授权信息(登录信息)解析为接口方法的参数(@Authorization + HandlerMethodArgumentResolver + WebMvcConfigurer)

最新推荐文章于 2024-03-18 13:25:00 发布
最新推荐文章于 2024-03-18 13:25:00 发布
阅读量217 收藏
点赞数
分类专栏: Spring Boot 文章标签: 授权信息解析 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sgx1825192/article/details/134058137
版权

需求

对于需要授权或登录的系统,大量的接口,需要获取到用户的 授权信息 / 登录信息 。这些信息可能存在于Session或token中。

授权信息 / 登录信息解析为接口参数

这样避免了在每个接口中重复写信息解析的代码,提交了效率。

在这里插入图片描述

实现方式

  1. 注解:@Authorization
  2. 授权信息实体:Auth
  3. 参数解析器:HandlerMethodArgumentResolver
  4. 配置:WebMvcConfigurer

@Authorization:标记接口中的授权信息参数,用于确定要解析的接口参数;
授权信息实体:用来存储授权信息;
参数解析器:用来实现解析逻辑;
配置:将参数解析器,配置到Spring中。

核心代码

@Authorization

package com.example.core.authorization;

import java.lang.annotation.*;

/**
 * 授权信息-标记注解
 */
@Documented
@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface Authorization {
}

Auth:授权信息实体

package com.example.core.authorization;

import io.swagger.v3.oas.annotations.media.Schema;
import lombok.Data;

@Data
@Schema(name = "授权信息")
public class Auth {

    @Schema(description = "登录ID", example = "1234567890123456789")
    private String loginId;

    @Schema(description = "登录账号", example = "1001")
    private String account;

}

HandlerMethodArgumentResolver

package com.example.core.authorization;

import com.example.core.authorization.constant.AuthConstant;
import org.springframework.core.MethodParameter;
import org.springframework.web.bind.support.WebDataBinderFactory;
import org.springframework.web.context.request.NativeWebRequest;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.method.support.ModelAndViewContainer;

/**
 * 授权信息参数解析器
 */
public class AuthorizationHandlerMethodArgumentResolver implements HandlerMethodArgumentResolver {

    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        return parameter.hasParameterAnnotation(Authorization.class) && parameter.getParameterType() == Auth.class;
    }


    @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) {
        return webRequest.getAttribute(AuthConstant.AUTHORIZATION, RequestAttributes.SCOPE_SESSION);
    }

}

WebMvcConfigurer

package com.example.core.config;

import com.example.core.authorization.AuthorizationHandlerMethodArgumentResolver;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import java.util.List;

/**
 * WebMvc配置器
 */
@Configuration
public class MyWebMvcConfigurer implements WebMvcConfigurer {

    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> resolvers) {
        resolvers.add(new AuthorizationHandlerMethodArgumentResolver());
    }

}

补充代码

授权信息常量

package com.example.core.authorization.constant;

/**
 * 授权信息常量
 */
public class AuthConstant {

    /**
     * 授权信息 - Session.Attribute 的 name
     */
    public static final String AUTHORIZATION = "authorization";

}

测试

package com.example.web.account.controller;

import com.example.core.authorization.Auth;
import com.example.core.authorization.Authorization;
import com.example.core.authorization.constant.AuthConstant;
import com.example.web.account.model.ChangePasswordParam;
import com.example.web.account.model.LoginParam;
import io.swagger.v3.oas.annotations.Operation;
import io.swagger.v3.oas.annotations.Parameter;
import io.swagger.v3.oas.annotations.tags.Tag;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.*;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import javax.validation.Valid;

@Slf4j
@RestController
@RequestMapping("accounts")
@Tag(name = "账号")
public class AccountController {

    @PostMapping("login")
    @Operation(summary = "登录")
    public void login(@Valid @RequestBody LoginParam param, HttpServletRequest request) {
        log.info("登录:LoginParam={}", param);

        Auth auth = new Auth();
        auth.setLoginId("1234567890123456789");
        auth.setAccount(param.getAccount());

        // 登录成功,记录用户的授权状态
        HttpSession session = request.getSession();
        session.setAttribute(AuthConstant.AUTHORIZATION, auth);
    }


    @PutMapping("change_password")
    @Operation(summary = "修改密码")
    @Parameter(name = "auth", hidden = true)
    public void changePassword(@Authorization Auth auth,
                               @Valid @RequestBody ChangePasswordParam param,
                               HttpServletRequest request) {
        log.info("修改密码:Authorization={}", auth);
        log.info("修改密码:ChangePasswordParam={}", param);
    }

