自定义注解 java 权限控制_SpringMVC给控制器添加自定义注解控制访问权限详解

最新推荐文章于 2024-07-18 01:59:31 发布
最新推荐文章于 2024-07-18 01:59:31 发布
阅读量216 收藏
点赞数
文章标签: 自定义注解 java 权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39887546/article/details/114722673
版权

场景描述:现在需要对部分Controller或者Controller里面的服务方法进行权限拦截。如果存在我们自定义的注解,通过自定义注解提取所需的权限值,然后对比session中的权限判断当前用户是否具有对该控制器或控制器方法的访问权限。如果没有相关权限则终止控制器方法执行直接返回。有两种方式对这种情况进行处理。

方式一:使用SpringAOP中的环绕Around

方式二:使用Spring web拦截器

定义注解

@Retention(RetentionPolicy.RUNTIME)

@Target({ElementType.METHOD,ElementType.TYPE})

@Documented

//最高优先级

@Order(Ordered.HIGHEST_PRECEDENCE)

public @interface RoleControl {

/**

*

* 角色类型,以便决定是否具有相关权限

*/

String value() default "user";

}

在Controller中使用

@RoleControl("ADMIN")

@Controller

public class LoginController {

@Autowired

private UserService uService;

@Autowired

private GlobalConfigService gcService;

@RoleControl("")

@RequestMapping("/login")

public String login(HttpServletRequest request,HttpServletResponse resp, @ModelAttribute("user") UserDto uDto) {

return ""

}

方式一:使用SpringAOP中的环绕Around

@Component

@Aspect

public class RoleControlAspect {

/**类上注解情形 */

//@Pointcut("@within(net.xby1993.springmvc.annotation.RoleControl)")

@Pointcut("execution(* net.xby1993.springmvc.controller..*.*(..)) && @within(net.xby1993.springmvc.annotation.RoleControl)")

public void aspect(){

}

/**方法上注解情形 */

@Pointcut("execution(* net.xby1993.springmvc.controller..*.*(..)) && @annotation(net.xby1993.springmvc.annotation.RoleControl)")

public void aspect2(){

}

/**aop实际拦截两种情形*/

@Around("aspect() || aspect2()")

public Object doBefore(ProceedingJoinPoint point) {

HttpServletRequest request = ((ServletRequestAttributes)RequestContextHolder.getRequestAttributes()).getRequest();

HttpSession session=request.getSession();

Object target = point.getTarget();

String method = point.getSignature().getName();

Class> classz = target.getClass();

Method m = ((MethodSignature) point.getSignature()).getMethod();

try {

if (classz!=null && m != null ) {

boolean isClzAnnotation= classz.isAnnotationPresent(RoleControl.class);

boolean isMethondAnnotation=m.isAnnotationPresent(RoleControl.class);

RoleControl rc=null;

//如果方法和类声明中同时存在这个注解,那么方法中的会覆盖类中的设定。

if(isMethondAnnotation){

rc=m.getAnnotation(RoleControl.class);

}else if(isClzAnnotation){

rc=classz.getAnnotation(RoleControl.class);

}

String value=rc.value();

Object obj=session.getAttribute(GeneUtil.SESSION_USERTYPE_KEY);

String curUserType=obj==null?"":obj.toString();

//进行角色访问的权限控制,只有当前用户是需要的角色才予以访问。

boolean isEquals=StringUtils.checkEquals(value, curUserType);

if(isEquals){

try {

return point.proceed();

} catch (Throwable e) {

// TODO Auto-generated catch block

e.printStackTrace();

}

}

}

}catch(Exception e){

}

return null;

}

}

方式二:使用拦截器,推荐

import java.lang.reflect.Method;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.web.method.HandlerMethod;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import net.xby1993.springmvc.annotation.RoleControl;

import net.xby1993.springmvc.util.GeneUtil;

import net.xby1993.springmvc.util.PathUtil;

import net.xby1993.springmvc.util.StringUtils;

public class GlobalInterceptor extends HandlerInterceptorAdapter{

private static Logger log=LoggerFactory.getLogger(LoginInterceptor.class);

@Override

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)

throws Exception {

HttpSession s=request.getSession();

s.setAttribute("host", PathUtil.getHost());

s.setAttribute("siteName", GeneUtil.SITE_NAME);

//角色权限控制访问

return roleControl(request,response,handler);

}

/**角色权限控制访问*/

private boolean roleControl(HttpServletRequest request,HttpServletResponse response, Object handler){

