基于Spring Aop实现类似shiro的简单权限校验功能

最新推荐文章于 2022-11-16 11:46:09 发布
最新推荐文章于 2022-11-16 11:46:09 发布
阅读量115 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/windliu/p/8029666.html
版权

在我们的web开发过程中,经常需要用到功能权限校验,验证用户是否有某个角色或者权限,目前有很多框架,如Shiro

Shiro有基于自定义登录界面的版本,也有基于CAS登录的版本,目前我们的系统是基于CAS单点登录,各个公司的单点登录机制略有差异,和Shiro CAS的标准单点登录校验方式也自然略有不同。

在尝试将自定义登录的普通版Shiro改造失败后,在系统登录、校验角色、权限我认为相对简单后,觉得模仿Shiro自己实现一个权限校验小框架,说是框架,其实就是一个aop advisor,几个注解(Shiro不就是这个功能吗)

 

RequiresRoles和RequiresPermissions相似,不截图了

接下来是实现aop拦截功能了,先来说下注解的用法,和Shiro的注解一样,都是放在class或者method上

上述配置的意思是需要角色user和admin,需要权限home:*,上面仅是一个例子,实际业务中的角色已经确定有哪些权限了。

 

 以下是aop拦截方式

 

/**
 * 权限校验advisor,负责对RequiresRoles、RequiresPermissions标记的controller进行权限校验
 * 他执行的时机是interceptor之后、方法执行之前
 * Created by Administrator on 2015/2/9.
 */
@Aspect
@Component
public class AuthExecuteAdvisor implements PointcutAdvisor, Pointcut {

    private static final Logger logger = LoggerFactory.getLogger(AuthExecuteAdvisor.class);

    @Autowired
    private UserService userService;

    /**
     * 生成一个始终匹配class的Filter对象,任何类都可以通过这个过滤器
     */
    private static final ClassFilter TrueClassFilter = new ClassFilter() {
        @Override
        public boolean matches(Class<?> clazz) {
            return true;
        }
    };

    /**
     * 生成根据特定注解进行过滤的方法匹配器
     * 如果class上有注解、或方法上有注解、或接口方法上有注解,都能通过
     */
    private MethodMatcher annotationMethodMatcher = new StaticMethodMatcher() {
        @Override
        public boolean matches(Method method, Class<?> targetClass) {

            if (targetClass.isAnnotationPresent(RequiresRoles.class) || targetClass.isAnnotationPresent(RequiresPermissions.class)) {
                return true;
            }

            if (method.isAnnotationPresent(RequiresRoles.class) || method.isAnnotationPresent(RequiresPermissions.class)) {
                return true;
            }
            // The method may be on an interface, so let's check on the target class as well.
            Method specificMethod = AopUtils.getMostSpecificMethod(method, targetClass);


            return (specificMethod != method && (specificMethod.isAnnotationPresent(RequiresRoles.class)
                    || specificMethod.isAnnotationPresent(RequiresPermissions.class)));
        }

    };

    @Override
    public ClassFilter getClassFilter() {
        //只执行注解的类
        return TrueClassFilter;
    }

    @Override
    public MethodMatcher getMethodMatcher() {
        return annotationMethodMatcher;
    }

    /**
     * 当前对象就是切面对象,根据classFilter、MethodFilter定义执行范围
     *
     * @return
     */
    @Override
    public Pointcut getPointcut() {
        return this;
    }

    /**
     * 切面对应的处理策略
     *
     * @return
     */
    @Override
    public Advice getAdvice() {
        //这个MethodInterceptor相当于MethodBeforeAdvice
        return new MethodInterceptor() {
            @Override
            public Object invoke(MethodInvocation invocation) throws Throwable {

                LoginContext loginContext = ActionContext.getLoginContext();
                if (loginContext == null) {
                    throw new AuthFailException("校验用户权限失败,用户未登录");
                }

                // TODO: 2017/11/21 管理员全权限
                if (loginContext.getUserType().equals(0)) {
                    return invocation.proceed();
                }