}

效果

登录接口保存了授权信息;在其他接口,在已登录的前提下,能够从接口方法的参数中获得授权信息对象。

先调用登录接口,再调用修改密码接口,打印日志如下:
在这里插入图片描述

宋冠巡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
authorization权限控制_授权Authorization
weixin_34481252的博客
01-17 7906
授权授权是指验证用户是否允许做某件事的过程。Yii提供两种授权方法: 存取控制过滤器(ACF)和基于角色的存取控制(RBAC)。存取控制过滤器存取控制过滤器(ACF)是一种通过 yii\filters\AccessControl 类来实现的简单授权方法, 非常适用于仅需要简单的存取控制的应用。正如其名称所指,ACF 是一个种行动(action)过滤器filter,可在控制器或者模块中使用。当一个...
HandlerInterceptor+HandlerMethodArgumentResolver统一获取当前登录的用户
qq_38178433的博客
09-28 864
目录 一、最原始直接 二、AOP 三、拦截器+方法参数解析器 3.1 自定义权限拦截器 3.2 自定义参数注解 3.3 自定义方法参数解析器 3.4 配置MVC 环境:SpringBoot 2.0.4.RELEASE 需求:很多Controller方法,刚进来要先获取当前登录用户的信息,以便做后续的用户相关操作。 准备工作:前端每次请求都传token,后端封装一方法tokenUtils.getUserByToken(token),根据token解析得到currentUserInfo。...
Shiro学习笔记(3)——授权Authorization
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
Swagger注解-@Authorization 和 @AuthorizationScope
dejunyang的博客
04-27 1万+
@Authorization 使用场景 接口授权,不单独使用,作为 @Api 或 @ApiOperation 的属性使用 概述 定义要在资源或操作上使用的授权方案。使用的授权方案需要首先在Swagger各级别声明。此注解不直接使用,Swagger不会解析,应该作为 @Api 或 @ApiOperation 属性使用 属性 属性名称 数据类型 默认值 说明 value String ...
Authorization参数
liangzaixiaozhou的博客
03-16 1300
请求头中Authorization的http协议的认证逆向
【HTTP完全注解】揭开Authorization神秘的面纱
最新发布
汪啊汪
03-18 2831
Authorization是HTTP 提供一个用于权限控制和认证的通用框架,可能有不少小伙伴会感到疑惑"Cookie不就可以做权限控制和认证吗? ",确实如此! Cookie确实是在单个系统内认证用户身份、保持会话状态的有效方式,但如果涉及到多个系统、多个域名或多个应用程序之间认证、授权呢?使用Cookie的话该如何办呢?是不是想想都头皮发麻呢?为解决这个问题, HTTP急需一种更通用、更灵活的身份验证和授权机制,使跨系统和跨域的身份验证和授权管理更容易,这对于现代............
authorization访问接口_Authorization Code授权接口
weixin_29530803的博客
12-23 1600
Authorization Code授权接口1. 获取Authorization Code请求地址:   https://account.xiaomi.com/oauth2/authorize请求方法:   GET请求参数:名称必须类型备注client_id是long申请应用时分配的APP IDredirect_uri是string授权回调地址, 必须和申请应用是填写的一致(参数部分可不一致)re...
前端uniapp+后端springboot 详细教程《实现微信小程序授权登录》(附完整前后端项目demo)
tigerhhzz的博客
05-20 8664
功能: 通过前端发送请求,请求头中携带token参数,后端接受到token,然后进行token验证,拿到openid,通过openid去数据库中查询用户信息,并返回前端。功能: 通过前端发送请求携带的参数code以及后端配置文件中的微信小程序appid和微信小程序密钥,后端拼接url向微信后台发送请求。通过拿到的openid,去数据库查询对应用户信息,如果没有openid的用户,进行新增操作;使用uniapp构建一套代码多端使用的前端框架项目。如果存在openid的用户,进行更新操作。
feign调用接口参数可以为null吗_SpringCloud Feign参数问题及解决方法
weixin_35745051的博客
12-29 2592
这篇文章主要介绍了SpringCloud Feign参数问题及解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下今天遇到使用Feign调用微服务,传递参数时遇到几个问题1.无参数以GET方式请求服务提供者@RequestMapping("/hello")public String Hello(){return "hello,provider"...
php拼多多登录下单接口,对接拼多多授权登录及店铺信息接口_tp5
weixin_33188115的博客
04-05 3425
1 //授权控制器2
authorization权限控制_shiro入门学习--授权Authorization)|筑基初期
weixin_30356603的博客
01-31 574
