SpringBoot 基于AOP实现Controller层用户角色权限控制

最新推荐文章于 2023-08-14 18:30:00 发布
最新推荐文章于 2023-08-14 18:30:00 发布
阅读量3k 收藏 14
点赞数 1
分类专栏: SpringBoot 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shengshenglalalala/article/details/112971638
版权

一、需求

在Controller层基于AOP实现用户角色权限校验

某接口仅允许

  1.角色id为1-普通用户、2系统管理员

  2.用户id为1 的用户访问

1、普通的实现方案

/**
     * 登录 将用户信息写入session
     * @param username 用户名
     * @param password 密码
     * @param httpSession
     * @return
     */
    @PostMapping(value = "/user/login")
    public Result<Void> login(@RequestParam("username") String username, @RequestParam("password") String password, HttpSession httpSession){
        //登录成功
        UserData userData = new UserData();
        userData.setId(1);
        userData.setRole(2);
        httpSession.setAttribute("userData",userData);
        return Result.of(200, "success");
    }




@Autowired
    private HttpServletRequest request;

    /**
     * 从session中获取登录用户的信息
     * @return
     */
    public UserData getUserInfo() {
        return (UserData)request.getSession().getAttribute("userData");
    }

    /**
     * 普通的实现方案
     * @return
     */

@PostMapping(value = "/hello1")
    public Result<String> sayHelloV1(){
        UserData userData = this.getUserInfo();
        if(userData == null){
            return Result.of(403, "未登录");
        }
        Integer role = userData.getRole();
        if(!RoleEnums.ADMIN.getValue().equals(role)
        &&!RoleEnums.NORMAL.getValue().equals(role)){
            return Result.of(401, "无权限");
        }
        Integer uid = userData.getId();
        if(uid != 1){
            return Result.of(401, "无权限");
        }
        return Result.of(200, "success","hello world");
    }

1.1使用到的类

Result.java

package com.shengsheng.domain;

import java.io.Serializable;


/**
 * @author shengshenglalala
 * 响应体
 */

public class Result<T> implements Serializable {

	private Integer status = 0;

	private String message = "";

	private T data;
	

	public Result(Integer status, String message, T data) {
		this.status = status;
		this.message = message;
		this.data = data;
	}

	public Result(Integer status, String message) {
		this.status = status;
		this.message = message;

	}

	public Result(Integer status) {
		this.status = status;

	}

	public Result() {
	}

	public Integer getStatus() {
		return status;
	}

	public void setStatus(Integer status) {
		this.status = status;
	}

	public String getMessage() {
		return message;
	}

	public void setMessage(String message) {
		this.message = message;
	}

	public T getData() {
		return data;
	}

	public void setData(T data) {
		this.data = data;
	}

	public static <T> Result<T> of(Integer status, String message, T data) {
		return new Result<T>(status, message, data);
	}

	public static <T> Result<T> of(Integer status, String message) {
		return Result.of(status, message, null);
	}
}

UserData.java

package com.shengsheng.domain;

/**
 * description:
 *
 * @author shengshenglalala
 * @date 2021/1/21 19:41
 */
public class UserData {
    /**
     * 用户ID
     */
    private Integer id;
    /**
     * 用户角色id
     */
    private Integer role;

    public Integer getId() {
        return id;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public Integer getRole() {
        return role;
    }

    public void setRole(Integer role) {
        this.role = role;
    }
}

RoleEnums.java

package com.shengsheng;

/**
 * 用户角色枚举值
 * @author shengshenglalala
 */

public enum RoleEnums {

    /**
     * 普通用户
     */
    NORMAL(1, "普通用户"),
    /**
     * 系统管理员
     */
    ADMIN(2,"系统管理员");

    private final Integer value;
    private final String name;

    RoleEnums(Integer value, String name){
        this.value = value;
        this.name = name;
    }

    public Integer getValue(){
        return value;
    }
    public String getName(){
        return name;
    }

    /**
     * 通过属性值获取属性名
     * @param v 要查询的属性值
     * @return 属性名
     */
    public static String getName(Integer v){
        for(RoleEnums item :values()){
            if (item.getValue().equals(v))
            {
                return item.getName();
            }
        }
        return "";
    }
}

