Springboot权限管理

已于 2023-09-05 09:57:02 修改
阅读量1.7k 收藏 18
点赞数 1
文章标签: java 开发语言 spring boot spring
于 2023-09-05 09:46:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55895202/article/details/132684682
版权

一、前言

最近在整合完单点登录后,又来了一个新活,好在这个任务已经比较成熟,实现的方式也比较多,也有比较成熟的框架已经实现了它,它就是权限管理。

二、实现过程

实现权限管理的方式有很多,我提出我通过查阅资料学习所知道的,如果有更多欢迎分享:

  1. 拦截器做鉴权
  2. AOP做鉴权
  3. shiro框架
  4. springsecurity框架

其中,1、2点都是基于在类或方法上加上一个自定义注解实现的,在通知或拦截器中通过获取类或方法上的注解的value值,来比较判断用户的权限,再决定是否放行执行我们的核心业务。

考虑到公司架构和其他原因,我使用到的是使用AOP进行鉴权认证。

实现过程如下:

2.1数据库设计   

2.1.1RBAC权限模型

RBAC是基于角色的访问控制,是用户通过角色与权限进行关联,为什么不直接给用户分配权限呢?简单来说,一个用户拥有多个角色,每个角色拥有若干权限。这样就构成了“用户-角色-权限”的授权模型。在这个模型中,用户与角色、角色与权限之间是多对多的关系。

根据角色授权的思想,我们需要设计五张表

​ 用户表(user)

​ 角色表(role)

​ 权限表(permission)

这三个表之间都是多对多的关系,所以衍生出两个关联表如下

 用户角色表(user_role)

​ 角色资源表(role_permission)

2.2.选择方案

2.2.1基于AOP的实现

1.定义注解

@Retention(value = RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD,ElementType.TYPE})
@Inherited
@Documented
public @interface PreAuthorize {
    String value();
}

注解的value值代表的是方法所需的条件或权限

2.AuthorizeAspect切面定义


@Aspect
@Component
public class AuthorizeAspect {

    @Autowired
    private ZsjScadaUserService userService;

    @Autowired
    private ZsjScadaUserRoleService userRoleService;

    @Autowired
    private ZsjScadaRolePermissionService rolePermissionService;

    @Autowired
    private ZsjScadaPermissionService permissionService;

    //定义切点
    @Pointcut("@annotation(com.metastar.vip.scada.service.annotation.PreAuthorize)")
    public void logPointCut(){

    }
    //鉴权通知
    //环绕通知选择原因:取消方法执行:在环绕通知中,我们可以选择不执行目标方法(JointPoint),从而取消方法的执行。这在鉴权过程中非常有用,如果用户没有相应的权限,我们可以直接返回错误信息,而不必执行目标方法。
    @Around("logPointCut()")
    public Object authAround(ProceedingJoinPoint joinPoint) throws Throwable{

        // TODO: 2023/8/31 获取目标方法中的HttpRequest -> 获取请求头携带的Cookie
        Object[] args = joinPoint.getArgs();
        String name = joinPoint.getSignature().getName();
        HttpServletRequest request = (HttpServletRequest) args[0];
        Object proceed = null;
        HttpSession session = request.getSession(false);
        if (session == null){
      
