spring boot 利用注解实现权限验证

最新推荐文章于 2024-08-15 11:31:17 发布
最新推荐文章于 2024-08-15 11:31:17 发布
阅读量599 收藏 1
点赞数 1
文章标签: java 数据库 runtime
原文链接:https://segmentfault.com/a/1190000017131530
版权
这里使用 aop 来实现权限验证

引入依赖


<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-aop</artifactId>
</dependency>

定义注解

package com.lmxdawn.api.admin.annotation;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 后台登录授权/权限验证的注解
 */
//此注解只能修饰方法
@Target(ElementType.METHOD)
//当前注解如何去保持
@Retention(RetentionPolicy.RUNTIME)
public @interface AuthRuleAnnotation {
    String value();
}

拦截实现登录和权限验证

package com.lmxdawn.api.admin.aspect;

import com.lmxdawn.api.admin.annotation.AuthRuleAnnotation;
import com.lmxdawn.api.admin.enums.ResultEnum;
import com.lmxdawn.api.admin.exception.JsonException;
import com.lmxdawn.api.admin.service.auth.AuthLoginService;
import com.lmxdawn.api.common.utils.JwtUtils;
import io.jsonwebtoken.Claims;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.lang.reflect.Method;
import java.util.List;

/**
 * 登录验证 AOP
 */
@Aspect
@Component
@Slf4j
public class AuthorizeAspect {

    @Resource
    private AuthLoginService authLoginService;

    @Pointcut("@annotation(com.lmxdawn.api.admin.annotation.AuthRuleAnnotation)")
    public void adminLoginVerify() {
    }

    /**
     * 登录验证
     *
     * @param joinPoint
     */
    @Before("adminLoginVerify()")
    public void doAdminAuthVerify(JoinPoint joinPoint) {

        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        if (attributes == null) {
            throw new JsonException(ResultEnum.NOT_NETWORK);
        }
        HttpServletRequest request = attributes.getRequest();

        String id = request.getHeader("X-Adminid");

        Long adminId = Long.valueOf(id);

        String token = request.getHeader("X-Token");
        if (token == null) {
            throw new JsonException(ResultEnum.LOGIN_VERIFY_FALL);
        }

        // 验证 token
        Claims claims = JwtUtils.parse(token);
        if (claims == null) {
            throw new JsonException(ResultEnum.LOGIN_VERIFY_FALL);
        }
        Long jwtAdminId = Long.valueOf(claims.get("admin_id").toString());
        if (adminId.compareTo(jwtAdminId) != 0) {
            throw new JsonException(ResultEnum.LOGIN_VERIFY_FALL);
        }

        // 判断是否进行权限验证
        MethodSignature signature = (MethodSignature) joinPoint.getSignature();
        //从切面中获取当前方法
        Method method = signature.getMethod();
        //得到了方,提取出他的注解
        AuthRuleAnnotation action = method.getAnnotation(AuthRuleAnnotation.class);
        // 进行权限验证
        authRuleVerify(action.value(), adminId);
    }

    /**
     * 权限验证
     *
     * @param authRule
     */
    private void authRuleVerify(String authRule, Long adminId) {

        if (authRule != null && authRule.length() > 0) {

            List<String> authRules = authLoginService.listRuleByAdminId(adminId);
            // admin 为最高权限
            for (String item : authRules) {
                if (item.equals("admin") || item.equals(authRule)) {
                    return;
                }
            }
            throw new JsonException(ResultEnum.AUTH_FAILED);
        }

    }

}

Controller 中使用

使用 AuthRuleAnnotation 注解, value 值就是在数据库里面定义的 权限规则名称 
/**
 * 获取管理员列表
 */
@AuthRuleAnnotation("admin/auth/admin/index")
@GetMapping("/admin/auth/admin/index")
public ResultVO index(@Valid AuthAdminQueryForm authAdminQueryForm,
                      BindingResult bindingResult) {

    if (bindingResult.hasErrors()) {
        return ResultVOUtils.error(ResultEnum.PARAM_VERIFY_FALL, bindingResult.getFieldError().getDefaultMessage());
    }

    if (authAdminQueryForm.getRoleId() != null) {
        List<AuthRoleAdmin> authRoleAdmins = authRoleAdminService.listByRoleId(authAdminQueryForm.getRoleId());
        List<Long> ids = new ArrayList<>();
        if (authRoleAdmins != null && !authRoleAdmins.isEmpty()) {
            ids = authRoleAdmins.stream().map(AuthRoleAdmin::getAdminId).collect(Collectors.toList());
        }
        authAdminQueryForm.setIds(ids);
    }
    List<AuthAdmin> authAdminList = authAdminService.listAdminPage(authAdminQueryForm);