                Set<String> alreadyRoles = new HashSet<>(userService.getRolesByUserId(loginContext.getUserId()));
                Set<String> alreadyPermissions = new HashSet<>(userService.getPermissionByUserId(loginContext.getUserId()));

                List<String> requireRole = getRequiredRole(invocation);
                List<String> requirePermission = getRequiredPermission(invocation);

                if (!CollectionUtils.isEmpty(requireRole) && !alreadyRoles.containsAll(requireRole)) {
                    //role权限不足
                    logger.error("校验用户权限失败,role角色不足");

                    throw new AuthFailException("校验用户权限失败,role角色不足");
                }

                if (!CollectionUtils.isEmpty(requirePermission) && !alreadyPermissions.containsAll(requirePermission)) {
                    //permission不足
                    logger.error("校验用户权限失败,permission权限不足");
                    throw new AuthFailException("校验用户权限失败,权限不足");
                }

                return invocation.proceed();
            }


        };
    }

    /**
     * 获取方法需要的角色
     *
     * @param invocation
     * @return
     */
    private List<String> getRequiredRole(MethodInvocation invocation) {
        List<String> requiredRoles = new ArrayList<>();
        Class<?> clazz = invocation.getThis().getClass();

        if (clazz.isAnnotationPresent(RequiresRoles.class)) {
            Collections.addAll(requiredRoles, clazz.getAnnotation(RequiresRoles.class).value());
        }

        if (invocation.getMethod().isAnnotationPresent(RequiresRoles.class)) {
            Collections.addAll(requiredRoles, invocation.getMethod().getAnnotation(RequiresRoles.class).value());
        }

        return requiredRoles;
    }

    /**
     * 获取方法需要的权限
     *
     * @param invocation
     * @return
     */
    private List<String> getRequiredPermission(MethodInvocation invocation) {
        List<String> requirePermission = new ArrayList<>();
        Class<?> clazz = invocation.getThis().getClass();

        if (clazz.isAnnotationPresent(RequiresPermissions.class)) {
            Collections.addAll(requirePermission, clazz.getAnnotation(RequiresPermissions.class).value());
        }

        if (invocation.getMethod().isAnnotationPresent(RequiresPermissions.class)) {
            Collections.addAll(requirePermission, invocation.getMethod().getAnnotation(RequiresPermissions.class).value());
        }

        return requirePermission;
    }


    /**
     * 每个切面的通知一个实例,或可分享的实例
     * 此处使用分享的实例即可,分享的实例在内存中只会创建一个Advice对象
     *
     * @return
     */
    @Override
    public boolean isPerInstance() {
        return false;
    }
}

  

此处主要有以下几个关键点:

    

当前类既是一个切入点Pointcut(一群方法),也是一个通知持有者Advisor

Pointcut接口通过ClassFilter、MethodMatcher锁定哪些方法会用到Advisor

Advisor接口通过getAdvice获取Pointcut需要进行的拦截操作

 

ClassFilter是一个始终返回True的类过滤器,因为我们拦截执行的最小单位是method,所以即使class上没有注解,也要让他通过拦截
MethodMatcher则会判断method所在的class是否有注解,如果没有,则判断method是否有注解,二者满足其一就能通过校验

Advice的具体拦截过程为:
获取登录上下文
获取当前method需要的权限和角色(这里实际可以再优化,因为method可能只需要Role或Permission其中一种权限)
判断当前用户是否具有这些权限

  

 

开启spring的aop功能,权限拦截开始生效

 

 

 

 