HttpSession session=request.getSession();

System.out.println(handler.getClass().getName());

if(handler instanceof HandlerMethod){

HandlerMethod hm=(HandlerMethod)handler;

Object target=hm.getBean();

Class> clazz=hm.getBeanType();

Method m=hm.getMethod();

try {

if (clazz!=null && m != null ) {

boolean isClzAnnotation= clazz.isAnnotationPresent(RoleControl.class);

boolean isMethondAnnotation=m.isAnnotationPresent(RoleControl.class);

RoleControl rc=null;

//如果方法和类声明中同时存在这个注解,那么方法中的会覆盖类中的设定。

if(isMethondAnnotation){

rc=m.getAnnotation(RoleControl.class);

}else if(isClzAnnotation){

rc=clazz.getAnnotation(RoleControl.class);

}

String value=rc.value();

Object obj=session.getAttribute(GeneUtil.SESSION_USERTYPE_KEY);

String curUserType=obj==null?"":obj.toString();

//进行角色访问的权限控制,只有当前用户是需要的角色才予以访问。

boolean isEquals=StringUtils.checkEquals(value, curUserType);

if(!isEquals){

//401未授权访问

response.setStatus(401);

return false;

}

}

}catch(Exception e){

}

}

return true;

}

}

weixin_39887546
关注
SpringMVC + Shiro 访问未授权页面时不跳转,页面打印抛异常
Excaliburace的博客
06-08 9137
描述:配置文件中配置了访问了未授权之后的跳转地址,但结果没能跳转过去,而是直接在页面上抛出未授权异常 分析原因:配置文件可能需要做额外的处理 最终解决方案: 方案1:<!-- 定义需要特殊处理的异常,用类名或完全路径名作为key,异常页名作为值 --> <bean class="org.springframework.web.servlet.handler.SimpleMappingExceptio
Spring Aop +自定义注解实现用户权限控制
小白鼠丶
10-10 952
项目结构: pom.xml:<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/x
JAVA自定义注解+AOP实现认证授权
最新发布
m0_57836225的博客
07-18 672
在上述示例中,当执行带有 `@Authenticated` 注解的方法时,会先进入切面的 `authenticate` 方法进行认证授权的判断,如果认证成功则执行方法,否则抛出异常。当希望在运行时能够读取和处理注解的信息,以实现一些动态的功能(如通过反射获取注解并根据注解的值执行不同的逻辑)时,就需要将注解的保留策略设置为 `RetentionPolicy.RUNTIME`。需要注意的是,如果目标方法抛出了异常,将不会执行返回通知,而是直接跳转到异常通知(`@AfterThrowing`)。
SpringMVC03controller中定义多个方法
weixin_30243533的博客
07-21 92
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <% String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request.getServerName()+":"+re...
基于SpringMVC拦截器和注解实现controller中访问权限控制
weixin_30273501的博客
04-20 624
SpringMVC的拦截器HandlerInterceptorAdapter对应提供了三个preHandle,postHandle,afterCompletion方法。 preHandle在业务处理器处理请求之前被调用; postHandle在业务处理器处理请求执行完成后,生成视图之前执行; afterCompletion在DispatcherServlet完全处理完请求后被调用,可...
archive log list权限不足_Spring Security(五):前后端权限控制详解
weixin_39633165的博客
11-21 555
文章回顾:Spring Security(一):整合JWT实现登录功能Spring Security(二):获取用户权限菜单树Spring Security(三):与Vue.js整合Spring Security(四):更新前端路由获取方式1、每次请求时,都会带有token,Spring Security会根据token判断用户信息,进行授权。2、对于接口权限控制,我们可以用过使用Spring的...
SpringMVC自定义属性编辑器详解及实例
01-08
SpringMVC自定义属性编辑器详解及实例 自定义springMVC的属性编辑器主要有两种方式,一种是使用@InitBinder标签在运行期注册一个属性编辑器,这种编辑器只在当前Controller里面有效;还有一种是实现自己的 ...
