impl;


import cn.hutool.core.bean.BeanUtil;
import cn.hutool.core.bean.copier.CopyOptions;
import com.melody.rest.domain.RestSysUser;
import com.melody.rest.model.ResultCode;
import com.melody.rest.model.ResultJson;
import com.melody.rest.service.RestAuthService;
import com.melody.rest.util.ResourceVerification;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Service;


import java.util.HashMap;
import java.util.Map;
import java.util.UUID;
import java.util.concurrent.TimeUnit;


@Service
public class RestAuthServiceImpl implements RestAuthService {

    @Autowired
    RedisTemplate redisTemplate;


    @Override
    public ResultJson Login(RestSysUser restSysUser) {
        //账号密码校验,
        if("admin".equals(restSysUser.getUsername()) && "123456".equals(restSysUser.getPassword())){
            //账号密码正确
            restSysUser.setResources(ResourceVerification.resource());//向用户权限中注入写死的权限
            Map<String, Object> userMap = BeanUtil.beanToMap(restSysUser, new HashMap<>(),
                    CopyOptions.create()
                            .setIgnoreNullValue(true)//忽略一些空值
                            .setFieldValueEditor((fieldName, fieldValue) -> fieldValue.toString()));
            UUID uuid = UUID.randomUUID();
            String tokenKey= String.valueOf(uuid);
            String token="LoginUserKey "+tokenKey;
            //存储
            redisTemplate.opsForHash().putAll(token,userMap);
            //设置存值时间,expire默认秒,改为天数,设置1天
            redisTemplate.expire(token,1, TimeUnit.DAYS);
            return ResultJson.ok(token);
        }else{
            //账号密码不正确
            return ResultJson.failure(ResultCode.LOGIN_ERROR);
        }
    }
}

测试用的权限:

实现登录后操作的权限验证

 实现token拦截器,对所有操作进行身份验证

拦截器不受spring管理,因此需要在拦截器中注入redis模板类RedisTemplate,使用有参构造将RedisTemplate传递给token拦截类

package com.melody.rest.config;

import com.melody.rest.util.LoginInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;


import javax.annotation.Resource;

@Configuration
public class MvcConfig implements WebMvcConfigurer {

    @Resource
    RedisTemplate redisTemplate;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {

        //配置登录查看是否有token拦截器
        registry.addInterceptor(new LoginInterceptor(redisTemplate)).addPathPatterns("/testRest/**").order(0);

    }
}

package com.melody.rest.util;


import cn.hutool.core.bean.BeanUtil;
import com.alibaba.fastjson.JSONObject;
import com.melody.rest.domain.RestData;
import com.melody.rest.domain.RestSysUser;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.web.servlet.HandlerInterceptor;


import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Map;

public class LoginInterceptor implements HandlerInterceptor {

    private RedisTemplate redisTemplate;

    public LoginInterceptor(RedisTemplate redisTemplate){
        this.redisTemplate=redisTemplate;
    }


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        //设置编码
        response.setCharacterEncoding("utf-8");
        response.setContentType("text/json;charset=utf-8");

        //1、判断是否携带token
        String token = request.getHeader("authorization");
        if(token==null || "".equals(token)){
            RestData restData = RestData.builder().code("401").msg("请先登录再操作!").build();
            String jsonRestData = JSONObject.toJSONString(restData);
            response.setStatus(401);
            response.getWriter().write(jsonRestData);
            return false;
        }
        Map<String, Object> userMap=redisTemplate.opsForHash().entries(token);
        RestSysUser restSysUser = BeanUtil.fillBeanWithMap(userMap, new RestSysUser(), false);
        //2、判断redis里面是否存在token
        if(userMap.isEmpty()){
            RestData restData = RestData.builder().code("401").msg("请先登录再操作!").build();
            String jsonRestData = JSONObject.toJSONString(restData);
            response.setStatus(401);
            response.getWriter().write(jsonRestData);
            return false;
        }

        return true;
    }
}

自定义注解,作为权限验证的切入点

package com.melody.rest.annotion;

import java.lang.annotation.*;