转载于:https://www.cnblogs.com/windliu/p/8029666.html

weixin_30689307
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro 的集成权限项目,利用SpringMVC aop 自动代理将系统必要监控操作写入数据库
qq_35211292的博客
07-30 343
1) 底层配置 通过配置织入@Aspectj切面 虽然可以通过编程的方式织入切面,但是一般情况下,我们还是使用spring的配置自动完成创建代理织入切面的工作。 通过aop命名空间的声明自动为spring容器中那些配置@aspectJ切面的bean创建代理,织入切面。当然,spring 在内部依旧采用AnnotationAwareAspectJAutoProxyCreator进行自动代理的...
Spring整合Shiro权限控制模块详细案例分析
10-05
5. **使用注解进行权限控制**:Shiro提供了一系列注解,如`@RequiresAuthentication`、`@RequiresRoles`和`@RequiresPermissions`,可以直接在控制器方法上使用,实现权限控制。 6. **Session管理**:Shiro默认使用...
Spring MVC4.3.5+MyBatis3.4.2+Apache Shiro1.3.2整合开发高仿小米商城的后台用户管理系统
04-23
后台管理系统(CMS) ,包括管理员管理模块、会员管理模块、产品管理模块、交易管理模块、系统管理模块等。 使用技术: 1、后端 核心框架:Spring Framework 4.3.5 安全框架:Apache Shiro 1.3.2 视图框架:Spring MVC 4.3.5 任务调度:Spring + Quartz 2.2.3 持久层框架:MyBatis 3.4.2 + Mybatis-plus 2.0.1 数据库连接池:Alibaba Druid 1.0 缓存框架:Ehcache 2.6 + Redis 2.9.0 日志管理:SLF4J 1.7 + Log4j2 2.7 布局框架:SiteMesh 3.0.1 分布式应用程序协调服务:ZooKeeper 3.3.1 分布式服务框架:Dubbo 2.5.3 接口测试框架:Swagger2 2.6.1 工具类:Apache Commons、Jackson 2.2、fastjson 1.2.20 2、前端 JS框架:Jquery 表格插件:Bootstrap Table 表单验证插件:BootstrapValidator 日期选择插件:Datepicker for Bootstrap 弹层组件:Layer 数据图表:Echarts 表单美化插件:ICheck 树形视图插件:Ztree 后台管理系统模版:H+ 电子商城系统模版:小米官网 部署: 1、具备运行环境:JDK1.7+、Maven3.0+、MySql5+ 2、根据mi-cms\src\main\resources\properties\jdbc.properties 配置数据库 3、先自己创建数据库mi-cms,导入数据库文件: mi-cms/sql/mi-cms.sql 4、用Tomcat等服务器运行mi-cms 5、后台管理系统(CMS),账号:admin 密码:123456 测试地址:http://localhost:8087/mi-cms/login
Spring Security实现类似shiro权限表达式的RBAC权限控制
码农小胖哥
04-19 820
昨天有个粉丝加了我,问我如何实现类似shiro的资源权限表达式的访问控制。我以前有一个小框架用的就是shiro权限控制就用了资源权限表达式,所以这个东西对我不陌生,但是在Spring Security中我并没有使用过它,不过我认为Spring Security可以实现这一点。是的,我找到了实现它的方法。再看、点赞、转发、关注来一波!资源权限表达式说了这么多,我觉得应该解...
Shiro的切入方式
weixin_33970449的博客
01-07 87
springMVC中要使用shiro,一般都遵循下面的配置: applicationContext-shiro.xml <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="secu...
基于AOP实现权限管理:通过shiro认证身份和模拟授权认证
时光在路上
01-21 6406
有记录和总结的学习,才是完整的学习。不能总是低头忙于平台项目的开发,更重要的是在学习过程中思考和总结,颗粒归仓,一年之计在于秋。   身份认证和授权认证是权限管理中的核心模块。本文讲讲通过安全框架shiro进行身份认证和模拟授权认证,并可以看到授权之后的效果。   认证 登录模块,在完成用户名和密码的匹配基础上,查询该用户具有的操作权限,缓存到本地。 该权限系统是基于角色的RBAC模型
java的细粒度权限shiro权限校验 ssh
11-22
Shiro是Apache组织提供的一款强大且易用的Java安全框架,它提供了身份认证、授权、会话管理和加密等功能,非常适合在Spring+Struts+Hibernate(SSH)这样的经典企业级开发框架中实现权限校验。 细粒度权限管理的...