    // 查询所有的权限
    List<Long> adminIds = authAdminList.stream().map(AuthAdmin::getId).collect(Collectors.toList());
    List<AuthRoleAdmin> authRoleAdminList = authRoleAdminService.listByAdminIdIn(adminIds);

    // 视图列表
    List<AuthAdminVo> authAdminVoList = authAdminList.stream().map(item -> {
        AuthAdminVo authAdminVo = new AuthAdminVo();
        BeanUtils.copyProperties(item, authAdminVo);
        List<Long> roles = authRoleAdminList.stream()
                .filter(authRoleAdmin -> authAdminVo.getId().equals(authRoleAdmin.getAdminId()))
                .map(AuthRoleAdmin::getRoleId)
                .collect(Collectors.toList());
        authAdminVo.setRoles(roles);
        return authAdminVo;
    }).collect(Collectors.toList());

    PageInfo<AuthAdmin> authAdminPageInfo = new PageInfo<>(authAdminList);
    PageSimpleVO<AuthAdminVo> authAdminPageSimpleVO = new PageSimpleVO<>();
    authAdminPageSimpleVO.setTotal(authAdminPageInfo.getTotal());
    authAdminPageSimpleVO.setList(authAdminVoList);

    return ResultVOUtils.success(authAdminPageSimpleVO);

}

相关地址

GitHub 地址: https://github.com/lmxdawn/vu...

