Java注解实现权限管理

最新推荐文章于 2024-01-31 09:44:20 发布
最新推荐文章于 2024-01-31 09:44:20 发布
阅读量3.1k 收藏 7
点赞数 3
分类专栏: java 系统开发 文章标签: java spring 注解 注释 @Retention
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tyut_aa/article/details/107093927
版权

一个简单的权限控制场景,已知登录用户id,判断这个用户是否存在数据库中,如果不存在则不允许进行任何操作。

关于java注解介绍请参见 Java自定义注解实现权限管理

基础实现

在每个controller方法中添加用户校验代码,这种可以控制到方法级,但是每个方法都要维护这段重复逻辑。

@RequestMapping(value = "/task/progress", method = RequestMethod.GET)
    public RestRsp getLabelTaskProgress(
            @RequestParam(name = "taskId", defaultValue = "-1") long taskId,
            @Visitor long userId
    ) {
        // 校验用户
        if (!labelService.checkUserValid(userId)) {
            return RestRsp.success(new ListRsp());
        }

        // 获取标注进度
        ... 省略
        return RestRsp.success(listRsp);
    }

拦截器实现

spring的拦截器实现,好处是增加在进入controller方法前提前拦截非法用户,但是设计到不同controller类或方法不同权限时,只能通过api路径区分,不方便。

@Slf4j
public class AuthInterceptor extends HandlerInterceptorAdapter {

    private final static String LABEL_PATH_PATTERN = "^/*webapi/+label/*.*$";
    private static final String ERROR_MSG = "您没有权限,请联系管理";

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
            Object handler) {
        if (debugHost() && hasDebugParam(request)) {
            return true;
        }

        String uri = request.getRequestURI();
        log.info("uri:{}", uri);
        String username = SsoUserInfo.getUserName();

        if (Pattern.matches(LABEL_PATH_PATTERN, uri)) {
            Set<String> managerSet = LABEL_MANAGER_SET.get();
            if (!managerSet.contains(username)) {
                throw new ServiceException(ErrorCode.PERMISSION_DENIED);
            }

        } else {
            Set<String> userSet = USER_SET.get();
            if (!userSet.contains(username)) {
                throw ServiceException.ofMessage(ErrorCode.PERMISSION_DENIED, ERROR_MSG);
            }
        }
        return true;
    }
}

注解实现

注解+拦截器的实现方式,既可以实现不同粒度的权限控制,也可以集中管理权限。

  • 定义权限枚举变量
public enum  AuthEnum {

    USER_LABEL("label_user", "标注用户", "非标注用户禁止使用"),
    ;

    private String code;
    private String desc;
    private String info;

    AuthEnum(String code, String desc, String info) {
        this.code = code;
        this.desc = desc;
        this.info = info;
    }

    public String getCode() {
        return this.code;
    }

    public String getDesc() {
        return this.desc;
    }

    public String getInfo() {
        return this.info;
    }
}
  • 定义注解
@Documented
@Retention(value = RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD, ElementType.TYPE})
public @interface AuthAnn {
    AuthEnum[] authType();
}
  • 定义拦截器
@Slf4j
@Component
public class AuthInterceptor extends HandlerInterceptorAdapter {

    @Autowired
    private LabelService labelService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
            Object handler) {

        Long userId = SSOHelper.getUserId(request);

        AuthAnn authAnn = ((HandlerMethod) handler).getMethodAnnotation(AuthAnn.class);
        if (authAnn == null || ObjectUtils.isEmpty(authAnn.authType())) {
            authAnn = ((HandlerMethod) handler).getBeanType().getAnnotation(AuthAnn.class);
        }
        if (authAnn == null || ObjectUtils.isEmpty(authAnn.authType())) {
            return true;
        }

        //log.info("userId:{}", userId);
        AuthEnum[] authEnums = authAnn.authType();

        for (AuthEnum authEnum : authEnums) {
            if (AuthEnum.USER_LABEL.equals(authEnum)) {
                if (!labelService.checkUserExist(userId)) {
                    log.info("Invalid Label User, userId:{}", userId);
                    throw ServiceException.ofMessage(ErrorCode.PERMISSION_DENIED, authEnum.getInfo());
                }
            }
        }
        return true;
    }
}
  • 注册拦截器
@Configuration
@Slf4j
public class ProphetInterceptorConfiguration implements WebMvcConfigurer {
    @Autowired
    private AuthInterceptor authInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) { 
        String[] paths = passportProperties.urlPaths();
        registry.addInterceptor(AuthInterceptor).addPathPatterns(paths);
    }
}
  • 添加权限
@Slf4j
@RestController
@RequestMapping("/api/label")
@AuthAnn(authType = AuthEnum.USER_LABEL)
public class LabelController {