@Target({ ElementType.PARAMETER, ElementType.METHOD })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface AuthCheck {

    public String value() default "";

}

在切面中编写通知

package com.melody.rest.aspect;


import cn.hutool.core.bean.BeanUtil;
import com.melody.rest.annotion.AuthCheck;
import com.melody.rest.domain.RestSysUser;
import com.melody.rest.exception.AuthException;
import com.melody.rest.model.ResCode;
import com.melody.rest.model.ResJson;
import com.melody.rest.model.ResultCode;
import com.melody.rest.model.ResultJson;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;


import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.lang.reflect.Method;
import java.util.Map;

@Aspect
@Component
public class AuthAspect {

    @Value("${token.header}")
    private String header;

    @Autowired
    private HttpServletRequest request;

    @Resource
    private RedisTemplate redisTemplate;

    @Pointcut("@annotation(com.melody.rest.annotion.AuthCheck)")
    public void authPointCut(){

    }


    @Around("authPointCut()")
    public Object authCheck(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {
        try{
            // 判断 TOKEN
            String token = request.getHeader(header);
            System.err.println(token);
            Map<String, Object> userMap=redisTemplate.opsForHash().entries(token);
            RestSysUser restSysUser = BeanUtil.fillBeanWithMap(userMap, new RestSysUser(), false);
            if(restSysUser.getUsername() == null || restSysUser.getUsername().equals("")){
                throw new AuthException(ResCode.TOKEN_NOT_EXIST);
            } else {
                if(restSysUser.getResources()==null){
                    throw new AuthException(ResCode.BANED_REQUEST);
                }
                //从切面织入点处通过反射机制获取织入点处的方法
                MethodSignature signature = (MethodSignature) proceedingJoinPoint.getSignature();
                //获取切入点所在的方法
                Method method = signature.getMethod();
                AuthCheck ac = method.getAnnotation(AuthCheck.class);
//                System.err.println("=========================="+ac);
                boolean flag = false;
                if(ac != null) {
                    //获取切入点方法的value值,该测试接口设置的value为权限字段
                    String auth = ac.value();
//                    System.err.println("-----------------------------"+auth);
                    flag = restSysUser.getResources().stream().anyMatch(str -> str.equals(auth));
                    // way2:数据库中存放权限字段,根据注解的value确定请求所需权限判断是否有权限进行访问
                }
                if(!flag) {
                    return ResultJson.failure(ResultCode.FORBIDDEN);
                }
            }
        } catch(AuthException e) {
            System.err.println(e.getResCode().getCode() + ":" + e.getResCode().getMsg());
            return ResJson.no(e.getResCode());
        }
//        Object res = proceedingJoinPoint.proceed();
        return proceedingJoinPoint.proceed();
    }

}

编写测试接口,测试登录后的用户操作

package com.melody.rest.restcontroller;

import com.melody.rest.annotion.AuthCheck;
import com.melody.rest.model.ResultJson;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;



@RestController
@RequestMapping("/testRest")
public class TestRestController {



    //测试方法1
    @AuthCheck("/testRest/t1")
    @PostMapping("/t1")
    public ResultJson test(){
        return ResultJson.ok("test1访问成功");
    }

    //测试方法2
    @AuthCheck("/testRest/t10")
    @PostMapping("/t10")
    public ResultJson test2(){
        return ResultJson.ok("test10访问");
    }

}

使用postman测试

登录测试

正常登录

 密码或用户名有误

 token拦截测试

使用后正常登录后获取的token

使用错误token

 

