Springboot自定义注解实现简单的接口权限控制,替代Shiro/SpringSecurity

最新推荐文章于 2025-03-18 16:12:24 发布
最新推荐文章于 2025-03-18 16:12:24 发布
阅读量4.4k 收藏 20
点赞数 12
分类专栏: springboot 文章标签: springboot 权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42822484/article/details/107893586
版权
本文介绍了一种基于用户等级的权限控制系统实现,通过定义权限枚举类、自定义权限控制注解和拦截器,实现了不同等级用户对API的访问控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

       我们知道权限控制是不能交给前端去做的,因为一但后端的接口所暴露,是十分危险的一件事,所以前端发起的请求的安全性无从考证,最终的权限控制还是要交给后端去判断。
       ShiroSpringSecurity是都具备权限控制的两个框架,但是如果自己的小项目在权限控制方面要求比较简单,那么这两个框架就显得有些“重”,而且SpringSecurity配置起来还比较麻烦。
       本文所实现的权限控制是按等级划分的,即所有用户(游客、普通用户、管理员、超级管理员等)都有一个type字段来标识其身份:
在这里插入图片描述
       例如-1指游客、0是普通用户、1是VIP、2是管理员、3是超级管理员等以此类推。这个字段即充当其“角色”,又充当其“权限(等级)”。其中低等级用户不能请求高等级的接口,高等级用户向下兼容,可以访问低等级的接口。
       详细代码如下,首先是:

1. 权限枚举类

       我们首先要把权限枚举类定义出来:

public enum AccessLevel {

    ALL(-1, "all"),
    LOGIN(0, "login"),
    VIP(1, "vip"),
    ADMIN(2, "admin"),
    SUPER(3, "super");

    int code;
    String msg;

    AccessLevel(int code, String msg) {
        this.code = code;
        this.msg = msg;
    }

    public int getCode() {
        return code;
    }

    public String getMsg() {
        return msg;
    }
}

2. 自定义权限控制注解

       其次是用在每个接口方法上的权限控制注解:

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
@Documented     // 在生成javac时显示该注解的信息
@Inherited
public @interface Access {
    AccessLevel level() default AccessLevel.ALL; //默认为ALL
}

3. 自定义权限拦截器

       其次是自定义权限拦截器Interceptor:

@Component
public class AccessInterceptor extends HandlerInterceptorAdapter {

    private Logger logger = LoggerFactory.getLogger(AccessInterceptor.class);

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        Access access = method.getAnnotation(Access.class);
        if (access == null) {
            // 如果注解为null, 说明不需要拦截, 直接放过
            return true;
        }

        // 如果是所有都能访问权限直接放行
        if (access.level() == AccessLevel.ALL) {
            return true;
        }
        if (access.level().getCode() >= AccessLevel.LOGIN.getCode()) {
        	//这里为自己写的获取登录用户的信息的方法,大家可以根据自己的方法修改
            User user = UserUtils.getLoginUser();
            if (user == null || user.getId() == null) {
                response.setStatus(401);
                logger.info("access " + method.getName() + " Not logged in");
                return false;
            }
            if (user.getType() < access.level().getCode()) {
                response.setStatus(403);
                logger.info("access " + method.getName() + " No authority");
                return false;
            }
        }
        return true;
    }

4. 使用自定义权限拦截器

       我们需要使该拦截器生效:

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new AccessInterceptor());
    }
}

5. 使用

       我们需要在方法上使用该注解:

@GetMapping("/test")
@Access(level = AccessLevel.VIP)
public AjaxResponse test(){
	AjaxResponse.setData("测试成功!");
	return AjaxResponse.newSuccess();
}