            return proceed = Result.fail("请先登录");
        }
//         TODO: 2023/8/31  根据cookie获取当前会话信息 -> 获取当前登录用户
        Assertion assertion = (Assertion) session.getAttribute("_const_cas_assertion_");
        Map<String, Object> attributes = assertion.getPrincipal().getAttributes();
        String user = attributes.get("USER").toString();
        JSONObject userJsonObject = JSON.parseObject(user);
        String userId = userJsonObject.getString("userId");
//         TODO: 2023/8/31 根据用户ID查询该用户角色
        QueryWrapper<UserDO> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("id",userId).eq("in_use",1);
        UserDO userDO = userService.getOne(queryWrapper);
        if (user == null){
            throw new RuntimeException("该用户不存在");
        }
//         TODO: 2023/8/31 根据该角色去查询所拥有的权限
        QueryWrapper<UserRoleDO> userRoleDOQueryWrapper = new QueryWrapper<>();
        userRoleDOQueryWrapper.eq("user_id",userDO.getId());
        UserRoleDO one = userRoleService.getOne(userRoleDOQueryWrapper);
        Long roleId = one.getRoleId();
        QueryWrapper<RolePermissionDO> rolePermissionDOQueryWrapper = new QueryWrapper<>();
        rolePermissionDOQueryWrapper.eq("role_id",roleId);
        List<Long> permissionIds = rolePermissionService.list(rolePermissionDOQueryWrapper).stream().map(RolePermissionDO::getPermissionId).collect(Collectors.toList());
//         TODO: 2023/8/31 查看该权限所能访问的资源uri
//         TODO: 2023/8/31 查看当前目标类+方法的URI是否存在与当前用户权限所对应的资源uri列表中
//         TODO: 2023/8/31 存在->继续指定控制器中的方法 不存在->返回错误信息
        Signature signature = joinPoint.getSignature();
        MethodSignature methodSignature = (MethodSignature) signature;
        Object target = joinPoint.getTarget();
        //获取注解标注的类(鉴权以类为单位)
//        PreAuthorize annotation1 = target.getClass().getAnnotation(PreAuthorize.class);
//        String value = annotation1.value();
        //获取注解标注的方法(鉴权以方法为单位)
        Method method = target.getClass().getMethod(methodSignature.getName(), methodSignature.getParameterTypes());
        //通过方法获取注解
        PreAuthorize annotation = method.getAnnotation(PreAuthorize.class);
        //获取注解中的值
        String permissionValue = annotation.value();
        Integer count = 0;
        for (Long permissionId : permissionIds) {

            String permissionName = permissionService.getById(permissionId).getPermissionName();
            if (permissionName.equals(permissionValue)){
                //该角色含有该权限 访问方法
                proceed = joinPoint.proceed(args);
                break;
            }
            count++;
        }
        if (count == permissionIds.size()){
            //没有该权限 抛出异常
            return proceed = Result.fail("权限不足,无法访问");
    
        }
        return proceed;
    }

}

3.测试

@RestController
@RequestMapping("/auth")
public class authTestController {

    @PostMapping("/test1")
    @PreAuthorize(value = "用户模块")
    public Result Test1(HttpServletRequest request,String userName){

        return Result.ok(userName);
    }
}

Postman访问该url后,拦截后执行环绕通知进行鉴权,通过后访问该控制器中的Test1方法响应结果。

2.2.2基于拦截器的实现

1.同样是定义自定义注解

@Target({ElementType.TYPE, ElementType.METHOD}) //注解的作用域,即此注解应该被用在什么地方
@Retention(RetentionPolicy.RUNTIME)  //注解的生命周期,即注解在什么范围内有效
@Inherited  //标识注解,允许子类继承
@Documented //标识注解,生成javadoc文档时,会包含此注解
public @interface RoleNum {
//    int value(); //default 1;
    String value();
}

2.定义拦截器

@Component
public class LoginInterceptor implements HandlerInterceptor {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    /**
     * 目标方法执行之前(Controller方法调用之前)
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        // TODO: 2023/7/21 获取前端Authorization的token值 访问redis
        // TODO: 2023/7/21 命中 放行 刷新redis中token的TTL
        // TODO: 2023/7/21 未命中(过期) 重新向登录页面 拦截
        // TODO: 2023/7/24 在验证到相应登陆的Token后 需要查看当前用户Role值 检验是否有该路径的访问权限
        String token = request.getHeader("Authorization");
        Long size = stringRedisTemplate.opsForHash().size(RedisConstant.LOGIN_INFO + token);
        if (size == 0){
            //重定向到登录页面
//            response.sendRedirect("/login");
            //拦截
            response.getWriter().write("{\"code\":-1,\"msg\":\"please login first\",\"data\":null}");
            return false;
        }else {
            String role = (String) stringRedisTemplate.opsForHash().get(RedisConstant.LOGIN_INFO + token, "role");
            if (hasPermission(handler,role)) {
                //权限足够
                //放行 并 刷新 用户信息token TTL
                stringRedisTemplate.expire(RedisConstant.LOGIN_INFO + token,RedisConstant.LOGIN_TTL, TimeUnit.MINUTES);
                return true;
            } else {
                //权限不足
                response.getWriter().write("{\"code\":-1,\"msg\":\"privilege is not enough\",\"data\":null}");
                //放行 并 刷新 用户信息token TTL
                stringRedisTemplate.expire(RedisConstant.LOGIN_INFO + token,RedisConstant.LOGIN_TTL, TimeUnit.MINUTES);
                return false;
            }
        }
    }

