实战14 权限处理

最新推荐文章于 2024-01-27 07:00:00 发布
最新推荐文章于 2024-01-27 07:00:00 发布
阅读量466 收藏 8
点赞数 8
分类专栏: 权限后台系统II 文章标签: javascript 前端 java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shieryue_2016/article/details/135249691
版权

目录

1、权限处理后端接口

1.1 SpringSecurityConfig

1.2 在控制器中加入权限控制

 2、前端页面按钮权限判断

2.1 保存权限字段

2.2 编写按钮权限判断 

2.3 引入按钮权限判断脚本

2.4 按钮权限判断脚本使用

3、token过期处理

3.1 编写Store代码

3.2 编写刷新token新代码

3.3 编写token过期方法

3.4 编写请求拦截

1、权限处理后端接口

1.1 SpringSecurityConfig

@Configuration
@EnableWebSecurity
//开启权限注解控制
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

1.2 在控制器中加入权限控制

package com.cizhu.controller;


import com.baomidou.mybatisplus.core.metadata.IPage;
import com.baomidou.mybatisplus.extension.plugins.pagination.Page;
import com.cizhu.dto.UserRoleDTO;
import com.cizhu.entity.Role;
import com.cizhu.entity.User;
import com.cizhu.service.IRoleService;
import com.cizhu.service.IUserService;
import com.cizhu.utils.Result;
import com.cizhu.vo.query.RoleQueryVo;
import com.cizhu.vo.query.UserQueryVo;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.web.bind.annotation.*;

import javax.annotation.Resource;
import java.util.List;

/**
 * <p>
 *  前端控制器
 * </p>
 *
 * @author cizhu
 * @since 2023-12-14
 */
@RestController
@RequestMapping("/api/user")
public class UserController {

    @Resource
    private IUserService userService;

    @Resource
    private IRoleService roleService ;

    @Resource
    private PasswordEncoder passwordEncoder;

    @GetMapping("/listAll")
    public Result findAll(){
        List<User> userList = userService.list();
        return Result.ok(userList);
    }

    /**
     * 查询用户列表
     * @param userQueryVo
     * @return
     */
    @GetMapping("/list")
    public Result list(UserQueryVo userQueryVo) {
        //创建分页信息
        IPage<User> page = new Page<User>(userQueryVo.getPageNo(), userQueryVo.getPageSize());
        //调用分页查询方法
        userService.findUserListByPage(page, userQueryVo);
        //返回数据
        return Result.ok(page);
    }

    /**
     * 添加用户
     *
     * @param user
     * @return
     */
    @PostMapping("/add")
    @PreAuthorize("hasAuthority('sys:user:add')")
    public Result add(@RequestBody User user) {
        //查询用户
        User item = userService.findUserByUserName(user.getUsername());
        //判断对象是否为空
        if (item != null) {
            return Result.error().message("该登录名称已被使用,请重新输入!");
        }
        //密码加密
        user.setPassword(passwordEncoder.encode(user.getPassword()));
        //调用保存用户信息的方法
        if(userService.save(user)){
            return Result.ok().message("用户添加成功");
        }
        return Result.error().message("用户添加失败");
    }

    /**
     * 修改用户
     *
     * @param user
     * @return
     */
    @PutMapping("/update")
    @PreAuthorize("hasAuthority('sys:user:edit')")
    public Result update(@RequestBody User user) {
        //查询用户
        User item = userService.findUserByUserName(user.getUsername());
        //判断对象是否为空,且查询到的用户ID不等于当前编辑的用户ID,表示该名称被占用
        if (item != null && item.getId() != user.getId()) {
            return Result.error().message("登录名称已被占用!");
        }
        //调用修改用户信息的方法
        if(userService.updateById(user)){
            return Result.ok().message("用户修改成功");
        }
        return Result.error().message("用户修改失败");
    }

    /**
     * 删除用户
     * @param id
     * @return
     */
    @DeleteMapping("/delete/{id}")
    @PreAuthorize("hasAuthority('sys:user:delete')")
    public Result delete(@PathVariable Long id) {
        //调用删除用户信息的方法
        if(userService.deleteById(id)){
            return Result.ok().message("用户删除成功");
        }
        return Result.error().message("用户删除失败");
    }

