java设置校验功能_Spring AOP 实现功能权限校验功能

最新推荐文章于 2023-08-08 19:44:13 发布
最新推荐文章于 2023-08-08 19:44:13 发布
阅读量363 收藏
点赞数
文章标签: java设置校验功能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35293785/article/details/114787382
版权

实现功能权限校验的功能有多种方法,其一使用拦截器拦截请求,其二是使用AOP抛异常。

首先用拦截器实现未登录时跳转到登录界面的功能。注意这里没有使用AOP切入,而是用拦截器拦截,因为AOP一般切入的是service层方法,而拦截器是拦截控制器层的请求,它本身也是一个处理器,可以直接中断请求的传递并返回视图,而AOP则不可以。

1.使用拦截器实现未登录时跳转到登录界面的功能

1.1 拦截器SecurityInterceptor

package com.jykj.demo.filter;

import java.io.PrintWriter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

import com.alibaba.fastjson.JSON;

import com.jykj.demo.util.Helper;

import com.jykj.demo.util.Result;

public class SecurityInterceptor implements HandlerInterceptor{

@Override

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)

throws Exception {

System.out.println("SecurityInterceptor:"+request.getContextPath()+","+request.getRequestURI()+","+request.getMethod());

HttpSession session = request.getSession();

if (session.getAttribute(Helper.SESSION_USER) == null) {

System.out.println("AuthorizationException:未登录!"+request.getMethod());

if("POST".equalsIgnoreCase(request.getMethod())){

response.setContentType("text/html; charset=utf-8");

PrintWriter out = response.getWriter();

out.write(JSON.toJSONString(new Result(false,"未登录!")));

out.flush();

out.close();

}else{

response.sendRedirect(request.getContextPath()+"/login");

}

return false;

} else {

return true;

}

}

@Override

public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,

ModelAndView modelAndView) throws Exception {

// TODO Auto-generated method stub

}

@Override

public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)

throws Exception {

// TODO Auto-generated method stub

}

}

1.2.spring-mvc.xml(拦截器配置部分)

这里需要特别说明:拦截器拦截的路径最好是带有后缀名的,否则一些静态的资源文件不好控制,也就是说请求最好有一个统一的格式如 .do 等等,这样匹配与过滤速度会非常快。如果不这样,例如 用 /** 来拦截所有的请求,则页面渲染速度会非常慢,因为资源文件也被拦截了。

2.使用AOP实现功能权限校验

对于功能权限校验也可以类似地用拦截器来实现,只不过会拦截所有的请求,对不需要权限校验的请求没有很好的过滤功能,所以采用AOP指定拦截需要校验的方法的方式来实现之。

2.1 切面类 PermissionAspect

package com.jykj.demo.filter;

import java.io.IOException;

import java.lang.reflect.Method;

import org.aspectj.lang.JoinPoint;

import org.aspectj.lang.reflect.MethodSignature;

import org.springframework.beans.factory.annotation.Autowired;

import com.jykj.demo.annotation.ValidatePermission;

import com.jykj.demo.exception.AccessDeniedException;

import com.jykj.demo.service.SysUserRolePermService;

/**

* 事件日志 切面,凡是带有 @ValidatePermission 以及@ResponseBody注解 控制器 都要进行 功能权限检查,

* 若无权限,则抛出AccessDeniedException 异常,该异常将请求转发至一个控制器,然后将异常结果返回

* @author Administrator

*

*/

public class PermissionAspect {

@Autowired

SysUserRolePermService sysUserRolePermService;

public void doBefore(JoinPoint jp) throws IOException{

System.out.println(

"log PermissionAspect Before method: " + jp.getTarget().getClass().getName() + "." + jp.getSignature().getName());

Method soruceMethod = getSourceMethod(jp);

if(soruceMethod!=null){

ValidatePermission oper = soruceMethod.getAnnotation(ValidatePermission.class);

if (oper != null) {

int fIdx = oper.idx();

Object[] args = jp.getArgs();

if (fIdx>= 0 &&fIdx

int functionId = (Integer) args[fIdx];

