Spring基于自定义注解的用户认证

最新推荐文章于 2020-12-03 20:37:11 发布
最新推荐文章于 2020-12-03 20:37:11 发布
阅读量2k 收藏 1
点赞数
分类专栏: Web后端开发 文章标签: spring annotation springmvc aop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tzdwsy/article/details/47375725
版权

在编写网站后台的时候,往往在很多地方需要加入用户权限验证,若在每个权限验证的地方均加入验证判断代码,会显得代码较为冗余。大概的(伪)代码示例如下:


@Controller
public class MyController {

  @RequestMapping(value = "/home")
  public ModelAndView home(HttpServletRequest request) {

    if(config.needValidate()){
      if(userService.validate(request)){
        // continue process
      } else {
        // redirect to login
      }
    }
  }

}

在每个需要验证的地方都写上这一段挺烦的。借助于Spring MVC中的action拦截器我们可以实现注解式的权限验证。代码量大大减少,同时支持整个Controller的验证注解,大概的(伪)代码如下:


@Controller
public class MyController {

  @AuthPassport
  @RequestMapping(value = "/home")
  public ModelAndView home(HttpServletRequest request) {
    //continue process
  }

}

1 具体实现

1.1 定义注解

定义一个 @interface 这样就可以在编辑器中进行注解识别。


@Documented
@Inherited
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AuthPassport {
    boolean validate() default true; //true表示需要进行验证
}

1.2 拦截器

拦截器用于实现用户权限认证的具体方法,扩展HandlerInterceptorAdapter,该拦截器的具体说明见最后。


public class AuthInterceptor extends HandlerInterceptorAdapter {

    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {

        if (handler.getClass().isAssignableFrom(HandlerMethod.class)) {
            AuthPassport authPassport = ((HandlerMethod) handler)
                    .getMethodAnnotation(AuthPassport.class);

            // 没有声明需要权限,或者声明不验证权限
            if (authPassport == null || authPassport.validate() == false)
                return true;
            else {
                // 这里写自己的验证方法,验证失败则返回false;
                System.out.println("validating");

                if(validate(request)){
                  //验证成功则返回true,继续页面处理
                  return true;
                } else {
                  //验证失败则重定向地址到登陆页面,返回false中断原有的页面处理
                  response.sendRedirect("account/login");
                  return false;
                }
            }
        } else
            return true;
    }

}

1.3 配置拦截器

参考博客:SpringMVC中使用Interceptor拦截器

springContext-servlet.xml中插入拦截器包配置


    <!-- 第一种拦截属于全局拦截,即在mvc:interceptors下直接声明bean -->

    <!-- 拦截权限验证 -->
    <mvc:interceptors>  
        <!-- 如果不定义 mvc:mapping path 将拦截所有的URL请求 -->
        <bean class="org.company.core.custominterceptor.AuthInterceptor"></bean>
    </mvc:interceptors>


    <!-- 第二种拦截是带路径信息的拦截,即在mvc:interceptors下单独声明interceptor并加上mvc:mapping,bean参数,这样可以避免
    资源、脚本等被拦截从而导致页面验证失败-->
    <!-- 拦截权限验证 -->
    <mvc:interceptors>  
        <mvc:interceptor>  
            <!-- 被拦截的路径 -->
            <mvc:mapping path="/**"/>
            <!-- 不被拦截的路径 -->
            <mvc:exclude-mapping path = "/resources/**" />
            <!-- 定义在mvc:interceptor下面的表示是对特定的请求才进行拦截的 -->  
            <bean class="org.company.core.custominterceptor.AuthInterceptor"/>  
        </mvc:interceptor>  
    </mvc:interceptors>

1.4 在需要验证的位置进行注解

在方法或者Controller类中加入注解@AuthPassport即可。

2附录

2.1 参考博客(主要以第一篇为主):