    /**
     * 获取分配角色列表
     * @param roleQueryVo
     * @return
     */
    @GetMapping("/getRoleListForAssign")
    @PreAuthorize("hasAuthority('sys:user:assign')")
    public Result getRoleListForAssign(RoleQueryVo roleQueryVo){
        //创建分页对象
        IPage<Role> page = new Page<Role>(roleQueryVo.getPageNo(), roleQueryVo.getPageSize());
        //调用查询方法
        roleService.findRoleListByUserId(page,roleQueryVo);
        //返回数据
        return Result.ok(page);
    }
    /**
     * 根据用户ID查询该用户拥有的角色列表
     * @param userId
     * @return
     */
    @GetMapping("/getRoleByUserId/{userId}")
    @PreAuthorize("hasAuthority('sys:user:assign')")
    public Result getRoleByUserId(@PathVariable Long userId){
        //调用根据用户ID查询该用户拥有的角色ID的方法
        List<Long> roleIds = roleService.findRoleIdByUserId(userId);
        return Result.ok(roleIds);
    }

    /**
     * 分配角色
     * @param userRoleDTO
     * @return
     */
    @PostMapping("/saveUserRole")
    @PreAuthorize("hasAuthority('sys:user:assign')")
    public Result saveUserRole(@RequestBody UserRoleDTO userRoleDTO){
        if (userService.saveUserRole(userRoleDTO.getUserId(),
                userRoleDTO.getRoleIds())) {
            return Result.ok().message("角色分配成功");
        }
        return Result.error().message("角色分配失败");
    }

}

 2、前端页面按钮权限判断

2.1 保存权限字段

2.2 编写按钮权限判断 

2.3 引入按钮权限判断脚本

2.4 按钮权限判断脚本使用

3、token过期处理

3.1 编写Store代码

utils/auth.js

//定义token过期时间的key
const timeKey = "expireTime"
/**
* 设置token过期时间
* @returns
*/
export function setTokenTime(time){
  return sessionStorage.setItem(timeKey,time);
}

/**
* 获取token过期时间
* @returns
*/
export function getTokenTime(){
  return sessionStorage.getItem(timeKey);
}

/**
* 清空token过期时间
* @returns
*/
export function removeTokenTime(){
  return sessionStorage.setItem(timeKey,0);
}

import { getToken, setToken, removeToken, setTokenTime } from '@/utils/auth'

store/user.js

import { login, logout, getInfo } from '@/api/user'
import { getToken, setToken, removeToken, setTokenTime } from '@/utils/auth'
import router, { resetRouter } from '@/router'

const state = {
  token: getToken(),  // 获取token信息
  name: '',
  avatar: '',
  introduction: '',
  roles: []
}

const mutations = {
  SET_TOKEN: (state, token) => {
    state.token = token
  },
  SET_INTRODUCTION: (state, introduction) => {
    state.introduction = introduction
  },
  SET_NAME: (state, name) => {
    state.name = name
  },
  SET_AVATAR: (state, avatar) => {
    state.avatar = avatar
  },
  SET_ROLES: (state, roles) => {
    state.roles = roles
  },
  SET_USERUID: (state, userId) => {
    state.userId = userId
  },
}

const actions = {
  // user login
  login({ commit }, userInfo) {
    const { username, password } = userInfo
    return new Promise((resolve, reject) => {
      login({ username: username.trim(), password: password }).then(response => {
        const { token, expireTime } = response
        commit('SET_TOKEN', token)
        setToken(token)
        // 设置token过期时间
        setTokenTime(expireTime)
        resolve()
      }).catch(error => {
        reject(error)
      })
    })
  },

  // get user info
  getInfo({ commit, state }) {
    return new Promise((resolve, reject) => {
      getInfo(state.token).then(response => {
        const { data } = response

        if (!data) {
          reject('Verification failed, please Login again.')
        }

        // 从后端反馈的data数据中解构出用户相关信息
        const { roles, name, avatar, introduction, id } = data

        // roles must be a non-empty array
        if (!roles || roles.length <= 0) {
          reject('getInfo: roles must be a non-null array!')
        }

        commit('SET_ROLES', roles)
        commit('SET_NAME', name)
        commit('SET_AVATAR', avatar)
        commit('SET_INTRODUCTION', introduction)
        commit('SET_USERUID', id)
        //将权限字段保存到sessionStorage中
        sessionStorage.setItem("codeList",JSON.stringify(roles));
        resolve(data)
      }).catch(error => {
        reject(error)
      })
    })
  },

  // user logout
  logout({ commit, state, dispatch }) {
    return new Promise((resolve, reject) => {
      logout(state.token).then(() => {
        commit('SET_TOKEN', '')
        commit('SET_ROLES', [])
        removeToken()
        resetRouter()