String rs = sysUserRolePermService.permissionValidate(functionId);

System.out.println("permissionValidate:"+rs);

if(rs.trim().isEmpty()){

return ;//正常

}

}

}

}

throw new AccessDeniedException("您无权操作!");

}

private Method getSourceMethod(JoinPoint jp){

Method proxyMethod = ((MethodSignature) jp.getSignature()).getMethod();

try {

return jp.getTarget().getClass().getMethod(proxyMethod.getName(), proxyMethod.getParameterTypes());

} catch (NoSuchMethodException e) {

e.printStackTrace();

} catch (SecurityException e) {

e.printStackTrace();

}

return null;

}

}

2.2自定义注解ValidatePermission

package com.jykj.demo.annotation;

import java.lang.annotation.Documented;

import java.lang.annotation.ElementType;

import java.lang.annotation.Retention;

import java.lang.annotation.RetentionPolicy;

import java.lang.annotation.Target;

/**

*@Descrption该注解是标签型注解,被此注解标注的方法需要进行权限校验

*/

@Target(value = ElementType.METHOD)

@Retention(value = RetentionPolicy.RUNTIME)

@Documented

public @interface ValidatePermission {

/**

*@Description功能Id的参数索引位置 默认为0,表示功能id在第一个参数的位置上,-1则表示未提供,无法进行校验

*/

int idx() default 0;

}

说明: AOP切入的是方法,不是某个控制器请求,所以不能直接返回视图来中断该方法的请求,但可以通过抛异常的方式达到中断方法执行的目的,所以在before通知中,如果通过验证直接return返回继续执行连接点方法,否则抛出一个自定义异常AccessDeniedException来中断连接点方法的执行。该异常的捕获可以通过系统的异常处理器(可以看做控制器)来捕获并跳转到一个视图或者一个请求。这样就达到拦截请求的目的。所以需要配置异常处理器。

2.3 spring-mvc.xml(异常处理器配置,以及aop配置)

forward:/accessDenied

expression="@annotation(com.jykj.demo.annotation.ValidatePermission)

and @annotation(org.springframework.web.bind.annotation.ResponseBody)

and execution(* com.jykj.demo.controller..*.*(..)) " />

2.5 异常处理器将请求转发到的控制器请求 forward:/accessDenied

@RequestMapping(value = "/accessDenied",produces = "text/html;charset=UTF-8")

@ResponseBody

public String accessDenied(){

return JSON.toJSONString(new Result(false,"您没有权限对此进行操作!"));

}

2.6 请求校验不通过时 由上述的控制器返回 结果本身

如下所示:

{"info":"您没有权限对此进行操作!","success":false}

1

2.7 功能校验service 示例

/**

* 校验当前用户在某个模块的某个功能的权限

*@param functionId

*@return 空字符串表示 有权限 ,否则是错误信息

*@throws Exception

*/

public String permissionValidate(int functionId){

Object o = request.getSession().getAttribute(Helper.SESSION_USER);

//if(o==null) throw new AuthorizationException();

SysUser loginUser= (SysUser)o;

if(loginUser.getUserid() == 1) return "";

try{

return mapper.permissionValidate(loginUser.getUserid(),functionId);

}catch(Exception ex){

ex.printStackTrace();

return "数据库操作出现异常!";

}

}

说明: 这里仅仅是对带有@ValidatePermission和@ResponseBody注解的controller包及其子包所有方法进行切入,这样肯定是不够通用的,应该是对带有@ValidatePermission的方法进行切入,在切面类中通过判断该方法是否有@ResponseBody注解来抛出不一样的异常,若带有@ResponseBody注解则抛出上述的异常返回json字符串,

否则,应该抛出另一个自定义异常然后将请求重定向到一个合法的视图如error.jsp .

