java 基于Security自定义注解跳过权限判断

已于 2023-07-06 11:03:04 修改
阅读量457 收藏 2
点赞数
分类专栏: Java 文章标签: java spring
于 2023-05-19 11:30:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45444807/article/details/130763019
版权
  • 需求:客户端接口有的需要权限控制,有的不需要权限控制
  • 技术栈:Spring Security

步骤一:自定义注解

@Documented
@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Import(AuthControlRegistrar.class)
@Component
public @interface ClientAuthControl {

    String value() default "";

}

步骤二:扫描指定注解

@Slf4j
@Component
public class AuthControlRegistrar implements ImportBeanDefinitionRegistrar, EnvironmentAware {

    private Environment environment;

    private static Set<BeanDefinition> candidateComponents = new HashSet<>();

    public static Set<String> URL_NOT_AUTH = new HashSet<>();

    @Override
    public void setEnvironment(Environment environment) {
          this.environment = environment;
    }


    @Override
    public void registerBeanDefinitions(AnnotationMetadata annotationMetadata, BeanDefinitionRegistry registry) {

        // 筛选指定注解
        ClassPathScanningCandidateComponentProvider scan = new ClassPathScanningCandidateComponentProvider(false, this.environment);

        scan.addIncludeFilter(new AnnotationTypeFilter(ClientAuthControl.class));

        String packageName = ClassUtils.getPackageName(annotationMetadata.getClassName());

        candidateComponents.addAll(scan.findCandidateComponents(packageName));
    }


    @SneakyThrows
    @PostConstruct
    private void getNotAuthInfo() {

        // 根据筛选的注解进行 权限控制
        for (BeanDefinition candidateComponent : candidateComponents) {

            // 反射获取注解类的方法属性
            String beanClassName = candidateComponent.getBeanClassName();
            Class<?> aClass = Class.forName(beanClassName);
            RequestMapping annotation = aClass.getAnnotation(RequestMapping.class);

            String classUrl = "";
            if (annotation != null) {
                String[] classUrls = annotation.value();
                classUrl = arrToString(classUrls);
            }


            Method[] methods = aClass.getDeclaredMethods();

            for (Method method : methods) {

                if (!method.isAnnotationPresent(ClientAuthControl.class)){
                    continue;
                }

                String mode;
                String url ;

                RequestMapping requestMapping;
                GetMapping getMapping;
                PostMapping postMapping;
                PutMapping putMapping;
                DeleteMapping deleteMapping;
                PatchMapping patchMapping;

                if (null != (requestMapping = method.getAnnotation(RequestMapping.class))){
                    String[] value = requestMapping.value();
                    RequestMethod[] requestMethods = requestMapping.method();
                    mode = arrToString(requestMethods);
                    url = arrToString(value);
                }else if (null != (getMapping = method.getAnnotation(GetMapping.class))) {
                    String[] value = getMapping.value();
                    mode = RequestMethod.GET.name();
                    url = arrToString(value);
                }else if (null != (postMapping = method.getAnnotation(PostMapping.class))) {
                    String[] value = postMapping.value();
                    mode = RequestMethod.POST.name();
                    url = arrToString(value);
                }else if (null != (putMapping = method.getAnnotation(PutMapping.class))) {
                    String[] value = putMapping.value();
                    mode = RequestMethod.PUT.name();
                    url = arrToString(value);
                }else if (null != (deleteMapping = method.getAnnotation(DeleteMapping.class))) {
                    String[] value = deleteMapping.value();
                    mode = RequestMethod.DELETE.name();
                    url = arrToString(value);
                }else if (null != (patchMapping = method.getAnnotation(PatchMapping.class))) {
                    String[] value = patchMapping.value();
                    mode = RequestMethod.PATCH.name();
                    url = arrToString(value);
                }else continue;


                // 判断是否以"/"开头 不是则加上
                if (!url.startsWith("/")) {
                    url = "/" + url;
                }


                // 判断URL上是否有动态参数/{}
                if (url.contains("{") && url.contains("}")) {
                    url = url.substring(0,url.indexOf("{"));
                }


                url = classUrl + url;

                URL_NOT_AUTH.add(String.format("%s_%s",mode,url));
            }
        }
    }


    private String arrToString(Object[] arr) {
        StringBuilder sb = new StringBuilder();

        for (int i = 0; i < arr.length; i++) {
            sb.append(arr[i].toString());
            if (i != (arr.length -1)) {
                sb.append(",");
            }
        }

        return sb.toString();
    }

步骤三:权限判断

@Slf4j
@Component
public class TokenOncePerRequestFilter extends OncePerRequestFilter {

    @Resource
    private JwtProperties jwtProperties;

    @Resource
    JwtUser jwtUser;

    @Resource
    private MyUserDetailsService myUserDetailsService;