SpringMVC学习系列(9) 之 实现注解式权限验证

Spring Security Custom Login Form Annotation Example

2.2 HandlerInterceptorAdapter说明

HandlerInterceptor是Spring MVC为我们提供的拦截器接口,来让我们实现自己的处理逻辑,HandlerInterceptor 的内容如下:


public interface HandlerInterceptor {  
    boolean preHandle(  
            HttpServletRequest request, HttpServletResponse response,   
            Object handler)   
            throws Exception;  

    void postHandle(  
            HttpServletRequest request, HttpServletResponse response,   
            Object handler, ModelAndView modelAndView)   
            throws Exception;  

    void afterCompletion(  
            HttpServletRequest request, HttpServletResponse response,   
            Object handler, Exception ex)  
            throws Exception;  
}

可以看到接口有3个方法,其含义如下:

preHandle:在执行action里面的处理逻辑之前执行,它返回的是boolean,这里如果我们返回true在接着执行postHandle和afterCompletion,如果我们返回false则中断执行。

postHandle:在执行action里面的逻辑后返回视图之前执行。

afterCompletion:在action返回视图后执行。

HandlerInterceptorAdapter适配器是Spring MVC为了方便我们使用HandlerInterceptor而对HandlerInterceptor 的默认实现,里面的3个方法没有做任何处理,在preHandle方法直接返回true,这样我们继承HandlerInterceptorAdapter后只需要实现3个方法中我们需要的方法即可,而不像继承HandlerInterceptor一样不管是否需要3个方法都要实现。