weixin_33693070
关注
自定义注解实现列维度的数据权限控制(springboot + shrio)
唯学习方能解忧
03-04 1431
需求描述: 传统项目中,经常会遇到系统根据用户权限的不同,前台部分数据需要打码或者直接隐藏。而且后台返回的数据也需要模糊处理,不然相当于掩耳盗铃。 文章目录一、思路和要求二、SpringBoot + Jackson序列化如何使用 一、思路和要求 思路: 后端会经过序列化然后传输到前台,我们需要在序列化的时候针对这些需要打码的字段进行特殊处理。 要求: 实现需要有通用性,且最好能做到所有有权限控制的...
1.2 使用JAVA自定义注解实现简单的自定义权限验证
林主席的博客
08-16 1809
前沿 权限认证是一个常见的需求,用自定义注解可以很简单的实现权限验证。废话不多说,直接讲解。 自定义注解 @Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interface RoleNum { //默认0为一般用户,1为普通管理员,2为超级管理员 ...
SpringBoot 注解最全详解
最新发布
weixin_42258334的博客
08-15 880
自动导入依赖的bean对象,默认时按照byType方式导入对象,而且导入的对象必须存在,当需要导入的对象并不存在时,我们可以通过配置required = false来关闭强制验证。用在某些属性上,可以实现懒加载的效果,也就是当用到这个字段的时候,才会装载这个属性,如果配置成fetch=FetchType.EAGER,表示即时加载,也是默认的加载方式!提供路由信息,负责URL到Controller中具体函数的映射,当用于方法上时,可以指定请求协议,比如GET、POST、PUT、DELETE等等。
Springboot使用注解实现权限校验
qq_59622162的博客
07-13 1514
记录一下使用springboot注解来给方法加权限 避免了每个方法都需要大量的权限判断
springboot--全注解式的权限管理系统源码
08-30
spring security 全注解式的权限管理/动态配置权限,角色和资源,权限控制到按钮粒度/采用token进行权限校验,禁用session,未登录返回401,权限不足返回403 /采用redis存储token及权限信息
基于springboot一个简单的注解权限验证方式
yaoct的博客
10-28 411
主要思想是基于环绕aop得到 controller方法上的注解权限。再与前面拦截器得到的用户权限进行比较。 拦截器与其配置文件: 参考文献: 1.切面匹配表达式。 https://www.cnblogs.com/songshuiyang/p/7857515.html 2.springboot aop。 https://www.cnblogs.com/huanzi-qch/p/9916478.html 3.获取注解的属性值 https://blog.csdn.net/HaHa_Sir/artic
spring boot 利用注解实现权限验证实现代码
08-26
"spring boot 利用注解实现权限验证实现代码" Spring Boot 利用注解实现权限验证是指在 Spring Boot 框架中使用注解实现权限验证的机制。这种机制可以在方法级别上对用户的权限进行检查,从而确保只有具备相应...
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
Spring Boot 通过 AOP 和自定义注解实现权限控制的方法 在本文中,我们将探讨如何使用 Spring Boot 通过 Aspect-Oriented Programming(AOP)和自定义注解实现权限控制。权限控制是任何应用程序的重要组件,它...
Spring Boot与Shiro实现权限管理
11-12
本篇文章将深入探讨如何利用Spring Boot的便捷性和Shiro的安全特性,构建一个完善的权限管理系统。 首先,Spring Boot是基于Spring框架的简化版本,它极大地减少了配置工作,通过“约定优于配置”的原则,使得...
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
SpringBoot 使用 AOP+注解实现简单的权限验证的方法 SpringBoot 框架提供了强大的权限验证机制,以确保应用程序的安全性。...本文介绍了如何使用 SpringAOP 框架和自定义注解实现权限验证,以确保应用程序的安全性。
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
Spring Boot中使用注解的方式实现数据权限控制
m0_71777195的博客
05-19 1376
** * 数据权限过滤注解 * */@Target(ElementType.METHOD)@Retention(RetentionPolicy.RUNTIME)@Documentedpublic @interface DataScope{/** * 部门表的别名 */ public String deptAlias() default "";/** * 用户表的别名 */ public String userAlias() default "";
SpringBoot项目自定义注解实现RBAC权限校验
qq_45830276的博客
08-27 1931
SpringBoot项目可以集成Spring Security做权限校验框架,然后在Controller接口上直接使用@PreAuthorize注解来校验权限,那么我们能够自制简易的权限呢,通过看该博客能够自己自制一套简易的权限管理模式。...
一个小白对auth的理解
weixin_30618985的博客
10-21 1477
---恢复内容开始--- PS:最近需要做一个验证用户权限的功能,在官方和百度看了下,发现大家都是用auth来做验证,官方有很多auth的使用教程,但是都不全面,我也提问了几个关于auth的问题 也没人来回答我,无奈只好一步步看代码研究了。本人基础不好,属于半路出家的那种,希望我的教程大家不要见笑。 新手纯属无奈之举。。。 废话不多开始解密: 首先说下我使用的Thinkphp版本:Th...
自定义注解实现权限验证
欢迎一起学习交流
03-02 3568
一、前言 在我们写项目时,一个项目通常会有拥有不同角色的用户,在进入某个方法前,会判断该用户是否具有此权限,今天我们来用自定义注解实现一下这个功能。 二、业务场景 1.场景介绍 假如有一个学生管理系统,我们来对一个用户是否具有对学生管理这个模块操作的权限进行验证 2.数据库 存储用户基本信息的用户表 角色表 用户角色关联表 3.前情提示 在写权限验证之前要把登录功能并传入token,在token里保存登录用户的角色id(后面会用到) //登录 @Reque..
Springboot基于拦截器自定义权限认证讲解
weixin_49297205的博客
08-11 1670
Springboot基于自定义注解拦截器的权限控制
SpringBoot 自定义注解(二)权限校验
这就是快乐嘛
07-20 1344
通过注解加上拦截器实现对指定注解参数的拦截 注解类: @Target({ ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interface PermissionCheck { // 根据参数判断 String resourceKey(); } 再对过滤的方法上面加注解: @GetMapping("v2") @PermissionCheck(resourceKey = "t
自定义注解实现RBAC权限校验,不要再说你不会了
小学生波波
01-22 4012
拦截器+自定义注解实现RBAC权限校验,你绝对看得懂
spring boot注解实现权限控制
大圣即大盗
12-25 3729
1、自定义注解 Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface RoleCheck { String[] roles() default {}; } 2、注解实现 @Service public class RoleCheckInterceptor ...
SpringBoot自定义注解实现权限拦截教程
"本文将详细介绍如何在SpringBoot项目中利用自定义注解实现权限拦截功能。通过创建自定义注解和拦截器,我们可以对特定的控制器或方法进行权限验证,确保只有具有相应权限的用户才能访问。" 在SpringBoot框架中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值