}
a small bird
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 项目通用数据权限设计
学海无涯,我用JAVA
05-15 1102
权限一般分为操作权限数据权限操作权限: 菜单,页面,按钮数据权限: 能看到的数据,包括各种页面的数据范围这里不做扩展,其实这里仅仅是最简单的方式,即直接通过限制表达到对于业务表的数据过滤,那么其实我们还可以通过其他方式限制;通过字典组限制,那么exists内部在拼接之前可能需要二次处理;通过sql语句配置限定条件,那么我们需要拼接sql语句,甚至当sql语句中有变量,我们需要解析后,再拼接到sql片段中;
java自定义注解实现权限控制
zmsister的博客
07-19 1754
这3个生命周期分别对应于Java源文件(.java文件)--->.class文件--->内存中的字节码。source注解只保留在源文件,当Java文件编译成class文件的时候,注解被遗弃;class注解被保留到class文件,但jvm加载class文件时候被遗弃,这是默认的生命周期。runtime注解不仅被保存到class文件中,jvm加载class文件之后,仍然存在。上面定义的是作用于方法的注解,所以我们需要在方法中使用@Permission。@Retention注解的作用。...
springAop+自定义注解实现权限管理
09-14
一个简单的采用自定义注解结合SpringAop实现方法执行的权限管理,这个demo中并没有涉及到与数据库的交互和业务代码,用户权限在登陆时采用简单的手动初始化。该demo用的jdk1.7编译,Spring4.0版本,只想通过这个demo熟悉相关技术,如有不足之处还望各位大佬多多包涵并指出。
java注解管理_Java注解实现权限管理
weixin_28909161的博客
02-25 194
一个简单的权限控制场景,已知登录用户id,判断这个用户是否存在数据库中,如果不存在则不允许进行任何操作。基础实现在每个controller方法中添加用户校验代码,这种可以控制到方法级,但是每个方法都要维护这段重复逻辑。@RequestMapping(value = "/task/progress", method = RequestMethod.GET)public RestRsp getLabe...
java使用注解 添加权限
wellcome 2 天明's 博客
09-08 285
@Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface RuleArea { } @Aspect @Component public class RuleAreaAspect { @Autowired private PlatFeignClient platFeignClient; // 配置织入点 @Pointcut("@ann.
java 注解 权限_基于SpringBoot的自定义注解 实现权限控制
weixin_30151653的博客
02-16 614
应一位朋友邀请写下此篇文章,不足之处请多多指教首先我们定义一个注解 传入一个参数(传递权限的编码)import java.lang.annotation.ElementType;import java.lang.annotation.Retention;import java.lang.annotation.RetentionPolicy;import java.lang.annotation.T...
通过注解分配权限
重燃小窗
04-08 211
@Component public class GlobalInterceptor extends HandlerInterceptorAdapter { private static Logger logger = LoggerFactory.getLogger(GlobalInterceptor.class); @Resource private UserService...
想要控制好权限,这八个注解你必须知道!
麦叔
08-22 1085
在讲数据权限之前,我们有必要先和大家介绍一下 Spring Security 中的权限注解,把这个捋清楚了,再去看 TienChin 项目的权限注解,你就会发现非常容易了。
Spring Boot中使用注解的方式实现数据权限控制
m0_71777195的博客
05-19 1335
** * 数据权限过滤注解 * */@Target(ElementType.METHOD)@Retention(RetentionPolicy.RUNTIME)@Documentedpublic @interface DataScope{/** * 部门表的别名 */ public String deptAlias() default "";/** * 用户表的别名 */ public String userAlias() default "";
想要控制好权限,这8个注解必须知道!
