用aop实现接口权限

最新推荐文章于 2023-06-18 21:58:08 发布
最新推荐文章于 2023-06-18 21:58:08 发布
阅读量1k 收藏 6
点赞数 2
分类专栏: 功能权限 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47729434/article/details/123531617
版权

前言

提示:拦截器和aop都能实现像shiro和springsecurity的权限控制

一、定义一个切面

@Aspect
@Component
public class PermissionAdvice {
    /**
     * 定义切点方法,普通方法标记该注解的都会被切
     */
    @Pointcut("@annotation(com.shidai.petroleum.anno.PermissionAnnotation)")
    public void permissionCheck(){}

    /**
     *获取token,并检验是否有该方法的权限
     * @param joinPoint 切点的方法入参
     * @return
     * @throws Throwable
     */
    @Around("permissionCheck()")
    public Object permissionCheckSecond(ProceedingJoinPoint joinPoint) throws Throwable {
        //获取请求对象中的token+jwtutil取出该token中权限list,将token中的权限取出,权限列表中如果有该注解值就可以访问该注解
        RequestAttributes ra = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes sra = (ServletRequestAttributes) ra;
        assert sra != null;
        HttpServletRequest request = sra.getRequest();
        String token = request.getHeader("token");
        //如果token不为空,然后有效的话,就检测是否满足该切点的权限
        if(token!=null && JwtUtil.verify(token)){
            //获取了权限列表
            String[] permissions = JwtUtil.getPermissions(token);
            //获取被代理类名+方法名
            String className = joinPoint.getTarget().getClass().getSimpleName();
            String methodName = joinPoint.getSignature().getName();
            //获取方法的参数类型-》获取到方法上的注解信息
            Class<?> classTarget = joinPoint.getTarget().getClass();
            Class[] parameterTypes = ((MethodSignature) joinPoint.getSignature()).getParameterTypes();
            Method declaredMethod = classTarget.getDeclaredMethod(methodName, parameterTypes);
            PermissionAnnotation annotation = declaredMethod.getAnnotation(PermissionAnnotation.class);
            //该注解所需要的权限
            String needpermission = annotation.value();
            System.out.println(className+":"+methodName+":"+needpermission);
            for (String permission : permissions) {
                if(permission.equals(needpermission)){
                    return joinPoint.proceed();
                }
            }
        }
        HttpServletResponse response = sra.getResponse();
        response.setStatus(401);
        response.getOutputStream().write("token有误或者你没有该权限".getBytes(StandardCharsets.UTF_8));
        //设置响应格式,防止中文乱码
        response.setContentType("application/json;charset=utf-8");
        return null;
    }
}

二、定义自定义注解

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface PermissionAnnotation {
    String value();//这个是存储权限的变量
}

三、选择一个被切点,配置自定义注解

@RestController
@RequestMapping("/order")
public class OrderVO {
    @Autowired
    OrderService orderService;

    //该商品的权限只能是货主的add,才能访问
    @PermissionAnnotation("huozu:add")
    @PostMapping("/")
    public InfoResult<Integer> saveOrder(@RequestBody OrderPO orderPO){
        return orderService.saveOrder(orderPO);
    }

    /**
     * 货主只能看到自己的订单,而承运商可以看到所有人的订单
     * @param pageNum
     * @param pageSize
     * @return
     */
    //只有货主的查找权限才行
    @PermissionAnnotation("huozu:find")
    @GetMapping("/{num}/{size}")
    public InfoResult<PageInfo<OrderPO>> orderPage(@PathVariable("num") int pageNum,@PathVariable("size") int pageSize){
        PageHelper.startPage(pageNum,pageSize);
        PageInfo<OrderPO> orderPages = new PageInfo<>(orderService.orderPage());
        return new InfoResult<>(200,orderPages,"查询分页数据成功");
    }
}

四、登录服务中将权限和角色存进token中

给浏览器返回相应头token

@Service
public class UserServiceImpl implements UserService {
    @Resource
    UserMapper userMapper;
    @Resource
    RoleMapper roleMapper;
    @Resource
    PermissionMapper permissionMapper;
    @Override
    public Integer saveUser(UserPO userPO) {
        return userMapper.saveUser(userPO);
    }

