自定义用户权限,全局用户搜索

最新推荐文章于 2022-09-01 12:14:13 发布
最新推荐文章于 2022-09-01 12:14:13 发布
阅读量3.1k 收藏
点赞数
分类专栏: 工作 文章标签: 安全 spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42183336/article/details/122720921
版权

1.自定义用户登录认证

思想:用户登录后将用户存入到ThreadLocal中,访问非白名单接口时在filter中获取用户信息,为空则抛出异常,不为空放行。

1.存用户信息

package com.ztccloud.auth.util;

import com.ztccloud.auth.entity.RecordUser;

/**
 * @program: zfd-questionaire
 * @description: session管理器
 * @author: dct
 * @create: 2022-01-26 10:56
 **/
public class SessionUtils {

    //当前线程存放用户信息
    public static ThreadLocal<RecordUser> threadLocal = new ThreadLocal<>();

    /**
     * 设置用户信息
     *
     * @param recordUser
     */
    public static void setUser(RecordUser recordUser) {
        threadLocal.set(recordUser);
    }

    /**
     * 获取用户信息
     *
     * @return
     */
    public static RecordUser getUser() {
        RecordUser user = threadLocal.get();
        return user;
    }

    /**
     * 删除用户信息
     */
    public static void distoryUser() {
        threadLocal.remove();
    }
}

对存入信息进行二次封装:

package com.ztccloud.auth.util;

import com.ztccloud.auth.entity.RecordUser;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpSession;

/**
 * @author dongchentong
 * @date 2021/11/15 18:03
 */
@Component
public class UserControl {

    public static final String SESSION_USER="user";

    public static  void  setUser(RecordUser user){
        HttpSession session = getSession();
        session.setAttribute(SESSION_USER, user);
        SessionUtils.setUser(user);
    }

    public static void removeUser() {
        HttpSession session = getSession();
        session.removeAttribute(SESSION_USER);
        SessionUtils.distoryUser();
    }

    private static HttpSession getSession() {
        HttpSession session = ((ServletRequestAttributes) RequestContextHolder.currentRequestAttributes()).getRequest().getSession();
        return session;
    }


}

3.核心filter

package com.ztccloud.auth.filter;


import com.ztccloud.auth.entity.RecordUser;
import com.ztccloud.auth.util.SessionUtils;
import com.ztccloud.auth.util.UserControl;
import com.ztccloud.naire.exception.ErrorController;
import com.ztccloud.naire.exception.QuestionException;
import org.apache.commons.lang3.StringUtils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Arrays;
import java.util.List;

/**
 * @program: zfd-questionaire
 * @description: 用户认证拦截器
 * @author: dct
 * @create: 2022-01-26 10:48
 **/
public class AuthFilter implements Filter {

        //配置白名单
        protected static List<String> patterns = Arrays.asList("/user/login");

        @Override
        public void init(FilterConfig filterConfig) {

        }

        @Override
        public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws  ServletException, IOException {
            HttpServletRequest httpRequest = (HttpServletRequest) servletRequest;
            HttpServletResponse httpResponse = (HttpServletResponse) servletResponse;

            String url = httpRequest.getRequestURI().substring(httpRequest.getContextPath().length());
            if (patterns.contains(url)|| StringUtils.containsAny(url,new String[]{"swagger","api-docs"})) {
                //在白名单中的url,放行访问
                filterChain.doFilter(httpRequest, httpResponse);
                return;
            }
            RecordUser user=(RecordUser) httpRequest.getSession().getAttribute(UserControl.SESSION_USER);
            if (user != null) {
                //若为登录状态 放行访问
                UserControl.setUser(user);
                filterChain.doFilter(httpRequest, httpResponse);
            } else {
                //提示用户未进行登录
                try {
                    throw new QuestionException("ques_user_1001","User not logged in!");
                } catch (Exception e) {
                    servletRequest.setAttribute(ErrorController.ATTRIBUTE, e);
                    servletRequest.getRequestDispatcher(ErrorController.ERROR_PATH).forward(servletRequest, servletResponse);
                }
            }