       这样我们就可以自己来实现最简单权限控制,大家还可以灵活去更改权限和拦截器。

springboot实现用户的CRUD和用自定义注解实现接口权限控制简单的demo
myid6的博客
03-14 363
1. annotation包下的AdminPermission(自定义注解)需要权限的功能在类上加@AdminPermission就可以了。三. Mapper、Service、ServiceImpl。5.JwtInterceptor拦截器。2.用户dto类用于登录功能。省略..........四.自定义注解和控制器。
再见Spring Security!推荐一款功能强大的权限认证框架
m0_63213529的博客
10-25 655
在我们做SpringBoot项目的时候,认证授权是必不可少的功能!我们经常会选择Shiro、Spring Security这类权限认证框架来实现,但这些框架使用起来有点繁琐,而且功能也不够强大。最近发现一款功能强大的权限认证框架Sa-Token,它使用简单、API设计优雅,推荐给大家! Sa-Token简介 Sa-Token是一款轻量级的Java权限认证框架,可以用来解决登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。 框架集成简单、开箱即用.
springboot+自定义注解+AOP实现权限控制(二)
最新发布
weixin_40501652的博客
03-18 782
springboot+自定义注解+AOP实现权限控制
比Spring Security和 Shiro简单十倍的认证鉴权开源框架你晓得么?
猿小许的博客
08-24 1379
Sa-Token 介绍 Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题。 前几天无意在一个论坛中看到一个博文,有关讨论认证鉴权的开源框架的问题,在众多大佬的言语中,我们不用猜能想到我们所熟知的两个开源框架 Spring Security 和Shiro,但是这肯定不是我今天写这篇博文的重点,重点是一个不起眼的评论吸引了我。 一个坛友把Sa-Token(此处高光)吹的神乎其神,无所能无所不
Springsecurity改造Shiro项目踩坑
bigbearxyz的博客
10-21 1218
为了快速开发,借助一套快速框架做了后台管理端。由于我采取的鉴权是SpringSecurity(下称SS),而快速框架用的是Shiro,所以要对原本的Shiro框架进行舍弃,统一使用SS。 问题: 在统一鉴权方式的时候遇到了一个坑,特此记录。由于原本的管理端采用的只是单纯的springboot,以此为admin服务搭建了一套springcloud项目,另有一个自己搭建的app服务。在调试的过程中发现,app服务比较好的集成了jwt+SS鉴权,在不带token的情况下,直接访问app的接口会报错。 .
推荐使用全新的Spring Security框架替代Spring Security OAuth
gitblog_00477的博客
08-09 1074
推荐使用全新的Spring Security框架替代Spring Security OAuth spring-security-oauth项目地址:https://gitcode.com/gh_mirrors/spr/spring-security-oauth 随着技术的不断发展和社区的支持,VMware已经宣布不再积极维护Spring Security OAuth项目。取而代之的是Spring...
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
热门推荐
qq_44709990的博客
02-23 4万+
登录和用户认证是一个网站最基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Spring Security + JWT实现登录及用户认证
SpringBoot2.x+SpringSecurity集成及SpringSecurity实现Web系统权限认证系统实现
u011930054的博客
07-17 670
针对SpringSecurity就不进行介绍了,功能强大,与shiro一样都能实现权限系统实现。 这里先介绍一下实验项目的背景: 一、Web项目系统实现前后端分离,前端页面上按钮的CRUD,需要前端根据用户返回的权限属性实现按钮的可用或不可用(显示或不显示都可以)。 二、后端使用SpringSecurity实现接口API权限的判断,比如用户1请求了一个url:/hello 如果这个用户没有权限则后端系统直接返回json格式提醒权限不足。 三、用户的权限及菜单都是数据库中设置,系统动态判断权限。 先上一张数据
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
web15085096641的博客
03-10 890
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
粉丝开源:比 Spring Security 快 4 倍的认证鉴权框架
公众号:逛逛GitHub
04-11 411
前几天发布了一个文章:一个喜欢搜罗软件的哥们,给大家推荐了一下自己的哥们儿。发布之后好多人加我微信。没想到有不少开源爱好者关注了逛逛GitHub,有个朋友给我看了他开源的项目,找我推荐一下...
让Apache Shiro保护你的应用[转]
weixin_33895475的博客
05-27 322
为什么80%的码农都做不了架构师?>>> ...
Spring Security和Shiro的相同点与不同点整理
08-25
在本篇文章里小编给大家整理的是关于Spring Security和Shiro的相同不同点整理,需要的朋友们可以参考下。
Spring Aop +自定义注解实现用户权限控制
小白鼠丶
10-10 990
项目结构: pom.xml:<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/x
Jcasbin实现权限管理
weixin_54296316的博客
09-22 220
一、环境准备在springboot框架下,引入相关maven仓库。二、配置文件jcasbin把用户的角色、权限信息(访问路径)放置在配置文件里,然后通过输入流读取配置文件。model.conf和policy.csv。可以读取数据库的角色权限配置。所以我们可以把关于数据库的信息提取出来,可以进行动态设置。这样我们就可以在里进行相关配置了。model.conf是固定的文件,之间复制过来放在新建的和src同级的文件夹下即可。policy.csv的内容是可以从数据库读取的。
Shiro Or Spring Security
qq_24920043的博客
11-26 853
前言:公司想要把之前的框架重新弄一下,然后这边让我和另外一位同事负责搭建框架部分和基础数据部分,这边按照要求对两大权限框架啊做一个比较,也是记录下来,方便以后查阅。 Shiro: http://shiro.apache.org/ 是Shiro的官网     这是shiro官方对于shiro的的介绍。以下是Shiro官方对于Shiro大概功能的介绍: 这边我们结合Spring Se...
shiro 没有注销再登录_shiro 安全框架入门,看这一篇就够了
weixin_39585974的博客
12-29 239
序言大家好,我是老马。前面我们学习了 5 分钟入门 shiro 安全框架实战笔记,让大家对 shiro 有了一个最基本的认识。shiro 还有其他优秀的特性,今天我们就一起来学习一下,为后续深入学习奠定基础。Apache Shiro 是什么?Apache Shiro 是一种功能强大且易于使用的Java安全框架,它执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移...
自定义注解+拦截器实现权限管理
weixin_60376559的博客
01-31 1448
自定义注解+拦截器实现权限管理
SpringBoot整合框架——集成SpringSecurityshiro
m0_61506558的博客
11-04 868
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
权限控制自定义注解,AOP注入
some_mushroom的博客
09-02 434
1、自定义注解 自定义注解可以写业务需要的函数逻辑,验证权限 自定义注解有两个必要的元注解: (1)Target 用来描述注解的修饰范围,共四种: (a)TYPE:类、接口、enum (b)METHOD:方法 (c)PARAMETER:方法变量 (d)PACKAFE:包 (2)Retention 用来控制该注解的生命周期,共三种: (a)SOURCE:源文件中有效,编译无效 (b)CLASS:随源文件编译至class文件中,运行时无效 (c)RUNTIME:运行时也有效 举个栗子 @Target({ Ele
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值