    @Override
    public InfoResult<UserPO> loginUser(UserPO userPO) {
        //先去数据库根据账号密码,查到是否有用户对象
        UserPO user = userMapper.loginUser(userPO.getUsername(), userPO.getPassword());
        if(user==null){
            return new InfoResult<UserPO>(401,userPO,"账号或密码错误");
        }else{
            //登录成功,先去查询该账户对应的角色
            RolePO rolePO = roleMapper.findRoleByUid(user.getId());
            String role = rolePO.getName();
            //获取权限
            List<PermissionPO> permissionPOS = permissionMapper.permissionList(rolePO.getId());
            List<String> permissions = new ArrayList<>();
            for (PermissionPO permissionPO : permissionPOS) {
                permissions.add(permissionPO.getName());
            }
            String[] permission = permissions.toArray(new String[permissions.size()]);
            //创建token
            String token = JwtUtil.createToken(user.getId(), permission, role);
            user.setToken(token);
            //将token设置到请求头中
            RequestAttributes ra = RequestContextHolder.getRequestAttributes();
            ServletRequestAttributes sra = (ServletRequestAttributes) ra;
            assert sra != null;
            HttpServletResponse response = sra.getResponse();
            response.setHeader("token",token);
            //前后端分离需要暴露请求头
            response.setHeader("Access-Control-Expose-Headers", "token");
            return new InfoResult(200,user,"登录成功");
        }
    }
}

五、JwtUtil工具类封装生成token方法

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;

import java.util.Arrays;
import java.util.Date;



/**
 * @Author:roger
 * @Date:2022/2/15 11:18:06
 * @Description:
 */
public class JwtUtil {
    private static final String SECRET = "shidai"; // 秘钥
    private static final String ISSUSER = "java"; // 签发人
    private static final long EXPIRES = 30*60*1000; // token的过期时间 30min

    // 用来创建jwt静态方法

    public static String createToken(int uid,String[] permissions,String role){
        //加密算法
        Algorithm algorithm = Algorithm.HMAC256(SECRET);
        Date now = new Date();
        Date expires = new Date(now.getTime() + EXPIRES);
        String jwt = JWT.create()
                .withIssuer(ISSUSER)        //签发人
                .withIssuedAt(now)         //签发时间
                .withExpiresAt(expires)     //过期时间
                .withArrayClaim("permission",permissions)  //加入权限
                .withClaim("role",role)                     //加入角色
                .withClaim("uid",uid)                   //加入用户名
                .sign(algorithm);
        return jwt;
    }

    // 校验jwt是否合法
    public static boolean verify(String token) {
        try {
            // 签名算法
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            JWTVerifier verifier = JWT.require(algorithm).withIssuer(ISSUSER).build();
            verifier.verify(token);
            return true;
        } catch (Exception ex) {
            //ex.printStackTrace();
            return false;
        }
    }

    // 从token中获取用户名
    public static int getUid(String token) {
        try {
            return JWT.decode(token).getClaim("uid").asInt();
        } catch (Exception ex) {
            //ex.printStackTrace();
            return 0;
        }
    }

    // 从token中获取用户的权限数组
    public static String[] getPermissions(String token) {
        try {
            return JWT.decode(token).getClaim("permission").asArray(String.class);
        } catch (Exception ex) {
            //ex.printStackTrace();
            return null;
        }
    }

    //从token中获取用户的角色
    public static String getRole(String token){
        try {
            return JWT.decode(token).getClaim("role").asString();
        } catch (Exception ex) {
            //ex.printStackTrace();
            return null;
        }
    }

    // 判断token是否过期,true-过期,false-没过期
    public static boolean isExpires(String token) {
        Date now = new Date();
        Date expire = JWT.decode(token).getExpiresAt();
        if (now.after(expire)) {
            return true;
        }
        return false;
    }

    public static void main(String[] args) throws InterruptedException {
        String[] permissions = {"vip:add","vip:find"};
        String token=createToken(1,permissions,"vip");
        System.out.println(token);
        Thread.sleep(500);
        System.out.println(verify(token));
        System.out.println(verify("aaa.b.bc"));
        System.out.println(Arrays.toString(getPermissions(token)));
        System.out.println(getRole(token));
        System.out.println(getUid(token));
        System.out.println(isExpires(token));
    }
}