        }

        @Override
        public void destroy() {

        }

}

4.请求结束后使用监听器,释放Session中的数据

package com.ztccloud.auth.filter;

import com.ztccloud.auth.util.SessionUtils;
import org.springframework.stereotype.Component;

import javax.servlet.ServletRequestEvent;
import javax.servlet.ServletRequestListener;

/**
 * @program: zfd-questionaire
 * @description: 请求监听器, 释放线程内存
 * @author: dct
 * @create: 2022-01-26 14:24
 **/
@Component
public class RequestListener implements ServletRequestListener {
    @Override
    public void requestDestroyed(ServletRequestEvent sre) {
        SessionUtils.distoryUser();
    }
}

2.使用自定义注解进行方法级别权限校验

1.定义角色枚举类

package com.ztccloud.auth.node;

import java.util.HashMap;
import java.util.Map;

/**
 * @program: zfd-questionaire
 * @description: 角色枚举
 * @author: dct
 * @create: 2022-01-26 17:08
 **/
public enum UserRoles {
    /**
     * 1,管理员
     */
    ADMIN("1000","ADMIN", "超级用户"),

    /**
     * 2,二级角色
     */
    SECADMIN("2000","SECADMIN", "二级角色"),

    /**
     * 3.基础角色
     */
    DOMESTICCONSUMER("3000","DOMESTICCONSUMER", "基础角色");

    /**
     *  RoleID
     */
    private String id;
    /**
     *  RoleName
     */
    private String code;

    /**
     * 中文名称
     */
    private String name;


     UserRoles(String id, String code, String name) {
        this.id = id;
        this.code = code;
        this.name = name;
    }

}

2.定义注解类

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * @program: zfd-questionaire
 * @description: 自定义注解interface
 * @author: dct
 * @create: 2022-01-26 17:32
 **/
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface Authorization
{
    UserRoles[] value() default{};
}

3.授权处理拦截器

import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.ArrayList;

/**
 * @program: zfd-questionaire
 * @description: 授权处理拦截器
 * @author: dct
 * @create: 2022-01-26 17:46
 **/

@Component("authInterceptor")
public class AuthInterceptor implements HandlerInterceptor
{
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
    {
        if (handler.getClass().isAssignableFrom(HandlerMethod.class))
        {
            // 方法上是否有授权注解
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Authorization authorization = handlerMethod.getMethodAnnotation(Authorization.class);
            if(authorization == null){
                return true;
            }
            // 获取授权信息
            ArrayList<UserRoles> roles = new ArrayList<UserRoles>();
            for (int i = 0; i < authorization.value().length; i++)
            {
                roles.add(authorization.value()[i]);
            }
            // 权限检查时,若权限不匹配,需抛出异常
            AuthChecker.check(roles, request);
        }
        return true;
    }
}

4.实时权限校验

import com.ztccloud.auth.entity.Role;
import com.ztccloud.auth.util.SessionUtils;
import com.ztccloud.naire.exception.QuestionException;

import javax.servlet.http.HttpServletRequest;
import java.util.Collections;
import java.util.List;
import java.util.stream.Collectors;

/**
 * @program: zfd-questionaire
 * @description: 实时权限检查
 * @author: dct
 * @create: 2022-01-26 17:33
 **/
public class AuthChecker {