通过客户端发送 /moduleAccess.do 请求,该请求对应的方法同时具有@ValidatePermission和@ResponseBody,并且有功能Id参数fid,这样AOP可以切入该方法,执行doBefore通知,通过功能参数fid,对它结合用户id进行权限校验,若校验通过直接返回,程序继续执行,否则抛出自定义异常AccessDeniedException,该异常由系统捕获(需要配置异常处理器)并发出请求 forward:/accessDenied ,然后对应的控制器 /accessDenied 处理该请求返回一个包含校验失败信息的json给客户端。这样发送 /moduleAccess.do 请求,如果校验失败,转发到了/accessDenied请求,否则正常执行。绕了这么一个大圈子才实现它。

杀手海王
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring AOP实现功能权限校验功能的示例代码
08-28
本篇文章主要介绍了Spring AOP实现功能权限校验功能的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java 权限校验_Spring AOP实现功能权限校验功能的示例代码
weixin_30131443的博客
02-13 766
实现功能权限校验功能有多种方法,其一使用拦截器拦截请求,其二是使用AOP抛异常。首先用拦截器实现未登录时跳转到登录界面的功能。注意这里没有使用AOP切入,而是用拦截器拦截,因为AOP一般切入的是service层方法,而拦截器是拦截控制器层的请求,它本身也是一个处理器,可以直接中断请求的传递并返回视图,而AOP则不可以。1.使用拦截器实现未登录时跳转到登录界面的功能1.1 拦截器SecurityI...
java服务-springboot拦截器实现用户登录Token及权限校验
码者人生的技术博客
05-30 4256
springboot拦截器主要目标: 拦截请求,验证请求的用户对访问的资源是否有访问权限; 需要排除一些不在权限控制范围内的url,如swagger的接口文档列表; 需要排除的url,在配置文件中进行配置; 双拦截器
权限校验—接口检验
一起加油吧~
08-08 2076
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限
java接口验证_利用Java怎么在调用接口时添加一个权限验证功能
weixin_36213943的博客
02-20 1370
利用Java怎么在调用接口时添加一个权限验证功能发布时间:2020-11-27 15:16:28来源:亿速云阅读:118作者:Leah利用Java怎么在调用接口时添加一个权限验证功能?相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。一、编写的环境工具:IDEA框架:GUNS框架(自带后台权限验证配置,我们这里需要编写前端权限验证配置)二、...
SpringAOP+自定义注解模拟shiro框架实现
chunsuo2480的博客
08-04 1002
一、概念 权限管理就是管理用户对于资源的操作。本 CRM 系统的权限(也称作资源)是基于角色操作权限实现的,即RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,...
JavaSpring AOP 实现用户权限验证
08-31
本篇文章主要介绍了JavaSpring AOP 实现用户权限验证,用户登录、权限管理这些是必不可少的业务逻辑,具有一定的参考价值,有兴趣的可以了解一下。
详解Spring AOP 实现“切面式”valid校验
08-28
本篇文章主要介绍了详解Spring AOP 实现“切面式”valid校验,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
注解+AOP优雅的实现java项目的接口参数校验(含源码)
01-17
基于Spring boot + maven,以注解+AOP方式实现java后端项目接口参数校验框架。迄今为止使用最简单、最容易理解的参数校验方案。博客地址:https://blog.csdn.net/weixin_42686388/article/details/104009771
spring boot+自定义 AOP 实现全局校验的实例代码
08-26
最近公司重构项目,重构为最热的微服务框架 spring boot, 重构的时候遇到几个可以统一处理的问题。这篇文章主要介绍了spring boot+自定义 AOP 实现全局校验 ,需要的朋友可以参考下
java实现角色权限认证
m0_65724213的博客
01-17 1001
角色权限
java aop性能检测_SpringAOP01 利用AOP实现权限验证、利用权限验证服务实现权限验证...
weixin_34524593的博客
03-06 301
1 编程范式1.1 面向过程1.2 面向对象1.3 面向切面编程1.4 函数式编程1.5 事件驱动编程2 什么是面向切面编程2.1 是一种编程范式,而不是一种编程语言2.2 解决一些特定的问题2.3 作为面向对象编程的一种补充3 AOP产生的初衷3.1 解决代码重复性问题 Don't Repeat Yourself3.2 解决关注点分离问题 Separation of Concerns3.2.1...