码猿技术专栏
08-07 525
大家好,我是不才陈某~在码猿慢病云管理系统采用的是Spring Cloud 集成Spring Security OAuth2的方式实现认证、鉴权,其中涉及到的一个重要问题则是数据权限的过滤,今天就来介绍一下实现的方案。在之前的文章中曾经介绍过通过自定义的三个注解 @RequiresLogin、 @RequiresPermissions 、 @RequiresRoles 实现微服务的鉴权其实就是参考...
SpringSecurity(06)——权限注解
peng_gx的博客
01-15 1333
SpringSecurity权限注解
自定义注解+AOP实现权限控制.zip
01-15
详情请查看博客: springboot+自定义注解+AOP实现权限控制(一)和 springboot+自定义注解+AOP实现权限控制(二)
自定义注解实现权限验证
欢迎一起学习交流
03-02 3353
一、前言 在我们写项目时,一个项目通常会有拥有不同角色的用户,在进入某个方法前,会判断该用户是否具有此权限,今天我们来用自定义注解实现一下这个功能。 二、业务场景 1.场景介绍 假如有一个学生管理系统,我们来对一个用户是否具有对学生管理这个模块操作的权限进行验证 2.数据库 存储用户基本信息的用户表 角色表 用户角色关联表 3.前情提示 在写权限验证之前要把登录功能并传入token,在token里保存登录用户的角色id(后面会用到) //登录 @Reque..
注解式功能权限控制机制
angzhijian7003的博客
02-10 128
权限定义表: 定义一个SysUser.GetAclMap 的方法, 返回的是[{code,name},{code2,name2} ...] 的json结构。在功能权限中, code对应url, 而name则是当前用户是否拥有权限: null 没有; Y 有权限. 在Controller中配置Authorize注解, 可以在class上定义, 也可以在action中定义通过ord...
自定义注解+拦截器实现权限管理
最新发布
weixin_60376559的博客
01-31 1181
自定义注解+拦截器实现权限管理
java 注解 权限_java 使用注解 处理权限springboot)
weixin_27199085的博客
02-16 546
1、前端登陆,将用户信息传到后台2、后台验证账号密码,如果账号密码信息正确,将登陆的用户信息保存到session中3、自定义注解 注解名为 CheckLogin@Target({ElementType.TYPE,ElementType.METHOD})@Retention(RetentionPolicy.RUNTIME)@Inherited@Documentedpublic @interface...
java中常用注解
苏杭
06-26 284
注解的作用 不是程序本身,但是可以对程序做出解释。 可以被其他程序(比如:编译器等)读取。(必须被解析器解析,如果不解析,没有作用的) 编写文档:通过代码里面标识的注解生成文档【生成文档doc文档】 代码分析:通过代码里标识的注解对代码进行分析【使用反射】 编译检查:通过代码里标识的注解让编译器能够实现基本的编译检查 注解使用场景 可以附加在 package,class,method,field 等上面,相当于给它们添加了额外的辅助信息,我们可以通过反射机制编程实现对这些元素的访问。 元注解注解,就
数据权限就该这么实现(设计篇)
Java技术攻略的博客
03-14 3466
在项目实际开发中我们不光要控制一个用户能访问哪些资源,还需要控制用户只能访问资源中的某部分数据。控制一个用户能访问哪些资源我们有很成熟的权限管理模型即RBAC,但是控制用户只能访问某部分资源(即我们常说的数据权限)使用RBAC模型是不够的,本文我们尝试在RBAC模型的基础上融入数据权限的管理控制。首先让我们先看下RBAC模型。
Java轻松实现权限认证管理
大白猫的博客
11-15 1564
我们在实际开发中经常会进行权限认证管理,给不同的人加上对应的角色和权限,对于不同的人要求根据这些角色和权限去访问指定的接口,那具体该怎么实现呢。我这边参考了各个框架的实现逻辑,发现还是蛮简单的,今天就实现一个简易的权限验证管理系统。2. 接下来创建权限注解注解大致就是一个类,包含一些属性,主要还是切面的逻辑)最后在需要加权限访问的接口加上这个注解,写上访问这个接口所需要的角色和权限就行了。5.在注解实现aop逻辑,本质和上面说的一样,很简单。用户的角色和权限一般都是一起查出来,参考sql如下。
JAVA权限管理:两种方式详解与XML配合应用
Java实现权限管理的两种主要方式之一是通过filter、XML配置文件以及用户信息表的结合运用。这种方法的核心在于利用Java的过滤器机制(Filter)来控制用户的访问权限。具体步骤如下: 1. 定义一个名为`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值