    /**
    * @Description: 执行权限检查。根据Controller的权限和实际登录用户的权限进行匹配,从而允许或者拒 绝访问。拒绝访问时,抛出异常
    * @Param: [presetRoles, request]
    * @return: [java.util.List<com.ztccloud.auth.node.UserRoles>, javax.servlet.http.HttpServletRequest]
    * @Author: dct
    * @Date: 2022/1/26
    */
    public static void check(List<UserRoles> presetRoles, HttpServletRequest request)
    {
        // 若允许匿名访问,不做权限检查。
        List<Role> userRoles = SessionUtils.getUser().getUserRoles();
        List<String> roles = presetRoles.stream().map(UserRoles::name).collect(Collectors.toList());
        List<String> roleNames = userRoles.stream().map(Role::getRoleName).collect(Collectors.toList());
        if(!Collections.disjoint(roles,roleNames)) {
            return;
        } else {
            throw new QuestionException("ques_user_1003","Insufficient permissions");
        }
    }
}

5.注册Hanlder

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @program: zfd-questionaire
 * @description: 角色认证器注册
 * @author: dct
 * @create: 2022-01-26 21:51
 **/
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new AuthInterceptor()).addPathPatterns("/**");
    }

}

xiao白跳大神
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自定义注解+AOP实现权限控制.zip
01-15
详情请查看博客:<a href='https://blog.csdn.net/byteArr/article/details/103984725'> springboot+自定义注解+AOP实现权限控制(一)和<a href='https://blog.csdn.net/byteArr/article/details/103992016'> ...
枚举类专题
攻城老湿的博客
05-25 65
1 枚举类的特征 枚举类的值是有限的几个值。只读不需要修改 枚举是一组常量的集合,只包含一组有限的特定的对象 实现枚举有两种方式 自定义类实现 enum关键字实现 2 自定义类 2.1 自定义类的特征 不需要提供setXXX方法,因为通常枚举类为只读 对枚举对象使用 final+static修饰,实现底层优化 枚举对象名通常使用全部大写,常量的命名规范 枚举对象可以有多个属性 2.2 自定义类实现枚举类的步骤 构造器私有化 本类内部创建一组对象 对外暴露对象(public
Spring Security)学习七:自定义用户资源权限动态控制
希克的博客
09-01 822
实现了自定义用户动态登录后,不同的用户必定有不同的用户权限和资源,我们需要根据不同的用户的角色以及资源,来给用于对应的权限控制。在查看本文章之前,需要实现了解RBAC权限设计思想和概念,以便更好的理解用户资源权限动态控制。...
MVC巧用枚举做权限管理
weixin_34279579的博客
09-30 120
用户数据表,每个用户有一个或者多个权限,用户表如下 userid,roleid,username等 权限枚举如下: public class CustomEnum    {        [Flags]        /// &lt;summary&gt;        /// 用户角色枚举        /// &lt;/summary&gt;        public enum Use...
理解SpringMVC 提供的工具类RequestContextHolder
cigouqiong0326的博客
09-07 167
SpringMVC 提供了一个非常方便的工具类,能够在任意地方很方便的获取 request 和 session 对象。 RequestContextHolder 顾名思义,持有上下文的 Request 容器。 在新的 Spring 版本中不需要配置监听器,但如果和第三方框架集成,有时候需要在 ...
springMVC 自定义拦截器
u013439865的博客
09-02 363
1:spring.xml配置拦截器 2:java代码的配置 1):Authorization注解的配置import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotat
Android自定义APP全局悬浮按钮
01-05
