authorize(基于注解的权限认证框架)

最新推荐文章于 2024-08-01 12:05:09 发布
最新推荐文章于 2024-08-01 12:05:09 发布
阅读量1.1w 收藏 4
点赞数 1
分类专栏: 我的开源 文章标签: authorize 权限 注解权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunbufu/article/details/80379844
版权

一、是什么

很多项目都会用到权限管理,目前流行的权限框架(Apache Shiro,Spring Security等)在使用的时候都觉得很繁琐,特别是在一些小型的项目中。有时候我会想,如果通过注解的方式,直接把权限注解到访问的接口方法上那该有多好。
authorize就是一个为了解决这个问题,通过注解配置权限,借助拦截器进行权限检查的一个开源权限框架。使用起来就像下面这种感觉。

@Access("manage")
@RequestMapping("index")
public String index() {
    return "this is index page";
}

@Access是这个框架的注解。通过注解配置权限的方式,解决权限认证的问题,不管是写代码还是读代码,都感觉更清晰了许多。

二、如何用

2.1 快速使用

可以参照示例authorize-demo

2.1.1 引入maven依赖

<dependency>
    <groupId>com.github.sunbufu</groupId>
    <artifactId>authorize-starter</artifactId>
    <version>1.0.0-RELEASE</version>
</dependency>

2.1.2 实现IAuthorizeService

IAuthorizeService的实现类中,至少应该实现3个方法:

  1. 登录方法:登录成功后,把用户信息存放到session
  2. 鉴权方法(authorize):通过比对用户和请求方法的权限,返回该用户是否可以访问
  3. 鉴权失败方法(authorizeFail):用户没有权限时,需要进行的处理方法

登录:

public User logIn(String userName, String passWord, HttpSession session) {
    User user = users.get(userName);
    if (!user.getPassWord().equals(passWord)) {
        return null;
    }
    session.setAttribute(USER_SESSION_KEY, user);
    return user;
}

鉴权:

@Override
public boolean authorize(String[] access, HttpSession session) {
    User user = (User) session.getAttribute(USER_SESSION_KEY);
    if (user != null && user.getAccess() != null && user.getAccess().isEmpty()) {
        for (String requestAccess : access) {
            if (user.getAccess().contains(requestAccess)) {
                return true;
            }
        }
    }
    return false;
}

鉴权失败:

@Override
public void authorizeFail(HttpServletRequest request, HttpServletResponse response) {
    response.sendRedirect("authorizeError?message=your account have not enought authority");
}

2.1.3 通过注解配置到controller

@Access("manage")
@RequestMapping("index")
public String index() {
    return "this is index page";
}

2.1.4 完成

authorize的目的是借助注解,快速的完成一些简单的权限管理功能,所以从使用到配置上力争尽量的简单、快捷。
完整示例地址authorize-demo

2.2 框架介绍

authorize框架主要包括authorize-coreauthorize-starter

2.2.1 authorize-core

authorize-core是整个框架的核心和主要的逻辑部分,主要包括注解Access、拦截器AccessInterceptor、权限认证接口IAuthorizeService

  1. IAuthorizeService主要包括3个方法的声明,其中有2个方法必须实现:authorize(鉴权)和authorizeFail(鉴权失败),1个方法选择实现:authorizeSuccess(鉴权成功)。
  2. AccessInterceptor会拦截所有的请求,并对注解@Access的进行鉴权。首先会把注解在controller上的权限和注解在具体方法上的权限合并,然后调用IAuthorizeService实现类的鉴权方法authorize。成功调用authorizeSuccess(鉴权成功),失败则调用authorizeFail(鉴权失败)。

2.2.2 authorize-starter

authorize-starter是为spring boot提供的一个快速配置。主要是配置了authorize-core的拦截器AccessInterceptor

三、总结

authorize是为了快速便捷进行权限管理的开源框架,在github上开源地址是https://github.com/sunbufu/sunbufu-authorize。欢迎大家关注、加星,也欢迎大家随时联系我sunyoubufu@qq.com,谢谢。

