SpringBoot自定注解实现权限管理(项目实现)

已于 2022-10-16 11:17:50 修改
阅读量1k 收藏 3
点赞数 1
分类专栏: 权限 文章标签: spring boot java spring
于 2022-08-27 20:11:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48913290/article/details/126561694
版权

1、简介

本文章讲解的是基于RBAC模型的数据库设计的拦截器+自定义注解的形式实现权限验证 

RBAC的数据库设计看:关于使用RBAC模型,实现用户权限管理_&波吉&的博客-CSDN博客

2、导入依赖

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.16.12</version>
        </dependency>
        <dependency>
            <groupId>org.aspectj</groupId>
            <artifactId>aspectjrt</artifactId>
            <version>1.8.9</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.aspectj/aspectjtools -->
        <dependency>
            <groupId>org.aspectj</groupId>
            <artifactId>aspectjtools</artifactId>
            <version>1.8.9</version>
        </dependency>
        <dependency>
            <groupId>org.aspectj</groupId>
            <artifactId>aspectjweaver</artifactId>
            <version>1.7.4</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <!--hutool-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.7.17</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.62</version>
        </dependency>
        <!--hutool-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.7.17</version>
        </dependency>

登入的controller层

@RestController
@RequestMapping("/rest")
public class LoginController {

    @Autowired
    private RestAuthService restAuthService;


    //登录
    @PostMapping(value = "/login")
    public ResultJson index(@RequestBody RestSysUser restSysUser){
        //登录以及登录成功存入token
        return restAuthService.Login(restSysUser);
    }

}

service层(主要的作用是获取用户相应的token,并存入redis)

    @Override
    public ResultJson Login(RestSysUser restSysUser) {
        //账号密码校验,
        if("admin".equals(restSysUser.getUsername()) && "123456".equals(restSysUser.getPassword())){
            //账号密码正确
            //登录成功
            restSysUser.setResources(ResourceVerification.resource());
            Map<String, Object> userMap = BeanUtil.beanToMap(restSysUser, new HashMap<>(),
                    CopyOptions.create()
                            .setIgnoreNullValue(true)//忽略一些空值
                            .setFieldValueEditor((fieldName, fieldValue) -> fieldValue.toString()));
            UUID uuid = UUID.randomUUID();
            String tokenKey= String.valueOf(uuid);
            String token="LoginUserKey "+tokenKey;
            //存储
            redisTemplate.opsForHash().putAll(token,userMap);
            //设置存值时间,expire默认秒:1天
            redisTemplate.expire(token,60*60*24, TimeUnit.MINUTES);
            return ResultJson.ok(token);
        }else{
            //账号密码不正确
            return ResultJson.failure(ResultCode.LOGIN_ERROR);
        }
    }

拦截器的配置(拦截了所有的请求并,验证是否存在token以及是否过期)

package com.melody.rest.config;

import com.melody.rest.util.LoginInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;


import javax.annotation.Resource;

@Configuration
public class MvcConfig implements WebMvcConfigurer {

    @Resource
    RedisTemplate redisTemplate;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {

        //配置登录查看是否有token拦截器
        registry.addInterceptor(new LoginInterceptor(redisTemplate)).addPathPatterns("/testRest/**").order(0);


    }
}


package com.melody.rest.util;


import cn.hutool.core.bean.BeanUtil;
import com.alibaba.fastjson.JSONObject;
import com.melody.rest.domain.RestData;
import com.melody.rest.domain.RestSysUser;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.web.servlet.HandlerInterceptor;


import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Map;

public class LoginInterceptor implements HandlerInterceptor {

    private RedisTemplate redisTemplate;

    public LoginInterceptor(RedisTemplate redisTemplate){
        this.redisTemplate=redisTemplate;
    }


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        //设置编码
        response.setCharacterEncoding("utf-8");
        response.setContentType("text/json;charset=utf-8");

        //1、判断是否携带token
        String token = request.getHeader("authorization");
        System.out.println(token);
        if(token==null || "".equals(token)){
            RestData restData = RestData.builder().code("401").msg("你未登录").build();
            String jsonRestData = JSONObject.toJSONString(restData);
            response.setStatus(401);
            response.getWriter().write(jsonRestData);
            return false;
        }
        Map<String, Object> userMap=redisTemplate.opsForHash().entries(token);
        RestSysUser restSysUser = BeanUtil.fillBeanWithMap(userMap, new RestSysUser(), false);
        //2、判断redis里面是否存在token
        if(userMap.isEmpty()){
            RestData restData = RestData.builder().code("401").msg("你未登录").build();
            String jsonRestData = JSONObject.toJSONString(restData);
            response.setStatus(401);
            response.getWriter().write(jsonRestData);
            return false;
        }

        //3、判断账号情况
        if(restSysUser.getUsername()!=null){
            //获取数据库账号情况
            //比对,如果账号异常,则不能访问
            //return false;
        }
        return true;
    }
}

接下来,就是该用户是否有权限访问

自定义注解的形式

package com.melody.rest.annotion;

import java.lang.annotation.*;