总结

整个流程思路如下
先登录,登录成功就查用户对应的角色权限,通过jwtutils封装进token中,然后设置到相应头中,浏览器接收到后,之后的请求都会携带token请求,当需要访问带权限的请求时,通过aop代理进行增强,在方法执行前,先取出token判断是否有该权限,如果有,就放行,否则不放行

喵猿
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring AOP实现功能权限校验功能的示例代码
08-28
本篇文章主要介绍了Spring AOP实现功能权限校验功能的示例代码,通过使用拦截器和AOP技术来实现未登录时跳转到登录界面的功能,以及在service层方法中抛异常来实现权限校验功能。 关于拦截器 在Spring MVC中,拦截...
spring aop 拦截业务方法,实现权限控制示例
08-31
Spring AOP(面向切面编程)是Spring框架中的一个重要组件,它允许我们在不修改业务代码的情况下,通过代理机制对特定的“切点”(方法、类等)进行增强,实现如日志记录、事务管理、权限控制等功能。在这个示例中,...
Spring boot 项目(六)——AOP操作日志
weixin_45974176的博客
09-18 407
操作流程 1、新建Operate 注解 @Target(ElementType.METHOD) // 该注解可以作用于那些类型元素上:类、方法、字段 @Retention(RetentionPolicy.RUNTIME) // 运行时生效 public @interface Operate { /** * 操作类型 * @return */ String type() default ""; /** * 模块 * @return
使用注解和AOP实现接口权限控制
lhc66666的博客
05-19 880
使用注解和AOP实现接口权限控制
基于AOP和自定义注解实现接口权限管理
Cocowwy的博客
12-06 458
⚡️ 在开发钉钉机器人的时候,由于想要做权限控制,但是又不想做复杂,只想做一个轻量级的区分,于是搭了一个轻量级的Demo ⚡️ 实现思路:对用户的唯一标识进行权限等级的设置,并将请求等级放在线程的上下文当中,请求接口的时候,通过动态代理判断用户的接口权限 ⚡️部分代码已经隐藏了哈~ SQL create table xxxx.t_robot_authority ( id bigint auto_increment primary key, user_id v
java使用AOP进行权限控制等操作
Lemon_MY的博客
02-13 668
java使用AOP进行权限控制等操作
基于AOP实现权限控制,优化Java项目开发
最新发布
weixin_54017930的博客
06-18 1310
本文所用的开发语言为Java,应用框架为Spring cloud/MyBatis-plus。示例中的代码为个人开发的缺陷跟踪系统代码片段。我们可以使用@Around上面代码中,我们首先引入了@Component注解和@Aspect注解,将这个类定义为一个切面。然后,在切面中,我们编写了一个方法,用于根据当前用户的权限等级进行权限校验。在方法中,我们通过解析切点的方法参数,找到其中的当前用户ID值,并依此获取到该用户的权限等级信息。之后,我们根据当前方法所定义的权限名称来进行具体的权限校验。
Java经典面试题整理及答案详解(一)
JAVA高级架构
02-25 3085
简介:面试题包括java集类和设计模式、spring工作原理、动态代理、事务的控制等方面,码住!我们能赢!Java在编程语言中,占据着重要的地位,随着技术的更新与发展,越来越多的人进入...
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
在本文中,我们将探讨如何使用 Spring Boot 通过 Aspect-Oriented Programming(AOP)和自定义注解来实现权限控制。权限控制是任何应用程序的重要组件,它可以确保用户只能访问他们被授权的资源。 自定义权限注解 ...
SpringMVC用XML方式实现AOP的方法示例
08-19
本文主要介绍了SpringMVC用XML方式实现AOP的方法示例,通过示例代码详细地介绍了如何使用XML方式来实现AOPAOP(Aspect-Oriented Programming)是一种编程范式,它可以将横切关注点(cross-cutting concerns)从...
Spring AOP实现原理解析
08-28
Spring AOP实现原理解析 Spring AOP(Aspect-Oriented Programming)是一种面向方面编程的技术,它可以将公共行为封装到一个可重用模块中,以减少系统的重复代码,降低模块间的耦合度,并有利于未来的可操作性和可...