sunbufu
关注
专栏目录
Java Spring Security 安全框架:(十三)基于注解的访问控制
地球村
10-12 469
基于注解的访问控制1.@Secured1.1 实现步骤1.1.1 开启注解1.1.2 在控制器方法上添加@Secured 注解1.1.3 配置类2.@PreAuthorize/@PostAuthorize2.1 实现步骤2.1.1 开启注解2.1.2 添加@PreAuthorize 在 Spring Security 中提供了一些访问控制的注解。这些注解都是默认是都不可用的,需要通过@EnableGlobalMethodSecurity 进行开启后使用。 如果设置的条件允许,程序正常执行。如果不允许会报
springboot security基于注解配置权限与CAS单点登录配置。
weixin_40295896的博客
09-18 3805
1.因产品需求方的要求,我经过考察,使用现今流行的springboot框架,security权限配置,刚开始碰到不少坑,后来慢慢琢磨,其实发现也就那么一回事。 2.看本文章前,需要有点springboot对于注解基础,否则可能不太理解。 这个是我的基本配置,有部分大家可能用不到,我就说一下基本使用的哪些。 WebConfig这个类继承WebMvcConfigurerAdapter,其实主
Swagger注解-@Authorization 和 @AuthorizationScope
dejunyang的博客
04-27 1万+
@Authorization 使用场景 接口授权,不单独使用,作为 @Api 或 @ApiOperation 的属性使用 概述 定义要在资源或操作上使用的授权方案。使用的授权方案需要首先在Swagger各级别声明。此注解不直接使用,Swagger不会解析,应该作为 @Api 或 @ApiOperation 属性使用 属性 属性名称 数据类型 默认值 说明 value String ...
authorize(权限验证)
dhex55133853的博客
09-17 2266
Startup 中 ConfigureServices 插入 services.AddAuthentication(options => { options.DefaultAuthenticateScheme = "MyCookieAuthenticationScheme"; opt...
开源的、高性能、模块化的应用程序框架 之 ABP(ASP.NET Boilerplate)
最新发布
战族狼魂的博客
08-01 685
ABP(ASP.NET Boilerplate)是一个开源的、高性能、模块化的应用程序框架,用于开发基于.NET的Web应用程序、Web API、微服务、分布式系统和移动应用程序。
授权信息(登录信息)解析为接口方法的参数(@Authorization + HandlerMethodArgumentResolver + WebMvcConfigurer)
宋冠巡的博客
10-26 225
对于需要`授权或登录`的系统,大量的接口,需要获取到用户的 ` 授权信息 / 登录信息 ` 。这些信息可能存在于Session或token中。 将` 授权信息 / 登录信息 `解析为`接口`的`参数`。 这样避免了在每个接口中重复写信息解析的代码,提交了效率。
什么是认证,authentication与authorize
cxzhq2002的杂记
07-19 1157
<br /><br />认证(authentication):包括认和证两个过程,<br />"认"的过程,根据一定标准判断对原始数据进行鉴别,鉴别之后进入下一个"证"过程,<br />"证"的过程即给标识予签名,该标识拥有相关证明后,即可持证获取一定的权限, 并可执行特定的一系列动作,此权限由允可方授予,即证之后一般有"授权(authorize)"过程。<br />为了不重复每次对原始数的"认"的过程,下次只需提供经"证"后标识数据(防改,不一定是密文)+签名盖章,一般为加密后标识数据+签名的数据.<br
【C#】.Net Framework框架下的Authorize权限
小5聊的博客
07-29 2682
2023年,第31周,第3篇文章。给自己一个目标,然后坚持总会有收货,不信你试试! 在C#的.NET Framework中,你可以使用Authorize类来处理权限认证Authorize类位于System.Web.Mvc命名空间中,它提供了一种简单的方式来限制对控制器中的操作方法的访问。
Security基于注解的用户授权.zip
12-16
在Spring Security框架中,基于注解的用户授权是一种常见的权限管理方式,它使得开发者能够更加灵活、简洁地控制应用程序中的访问权限。这个压缩包“Security基于注解的用户授权.zip”很可能包含了一个示例项目...
基于注解的spring-security-login
11-14
本文将深入探讨如何使用Spring Security框架注解来实现用户登录功能,以及它的工作原理。 首先,`spring security login 样例`是一个用于演示和学习的项目,它展示了如何在Spring Security中集成注解来处理用户...
springboot通过自定义注解实现AOP角色权限校验
万米高空的博客
05-03 6005
这里有几个地方需要注意:1.自定义注解 2.aop,拦截器,过滤器的区别? 1.在定义自己的注解之前,我们就必须要了解Java为我们提供的元注解和相关定义注解的语法。 元注解:   元注解的作用就是负责注解其他注解。Java5.0定义了4个标准的meta-annotation类型,它们被用来提供对其它 annotation类型作说明。Java5.0定义的元注解:1.@Target,2.@Rete...
authorized_key 不生效。
一杯派蒙的博客
05-04 1519
authorized_key 不生效。 ~/.ssh/authorized_keys Lists the public keys (DSA/ECDSA/RSA) that can be used for logging in as this user. The format of this file is described a...
@Resource与@Autowired注解的区别
热门推荐
wangzuojia001的博客
01-10 8万+
一、写本博文的原因 年初刚加入到现在的项目时,在使用注解时我用的@Resource。后来,同事:你怎么使用@Resource注解?我:使用它有错吗?同事:没错,但是现在都使用@Autowired。我:我研究一下。 在大学,学习J2EE实训时一直使用的是@Resource注解,后来我就养成习惯了。现在对这两个注解做一下解释: @Resource默认按照名称方式进行bean匹配,@A
@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法
Gakooon的博客
08-04 2356
@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法 Spring Security中定义了四个支持使用表达式的注解,分别是   @PreAuthorize,@PostAuthorize,@PreFilter,@PostFilter:  其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。  要使它们的定义能够对我们的方法的调用产生影响我们需要设置global-method-security元素的
Ant Design - Authorized
