自定义简单的鉴权功能(非常简单!!!)

最新推荐文章于 2024-07-06 14:17:10 发布
最新推荐文章于 2024-07-06 14:17:10 发布
阅读量100 收藏
点赞数
文章标签: 状态模式 spring boot java spring cloud mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59409315/article/details/134124099
版权

灵感来源:ruoyi-plus中推荐的Sa-Token权限认证框架.

Sa-Token

需求:对于不用角色用户我们需要对其接口权限进行控制,首先在体验上我们需要在前端控制那些没有权限的按钮不显示

前端实现

我们的前端是使用vue2,可以通过自定义标签v-permission控制是否展示该按钮,实现过程,用户登录的时候后台提供该用户所有的权限标识符,前端将这些数据缓存起来,我是存在了sessionStorage中,代码如下:

/**
 * 自定义指令,按钮是否有权限
 */
Vue.directive("permission", {
    inserted(el, binding) {
        el.style.display = "none";
        let permission = binding.value
        let permissionStr = window.sessionStorage.getItem("permission");
        if ((!permissionStr)) {
            removeToken()
            removeInformation()
            router.push("/login");
            return;
        }
        let hasPermission = permissionStr.indexOf(permission) !== -1;
        if (permissionStr === '*' || hasPermission) {
            el.style.display = "inline-block";
        } else isPermission(permission).then(hasPermission => {
            if (hasPermission) {
                el.style.display = "inline-block";
            }
        })
    }
})

isPermission方法是后台请求,因为存在一种情况,用户发现自己没有权限,去问了上级领导,上级领导发现是没有给他分配权限,于是给他分配了权限,但是我们的权限标识是缓存起来的,于是我们提供了请求后台的接口.

使用:

<el-button v-permission="'crm:repair:delete'" type="danger" size="mini"
                                   slot="reference">
                            删除
                        </el-button>

后端实现:为了接口安全,后端也必须对接口权限进行控制

1.自定义注解@ApiCheckPermission

@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD, ElementType.TYPE})
public @interface ApiCheckPermission {
    // 权限字符,支持多个
    String[] value() default {};

    // 权限字符连接类型 and全部包括, or一个符合即可
    SysMode permissionMode() default SysMode.OR;

    // 是否需要管理员权限("admin")
    String type() default "";
    String[] orRole() default {};
}

2.处理鉴权逻辑

@Component
@Aspect
@EnableAsync
@Slf4j
public class AspectCheckPermission {

    // 用注解的方式定义切点
    @Pointcut("@annotation(com.gegeda.sp.log.aop.ApiCheckPermission)")
    public void point() {
    }

    // 用前置通知的方式鉴权
    @Before("point()")
    public void before(JoinPoint jp) throws GraceException {
        // 获取操作用户
        LoginUser loginUser = LoginUtils.getLoginUser();
        // 需要鉴权的方法必须存在操作用户
        if (loginUser == null) {
            throw new InjectException(ResponseStatusEnum.UN_LOGIN);
        }
        // bug用户
        if (loginUser.getId() == 1) {
            return;
        }
        // 获取需要鉴权的方法注解
        MethodSignature signature = (MethodSignature) jp.getSignature();
        Method method = signature.getMethod();
        ApiCheckPermission annotation = method.getAnnotation(ApiCheckPermission.class);
        // 获取注解参数
        List<String> permissionList = Arrays.asList(annotation.value());
        SysMode permissionMode = annotation.permissionMode();
        Set<String> permissions = loginUser.getPermissions();

        // 缓存中不存在用户权限字符数据需要用户重新登录刷新
        if (permissions == null) {
            throw new InjectException("权限校验失败, 您可以尝试退出并重新登录...");
        }
        // 判断是否需要管理员权限
        String type = annotation.type();
        if ("admin".equals(type)) {
            Integer integer = loginUser.getIsAdmin();
            if (integer != 1) {
                throw new NotPermissionException("您不是管理员, 操作权限不足...").setCode(503);
            }
        }
        // 校验权限字符
        boolean checkPermissionRes = this.checkPermission(permissionMode, permissions, permissionList);

        // 权限字符校验不通过抛出权限不足异常
        if (!checkPermissionRes) {
            throw new NotPermissionException();
        }
    }

    private boolean checkPermission(SysMode mode, Set<String> permissions, List<String> permissionList) {
        switch (mode) {
            case AND:
                return permissions.containsAll(permissionList);
            case OR:
                for (String permission : permissionList) {
                    if (permissions.contains(permission)) {
                        return true;
                    }
                }
        }
        return false;
    }

注意:LoginUtils是自定义工具类,http请求中有token,可以获取Redis中的用户缓存数据信息,从而避免数据库查询.