普通的实现方案中需要写大量的冗余代码、针对每个接口都需要进行重复的角色权限校验。

2.基于注解AOP的实现方案

/**
     * 仅角色id为2用户id为1的用户可以登录
     */
    @RolePermissionVerificationAnno(roleIdList = {1,2},userIdList = {1})
    @PostMapping(value = "/hello")
    public Result<String> sayHello(){
        return Result.of(200, "success","hello world");
    }

2.1使用的注解

RolePermissionVerificationAnno.java
package com.shengsheng.aop;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 在Controller中的方法上使用该注解时,校验该用户是否是系统指定的角色id或者用户id,如果不是则直接响应无权操作
 *      请至少配置roleIdList或者userIdList
 *
 * @author shengshenglalala
 */
// 方法注解
@Target(ElementType.METHOD)
// 运行时可见
@Retention(RetentionPolicy.RUNTIME)
public @interface RolePermissionVerificationAnno {
    /**
     * 有权限访问的角色id 配置了之后只有当前指定的角色id才可以访问该接口
     */
    long[] roleIdList() default {};

    /**
     * 有权限访问的用户id 配置了之后只有当前指定的用户id才可以访问该接口
     */
    long[] userIdList() default {};
}
RolePermissionVerificationAspect.java
package com.shengsheng.aop;

import com.shengsheng.domain.Result;
import com.shengsheng.domain.UserData;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.Signature;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;
import java.lang.reflect.Method;

/**
 * 用户角色权限控制的AOP实现
 *
 * @author shengshenglalala
 */
@Component
@Aspect
public class RolePermissionVerificationAspect {

    @Pointcut("@annotation(com.shengsheng.aop.RolePermissionVerificationAnno)")
    public void rolePermissionCheckPointCut() {
    }

    /**
     * 环绕通知记录校验角色权限
     *
     * @param pjp
     * @return
     * @throws Throwable
     */
    @Around("rolePermissionCheckPointCut()")
    public Object aroundAdvice(ProceedingJoinPoint pjp) throws Throwable {
        Signature signature = pjp.getSignature();
        MethodSignature methodSignature = (MethodSignature) signature;
        // 获取正在访问的方法
        Method executionMethod = methodSignature.getMethod();
        RequestAttributes ra = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes sra = (ServletRequestAttributes) ra;
        Object result;
        String message = "您无权进行此操作";
        if (executionMethod.getReturnType().getTypeName().contains(Result.class.getSimpleName())) {
            result = Result.of(404, message);
        } else {
            result = message;
        }
        if(sra == null){
            return result;
        }
        HttpServletRequest request = sra.getRequest();
        Integer userId = null;
        Integer roleId = null;
        UserData userData = (UserData) request.getSession().getAttribute("userData");
        if (userData != null) {
            userId = userData.getId();
            roleId = userData.getRole();
        }
        RolePermissionVerificationAnno annotation = executionMethod.getAnnotation(RolePermissionVerificationAnno.class);
        //获取注解中的types字段
        long[] roleIdList = annotation.roleIdList();
        long[] userIdList = annotation.userIdList();
        //该用户是否有访问权限
        boolean flag = false;
        //是否需要进行校验 当用户列表和角色列表同时为空时不进行校验
        boolean checkFlag = false;
        if (roleIdList.length > 0) {
            //需要进行用户角色权限校验
            checkFlag = true;
            if (roleId != null) {
                for (long role : roleIdList) {
                    if (role == roleId) {
                        flag = true;
                        break;
                    }
                }
            }
        }
        if (userIdList.length > 0) {
            checkFlag = true;
            if (userId != null) {
                for (long uid : userIdList) {
                    if (uid == userId) {
                        flag = true;
                        break;
                    }
                }
            }
        }
        if (checkFlag) {
            //需要进行校验
            if (flag) {
                //校验通过
                result = pjp.proceed();
            }
        }else {
            //不需要进行校验
            result = pjp.proceed();
        }
        return result;
    }
}