        // reset visited views and cached views
        // to fixed https://github.com/PanJiaChen/vue-element-admin/issues/2485
        dispatch('tagsView/delAllViews', null, { root: true })

        resolve()
      }).catch(error => {
        reject(error)
      })
    })
  },

  // remove token
  resetToken({ commit }) {
    return new Promise(resolve => {
      commit('SET_TOKEN', '')
      commit('SET_ROLES', [])
      removeToken()
      resolve()
    })
  },

  // dynamically modify permissions
  async changeRoles({ commit, dispatch }, role) {
    const token = role + '-token'

    commit('SET_TOKEN', token)
    setToken(token)

    const { roles } = await dispatch('getInfo')

    resetRouter()

    // generate accessible routes map based on roles
    const accessRoutes = await dispatch('permission/generateRoutes', roles, { root: true })
    // dynamically add accessible routes
    router.addRoutes(accessRoutes)

    // reset visited views and cached views
    dispatch('tagsView/delAllViews', null, { root: true })
  }
}

export default {
  namespaced: true,
  state,
  mutations,
  actions
}

3.2 编写刷新token新代码

3.3 编写token过期方法

import Cookies from 'js-cookie'

const TokenKey = 'Admin-Token'
//定义token过期时间的key
const timeKey = "expireTime"

export function getToken() {
  return Cookies.get(TokenKey)
}

export function setToken(token) {
  return Cookies.set(TokenKey, token)
}

export function removeToken() {
  return Cookies.remove(TokenKey)
}

/**
* 清空sessionStorage
*/
export function clearStorage(){
  return sessionStorage.clear();
}

/**
* 设置token过期时间
* @returns
*/
export function setTokenTime(time){
  return sessionStorage.setItem(timeKey,time);
}

/**
* 获取token过期时间
* @returns
*/
export function getTokenTime(){
  return sessionStorage.getItem(timeKey);
}

/**
* 清空token过期时间
* @returns
*/
export function removeTokenTime(){
  return sessionStorage.setItem(timeKey,0);
}

3.4 编写请求拦截

import axios from 'axios'
import { MessageBox, Message } from 'element-ui'
import store from '@/store'
// 导入auth.js脚步
import { getToken, setToken, clearStorage, setTokenTime, getTokenTime, removeTokenTime } from '@/utils/auth'
// 导入qs依赖(该依赖用于将参数进行序列化,如:/user?username=xxx&password=&&&)
import qs from 'qs'
//导入刷新token的api脚本
import { refreshToken } from '@/api/user'

// 创建axios异步请求实例
const service = axios.create({
  baseURL: process.env.VUE_APP_BASE_API, // url = base url + request url
  // withCredentials: true, // send cookies when cross-domain requests
  timeout: 50000 // request timeout
})

/**
* 刷新token
*/
function refreshTokenInfo(){
  //设置请求参数
  let param = {
    token:getToken()
  }
  return refreshToken(param).then(res=>res);
}

//定义变量,标识是否刷新token
let isRefresh = false
// 请求拦截器
service.interceptors.request.use(
  config => {
    // 获取系统当前时间
    let currentTime = new Date().getTime()
    // 获取token过期时间
    let expireTime = getTokenTime()
    if (expireTime > 0){
      // 计算过期时间
      let min = (expireTime - currentTime)/1000/60
      // 如果token离过期时间在10分钟之内,则刷新token
      if (min < 10){
        if (!isRefresh){
          // 修改刷新状态
          isRefresh = true
          return refreshTokenInfo().then(res => {
            if (res.success){
              // 设置新的token和新的过期时间
              setToken(res.data.token)
              setTokenTime(res.data.expireTime)
              // 将新的token添加到页header中
              config.headers.token = getToken()
            }
            // 返回配置
            return config
          }).catch(error => {

          }).finally(() => {
            // 修改刷新token状态
            isRefresh = false
          })
        }
      }
    }
    // 判断store中是否存在token
    if (store.getters.token) {
      // 读取token信息,并添加到header信息中
      config.headers['token'] = getToken()
    }
    return config
  },
  error => {
    // do something with request error
    console.log(error) // for debug
    // 清空sessionStorage
    clearStorage()
    // 清空token过期时间
    removeTokenTime()
    return Promise.reject(error)
  }
)

// 响应拦截器
service.interceptors.response.use(

  response => {
    const res = response.data

    // 返回状态码不是200,提示错误
    if (res.code !== 200) {
      Message({
        message: res.message || 'Error',
        type: 'error',
        duration: 5 * 1000
      })