@Target({ ElementType.PARAMETER, ElementType.METHOD })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface AuthCheck {

    public String value() default "";

}

切面的方式(环绕的方式返回验证结果)

package com.melody.rest.aspect;


import cn.hutool.core.bean.BeanUtil;
import com.melody.rest.annotion.AuthCheck;
import com.melody.rest.domain.RestSysUser;
import com.melody.rest.exception.AuthException;
import com.melody.rest.model.ResCode;
import com.melody.rest.model.ResJson;
import com.melody.rest.model.ResultCode;
import com.melody.rest.model.ResultJson;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;


import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.lang.reflect.Method;
import java.util.Map;

@Aspect
@Component
public class AuthAspect {

    @Value("${token.header}")
    //@Value("authorization")
    private String header;

    @Autowired
    private HttpServletRequest request;

    @Resource
    private RedisTemplate redisTemplate;

    
     /**
     * 目标方法
     */
    @Pointcut("@annotation(com.melody.rest.annotion.AuthCheck)")
    public void authPointCut(){

    }

   

    /**
     * 目标方法调用之前执行
     */
    @Before("authPointCut()")
    public void doBefore() {
        System.out.println("================== step 2: before ==================");
    }

    /**
     * 目标方法调用之后执行
     */
    @After("authPointCut()")
    public void doAfter() {
        System.out.println("================== step 4: after ==================");
    }

    /**
     * 环绕
     * 会将目标方法封装起来
     * 具体验证业务数据
     */
    @Around("authPointCut()")
    public Object authCheck(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {
        try{
            // 判断 TOKEN
            String token = request.getHeader(header);
            Map<String, Object> userMap=redisTemplate.opsForHash().entries(token);
            RestSysUser restSysUser = BeanUtil.fillBeanWithMap(userMap, new RestSysUser(), false);
            if(restSysUser.getUsername() == null || restSysUser.getUsername().equals("")){
                throw new AuthException(ResCode.TOKEN_NOT_EXIST);
            } else {
                if(restSysUser.getResources()==null){
                    throw new AuthException(ResCode.BANED_REQUEST);
                }
                //从切面织入点处通过反射机制获取织入点处的方法
                MethodSignature signature = (MethodSignature) proceedingJoinPoint.getSignature();
                //获取切入点所在的方法
                Method method = signature.getMethod();
                AuthCheck ac = method.getAnnotation(AuthCheck.class);
                boolean flag = false;
                if(ac != null) {
                    String auth = ac.value();
                    flag = restSysUser.getResources().stream().anyMatch(str -> str.equals(auth));
                    // way2:数据库中存放权限字段,根据注解的value确定请求所需权限判断是否有权限进行访问
                }
                if(!flag) {
                    //throw new AuthException(ResCode.BANED_REQUEST);
                    return ResultJson.failure(ResultCode.FORBIDDEN);
                }
            }
        } catch(AuthException e) {
            System.err.println(e.getResCode().getCode() + ":" + e.getResCode().getMsg());
            return ResJson.no(e.getResCode());
        }
        Object res = proceedingJoinPoint.proceed();
        return res;
    }