    /**
     *
     * @param request
     * @return
     */
    private boolean notRequiresAuthentication(HttpServletRequest request) {
        String uri = request.getRequestURI();

        for (String s : START_WITH_PERMIT_ALL_URL){
            if (uri.startsWith(s)) {
                return true;
            }
        }


        return false;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        BaseRes<String> res = new BaseRes<>(TOKEN_INVALID);

        out: if (!this.notRequiresAuthentication(request)) {

            // 获取请求的token
            String authToken = request.getHeader(jwtProperties.getHeader());
            if (StringUtils.isBlank(authToken)) {
                authToken = request.getParameter("access_token");
            }

            String tokenHead = "Bearer ";
            String uri = request.getRequestURI();


            // 判断接口是否需要权限
            String method = request.getMethod();
            String urlFlag = String.format("%s_%s",method,uri);

            for (String authUrl : AuthControlRegistrar.URL_NOT_AUTH) {
                if (authUrl.contains(urlFlag) || urlFlag.contains(authUrl)) {
                    break out;
                }
            }

            if (StringUtils.isBlank(authToken) || !authToken.startsWith(tokenHead)) {

                log.error("token is null uri={}, url={}", request.getRequestURI(), request.getRequestURL());
                CommUtils.printObjJson(response, res);
                return;
            }


            authToken = authToken.substring(tokenHead.length());

            try {
                // 验证token是否有效
                String rawJson = jwtUser.getClaimByToken(authToken);

                /**
                 * 登录用户信息设置
                 */
                TokenUser tokenUser = myUserDetailsService.loadUserByUsername(rawJson);

                String type = tokenUser.getType();

                String s = String.format("/%s", type).toLowerCase();

                // 判断用户类型 是否请求对应的接口
                if (!uri.startsWith(s)) {
                    CommUtils.printObjJson(response, res);
                    return;
                }


                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(tokenUser, null, tokenUser.getAuthorities());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(authentication);

            } catch (Exception e) { // JWTDecodeException SignatureVerificationException
                ExceptionUtils.setExceptionMsg(e, res);
                CommUtils.printObjJson(response, res);
                return;
            }
        }

        filterChain.doFilter(request, response);
    }
}

步骤四:因为只做了后台动态权限,客户端则需要把所有权限添加进去


    public static final String CLIENT_START_URL = "/client";

 	@Override
    protected void configure(HttpSecurity http) throws Exception {

        http.headers().frameOptions().disable();
        http.csrf().disable();

        initAuth(http); // 初始化权限
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); // 无session状态

        http
                .authorizeRequests()
                .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                .antMatchers(CLIENT_START_URL + "/**").permitAll()
                .anyRequest().authenticated()
        ;

        http.addFilterAfter(tokenOncePerRequestFilter, SecurityContextPersistenceFilter.class);

        // handling
        http.exceptionHandling()
                .authenticationEntryPoint(entryPointUnauthorizedHandler)// 身份认证
                .accessDeniedHandler(restAccessDeniedHandler) // 授权
        ;

    }

步骤五:添加注解到Controller 的类上和指定方法上

@RestController
@RequestMapping("/client/policy")
@ClientAuthControl
public class PartyPolicyClientController {
    @Resource
    private PartyPolicyService partyPolicyService;


    @PostMapping("/list")
    @ClientAuthControl
    public BaseRes<IPage<PartyPolicyVo>> selectPartyPolicyList(@RequestBody PageMessage<PartyPolicyVo> pageMessage) {
        return partyPolicyService.selectPartyPolicyList(pageMessage.getT(),pageMessage.getPage());
    }

    @GetMapping("/info")
    @ClientAuthControl
    public BaseRes<PartyPolicy> getPartyPolicyDetail(@RequestParam("id") Integer id) {
        return partyPolicyService.getPartyPolicyDetail(id);
    }