aop+自定义注解实现接口权限控制
han949417140的博客
10-22 864
实现思路:控制层添加自定义权限注解 @PreAuthorize(“system:menu:list”),然后权限组件通过AOP和反射原理获取权限注解中配置的权限标识,与菜单维护的权限标识做匹配,一致则放行,不一致则返回未授权信息 菜单表维护权限标识字段:perms CREATE TABLE `sys_menu` ( `menu_id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT '菜单ID', `menu_name` varchar(50) NOT .
注解方式实现AOP接口控制
qq_45720234的博客
09-30 487
注解,AOP,权限控制
自定义注解 java 权限控制_Spring Boot 通过AOP和自定义注解实现权限控制的方法
weixin_34697150的博客
02-26 441
本文介绍了Spring Boot 通过AOP和自定义注解实现权限控制,分享给大家,具体如下:源码:https://github.com/yulc-coding/java-note/tree/master/aop思路自定义权限注解在需要验证的接口上加上注解,并设置具体权限值数据库权限表中加入对应接口需要的权限用户登录时,获取当前用户的所有权限列表放入Redis缓存中定义AOP,将切入点设置为自定义的...
java注解浅析,java自定义注解并结合aop实现权限控制(二)
qq_39511916的博客
05-30 1249
之前简单的记录了一下java的注解使用及解析,但是纸上谈兵终究不是程序员擅长的事,今天记录一下常见的权限系统使用注解实现的逻辑 归根结底,权限限制就是对比当前用户所持有的权限身份以及他即将执行的动作所需要的权限,若两者匹配,则执行逻辑,若不匹配,则返回提示。所以这里实际上只需要的两个重要参数,一个是用户持有的权限,一个是执行所需的权限。 执行权限是系统持有的,可以放在任何我们可以读取到的地方,此处...
java利用aop切面,用注解的方式实现权限控制(亲测可用)
热门推荐
java小白白之没有最白的博客
08-28 4万+
首先说一下,是很简单的权限控制,user表和role表,还有一个role和user关联表。 流程:用户访问接口接口加上自己的切面注解,注解传入所需的权限,进入切面后进行相应判断。 注意:我这里的获取用户信息用到了token,token里面存入了用户id,需要token工具类的key留言发给你。 下面开始代码 为什么要自己发一个:网上有很多,但是都不能直接使用,需要自己解读,我写的这个不说多好,但是逻辑清晰,代码简单,扩展性比较强,而且除了获取用户那块,其他代码都可以直接复制到项目中 使用。 定.
Java学习路线2020-9-24
jingshajava的博客
09-24 128
Java学习路线(完整详细版)超详细 置顶曾昭武2019-05-14 10:56:47139277已收藏1900 分类专栏:JAVA基础SpringOracle数据库 版权 一门永不过时的编程语言——Java 软件开发。 Java编程语言占比: 据官方数据统计,在全球编程语言工程师的数量上,Java编程语言以1000万的程序员数量位居首位。 而且很多软件的开发都离不开Java编程,因此其程序员的数量最多。而在以Java编程为核心的开发领域中,javaEE程序员的需求量10...
Spring AOP 自定义注解检查请求头(示例)
沐烬
11-14 6234
代码传送门 需求 一个 Controller 可以处理 HTTP 请求 @RestController public class DemoController { @GetMapping("/hello") public String hello(@RequestParam String name) { return "Hello, " + name; }...
利用AOP,记录接口请求及返回
燕十三的博客
03-28 363
@Aspect @Component public class SysLoggerAspect { private final static Logger logger = LoggerFactory.getLogger(SysLoggerAspect.class); @Pointcut("execution(* com.siact..controller..*.*(..))") public void loggerPointCut() { } @Befor.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值