}

&波吉&
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot使用自定注解实现权限拦截的示例
08-29
本篇文章主要介绍了SpringBoot使用自定注解实现权限拦截的示例,具有一定的参考价值,有兴趣的可以了解一下
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
ipifei的博客
09-06 7009
SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
SpringBoot中使用自定注解和拦截器实现简单的权限控制
最新发布
云景的博客
03-31 615
众所周知,作为系统的最后一道防线,对于一些重要操作(crud等),后端默认接收的所有的请求都是“不可信”的,除了确认用户登录状态之外,还要对接收的数据进行一系列的合法性校验等等,即使已经在前端页面对用户输入信息做了一定的限制。因为请求可以伪造,也可能被拦截篡改,即使在正常情况下,用户也可能因为误操作或者恶意行为发送不合法的请求。如果多角色系统的接口不做权限校验的话,那无疑是在“裸奔”,任何一个普通的登录用户都能调用所有的接口。Q:什么是权限控制?A:让特定的用户只能访问特定的资源。
springboot通过自定注解完成简单的权限认证.zip
10-11
springboot自定注解的demo;通过本案例实现了通过自定注解的拦截的方法可以设置访问权限;通过拦截器获取指定方法上的自定义的注解,然后判断当前的接口需不要权限校验;然后通过对应的访问去处理;demo里面的代码简单;文档齐全,初学者秒懂.本文一篇文章搞定
SpringBoot自定注解Springboot权限角色注解
蕃薯耀的博客
04-25 1631
================================ ©Copyright 蕃薯耀 2022-04-25 蕃薯耀的博客_CSDN博客 一、自定义角色注解 import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy;
SpringBoot>15 - 自定注解实现权限控制
cp026la的博客
01-16 9819
简介: 较原始的项目中使用的是JSP页面标签结合后台方法上注解配合实现权限控制,目前前后端完全分离开发已经是主流模式,大型的项目中可能会用到 shiro 或者 spring security 做安全校验,但是在小型项目中可以使用自定注解达到权限控制的要求。 误区: 很多人认为权限控制就是控制不同用户在页面上拥有不同的功能(即不同的按钮),这是用户体验范围,这种情况下,只要知道后端地址,还是...
SpringBoot 、Shiro、 自定注解权限控制源码下载
04-06
SpringBoot 、Shiro、 自定注解权限控制
SpringBoot项目自定注解实现RBAC权限校验
qq_45830276的博客
08-27 1850
SpringBoot项目可以集成Spring Security做权限校验框架,然后在Controller接口上直接使用@PreAuthorize注解来校验权限,那么我们能够自制简易的权限呢,通过看该博客能够自己自制一套简易的权限管理模式。...
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
主要介绍了SpringBoot使用AOP+注解实现简单的权限验证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot 通过AOP和自定注解实现权限控制的方法
08-25
主要介绍了Spring Boot 通过AOP和自定注解实现权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
自定注解+AOP实现权限控制.zip
01-15
详情请查看博客:<a href='https://blog.csdn.net/byteArr/article/details/103984725'> springboot+自定注解+AOP实现权限控制(一)和<a href='https://blog.csdn.net/byteArr/article/details/103992016'> ...
基于springboot通过自定注解和AOP实现权限验证
王观前的专栏
10-21 4173
这篇文章主要介绍自定注解配合AOP的使用来完成一个简单的权限验证的功能。 一、移入依赖 &lt;parent&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-parent&lt;/artifactId&gt; &lt;version...
java自定注解实现权限控制
zmsister的博客
07-19 1730
这3个生命周期分别对应于Java源文件(.java文件)--->.class文件--->内存中的字节码。source注解只保留在源文件,当Java文件编译成class文件的时候,注解被遗弃;class注解被保留到class文件,但jvm加载class文件时候被遗弃,这是默认的生命周期。runtime注解不仅被保存到class文件中,jvm加载class文件之后,仍然存在。上面定义的是作用于方法的注解,所以我们需要在方法中使用@Permission。@Retention注解的作用。...
springboot通过AOP和自定注解实现权限校验
a898712940的博客
07-07 210
文章地址:https://www.cnblogs.com/liuwenwu9527/p/12113159.html
Spring Boot+Jwt+AOP+自定注解实现接口的权限控制
LT19990304的博客
06-20 1904
之前在项目中通过自定义拦截器+自定注解进行权限校验,拦截器代码过于臃肿!!!于是想到了使用面向切面的方法!!
【全栈之路】springboot+自定注解实现权限验证
千年板蓝根
02-07 330
应小型网站和app后台管理系统权限框架需要,本文通过自定注解实现方法上面的实现接口权限验证。 首先定义权限注解 import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.ann...
springboot实现简单自定权限控制
泉眼和溪流的关系,大概是泉眼会被溪流一点一滴的占据
07-10 2121
框架选择 权限控制是管理系统必不可少的模块,当前成熟的权限控制框架有Shiro,spring security等,利用框架开发的好处就是简洁方便快捷。 本文权限思路——注解方式 本文实现权限的方式是没有使用框架,而是通过自定注解方式实现简单的权限管理控制。 关于表设计 一般权限表的设计都可以通过5张表来实现,用户表,角色表,权限表,用户角色关系表,角色权限关系表,其中用户与角色是多对多关系,角色与权限也是多对多关系,下图是实现思路举例,具体要根据各自业务逻辑灵活设计。 本文思路是通过自定注解进行权限控制
自定注解实现RBAC权限校验,不要再说你不会了
小学生波波
01-22 3865
拦截器+自定注解实现RBAC权限校验,你绝对看得懂
使用自定注解实现按钮权限控制【项目
九七的博客
11-18 425
最近工作中,遇到一个需求,需要将某一个具体按钮收口到某一个人,于是就有了今天的记录。 首先创建自定注解 /** * @Author yanjun * @Date 2021/11/18 10:12 * 自定注解 用于实现权限控制 */ @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface AuthorizedLimit { /** * 是否拦截 */ b
springboot+shiro如何实现权限管理
05-28
Spring Boot应用中,可以使用Apache Shiro框架实现权限管理。下面是一个简单的实现步骤: 1. 引入Shiro和Spring Boot的依赖库。 2. 配置Shiro的安全管理器,包括认证器和授权器。认证器用于验证用户身份,授权器用于控制用户访问权限。 3. 在Spring Boot中配置Shiro的过滤器,用于拦截请求并根据用户权限判断是否允许访问。 4. 在用户登录时,使用Shiro的Subject对象进行身份认证,如果验证通过则将用户信息存储在Shiro的Session中,用于后续的权限判断。 5. 在需要进行权限控制的方法或请求上,使用Shiro的注解标记需要的角色或权限。 6. 在应用中提供管理界面,用于管理用户、角色和权限等信息。 需要注意的是,Shiro只提供了基础的安全功能,具体的权限管理实现需要根据具体的应用场景和需求进行设计和开发。同时,为了保证安全性,开发人员需要仔细阅读Shiro的文档,并遵循最佳实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值