若依框架基于@PreAuthorize注解的权限控制

最新推荐文章于 2024-06-21 14:01:33 发布
最新推荐文章于 2024-06-21 14:01:33 发布
阅读量8.7k 收藏 36
点赞数 8
文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49561506/article/details/128775285
版权

目录

一、Java注解(Annotation)

1. 概述        

2. Annotation通用定义

(1)@interface

(2)@Documented

(3)@Target(ElementType.TYPE)

(4)@Retention(RetentionPolicy.RUNTIME)

二、基于注解的权限控制

1. 数据权限

 2. 角色权限

一、Java注解(Annotation)

1. 概述        

        Java 注解(Annotation)又称 Java 标注,是 JDK5.0 引入的一种注释机制。

        Java 定义了一套注解,共有 7 个,3 个在 java.lang 中,剩下 4 个在 java.lang.annotation 中。

作用在代码的注解是:

  • @Override - 检查该方法是否是重写方法。如果发现其父类,或者是引用的接口中并没有该方法时,会报编译错误。
  • @Deprecated - 标记过时方法。如果使用该方法,会报编译警告。
  • @SuppressWarnings - 指示编译器去忽略注解中声明的警告。

作用在其他注解的注解(或者说 元注解)是:

  • @Retention - 标识这个注解怎么保存,是只在代码中,还是编入class文件中,或者是在运行时可以通过反射访问。
  • @Documented - 标记这些注解是否包含在用户文档中。
  • @Target - 标记这个注解应该是哪种 Java 成员。
  • @Inherited - 标记这个注解是继承于哪个注解类(默认 注解并没有继承于任何子类)

2. Annotation通用定义

@Documented
@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
public @interface MyAnnotation1 {
}

(1)@interface

        使用 @interface 定义注解时,意味着它实现了 java.lang.annotation.Annotation 接口,即该注解就是一个Annotation。定义 Annotation 时,@interface 是必须的。

(2)@Documented

        类和方法的 Annotation 在缺省情况下是不出现在 javadoc 中的。如果使用 @Documented 修饰该 Annotation,则表示它可以出现在 javadoc 中。

        定义 Annotation 时,@Documented 可有可无;若没有定义,则 Annotation 不会出现在 javadoc 中。

(3)@Target(ElementType.TYPE)

        ElementType 是 Annotation 的类型属性。而 @Target 的作用,就是来指定 Annotation 的类型属性。

ElementType.METHOD:该注解只能声明在一个类的方法前。

ElementType.TYPE:该注解只能声明在一个类前。

(4)@Retention(RetentionPolicy.RUNTIME)

        @Retention(RetentionPolicy.RUNTIME) 的意思就是指定该 Annotation 的策略是 RetentionPolicy.RUNTIME。这就意味着,编译器会将该 Annotation 信息保留在 .class 文件中,并且能被虚拟机读取。

总结:

       @interface 用来声明 Annotation,@Documented 用来表示该 Annotation 是否会出现在 javadoc 中, @Target 用来指定 Annotation 的类型,@Retention 用来指定 Annotation 的策略。

Java中常用的Annotation:

@Deprecated  -- @Deprecated 所标注内容,不再被建议使用。
@Override    -- @Override 只能标注方法,表示该方法覆盖父类中的方法。
@Documented  -- @Documented 所标注内容,可以出现在javadoc中。
@Inherited   -- @Inherited只能被用来标注“Annotation类型”,它所标注的Annotation具有继承性。
@Retention   -- @Retention只能被用来标注“Annotation类型”,而且它被用来指定Annotation的RetentionPolicy属性。
@Target      -- @Target只能被用来标注“Annotation类型”,而且它被用来指定Annotation的ElementType属性。
@SuppressWarnings -- @SuppressWarnings 所标注内容产生的警告,编译器会对这些警告保持静默。

二、基于@PreAuthorize注解的权限控制

        若依框架使用 Spring Security来进行鉴权, Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限。