写在前面经过前面的学习,我们了解了shiro中的认证流程,并且学会了如何通过自定义Realm实现应用程序的用户认证。在这篇文章当中,我们将学习shiro中的授权流程。授权概述这里的授权指的是授予某一系统的某一用户访问受保护资源的权限,分为查询、修改、插入和删除几类。没有相关权限的用户将无法访问受保护资源,具有权限的用户只能在自己权限范围内操作受保护资源。关键对象主体(Subject)即指定的某一用...
Http头部参数Authorization
知道这个有什么用?
06-04 1820
项目uu约优中,用到了头部Authorization。 当时传递的参数也是后端返回的20位字符。 项目sxaik中,http请求的头部传递Authorization,值为32位小写字符,不确定是md5还是随机的。 刚在新项目中遇到Authorization,传递了一个JWT。 什么是 JWT – JSON WEB TOKEN ...
authorization权限控制_Spring Boot 整合SpringSecurity示例实现权限注解,你了解多少?...
weixin_39775577的博客
11-26 352
引言一.说明SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种.JWT是在Web应用中安全传递信息的规范,从本质上来说是Token的演变,是...
关于http的Authorization
04-11 2726
今天解决了一个关于下载时显示401的bug,主要的原因通过抓包分析得是由于下载请求中没有Authorization。主要的原因是IE内核中接管下载请求后没有对其进行处理。而此时通过httpqueryinfo(flag设置为Authorization)查找失败。结果经过尝试发现要用internetqueryinfoflag设置为查找用户名和密码,得到后进行base64处理然后格式化为“BASIC ” 。。。。(为base64后的用户名和密码)。下载正常。这里有个问题,第一次在没有basic的情况下,下载失败
【安卓逆向】某房产app Authorization参数分析
菜鸡小白的成长记录
12-21 2201
嗯,2021年快结束了,学习忙碌一年了,年底了写点文章,总结性学习成果吧! 今天我们要分析的app是贝壳 版本号:v2.66.0,小伙伴们可以去各大应用商定自行下载,也是一个很好的逆向分析案例。 参考链接:https://core.vivcms.com/2021/10/25/637.html 1.抓包找参数 第一步,打开我们的charles直接抓包,发现这个时候没有抓到对应的包。好吧,那我们换一种vpn抓包的方式。先打开postern,然后再开启charles,这个时候就成功的抓到数据包了,如下图所示,
.Net Core中AuthorizationHandlerContext如何获取当前请求的相关信息
sky 胡萝卜星星
07-29 4694
在.Net Core中要自定义用户身份认证,需要实现IAuthorizationHandler,实现的代码也比较简单,一般我们只要实现本地认证AuthorizationHandler<T>.HandleRequirementAsync即可,认证时一般需要用到一些用于判断是否允许访问的认证信息,比如当前的用户信息,比如当前请求的资源信息,这些信息呢,我们都可以通过AuthorizationHandlerContext来获取。 AuthorizationHandlerContext.Resource
第46章 自定义静态与数据库动态授权依赖注入的定义实现
zhoujian_911的专栏
02-18 834
授权的调用方式有两种: 第一种就是上述例子中通过横切特性来实现对控制器行为方法的权限过滤。 第二种是定义一个布尔型的授权方法,而控制器行为方法通过内置调用该布尔型的授权方法实现权限过滤。 不管是第一种权限过滤方案,还第二种权限过滤方案,其实质都是对控制器行为方法进行权限限定,其区别是: 控制器行为方法可以对权限限定进行集中管理(细粒度更大),即把横切特性标记到控件器上,这种方式更加简便,以最少修改代码的方式实现权限限定;但是第二种方案就做不到。但第二种方案也有自己的优势,即控
asp.net Core 中AuthorizationHandler 实现自定义授权
weixin_30407613的博客
04-10 3042
前言 ASP.NETCore 中继承的是AuthorizationHandler ,而ASP.NET Framework中继承的是AuthorizeAttribute. 它们都是用过重写里面的方法实现过滤请求的。 现在我们实现如何在 ASP.NETCore MVC实现自定义授权。 关于AuthorizationHandler详细介绍可以看这里 https://docs.mi...
Springboot通过自定义注解绑定Filter与Handler
fritzjiang的博客
11-13 3685
Springboot通过自定义注解绑定Filter与Handler简介使用步骤(示例)定义名称注解@Authorization定义 Filter实现用户权限认证为资源开启用户认证测试源码下载 简介 利用Jersey框架开发Restful Web服务时,对于过滤器组件, Jersey提供名称绑定的方式,我们可以灵活的配置过滤器。通过在过滤器和资源上添加同样的自定义名称注解,来绑定过滤器和特定资源,方...
Thinkphp5微信小程序用户信息接口调用指南
为了调用微信的接口获取用户信息,需要构造一个HTTP请求的参数数组,包含appid、secret、code以及grant_type(固定为`authorization_code`)。接下来,可以通过发送POST请求到微信API来换取access_token和openid。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宋冠巡

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值