 使用正常token但无访问权限

在写死的权限中只有test1、2、3的权限,而方法二权限为test10

Blanc79
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot:切面AOP实现权限校验:实例演示与注解全解(1)
2401_83412285的博客
04-17 594
经过日积月累, 以下是小编归纳整理的深入了解Java虚拟机文档,希望可以帮助大家过关斩将顺利通过面试。由于整个文档比较全面,内容比较多,篇幅不允许,下面以截图方式展示。由于篇幅限制,文档的详解资料太全面,细节内容太多,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!24686019)][外链图片转存中…(img-LXTLY9ur-1713324686019)]
SpringBoot + shiro Demo 简单登录验证权限验证
02-08
SpringBoot ,Shiro 密码加密,登录验证,权限控制demo
springBoot整合springSecurity基于RBAC权限验证
qq_1641486826的博客
12-02 2360
学学springSecurity的认证授权框架,后续整合一下JWT 先说一下基于RBAC权限管理的思路 在数据库中配置用户权限 在每个接口上使用注解的形式说明接口需要用户拥有那个权限才能访问 SpringSecurity使用拦截请求的方式对当前用户拥有的权限和接口需要的权限进行比对,包含则放行,不包含则拦截 导入SpringSecurity的maven坐标 <dependency> <groupId>org.springframework.boot
基于springbootRBAC权限管理演示系统
01-17
这是一个RBAC权限管理系统,即基于角色的用户权限控制,,使用springboot框架开发,UI使用的是layui。。 演示地址:http://116.196.66.248:8090/page/index 欢迎大家下载。。。。另外,建议使用IDEA导入项目。。
Springboot权限控制 RBAC
如切如磋,如琢如磨,臻于至善。
01-31 853
Role-Base Access Control 基于角色的访问控制。所谓角色,其实就是权限的集合,某个角色就是某几个权限的结合。其目的是为了简化授权和鉴权的过程。RBAC模型的核心是在用户和权限之间引入了角色的概念。取消了用户和权限的直接关联,改为通过用户关联角色、角色关联权限的方法来间接地赋予用户权限(如下图),从而达到用户和权限解耦的目的。简单地说,一个用户拥有若干角色,每一个角色拥有若干个菜单,菜单中存在菜单权限与按钮权限, 这样,就构造成“用户-角色-菜单” 的授权模型。
SpringBoot项目自定义注解实现RBAC权限校验
qq_45830276的博客
08-27 1863
SpringBoot项目可以集成Spring Security做权限校验框架,然后在Controller接口上直接使用@PreAuthorize注解来校验权限,那么我们能够自制简易的权限呢,通过看该博客能够自己自制一套简易的权限管理模式。...
基于spring bootRBAC超详细实现
leavesloves的博客
12-31 2975
*基于spring boot + mybatis + jwt + shiro + redis + postgresql的RBAC实现 码云源码地址:https://gitee.com/loveleaveslove/rbac-demo.git。 一、搭建数据库 1、用户表 -- auto-generated definition create table t_user ( id bigint not null constraint "T_USER_pk...
citrus:基于SpringBoot 2.3.2 + Mybatis-Plus + SpringSecurity + JWT 的前后分离后台管理系统 ,统一的认证入口、易于扩展的认证与权限校验、细粒度的权限与数据范围设计、动态数据源+多数据源事务
04-09
既可全局进行权限验证、亦可定义于类与方法,验证方式易与扩展细粒度的RBAC权限控制,可自定义验证方式,支持数据范围注入动态数据源+多数据源事务管理项目结构citrus-boot-starter 项目自动配置相关citrus-main ...
Tangdao权限管理系统
08-14
Tangdao权限管理系统是基于角色的...后端核心框架使用Springboot、Mybatis-plus、SpringSecurity为主要,扩展基于框架的权限校验、策略接口鉴权,参数校验、统一异常响应的通用功能。技术选型SpringbootSpring-secur
一个SpringBoot基础项目框架
最新发布
03-05
自定义注解+拦截器实现基于RBAC接口权限校验(配套文档:https://blog.csdn.net/wujiangbo520/article/details/122057616) 全局异常处理 接口统一结果返回 一键生成数据库设计文档 大批量数据插入数据库测试 根据...
基于SpringBoot+Vue开发的前后端分离外卖点单系统源码+数据库+项目说明.zip
01-08
- 支持动态权限修改,采用RBAC模型,前端菜单和后台权限实时更新。 - 提供CrudService接口,对增删改查进行封装,代码更简洁 - 页面交互使用Vue2.x,极大的提高了开发效率 - 完善的部门管理及数据权限,通过注解实现...