原本想通过framelayout实现一个悬浮在其他控件上的按钮,但是觉得很麻烦,需要各个界面都要...一、首先因为悬浮窗式的所以要添加权限,对于SDK>=23的需要动态获取权限,我这边用的是22的 二、通过application获取到
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
主要介绍了Spring Boot 通过AOP和自定义注解实现权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
angular 封装全局按钮权限
04-25
angular 权限控制到了按钮级别,点到点,方便控制!
sh:自定义全局shell命令
04-18
增加自定义全局shell命令 写法 具体写法参考setNpmRegistry 可执行权限 记得设置可执行权限 chmod +x setNpmRegistry 增加入口 根据实际路径设置 export PATH=$PATH:~/sh 参考文档
Http请求Authorization认证
热门推荐
程序员深夜写bug
03-21 10万+
1、需求 a、对http请求进行访问权限设定 b、对特定请求方法进行拦截,统一进行权限认证 2、方案 自定义注解(用于控制哪些方法需要拦截),通过AOP在需要拦截的Controller方法进行统一拦截权限认证 3、代码 a、自定义注解 import java.lang.annotation.*; @Target({ElementType.PA...
RESTful登录设计(基于Spring及Redis的Token鉴权)
AndyLizh的专栏
06-08 7万+
什么是REST REST(Representational State Transfer)是一种软件架构风格。它将服务端的信息和功能等所有事物统称为资源,客户端的请求实际就是对资源进行操作,它的主要特点有: – 每一个资源都会对应一个独一无二的url – 客户端通过HTTP的GET、POST、PUT、DELETE请求方法对资源进行查询、创建、修改、删除操作 – 客户端与服务端的交互必须是无状
QT模型视图MVC系列教程(4)---角色role的使用(Qt::DisplayRole 类型)
野生猿-群号1025127672
02-02 1万+
模型正在维护的数据,不仅是视图中所看到的那些,还有很多数据在视图是被隐藏的,你看不到,不代表他没有,比如,一个列表视图中,不仅会显示文字,文字前可能还会显示一个图标。 其实,每一个条目,所包含的内容,不仅有文字、图标,还有很多,到底有哪些呢,看一下枚举Qt::DisplayRole 就知道了,在QT5.10中,有22个,以后随着QT版本更新,这个值可能会变化。 当视图View向模型Model索要数据时,不仅要提供索引 index,还必须要提供角色role。index和role共同决定出视图到底在向Mod
2014.06.12 枚举类 实现 系统角色的统一管理
我能坚持多久的专栏
06-12 788
public enum TestEnum { admin("系统管理员"); private String rolename; private TestEnum(String rolename) { this.rolename = rolename; } public String getRolename() { return rolename; } }
Enum枚举详解和EnumSet、EnumMap使用
SeanMiao
08-09 1万+
一、Enum枚举 public enum Day { MONDAY,TUESDAY,WEDNESDAY,THURSDAY,FRIDAY,SATURDAY,SUNDAY; } 一个简单的测试类: public class TestEnum { public static void main(String[] args) { Day today=Day....
【C#】泛型方法的妙用
u014650759的专栏
01-12 5099
泛型允许灵活地创建类型,处理一种或多种特定类型的对象,这些类型是在实例化时确定的,不能假定该泛型对象提供了什么类型。 这里通过一实例,来例举泛型带来的好处。 项目遇到一个中英文互相翻译的情况,但由于是接口调用的关系,后台返回的结果定义的是枚举,并且枚举的种类和数量很多。例如角色枚举,运行模式枚举,用户权限枚举,用户启用枚举等等,举例: /// <summary> ...
SpringSecurity中用enum作为角色
zhenshanren的博客
10-29 555
这个角色一般就是用户和管理员两种,所以很多情况下没有必要用数据库中的一种类型来作为角色,简单来做的话,就用这个枚举类型 public enum RoleName{ ADMIN,USER; /*ADMIN("ROLE_ADMIN"),USER("ROLE_USER"); private String value; // RoleName(...
枚举Enum用法详解
Guan_shijie的博客
09-10 4453
枚举Enum用法详解 搜罗网上各种资源总结,方便巩固知识和阅读 一、枚举介绍 通常定义常量方法和枚举定义常量方法区别 1. 代码: public class State { public static final int ON = 1; public static final Int OFF= 0; }   第一、它不是类型安全的。   你必须确保是int,其次
centos7.5系统设置自定义用户全局用户权限
最新发布
07-14
1. 创建一个包含自定义权限的 ClusterRole 对象: 创建一个 YAML 文件(例如 `custom-role.yaml`),并在其中定义 ClusterRole 对象,示例如下: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值