Java的接口调用时的权限验证功能
weixin_42632091的博客
11-24 5500
JAVAJava的接口调用时的权限验证功能一、编写的环境二、使用步骤1.配置前端调用的接口2.配置拦截路径3.创建验证文件4.创建注解@PassToken总结 Java的接口调用时的权限验证功能 提示:这里可以添加本文要记录的大概内容: 例如:一般系统前端调用后台相关功能接口时,需要验证此时用户的权限是否满足调用该接口的条件,因此我们需要配置相应的验证权限功能。 提示:以下是本篇文章正文内容,下面案例可供参考 一、编写的环境 工具:IDEA 框架:GUNS框架(自带后台权限验证配置,我们这里需要编写前
java安全机制与权限校验
caoruntie的专栏
09-17 344
  java 线程安全模型分析:   在你研究jdk源码包或者tomcat等开源框架源码时,是否经常遇到这样的代码:       java.security.AccessController.doPrivileged( new java.security.PrivilegedExceptionAction<Void>() { ...
JAVA写一个员工权限校验接口
weixin_42576467的博客
02-16 154
好的,以下是一个使用Java编写的员工权限校验接口的示例代码: public interface EmployeeAuthorization { /** * 校验员工权限 * @param employeeId 员工ID * @param permission 权限名称 * @return 校验结果,true为有权限,false为无权限 ...
AOP实现一个拦截转发——简单配置和应用
明天和意外哪个先到,其实这不重要
03-17 1234
大概情况是这样的,两个项目,有相同的rest接口,本来请求走的是一个项目,后来要迁移到另一个项目,但是不能一次性全部切换,所以需要在原有的项目入口处进行拦截,判断这个请求是继续走老的项目,还是去请求新的项目。本来是打算用拦截器的,但是拦截器的返回类型是Boolean类型,我的接口是下单请求,需要有返回值的,所以切换aop aop有两种实现方式,一种是xml配置,一种是注解,我使用的是注解的形式 ...
java 权限校验_权限验证 · Java高效编程 · 看云
weixin_33139275的博客
02-16 612
## 重写MyRealm中的doGetAuthorizationInfo方法```@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {User user = (User) SecurityUtils.getSubject().getPrincipa...
springboot 增加登录拦截
never_mm的博客
11-05 279
最近从头开始用springboot做了一个项目,做到了一个登录拦截,实现很简单,记录一下。 1.注册拦截器,新建类 MVCConfiguration @Configuration @EnableCaching public class MVCConfiguration implements WebMvcConfigurer { /* * 配置拦截器 * */ @...
Java权限验证
qq_27416233的博客
11-14 2967
#Java权限验证   这里面我们进行一些简单的权限验证,先从数据库建立关系来说起 ###建立数据库表 1.User表(用户) CREATE TABLE USER( id INT(11) PRIMARY KEY AUTO_INCREMENT COMMENT '用户id', userName VARCHAR(30) NOT NULL COMMENT '用户姓名', address...
springaop数据校验
最新发布
09-05
SpringAOP数据校验可以通过自定义AOP方式来实现。可以在SpringBoot的启动类中使用@EnableNonCheck注解来启用AOP校验功能,并在需要校验的方法上添加校验注解。例如,可以使用javax.validation包中的注解对方法参数进行校验,如@NotNull、@NotEmpty等。通过自定义AOP切面,在方法执行前进行参数校验,如果参数校验不通过,则可以抛出异常或返回相应的错误信息。这样可以实现对参数的自动校验,减少手动校验的繁琐过程。这种方式可以解决SpringBoot校验方式无法完成对象嵌套的校验功能的问题。同时,使用AOP方式进行数据校验可以减少漏掉某个字段的风险,提高校验的准确性和可靠性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [使用SpringAOP优雅的进行参数校验【三种方式】](https://blog.csdn.net/LG112103/article/details/126713640)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值