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
主要介绍了SpringBoot使用AOP+注解实现简单的权限验证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot拦截器实现拦截器 权限校验,登录demo
11-14
不知道为啥不能设置0。这个是demo,有时间博主吧git整理下 链接发出来
Tangdao权限管理系统-其他
06-12
后端核心框架使用Springboot、Mybatis-plus、SpringSecurity为主要,扩展基于框架的权限校验、策略接口鉴权,参数校验、统一异常响应的通用功能。技术选型SpringbootSpring-security,Mybatis-Plus,Vue,Quasar...
springBoot项目搭建包含RBAC模块 -- 菜单资源设计-自定义注解(五)
weixin_43470322的博客
07-05 616
这一章是对后续资源管理用的思路进行讲解,用户角色权限离不开资源这个概念。我这边的资源是通过自定义注解的形式启动自动加载。在common模块创建 annotation目录,在目录下我创建了四个自定义注解 这四个注解都是用在controller层,这样我在项目启动的时候回去读取方法是否包含这些注解然后自动生成对应的资源。 在common目录下创建menu目录,在这个目录下我创建了三个枚举类,用来定义资源的三级别,第一个级别是大菜单级别,第二个级别是菜单下的子菜单级别,第三个级别是按钮级别,
springBoot项目搭建包含RBAC模块 -- 角色管理模块开发(七)
weixin_43470322的博客
07-05 484
上一章讲了资源管理开发,这一章讲角色管理开发,角色管理不仅角色自己还包含和资源关联关系的开发。主要功能有 新增角色、修改角色、删除角色、分页查询角色、获取用户对应角色(用户角色关联关系在用户管理模块开发)。1. 角色管理开发创建 角色实体 id、roleName、roleDesc、createTime、updateTime 创建角色管理controller层AdminRoleController 创建角色管理 service 和 serviceImplAdminRoleService Admin
springboot 整合 Spring Security 中篇(RBAC权限控制)
qq_30519365的博客
12-04 1496
主要在这个方法loadUserByUsername 从数据库读取用户的登录信息和权限信息import comthrow new UsernameNotFoundException("用户名不存在");} }throw new UsernameNotFoundException("用户名不存在");} }
spring boot整合spring security实现基于rbac权限控制
热门推荐
轻描淡写
12-09 1万+
1.spring security基于rabc权限控制 1.1 引入依赖 <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency>...
springBoot项目搭建包含RBAC模块 -- 基础框架搭建(一)
weixin_43470322的博客
06-21 1037
这是一个springboot单体的项目使用的是聚合工程,包含基础RBAC模块,主要使用的是:springboot 、mybatis-plus、webflux、mysql、redis、rabbitmq等技术。
springbootrbac权限管理
09-15
RBAC权限管理系统是基于角色的用户权限控制系统。在springboot中,我们可以使用Spring Security框架来实现RBAC权限管理。Spring Security是一个功能强大的、灵活的框架,可以帮助我们在应用程序中实现身份验证、授权和其他安全功能。 要在springboot中使用RBAC权限管理系统,可以按照以下步骤进行操作: 1. 导入Spring Security依赖:在pom.xml文件中添加Spring Security相关的依赖项。 2. 配置Spring Security:在应用程序的配置文件中,设置Spring Security的基本参数,例如认证方式、登录页面等。 3. 创建用户和角色实体:使用实体类表示用户和角色,并建立它们之间的关系。 4. 实现用户认证和授权:通过自定义的用户认证和授权逻辑,实现用户登录验证和权限控制。可以使用注解或配置文件的方式进行权限配置。 5. 创建页面和接口:根据系统需求,创建相应的页面和接口,并为每个角色分配不同的权限。 6. 完善系统功能:根据实际需求,完善RBAC权限管理系统的其他功能,例如日志记录、异常处理等。 需要注意的是,以上步骤仅为概括性的指导,实际操作可能会因具体需求而有所不同。可以根据具体的项目情况进行适当的调整和扩展。 总结起来,springboot中的RBAC权限管理是通过使用Spring Security框架来实现的,需要进行依赖导入、配置、实体创建、认证和授权逻辑实现、页面和接口创建等步骤。通过这些步骤,可以构建一个完善的RBAC权限管理系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值