@PreAuthorize注解用于配置接口,要求用户拥有某些权限才可访问,它拥有如下方法

方法参数描述
hasPermiString验证用户是否具备某权限
lacksPermiString验证用户是否不具备某权限,与 hasPermi逻辑相反
hasAnyPermiString验证用户是否具有以下任意一个权限
hasRoleString判断用户是否拥有某个角色
lacksRoleString验证用户是否不具备某角色,与 isRole逻辑相反
hasAnyRolesString验证用户是否具有以下任意一个角色,多个逗号分隔

1. 数据权限

整体逻辑:每个用户分配角色之后,都会有一定的权限,在用户访问某个接口时,会判断用户所拥有的权限是否包含该接口需要的权限,然后将判断的结果("true"或者"fales")传入@PreAuthorize注解实现数据权限的控制。当Spring EL 表达式返回TRUE,则权限校验通过;

示例: 

例如在判断用户是否具有新增用户权限时,加上了下面这个注解:

 

 (1)@PreAuthorize 注解:

@PreAuthorize注解括号里面接收的是String类型的参数,且值为 "true"  或者 "false" 

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Inherited
@Documented
public @interface PreAuthorize {
    String value();
}

(2)ss.hasPermi() 方法:

 ss:ss是PermissionService类实例化后起的的对象名

hasPermi() 方法接收一个 String类型的参数,值为'system:user:add',返回值为布尔类型,首先进行校验,判断参数是否为空,然后拿到当前登录系统的用户,判断当前用户是否为空以及用户拥有的权限是否为空(调用 loginUser.getPermissions() 方法,返回一个Set集合的权限列表),最后调用 hasPermissions(loginUser.getPermissions(), permission) 方法判断用户是否有该权限,如果包含就返回 true。

 

 存储权限信息表:

 

 2. 角色权限

角色权限时根据用户所属的角色来进行权限控制,实际原理和数据权限一样。

// 属于user角色
@PreAuthorize("@ss.hasRole('user')")

// 不属于user角色
@PreAuthorize("@ss.lacksRole('user')")

// 属于user或者admin之一
@PreAuthorize("@ss.hasAnyRoles('user,admin')")