当然借助于HandlerInterceptor我们可以实现很多其它功能,比如日志记录、请求处理时间分析等,权限验证只是其中之一。

嗡汤圆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring AOP 基于注解实现用户权限校验
2302_79789602的博客
06-10 609
interface:继承了 Annotation 接口的自定义注解,定义注释类型。@Target:表示这个注解可以应用的地方,此处做权限校验是用在方法上的,所以此处的值为 @Target(ElementType.METHOD)@Retention:表示这个注解的保留策略,此处定义为 @Retention(RetentionPolicy.RUNTIME)
spring 自定义注解的注册与扫描
旅行才是人生追寻
11-16 5251
今天把request-proxy的类扫描方式改成了spring的ClassPathBeanDefinitionScanner,不仅速度提高了,而且代码根据简单了 先说下之前的思路自己写的扫描路径根据配置路径然后把类全部过滤一遍,自己写过滤还是很麻烦,看mybatis-spring,发现可以用 ClassPathBeanDefinitionScanner 简单的就可以完成路径扫描,类的加
spring拾遗(四)——自定义注解实现interceptor的指定拦截
Horizon_LGMH的博客
08-01 6501
为了对指定方法进行权限验证等操作,很多时候我们要采用aop或者interceptor的方式,一直对自定义注解+interceptor的拦截方式不是特别了解,今天入了一下门。 首先自定义一个注解,@Target(ElementType.METHOD)表示这个注解只能在METHOD上使用,@Retention(RetentionPolicy.RUNTIME) 表示运行时生效,剩下那个没啥用 @Ta
使用自定义注解实现登录用户获取
java_tzx的博客
09-17 2878
业务功能场景 在代码程序中很多接口的调用会有限制,需要用户在登录状态下才能进行操作(需要众多用户的信息等),这里就使用注解在调用接口的时候进行验证拦截。 自定义一个注解 package com.timothy.annotation; import java.lang.annotation.ElementType; import java.lang.annotation.Reten...
Spring中自定义权限注解
Mr_Li的博客
12-03 3277
Spring中自定义权限注解 实现功能: ​ 在方法上加上注解@PreAuth(“xxx”), 根据xxx不同内容,可以判断当前请求是否有访问该接口的权限,如果有则放行,反之则返回无权限. ​ 其中@PreAuth(“xxx”)中 “xxx” 可以填写角色或者资源等来校验(xxx是个表达式,解析后,然后调用不同的方法去执行返回布尔值) 1. 自定义注解 import java.lang.annotation.*; /** * 权限注解 用于检查权限 规定访问权限 * * @author Chil
spring mvc 和spring security自定义登录
05-14
综上所述,结合Spring MVC和Spring Security实现自定义登录,需要理解两者的基本原理,配置合适的过滤器、认证提供者和授权规则。通过这种方式,我们可以创建一个既安全又易于维护的Web应用程序,为用户提供安全的...
SpringBoot-自定义注解AOP实现及拦截器示例
最新发布
04-12
Spring Boot框架中,自定义注解AOP(面向切面编程)是两种强大的工具,可以帮助我们实现灵活且模块化的代码结构。AOP允许我们在不修改原有代码的情况下,通过切面来插入额外的功能,如日志记录、权限检查等。...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
3. **定制Filter**:在Spring Cloud Gateway中,我们可以自定义WebFlux Filter,利用Spring Security提供的API进行认证和鉴权。这通常涉及到`@PreAuthorize`和`@Secured`等注解的使用,以控制对特定路由的访问权限。...
Spring中自定义session管理,SpringSession的使用
02-21
1. 创建配置类:创建一个配置类,使用`@EnableRedisHttpSession`注解开启SpringSession的Redis支持,并可自定义SessionRepository实现。 2. 替换默认Session:在`WebSecurityConfigurerAdapter`的配置中,替换默认的...
基于注解spring-security-login
11-14
首先,`spring security login 样例`是一个用于演示和学习的项目,它展示了如何在Spring Security中集成注解来处理用户认证和授权。`securelogin`可能是该项目的核心模块或主目录,包含了所有与安全相关的配置和代码...
Class的isAssignableFrom方法详解
热门推荐
OceanSky的专栏
07-01 1万+
类的Class实例中有一个isAssignableFrom方法,这个方法是用来判断两个类的之间的关联关系,源码如下: /** * Determines if the class or interface represented by this * {@code Class} object is either the same as, or is a superclass...
SpringMVC 注解实现权限拦截
torrytang的专栏
10-28 6677
1.新建一个注解类 import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.Inherited; import java.lang.annotation.Retention; import java.lang.annotat
认证鉴权与API权限控制在微服务架构中的设计与实现(一)
weixin_34387284的博客
10-19 393
引言: 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的第一篇,本系列预计四篇文章讲解微服务下的认证鉴权与API权限控制的实现。 1. 背景 最近在做权限相关服务的开发,在系统微服务化后,原有的单体应用是基于session的安全权限方式,不能满足现有的微服务架构的认证与鉴权需求。微服务架构下,一个应用会被拆分成若干个微应用,每个微应用都需要对访问进行鉴权,每个微应用都需要明确当前...
Springboot 方法注解 获取当前用户
zsj777的专栏
06-25 8123
1、注解 package com.ahies.system.common.annotation; import java.lang.annotation.*; /** * 当前用户Java对象注解类. * */ @Documented @Target({ElementType.PARAMETER}) @Retention(RetentionPolicy.RUNTIME) public...
spring mvc中拦截器+注解做权限判断
jackyrongvip的专栏
01-23 579
先来个注解 [code="java"] @Documented @Inherited @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface AuthPassport { boolean validate() default true; } [/code] ...
springmvc 下使用自定义注解获取登录信息
adsadadaddadasda的博客
12-26 760
使用原因 大家的项目中在controller层是怎样获取登录用户的信息呢? User loginUser=LoginUtil.getLoginUser(); 12 我想有些同学是通过这样获得的,如果这样实现的话,  恭喜你,你的Controller层已经丧失了单元测试的能力。 因为执行这个controller所需要的参数并没有完全通过参数列表来获得,而依赖于全局环境(web环
@RequestParam @RequestBody @PathVariable 等参数绑定
二总的猫
06-05 793
引言: 接上一篇文章,对@RequestMapping进行地址映射讲解之后,该篇主要讲解request 数据到handler method 参数数据的绑定所用到的注解和什么情形下使用; 简介: handler method 参数绑定常用的注解,我们根据他们处理的Request的不同内容部分分为四类:(主要讲解常用类型) A、处理requet uri 部分(这里指
spring-authorization-server自定义认证配置
09-20
1. 创建自定义认证配置类:我们可以创建一个自定义的配置类,继承自AuthorizationServerConfigurerAdapter,并在类上加上@Configuration注解。在这个类中,我们可以重写configure方法,对授权服务器的认证配置进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值