3.自定义异常类

public class NotPermissionException extends RuntimeException {
    private static final long serialVersionUID = 6806129545290130132L;
    private int code = ResponseStatusEnum.NO_PERMISSION.status();

    public NotPermissionException() {

    }
    public NotPermissionException(int code) {
        this.code = code;
    }

    public NotPermissionException(String message) {
        super(message);
    }

    public NotPermissionException(int code, String message) {
        super(message);
        this.code = code;
    }

    public NotPermissionException(Throwable cause) {
        super(cause);
    }

    public NotPermissionException(String message, Throwable cause) {
        super(message, cause);
    }

    public int getCode() {
        return this.code;
    }

    public NotPermissionException setCode(int code) {
        this.code = code;
        return this;
    }

    public static void throwBy(boolean flag, String message, int code) {
        if (flag) {
            throw new NotPermissionException(message);
        }
    }

    public static void throwByNull(Object value, String message, int code) {
        if (ObjectUtil.isEmpty(value)) {
            throw (new NotPermissionException(message)).setCode(code);
        }
    }

4.注册异常拦截处理

    /**
     * 权限不足异常
     */
    @ExceptionHandler(value = NotPermissionException.class)
    public Ret<Void> NotPermissionExceptionHandler(NotPermissionException e) {
        return Ret.fail(ResponseStatusEnum.NO_PERMISSION.status(), ResponseStatusEnum.NO_PERMISSION.msg());
    }

5.使用

    /**
     * 补录订单导入
     */
    @ApiCheckPermission("crm:repair:import")
    @PostMapping("/importOrderRepair")
    public Ret<ImportVO> importOrderRepair(
            @RequestBody List<OrderRepairExcel> data) {
        LoginUser loginUser = LoginUtils.getLoginUser();
        if (loginUser == null) {
            return Ret.fail("登录状态异常");
        }
        ImportVO importVO = orderRepairBiz.importOrderRepair(data, loginUser);
        return Ret.ok(importVO);
    }