kelly0721的博客
01-22 907
确切来说,这个是 Ant Design Pro 里面的组件,使用方式很简单,更多的,可以考虑将它进行再封装。先来看一下他在文档里的使用方式。 import RenderAuthorized from 'ant-design-pro/lib/Authorized'; import { Alert } from 'antd'; const Authorized = RenderAuthorized(...
项目中的注解及其作用
我是老伯的博客
05-10 554
项目中的注解及其作用
Spring Security 表达式(Expressions) - hasRole示例
weixin_30772105的博客
05-19 951
1.概述 Spring Security使用强大的Spring Expression Language(SpEL)提供各种各样的表达式。大多数这些Security表达式是针对上下文对象(当前经过身份验证的主体)进行工作的. 这些表达式的评估由SecurityExpressionRoot执行 - 它提供了Web安全性和方法级安全性的基础。 Spring Security 3.0中引入了使用SpEL表...
Spring Boot 使用 AOP 实现 REST 接口简易灵活的安全认证
公众号:Java后端
01-29 603
作者 |JeffWong链接 |www.cnblogs.com/jeffwongishandsome本文将通过AOP的方式实现一个相对更加简易灵活的API安全认证服务,我们先看实现,...
用python实现 Authorization
定格空间
10-24 5250
大家可能会碰到这种情况:当登录网站时候,需要验证,系统提示你输入用户名和密码 当我们用抓包工具检查时候,会发现有这个字段:Authorization:value,这个value是用户信息经过加密后的, 我们如果想通过程序访问这个网站,请求头必须有这个字段。 这时候需要使用base64对用户信息进行加密 请看代码: import base64 username = “用户信息” password = “”用户密码” user_info_str = username + “:” + password user_
请生成基于Spring Securit框架的PBAC权限模型代码
05-19
很抱歉,我无法直接为您生成代码。但是,我可以为您提供一些指导,以便您开始使用Spring Security框架来实现PBAC模型。 首先,您需要了解什么是PBAC模型。 PBAC(基于角色的访问控制)是一种访问控制模型,其中用户的访问权限由其角色确定。因此,PBAC模型可以表示为具有以下组成部分的权限系统: 1. 用户 2. 角色 3. 权限 4. 资源 在Spring Security中,您可以使用以下组件来实现PBAC模型: 1. Authentication(认证) 2. Authorization(授权) 3. Access Control(访问控制) 下面是一个简单的示例,演示如何使用Spring Security框架实现基于角色的访问控制。 1. 配置授权规则: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasRole("USER") .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("admin").password("{noop}admin").roles("ADMIN") .and() .withUser("user").password("{noop}user").roles("USER"); } } ``` 在这个例子中,我们定义了两个用户角色:ADMIN和USER。ADMIN用户可以访问“/admin/**”路径,而USER用户可以访问“/user/**”路径。任何其他请求都需要进行身份验证才能访问。 2. 创建自定义AccessDecisionVoter: ```java public class PbcaAccessDecisionVoter implements AccessDecisionVoter<Object> { @Override public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) { if (authentication == null) { return ACCESS_DENIED; } int result = ACCESS_ABSTAIN; for (ConfigAttribute attribute : configAttributes) { if (this.supports(attribute)) { result = ACCESS_DENIED; List<GrantedAuthority> authorities = (List<GrantedAuthority>) authentication.getAuthorities(); for (GrantedAuthority authority : authorities) { if (attribute.getAttribute().equals(authority.getAuthority())) { return ACCESS_GRANTED; } } } } return result; } @Override public boolean supports(ConfigAttribute attribute) { return attribute.getAttribute() != null; } @Override public boolean supports(Class<?> clazz) { return true; } } ``` 这个自定义的AccessDecisionVoter实现了AccessDecisionVoter接口,并重写了其中的vote()、supports()和supports()方法。这个自定义的AccessDecisionVoter用于根据用户的角色来决定是否允许访问资源。 3. 配置AccessDecisionManager: ```java @Configuration @EnableGlobalMethodSecurity(prePostEnabled = true) public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration { @Override protected AccessDecisionManager accessDecisionManager() { List<AccessDecisionVoter<? extends Object>> decisionVoters = Arrays.asList(new PbcaAccessDecisionVoter()); return new AffirmativeBased(decisionVoters); } } ``` 在这个例子中,我们定义了一个方法级别的安全配置,并通过@EnableGlobalMethodSecurity注解启用了prePostEnabled选项。我们还配置了一个AccessDecisionManager,该Manager使用我们之前定义的自定义AccessDecisionVoter来做出访问决策。 这是一个简单的示例,演示如何使用Spring Security框架实现基于角色的访问控制。当然,您需要根据您的需求进行更改和优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值