}

大功告成。客户端请求该接口时则跳过权限判断

程序猿小张丶
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java自定义Spring Security权限控制管理示例(实战篇)
08-31
本篇文章主要介绍了java自定义Spring Security权限控制管理示例(实战篇) ,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
Spring Boot下Spring Security权限认证@PreAuthorize注解失效
江枫暮雪的博客
07-29 4835
Spring Boot下Spring Security权限认证@PreAuthorize注解失效 根据我的经历,一共有三种情况。如果谁还遇到其他情况可以提出来。 第一种情况。 就是网上大量出现的。没有添加**@EnableGlobalMethodSecurity**注解。 ...
SpringSecurity-非注解方式进行权限控制
子悠のziyou
11-03 619
SpringSecurity通过非注解方式进行权限控制,可以动态为每个权限设置对应的角色,无需修改代码,通过Url匹配
android手机游戏开发从入门到精通_Spring Security从入门到精通教程,企业开发首选Spring Security深入浅出...
weixin_39886612的博客
11-26 268
Spring Securityspring旗下一款强大的安全框架。 它不仅具备了一般安全框架的拥有的“认证”和“授权”两大核心功能,围绕这两个核心功能,还有CSRF攻击拦截,SESSION会话管理,动态权限认证,OAuth2第三方认证等诸多强大实用的功能。是企业开发首选热门安全框架。今天带来的教程分两套环境全面的讲解Spring Security框架。首先,SSM环境我们通过xml配置的方...
SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证和鉴权
你今天真好看呀
11-10 4059
*** MethodSecurityExpressionOperations 接口方法的属性/*** SecurityExpressionRoot 类的属性/*** 判断是否是白名单WhiteUrl,不校验权限,不需要token// 白名单url,直接返回true return true;} /*** 修改 SecurityExpressionRoot 类的该方法** 登录请求url是否是白名单WhiteUrl,如果是则不需要校验权限,直接返回true。
Java - SpringBoot整合Shiro之二(权限授权和认证跳过
Zong_0915的博客
11-14 4248
再看这篇文章之前,可以先过一遍SpringBoot整合Shiro,附带源码。这篇文章为该篇文章的进阶内容。目前为止,我在整合Shirojwt:自定义的JwtFilter过滤器,拦截所有的请求/**。anno:默认实现,。无需认证也可以访问。/login。logout:默认实现,。就是登出的时候的配置。/logout。本文没相关的实现。不管他。我们在本环节只关注第二个。实际开发,肯定是有一些接口是不需要经过登录认证的。我举个例子,你在看斗鱼直播的时候,在没登录的情况下,菜单数据也能出来、直播也能看。
SpringBoot跳过权限验证配置
风起尘落的博客
07-01 5585
security.basic.enabled = false interceptor.exclude.path = /**
SpringSecurity微服务权限方案-编写代码(认证和授权过滤器)
Leon_Jinhai_Sun的博客
05-24 141
spring security如何添加无需鉴权的接口?
热门推荐
开发者导航
05-12 1万+
1、在项目找到spring security的配置文件2、修改配置文件找到configure()方法,添加不需要鉴权的接口请求:.antMatchers("/demo/**").anonymous()packagecom.ryi.rpcs.framework.config; importcom.ryi.rpcs.framework.security.filt...
Springboot集成security,自定义@Anonymous标签实现免登录,免鉴权
evil_lrn的博客
02-16 4877
首先,项目springboot使用了2.6.8版本,集成security的过程,使用了比较严格的自定义策略,任何请求都需要认证和授权,判断用户是否有查询改接口的权限。并且提供了配置或者注解两种方式提供匿名访问的接口。引起需要收集@Anonymous注解标注的controller。于是就像参照spring启动扫描注解的方式实现,然后自定义了。参照spring scan。第二种使用自定义注解
基于SSM和Security的企业权限管理系统设计源码
03-28
这是一个基于SSM和Security开发的企业权限管理系统设计,使用Javascript语言开发,包含1169个文件。主要文件类型包括494个JavaScript文件、162个CSS文件、154个PNG图片文件、138个HTML文件、53个XML文件、37个Java...
java学习之SpringSecurity配置了登录链接无权限
06-16
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的...
spring security自定义登录页面
08-29
在项目我们肯定不能使用Spring自己生成的登录页面,而要用我们自己的登录页面,下面通过本文给大家分享spring security自定义登录页面的实现方法,一起看看吧
基于Spring Security的细粒度权限管理系统设计源码
03-28
这是一个基于Spring Security框架的细粒度权限管理系统,使用Java语言开发,同时包含JavaScript、CSS、HTML等多种编程语言。该项目共包含2447个文件,其主要文件类型包括JavaScript、PNG图片、CSS、HTML、JAR包、...
链表刷题集
yajunjiao的专栏
04-30 813
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Spring Cloud——LoadBalancer
最新发布
????
05-01 1799
这里只是简单的讲解了一下LoadBalancer如何使用,因为实际上我们使用的不是很多,主要还是使用OpenFeign。
d15(136-148)-勇敢开始Java,咖啡拯救人生
m0_73459387的博客
04-28 1348
对象哈希值的特点:同一个对象调用hashCode()返回的哈希值相同;HashMap的键依赖hashCode方法和equals方法保证键的唯一,存储自定义类型的对象时,重写这两个方法。实际上,Set系列集合的底层就是基于Map实现的,只是Set集合的元素要键数据,不要值数据。当12个位置都占满时就会扩容,大约扩容为原来的二倍,再把原数组数据转移到新数组。使用迭代器遍历集合时,又同时在删除集合的数据,程序就会出现并发修改异常的错误。基于哈希表实现,每个键值对额外多了一个双链表的机制,记录元素顺序(保证。
Java解决最长公共前缀
无人罪的博客
04-28 653
编写一个函数来查找字符串数组的最长公共前缀。如果不存在公共前缀,返回空字符串""。
【一步一步了解Java系列】:探索Java基本类型与C语言的区别
2302_81249757的博客
04-29 1160
​​喜欢的一句话: 常常会回顾努力的自己,所以要为自己的努力留下足迹。作者:小闭。
SpringSecurity 自定义注解
08-30
Spring Security允许我们通过自定义注解来标记方法或类,以便在授权过程使用。下面是一个简单的示例: 1. 创建一个自定义注解: ...然后,Spring Security会在授权过程使用我们自定义的注解权限逻辑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序猿小张丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值