      // 50008: Illegal token; 50012: Other clients logged in; 50014: Token expired;
      if (res.code === 50008 || res.code === 50012 || res.code === 50014) {
        // to re-login
        MessageBox.confirm('用户登录信息过期,请重新登录!', '系统提示', {
          confirmButtonText: '登录',
          cancelButtonText: '取消',
          type: 'warning'
        }).then(() => {
          store.dispatch('user/resetToken').then(() => {
            // 清空sessionStorage
            clearStorage()
            // 清空token过期时间
            removeTokenTime()
            location.reload()
          })
        })
      }
      return Promise.reject(new Error(res.message || 'Error'))
    } else {
      return res
    }
  },
  error => {
    console.log('err' + error) // for debug
    // 清空sessionStorage
    clearStorage()
    // 清空token过期时间
    removeTokenTime()
    Message({
      message: error.message,
      type: 'error',
      duration: 5 * 1000
    })
    return Promise.reject(error)
  }
)

//请求方法
const http = {
  // post请求提交
	post(url, params) {
		return service.post(url, params, {
			transformRequest: [(params) => {
				return JSON.stringify(params)
			}],
			headers: {
				'Content-Type': 'application/json'
			}
		})
	},
  // put请求
	put(url, params) {
		return service.put(url, params, {
			transformRequest: [(params) => {
				return JSON.stringify(params)
			}],
			headers: {
				'Content-Type': 'application/json'
			}
		})
	},
  // get请求
  get(url, params) {
		return service.get(url, {
			params: params,
			paramsSerializer: (params) => {
				return qs.stringify(params)
			}
		})
	},
  // rest风格的Get请求
  getRestApi(url, params) {
    let _params
    if (Object.is(params, undefined || null)) {
      _params = ''
    } else {
      _params = '/'
      for (const key in params) {
        //console.log(key)
        //console.log(params[key])
        if (params.hasOwnProperty(key) && params[key] !== null && params[key] !== '') {
          _params += `${params[key]}/`
        }
      }
      _params = _params.substr(0, _params.length - 1)
    }
    //console.log(_params)
    if (_params) {
      return service.get(`${url}${_params}`)
    } else {
      return service.get(url)
    }
  },
  // delete请求
  delete(url, params) {
    let _params
    if (Object.is(params, undefined || null)) {
      _params = ''
    } else {
      _params = '/'
      for (const key in params) {
        // eslint-disable-next-line no-prototype-builtins
        if (params.hasOwnProperty(key) && params[key] !== null && params[key] !== '') {
          _params += `${params[key]}/`
        }
      }
      _params = _params.substr(0, _params.length - 1)
    }
    if (_params) {
      return service.delete(`${url}${_params}`).catch(err => {
        message.error(err.msg)
        return Promise.reject(err)
      })
    } else {
      return service.delete(url).catch(err => {
        message.error(err.msg)
        return Promise.reject(err)
      })
    }
  },
  upload(url, params) {
		return service.post(url, params, {
			headers: {'Content-Type': 'multipart/form-data'}
		})
	},
  login(url, params) {
    return service.post(url, params, {
      transformRequest: [(params) => {
          return qs.stringify(params)
      }],
      headers: { 'Content-Type': 'application/x-www-form-urlencoded'}
    })
  }
}