SSM+Shiro+Redis实现项目的权限管理
05-06
SSM+Shiro+Redis是Java Web开发中一种常见的权限管理解决方案,主要涉及SpringSpring MVC、MyBatis三大框架与Apache Shiro安全框架及Redis缓存技术的整合。这个小Demo展示了如何在项目中实现高效且灵活的权限控制...
ssm+shiro实现简单的登陆认证功能
11-07
下面将详细介绍如何利用SSM和Shiro实现一个简单的登录认证功能。 **Spring框架** 是一个全面的后端应用开发框架,它提供了依赖注入(DI)和面向切面编程(AOP)等功能,使得代码更加模块化和易于维护。 **...
ssm-shiro权限管理(一)
01-08
3. **配置Spring**:在Spring的配置文件中,声明Shiro的相关bean,如SecurityManager、FilterChainResolver等,同时配置AOP代理以实现权限注解的功能。 4. **配置SpringMVC**:在SpringMVC的配置中,添加Shiro的...
shiro 结合spring Aop记录用户注销的日志分享
喜羊羊love红太狼
09-29 360
需求:在不影响原来项目的基础上开发一个日志记录插件记录用户操作日志 场景:原项目中使用shiro对用户进行认证和管理,在不影响原来项目的基础上开发一个日志记录插件使用aop记录用户操作日志时,原来项目没有注销的接口(即没有退出的controller)而是通过shiro默认的过滤器实现的退出。 遇到的问题:如何记录用户退出日志 方法:重写shiro的登出过滤器中LogoutFilter中preHandle方法 具体实现: package com.gisq...
9_17 AOPShiroSpring启动原理了解总结
weixin_39452731的博客
09-17 184
AOP: 首先是因为加上了 @EnableAspectJAutoProxy , 他会给容器导入一个 AnnotationAwareAspectJAutoProxyCreator, 这是一个后置处理器,在Spring容器启动创建剩下的bean的时候,会给相应的后置处理器一个机会去创建代理对象, 而 AnnotationAwareAspectJAutoProxyCreator,就是可以拦截bean初...
使用shiro+aop实现权限控制
沐雨橙风ιε的博客
11-16 1091
使用shiro+aop实现权限控制
权限解决方案:Shiro自定义Permission、AOP + Shiro
qq_45716444的博客
06-01 2668
权限解决方案 Shiro自定义Permission Shiro授权扩展 Shiro AuthorizerRealm重写isPermitted AOP + Shiro AOPShiro
shiroaop冲突问题
已被格式化的叔叔
03-06 3614
参考链接:http://www.cnblogs.com/digdeep/p/4624998.html spring整合shiro,项目报如下错误: ==============异常开始============= java.lang.IllegalStateException: The mapped controller method class 'com.agen.controller.Co...
Shiro权限注解与Aop冲突问题的前世今生
猿枫
06-05 2359
DefaultAdvisorAutoProxyCreator代理构建器与Aop代理二次代理冲突缘起探究
复习步骤8-获取权限数据CustomRealm提供subject桥梁,集成spring -shiro注解配置权限
香帅的博客
03-28 374
项目目录结构 和 E:\学习文档子目录压缩\框架\shiro\shiro安全框架入门\复习步骤7-获取权限数据CustomRealm提供subject桥梁,集成spring - 数据库获取用户权限角色等信息-shiro加密密码和盐存入数据库 不用的是: pom.xml 中加了一个 <!-- spring切面 注解配置授权需要的dependency --> ...
SpringAOP框架
weixin_41046569的博客
03-25 504
赵云胡说-FactoryBean与循环依赖
Spring 的 @Aspect 注解使用之—AopUtils.getMostSpecificMethod 工具类的使用
龚小帅的博客
08-22 588
Spring 的 @Aspect 注解使用之—AopUtils.getMostSpecificMethod 工具类的使用
SpringAOP+自定义注解模拟shiro框架实现
最新发布
06-06
首先,我们需要定义一个自定义注解 `@RequiresPermissions`,用于标识需要授权访问的方法,例如: ```java @Retention...这样,我们就通过 Spring AOP 和自定义注解模拟实现类似 Shiro 权限校验功能

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值