annotation-springMVC.rar_springmvc_springmvc API chm
09-22
SpringMVC注解详解与应用》 SpringMVC作为Java Web开发中广泛使用的轻量级框架,极大地简化了Web应用程序的构建。其中,注解的使用是SpringMVC的一大特色,它使得代码更加简洁、易读,同时也提高了开发效率。下面...
Java实训教程 Java软件开发实战 Java开发框架介绍 SpringMVC_5_常用注解 共22页.pptx
07-11
### Java实训教程知识点详解 #### 一、SpringMVC概述与环境搭建 SpringMVC作为Spring框架中的一个重要组成部分,主要用于构建Web应用。它基于MVC(Model-View-Controller)设计模式,帮助开发者构建清晰、可维护的...
spring_mvc.zip_Spring学生_spring mvc_springmvc 学生_springmvc 系统
09-20
Spring MVC 是一个基于 Spring 框架的模型-视图-控制器(MVC)架构,它简化了在 Java Web 应用中的开发工作。在"spring_mvc.zip"中,我们可以看到一个针对学生管理系统的实例代码,这将帮助我们深入理解如何使用 ...
自定义注解+拦截器实现权限管理
weixin_60376559的博客
01-31 1250
自定义注解+拦截器实现权限管理
java后台权限控制
08-10
第一个文件是不假shiro的 第二个是加shiro的 附带sql脚本
权限控制自定义注解,AOP注入
some_mushroom的博客
09-02 395
1、自定义注解 自定义注解可以写业务需要的函数逻辑,验证权限 自定义注解有两个必要的元注解: (1)Target 用来描述注解的修饰范围,共四种: (a)TYPE:类、接口、enum (b)METHOD:方法 (c)PARAMETER:方法变量 (d)PACKAFE:包 (2)Retention 用来控制注解的生命周期,共三种: (a)SOURCE:源文件中有效,编译无效 (b)CLASS:随源文件编译至class文件中,运行时无效 (c)RUNTIME:运行时也有效 举个栗子 @Target({ Ele
spring AOP + 自定义注解实现权限控制小例子
热门推荐
Minhellic的博客
07-15 1万+
今天看了一下黑马程序员的视频,上面讲到一个使用spring AOP + 自定义注解的方式来实现权限控制的一个小例子,个人觉得还是可以借鉴,整理出来与大家分享。需求:service层有一些方法,这些方法需要不同的权限才能访问。实现方案:自定义一个PrivilegeInfo的注解,使用这个注解为service层中的方法进行权限配置,在aop中根据PrivilegeInfo注解的值,判断用户是否拥有访问
java权限控制器_JAVA基础之訪问控制权限(封装)
weixin_42316286的博客
02-28 258
包:库单元1.当编写一个Java源码文件时。此文件通常被称为编译单元(有时也被称为转译单元)。2.每一个编译单元都必须有一个后缀名.java,而在编译单元内则能够有一个public类,该类名称必须和文件的名称同样。3.每一个编译单元仅仅能有一个public类,否则编译器就不会接受。4.假设在该编译单元之中还有额外的类的话,那么在包之外的世界是无法看见这些类的,由于它们不是public类。代码组织x...
Springboot自定义注解实现简单的接口权限控制,替代Shiro/SpringSecurity
weixin_42822484的博客
08-09 3787
       我们知道权限控制是不能交给前端去做的,因为一但后端的接口所暴露,是十分危险的一件事,所以前端发起的请求的安全性无从考证,最终的权限控制还是要交给后端去判断。        Shiro和SpringSecurity是都具备权限控制的两个框架,但是如果自己的小项目在权限控制方面要求比较简单,那么这两个框架就显得有些“重”,而且SpringSecurity配置起
解决:设置了springMVC中的静态资源访问权限但仍无法访问静态资源
g13197895299的博客
04-16 1745
解决ssm项目中在springMVC的配置文件设置了静态资源放行但仍然无法访问静态资源的问题。
自定义注解和Aspect实现在控制层上方法统一加锁
我若 姓陈 的博客
01-13 693
使用场景:在分布式系统中需要对一些方法进行分布式锁的添加,保证原子性。但是加锁的代码基本是重复的,每个方法都写一遍这个加锁代码,这显然不合适,所以这里才有了自定义一个注解和Aspect 切面编程实现加锁。 自定义注解类: @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented publi...
自定义注解控制访问权限
weixin_45962741的博客
08-21 456
首先自定义一个注解: package com.xxxx.qcby.anno; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; /** * @Classname PreAuth * @Description 这是权限字符串注解 *
SpringMVC入门:URL自定义与注解控制器详解
在这个例子中,`BbtForumController`被映射到URL "/forum.do",意味着当用户访问这个路径时,SpringMVC将调用控制器的相应方法。`RequestMapping`注解支持多种请求方法,如GET、POST等,这里仅示例了`GET`请求。 接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值