export default http

努力赚钱的阳仔
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security-@PreAuthorize 权限注解分析
西京刀客
09-18 2万+
@PreAuthorize @PreAuthorize
Apache Shiro权限框架实战+项目案例视频课程
06-09
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权(Authorization)以及...在学习过程中,逐步深入理解Shiro的精髓,将有助于你在开发过程中更加游刃有余地处理安全问题。
其它权限校验方法
Leon_Jinhai_Sun的博客
06-08 927
权限
Spring-Security@PreAuthorize("hasAuthority('')")源码分析
cloud的博客
07-02 4万+
Spring-Security@PreAuthorize(“hasAuthority(’’)”)源码分析 @PreAuthorize(“hasAuthority(‘xxx’)”)用来鉴别当前登录用户所拥有的角色是否有xxx权限访问该接口。 点进去看看security是如何来鉴权的。 这里authority即为我们传入的权限,比如prod:create,接下来再看this.hasAnyAutho...
spring security学习笔记(二)--授权
bjjx123456的博客
10-01 595
例:只有这个user在其对应的role对应的menu表中的perms字段(权限字段)中有sys:student:operation才可以访问。我们知道springboot中有全局异常处理器,当发生异常后会如果没在controller层,service层或者dao层进行处理会向上抛出给全局异常处理器,从而统一返回结果。SpringSecurity也有异常处理机制,我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理
基于SpringSecurity的@PreAuthorize实现自定义权限校验方法
小王博客基地
08-15 5715
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!...
详细分析SpringSecurity中的@PreAuthorize注解
最新发布
码农研究僧的博客
01-27 8828
Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
limiton权限系统开发实战
03-11
"Limiton权限系统开发实战"是一本专注于讲解如何设计、实现和优化权限系统的教程。权限系统在IT行业中扮演着至关重要的角色,它确保了不同用户只能访问他们被授权的资源和功能,保护了数据安全,促进了合规运营。...
Kubernetes 实战手册
07-29
它允许开发者和运维人员在一个集群上运行、管理和扩展容器化的应用程序,提供了一种高效、灵活且可移植的方式来处理分布式系统的复杂性。 首先,手册会介绍 Kubernetes 的核心组件,包括 Pods(Kubernetes 的最小可...
C#实战项目.pdf
04-13
- 根据权限或其他条件过滤菜单项。 - 在菜单加载时动态添加和排序这些菜单项。 **实例003 像开始菜单一样漂亮的菜单** - **实例说明**:模仿Windows开始菜单的设计,创建一个美观且功能丰富的菜单界面。 - **技术...
linux C实战
11-20
- **权限管理**:理解Linux的用户和组概念,以及文件的读、写、执行权限。 - **进程管理**:学习如何启动、停止、监控和控制进程,使用`ps`, `kill`, `nohup`等命令。 2. **C语言基础**: - **语法结构**:讲解...
@PreAuthorize 权限控制的原理
05-19 3607
@PreAuthorize 注解,顾名思义是进入方法前的权限验证,@PreAuthorize 声明这个方法所需要的权限表达式,例如:@PreAuthorize("hasAuthority('sys:dept:delete')"), 根据这个注解所需要的权限,再和当前登录的用户角色所拥有的权限对比,如果用户的角色权限集Set中有这个权限,则放行;没有,拒绝 跟进hasAuthority方法: 但是,问题来了,这个用户的角色权限Set,是什么时候存入的,其流程如下: 相关代码: ...
@PreAuthorize注解
先知三日
01-12 3545
例如,v-hasPermi="['monitor:job:add']"会检查用户是否具有monitor:job:add这个权限,如果有,那么相关的UI元素就会显示。用户此时已经登陆系统,假设用户操作的是角色管理模块的查询按钮,当点击该按钮时,会通过网络映射到后端的接口方法。通过这种方式,RuoYi框架可以实现精细的基于权限的访问控制,确保只有具有相应权限的用户才能访问特定的资源。如果当前用户的权限集合中,包含当前被@PreAuthorize标注的方法的权限,则返回true。等集合信息返回给前端
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
ipifei的博客
09-06 7267
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
Springboot +spring security,方法权限注解
weixin_40991408的博客
05-27 2397
Springboot +spring security,方法权限注解
权限实现Security--@PreAuthorize
Mrs_DongDong的博客
07-20 1062
@PreAuthorize,security,权限,菜单
[SpringSecurity]web权限方案_用户授权_基于权限访问控制_基于角色访问控制_hasAuthority和hasAnyAuthority_hasRole和hasAnyRole
m0_51955470的博客
02-28 2388
基于角色或权限进行访问控制 hasAuthority 方法 如果当前的主体具有指定的权限,则返回 true,否则返回 false 在配置类设置当前访问地址有哪些 @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() //自定义自己编写的登陆页面 .loginPage("/login.html") //登陆页面设
SpringSecurity(十一)--配置权限以及相关限制(下)
学习不止境的博客
10-24 1670
本章我们将承接上篇文章的项目为基础学习,所以没有搭建好项目的小伙伴请先去查看上一篇文章把项目理解并且搭建好,当然大家也可以用自己的方式进行搭建学习,不用啥都按部就班,尤其是编程这块儿,具有极大的灵活性,没准你的方法才是最适合的。但是对于后面的代码,我将以上篇搭建好的代码为架构基础进行展示。
Spring Security 中的四种权限控制方式
热门推荐
江南一点雨的专栏
06-17 5万+
Spring Security 中对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,Spring Security 的扩展性就非常棒,我们既可以使用 Spring Security 提供的方式做授权,也可以自定义授权逻辑。一句话,你想怎么玩都可以! 今天松哥来和大家介绍一下 Spring Security 中四种常见的权限控制方式。 表达式控制 URL 路径权限 表达式控制方法权限 使用过滤注解 动态权限 四种方式,我们分别来看。 本文是 Spring Security
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值