小小印z
关注
  • 8
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 9
    评论
若依 权限注解
01-04 625
如果有些接口是不需要验证权限可以公开访问的,这个时候就需要我们给接口放行。注解用于配置接口要求用户拥有某些权限才可访问,它拥有如下方法。超级管理员拥有所有权限,不受权限约束。的对应方法判断接口调用者的权限。服务,对每个接口拦截并调用。使用注解方式,只需要在。
若依框架整合SpingSecurity
06-07
1. **若依框架**:若依基于Spring Boot、MyBatis Plus、Vue.js等技术构建,提供了权限控制、菜单管理、数据字典、工作流等企业级功能。它的核心亮点在于简洁的API设计和丰富的前端组件,使得开发者能够快速搭建后台...
详细分析SpringSecurity中的@PreAuthorize注解
码农研究僧的博客
01-27 8825
Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
@PreAuthorize与@Secured注解的区别是什么?
最新发布
java永无止境!
06-21 420
和@Secured都是Spring Security中的注解,它们用于方法安全,即定义哪些用户有权限调用特定的方法。尽管它们的目的相同,但是它们提供了不同的功能和表达方式。
【若依】@PreAuthorize
weixin_45995287的博客
12-01 7607
Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限来源于若依官方文档,记一下帮助记忆!
@PreAuthorize注解
先知三日
01-12 3543
例如,v-hasPermi="['monitor:job:add']"会检查用户是否具有monitor:job:add这个权限,如果有,那么相关的UI元素就会显示。用户此时已经登陆系统,假设用户操作的是角色管理模块的查询按钮,当点击该按钮时,会通过网络映射到后端的接口方法。通过这种方式,RuoYi框架可以实现精细的基于权限的访问控制,确保只有具有相应权限的用户才能访问特定的资源。如果当前用户的权限集合中,包含当前被@PreAuthorize标注的方法的权限,则返回true。等集合信息返回给前端。
ruoyi-vue版本(四)@PreAuthorize 注解在若依里面的作用,springsecurity 框架相关的配置
一天不写代码难受的博客
01-17 3378
ruoyi
@PreAuthorize 注解
热门推荐
susu1083018911的博客
11-03 1万+
以前也写过登录,但是没有研究过 spring-security ,在新项目中看到这个注解还是一脸的懵,下面简单的梳理一下此注解(题外话:其实好多都可以通过名字的大概意思猜一猜): @PreAuthorize 注解方法前拦截判断是否有权限 进入方法前判断el表达式 查找到我们项目中定义了一个接口,接口中定义了常量 常量值的定义,我们可以在SecurityExpressionRoot类中看到 el表达式返回true:通过 false:拒绝访问 对上述el表达式 ...
SpringSecurity权限控制实现原理解析
08-24
在上面的代码中,@PreAuthorize 注解标识了控制器的访问权限,例如 ROLE_ADMIN 和 ROLE_PRODUCT。 在 SpringSecurity 中,还可以使用 Secured 注解来标识控制器的访问权限,例如: ```java @Controller @...
一个基于注解的SSH框架的登录功能实现
11-03
这一步也可以借助Spring的`@Secured`或`@PreAuthorize`注解实现权限控制。 5. **跳转响应**:根据登录成功或失败的情况,返回不同的视图。可以使用Struts2的`@Result`注解指定视图路径。 6. **错误处理**:对于...
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
4. **Web安全配置**:在Spring Security的配置类中,可以定义基于URL的访问规则,并结合按钮级别的权限注解,形成完整的权限控制逻辑。 5. **前后端交互**:前端Vue应用需要和后端Spring Security应用进行交互,...
若依(基于SpringBoot权限管理系统).rar
12-11
若依(基于SpringBoot权限管理系统);
Spring Boot AOP权限控制模块开发
03-02
如果选择自定义,可以在`checkPermission`方法中获取当前用户信息,然后对比方法的访问权限需求,如方法的元数据(如`@PreAuthorize`注解)或数据库中的角色与权限Spring Security是一个强大的安全框架,它提供...
@PreAuthorize注解详解
leese233的博客
11-09 673
@PreAuthorize注解详解
Java注解的解释——@PreAuthorize
dingliqiang4的博客
07-14 6194
【代码】Java注解的解释——@PreAuthorize
若依RuoYi框架数据库权限控制表解析
SDUer_DZL的博客
06-03 6164
若依框架权限控制方面使用了一些数据库表来存储相关的信息。sys_user(用户表):存储系统用户的基本信息,包括用户ID、用户名、密码等。sys_role(角色表):存储角色的基本信息,包括角色ID、角色名称等。sys_menu(菜单表):存储系统菜单的信息,包括菜单ID、菜单名称、父菜单ID、菜单类型等。sys_dept(部门表):存储部门的信息,包括部门ID、部门名称、父部门ID等。sys_user_role(用户角色关联表):用于建立用户和角色之间的关联关系,记录用户拥有的角色。
@PreAuthorize注解源码分析(一)
Sterne_的博客
07-04 1199
本文将深入探讨Spring Security框架中的@PreAuthorize注解,它是一种方法级别的权限控制注解。本文将详细讲解@PreAuthorize注解的源码,帮助读者了解其实现原理。
若依框架@PreAuthorize访问不了
09-06
若依框架中的@PreAuthorize注解用于定义接口访问的方法上,来控制访问权限。它的值是一个String类型的参数,可以为"true"或者"false",用于在运行时判断是否允许访问该方法。该注解可以用在方法或类上,并且可以通过Spring EL表达式来定义具体的权限控制规则。 如果在使用若依框架中的@PreAuthorize注解时访问不了,可能有以下几个原因: 1. 没有正确配置Spring Security,若依框架使用了Spring Security来进行鉴权,需要正确配置Spring Security的相关配置。 2. 表达式中的权限控制规则有误,需要确保使用正确的Spring EL表达式来定义权限规则。可以参考文档或者示例来正确配置权限控制规则。 3. 注解的作用域错误,@PreAuthorize注解可以用在类或方法上,需要根据具体的需求来选择正确的作用域。 4. 注解所在的类或方法没有被正确扫描到,需要确保注解所在的类或方法被正确扫描并被应用程序所识别。 可以根据具体的情况来检查以上可能的原因,以解决访问不了@PreAuthorize的问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [若依框架基于@PreAuthorize注解权限控制](https://blog.csdn.net/weixin_49561506/article/details/128775285)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小小印z

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值