 

shengshenglalala
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
controller中获取用户信息的方式
u010659877的专栏
01-02 4407
目录1. 利用session获取(不优雅)2. 定义AOP3. 拦截器+方法参数解析器 大多数controller中都需要获得用户信息,根据用户做一些操作 1. 利用session获取(不优雅) 每个controller之前首先通过tokenUtils.getUserByToken(token)获取User。 2. 定义AOP 使用AOP的方法,在进入controller之前,将user赋值到参数中 @Aspect @Component public class UserIdAdvice {
SpringBoot -- 使用AOP拦截Controller,输出入参和响应
热门推荐
TheBigBlue的博客
06-17 1万+
  最近闲来无事,想着给项目加点什么东西能让系统使用和问题解决更方便,感觉拦截controller和service,输出入参并统计下该controller的响应时间挺有意思的,也能更好的发现问题解决问题。下面就上代码吧。   做java的肯定都知道aop,那就不怎么介绍它了,直接上步骤吧。 引入aop依赖 <dependency> <groupId>org....
springboot通过自定义注解实现AOP角色权限校验
崔向阳@李晓的博客
04-02 2322
通过SpringBoot自定义注解实现AOP角色权限校验之前,首先先要了解一下注解的基本知识: Annotation是Java重要的组成部分,从J2SE 5.0时代就已经存在了。在我们的代码中,我们随处可以看到许多注解,例如@Autowired、@Override、@Service。这些注解我们可能非常熟悉,但是注解的作用、工作原理、工作方式以及我们如何自定义注解,我们可能并不熟悉。下面将逐步介...
Spring boot篇 1】AOP
Elevenoo的博客
04-27 299
AOP Aspect-Oriented Programming, 面向切面编程,基于横向抽取机制将公共的非业务逻辑代码抽取出来封装为切面类 AOP的好处 业务逻辑和非业务逻辑分离,便于维护和升级 业务模块更简洁 切入点(Pointcut) AOP通过切入点作用于连接点 连接点(Joinpoint) AOP作用的位置,包括方法执行前、执行后、捕获异常后、正常返...
SpringBoot 整合 AOP
Jitwxs
12-06 915
一、前言 AOP(Aspect Oriented Programming, 面向切面编程),是 Spring 的核心思想之一,即纵向重复,横向抽取,它在 Spring 中应用广泛,例如 拦截器、日志、事务等等,在 SpringBoot 中使用 AOP 之前,我们先复习下 AOP 的理论知识。 二、AOP理论 2.1 术语解释 为了方便解释,给出一个例子: public interface User...
使用SpringAop切面编程通过Spel表达式实现Controller权限控制
Blueeyedboy521的博客
08-14 882
我们仅需要定义一个value属性用于接收表达式即可。@Target({/*** permissionAll()-----只要配置了角色就可以访问* hasPermission("MENU.QUERY")-----有MENU.QUERY操作权限角色可以访问* hasAnyPermission("MENU.QUERY","MENU.ADD")-----有MENU.QUERY操作权限角色可以访问* permitAll()-----放行所有请求。
Spring-boot 配置Aop获取controller里的request中的参数以及其返回值
林老师带你学编程
04-26 3141
首先在你的Maven的pom文件里加入aop的依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </dependency>...
基于springboot的网站权限管理系统源码.zip
08-29
1. 认证与授权:Spring Security结合JWT实现无状态的用户认证,通过角色权限控制访问资源。 2. CRUD操作:MyBatis与自定义Mapper配合,实现用户角色权限等数据的增删改查。 3. 动态权限路由:根据用户角色...
将之前基于SSM实现的教务管理系统改成SpringBoot+Mybatis实现.zip
08-05
本项目旨在将原有的基于SSM的教务管理系统迁移到SpringBoot框架,并结合Mybatis作为持久框架,以实现更简洁、高效的系统架构。 【SSM框架详解】 SSM框架由Spring、Struts2和Mybatis三个组件构成。Spring作为整体...
-Springboot基于SpringBoot的CSGO赛事管理系统.zip
07-03
这些功能的实现依赖于SpringBoot的依赖注入、AOP(面向切面编程)以及服务的设计。例如,通过Service封装业务逻辑,Controller调用Service来处理请求,降低了代码的耦合度。 此外,系统可能还利用缓存技术如...
基于SpringBoot的管理后台系统项目源码.zip
10-17