&165
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot AOP各种注解、自定义注解、鉴权使用案例(免费下载)
02-24
例如,我们可以使用`@Before`注解实现一个简单的方法调用前的日志记录: ```java @Aspect @Component public class LoggingAspect { @Before("execution(* com.example.service.*.*(..))") public void logBefore...
React路由鉴权的实现方法
10-16
在React应用中,路由鉴权是一个重要的功能,它确保只有具有特定权限的用户才能访问特定的页面或功能。这通常涉及到在用户尝试导航到受保护的路由之前检查其身份和权限。在本文中,我们将深入探讨React路由鉴权的实现...
认证、授权、鉴权权限控制
热门推荐
weixin_35016347的博客
09-24 1万+
相关概念 几个易混淆的个概念: 认证(Identification): 根据声明者持有的特定信息,来确认声明者的身份 例如身份证、用户名/密码、手机(包括短信、二维码、手势密码)、电子邮箱、生物特征(虹膜、面部、指纹、语音等) 高安全要求的场景下,会使用多种认证方式组合进行身份校验,即多因素认证 授权(Authorization): 资源所有者委派执行者,赋予其指定范围的权限,执行对资源的操作 授权实体例如银行卡、门禁卡、钥匙、证书等 例如web服务的session机制、浏览器的cookie机制、
【Blog.Core开源】网关自定义认证鉴权与传参
dotNET跨平台
02-08 447
书接上文,上回咱们说到了《【Blog.Core开源】网关统一集成下游服务文档》,已经将多个下游服务统一集成到了网关里,并且也把接口文档Swagger给集成了,那今天就说一下认证和鉴权相关的...
API 鉴权插件上线!支持用户自定义鉴权插件
Postcat 的博客
04-06 386
0.4.0 版本更新主要围绕这几个方面: 分组独立的 UI,支持分组 API 鉴权 API 测试支持继承 API 鉴权 支持用户自定义鉴权插件,仅需部分配置即可发布鉴权插件
Spring-boot 使用自定义注解实现接口鉴权
qq_27661035的博客
12-12 3077
Springboot 自定义注解权限实现简单权限管理首先定义注解和类型枚举定义注解定义类型使用拦截器配合注解使用定义拦截器配置拦截器拦截的路径和资源文件路径测试创建测试Controller调用接口登录获取token 首先定义注解和类型枚举 定义注解 import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; impor
Sa-Token v1.36.0一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!
10-14
- **易扩展**:框架设计灵活,允许开发者自定义鉴权逻辑和扩展功能。 - **社区活跃**:有丰富的文档和社区支持,遇到问题可以快速得到解答和帮助。 ### **应用场景** - **企业级后台系统**:对于有复杂权限需求的...
java http鉴权(spring boot 工程)
08-30
Java开发中,HTTP鉴权是确保Web应用安全的关键部分,特别是在Spring Boot框架下构建的Maven工程。...对于更复杂的应用,还可以扩展Spring Security的功能,如自定义认证逻辑、支持多认证提供商、实现动态权限管理等。
Spring之AOP在鉴权和日志记录中的应用
09-08
1. **自定义注解**:创建一个表示鉴权需求的自定义注解,如`@RequireAuthorization`。 2. **定义切面**:创建一个Spring切面类,该类包含一个或多个通知方法,用于执行鉴权逻辑。 3. **切入点表达式**:定义切入点...
springboot集成gzip和zip数据压缩传输-满足2k数据自动压缩(适用大数据信息传输)
tiger_Angle
07-02 400
解决方案:在转换为字符串时,一定要使用ISO-8859-1这样的单字节编码。
问题集锦1
Tony 小哥的博客
07-02 490
遇到类型问题摘要
activemq推数据给前端的方式
刘皇叔说Java的博客
07-03 943
前端可以使用 MQTT.js 库,通过 WebSocket 连接到 ActiveMQ 服务器并接收消息。生产者将消息发布到 MQTT 主题,前端通过 MQTT over WebSocket 连接到 ActiveMQ 并订阅相应的主题,以接收并显示消息。生产者将消息发送到 ActiveMQ 队列,消费者从队列中接收消息并通过 WebSocket 将消息传递给前端,前端通过 WebSocket 接收并显示消息。ActiveMQ 也支持 MQTT 协议,可以使用 MQTT 协议将数据推送到前端。
JavaSE&Java8 时间日期API + 使用心得
时间如瑾 代码如诗
07-02 1202
JavaSE&Java8 时间日期API + 使用心得
spring boot读取yml配置注意点记录
xiaolegeaizy的博客
07-04 461
spring boot yml配置玄机
Spring Boot中的响应式编程
07-06 301
响应式编程是一种基于异步数据流的编程范式,通过观察者模式实现数据流和变化的传播。今天我们将探讨Spring Boot中的响应式编程,这是一种现代化的编程范式,特别适用于需要高并发和高性能的应用场景。通过本文,我们了解了Spring Boot中响应式编程的基本概念和使用方法,以及它的优势和适用场景。:响应式编程利用非阻塞I/O和异步处理,能够处理大量并发请求而不会阻塞线程,提升了系统的吞吐量和性能。:使用函数式编程风格来处理数据流,简化了代码的编写和维护,提升了代码的可读性和可维护性。
Spring BootSpring MVC的区别和联系
技术研究中心
07-06 343
Spring Boot简化了Spring应用的开发过程,而Spring MVC则提供了构建Web应用的强大功能Spring Boot集成了Spring MVC的所有功能,通过自动配置简化了Spring MVC应用的搭建过程。Spring BootSpring MVC是互补的技术,Spring Boot包含并扩展了Spring MVC。Spring Boot内置了Tomcat服务器,开发者无需额外配置,只需运行Spring Boot应用即可启动内置服务器并部署Spring MVC应用。
Spring Boot中的全局异常处理
最新发布
07-06 335
今天我们将探讨如何在Spring Boot应用中实现全局异常处理,这是保证应用稳定性和用户体验的重要技术手段。通过本文,我们学习了如何在Spring Boot应用中实现全局异常处理,提升了应用的稳定性和用户体验。通过定义全局异常处理器,可以捕获应用中抛出的各种异常,然后进行统一的异常处理逻辑,例如记录日志、返回友好的错误信息给用户等。:可以在全局异常处理器中集中记录和处理异常信息,便于排查和分析问题。:通过全局异常处理器,可以统一处理应用中的所有异常,减少重复代码。编写一个全局异常处理器类,使用。
Spring Boot中的事件驱动开发
07-06 275
在事件驱动的架构中,组件之间通过发布和订阅事件的方式进行通信,提高了系统的可扩展性、灵活性和响应速度。通过本文,我们详细探讨了在Spring Boot中实现事件驱动开发的方法和技术细节,希望能够帮助您更好地利用事件驱动的优势构建高效、可扩展的应用程序。事件发布者负责发布事件,通常是某个服务或组件中的一个方法,通过Spring的。:通过事件驱动开发,各组件之间的依赖性降低,提高了代码的模块化和复用性。事件,用于表示订单创建的事件,并包含了订单ID作为事件的信息。事件,通知其他订阅了该事件的组件。
spring cloud gateway鉴权
09-02
1. 使用Spring Security进行鉴权:可以在Spring Cloud Gateway中集成Spring Security,利用Spring Security的身份认证和授权功能来实现鉴权。你可以定义一个SecurityFilter,通过配置权限拦截请求,并使用JWT或其他...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值