6. **权限分配**:权限分配是系统的核心部分,涉及到角色与功能点、角色用户的关联,通过控制角色权限,间接控制用户权限。 7. **数据权限分配**:除了操作权限,数据权限也很重要,特别是在多租户或多部门...
毕业设计基于springboot实现的企业人事管理系统源码+数据库
最新发布
10-26
通过角色-权限的管理方式,可以灵活控制不同用户对系统的访问权限。 前端界面通常采用Thymeleaf或Freemarker等模板引擎,结合HTML、CSS和JavaScript,构建出交互友好、用户体验良好的Web页面。Ajax技术的运用,可以...
springboot AOP拦截用户操作,并将操作信息存入数据库
javahaoge的博客
07-14 657
Spring Boot AOP可以用来拦截Controller中的方法,实现对请求的统一处理。通过定义切面和切点,可以在请求前、后、异常等不同的阶段进行处理,比如记录日志、权限校验、参数校验等。在Spring Boot中,可以使用@Aspect注解定义切面,使用@Pointcut注解定义切点,使用@Before、@After、@Around等注解定义不同类型的通知。同时,还可以使用@Order注解指定切面的执行顺序。
Java利用session获取用户
grace♥的博客
01-22 2830
一、利用获取用户名查询数据库中的个人信息 1,在登录的controller中 2,在要获取的controller中 二、获取用户名在新页面显示 在想显示用户名页面 结果展示: ...
Springboot使用注解实现权限校验
qq_59622162的博客
07-13 1278
记录一下使用springboot的注解来给方法加权限 避免了每个方法都需要大量的权限判断
Springboot 中使用 Aop
weixin_42774617的博客
07-13 3020
Joinpoint(连接点):所谓连接点是指那些被拦截到的点,在 spring 中,这些点指的是方法,因为 spring 只支持方法类型的连接点,通俗的说就是被增强类中的所有方法。PointCut(切入点):所谓切入点是指我们要对哪些 Joinpoint 进行拦截的定义,通俗的说就是被增强类中的被增强的方法,因为被增强类中并不是所有的方法都被增强了。Advice(通知/增强):所谓通知是指拦截到 Joinpoint (被增强的方法)之后所要做的事情就是通知,通俗的说就是对被增强的方法进行增强的代码。
SpringBoot(11)AOP切入方法在不改变Controller任何代码的情况下获取额外参数
wgx_0504的博客
04-24 461
有一个Controller的方法addw(int name){},返回值为void,映射路径是/addw,前端传入的参数有name、id、age,现在希望在不改变Controller的方法的前提下,使用AOP切入一个新的方法addall(),此时,addall方法可以获取的参数为name,有没有什么办法,在不改变Controller任何代码的情况下获取到id、age。
SpringBoot工程中 AOP入门实践
zhanglide0526的博客
08-25 269
1.AOP简介 AOP(Aspect Orient Programming)是一种设计思想,是软件设计领域中的面向切面编程,它是面向对象编程(OOP)的一种补充和完善。实际项目中我们通常将面向对象理解为一个静态过程(例如一个系统有多少个模块,一个模块有哪些对象,对象有哪些属性),面向切面理解为一个动态过程(在对象运行时动态织入一些扩展功能或控制对象执行)。如图: AOP 与 OOP 字面意思相近,但其实两者完全是面向不同领域的设计思想。实际项目中我们通常将面向对象理解为一个静态过程(例如一个系统有多少.
springboot实现aop
08-13
要在SpringBoot实现AOP,需要进行以下步骤: 1. 导入AOP相关的包,可以在pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </dependency> ``` [1] 2. 编写一个Controller类,例如UserController。 3. 使用@Aspect注解实现一个切面类,对UserController中的所有方法进行切入。切面类需要使用@Component注解将其声明为一个Bean实例,这样Spring IOC容器才会为与切面匹配的Bean创建代理。 ```java @Component @Aspect public class MyAspect { // 切入点定义和通知方法实现 // ... } ``` [2 [3] 通过以上步骤,就可以在SpringBoot项目中实现AOP。切面类中的切入点定义和通知方法实现可以根据具体需求进行编写,用于在方法执行前、后或异常时执行特定的行为。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [SpringBoot环境下实现AOP](https://blog.csdn.net/m0_37754981/article/details/89024041)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [Spring boot实现aop](https://blog.csdn.net/qq_43599835/article/details/90721857)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值