    /**
     * 验证权限是否足够
     * @param handler
     * @param role
     * @return
     */
    private boolean hasPermission(Object handler, String role) {

        if (handler instanceof HandlerMethod){
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            //获取方法上的注解
            RoleNum roleNum = handlerMethod.getMethod().getAnnotation(RoleNum.class);
            //如果方法上的注解为空 则获取类的注解
            if (roleNum == null){
                roleNum = handlerMethod.getMethod().getDeclaringClass().getAnnotation(RoleNum.class);
            }
            //如果标记了注解,则判断权限
            if (roleNum != null){
                if (roleNum.value().equals("2")){  //该通用身份即可访问
//                    System.err.println("权限足够,正在访问");
                    return true;
                }
                if (roleNum.value().equals("1")) {  //Normal  0
                    if (role.equals("1")){
                        return true;
                    }else if (role.equals("0")){
                        return true;
                    }
                }
                if (roleNum.value().equals("0")){
                    if (role.equals("0")){
                        return true;
                    }else {
                        return false;
                    }
                }
            }
        }

        return false;
    }

注意:上述用户的角色权限信息是存储在Redis中的。

三、最后

现在鉴权模块已经非常成熟,以上仅为个人心得和实践,还有很多改进的地方欢迎评论,后续还会补充通过Shiro框架实现的鉴权这一模块。

玩煤球的咕咕猪
关注
  • 1
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringBoot权限管理系统
08-03
Springboot框架开发权限管理系统后台
Springboot14:集成Shiro
qq_43602877的博客
03-21 185
1、Shiro 1.1、什么是Shiro? Shiro 是一个Java的安全(权限)框架 Shiro 可以非常容易开发出足够的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境 Shiro 可以完成认证,授权,加密,会话管理,Web集成,缓存 对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了 1.2、基本功能 Authentication:身份认证 / 登
SpringBoot整合SpringScurity权限控制(菜单权限,按钮权限)以及加上SSH实现安全传输
最新发布
dzqxwzoe的博客
06-07 925
如果你在设计一个需要存储用户密码的系统,强烈建议使用 bcrypt、PBKDF2 或 Argon2 而不是MD5。这些现代算法提供了更高级别的安全保障,可以帮助你的系统抵御当前的威胁,如暴力破解和彩虹表攻击。选择正确的密码存储策略是保护用户数据安全的关键一步。
Springboot实现RBAC权限校验
qq_57031340的博客
08-27 1609
Springboot实现RBAC权限校验 实现方式:Springboot+AOP切面+自定义注解+redis+jwt+mybatis+token拦截器
Spring Boot实践:Web、数据访问与权限管理的深度整合
沐雨风栉
05-27 989
Java开发环境中,Spring Boot是一个领军的框架,特别是当我们讨论创建快速、可读和生产级别的应用程序时。下面,我们会深入研究Spring Boot如何与Web开发,数据访问以及权限控制进行整合。
SpringBoot整合系列】SpringBoot整合Shiro——权限控制
低调做人,低调编码,神码都是浮云
04-12 1234
SpringBoot整合Shiro权限控制
【业务功能篇59】Springboot + Spring Security 权限管理 【下篇】
studyday1的博客
07-29 1127
我们需要自定义一个登陆接口,并让SpringSecurity不要对该接口进行登录验证,以允许未登录用户访问。在该接口中,我们使用AuthenticationManager的authenticate方法进行用户认证,需要在SecurityConfig中配置将AuthenticationManager注入到容器中。如果认证成功,则需要生成一个jwt并将其放入响应中返回。为了让用户在下次请求时能够通过jwt识别出具体的用户,我们需要将用户信息存储在redis中,可以将用户id作为key。
SpringBoot:SpEL让复杂权限控制变得很简单!
犬小哈
11-12 139
来源:juejin.cn/post/7226674759626571833???? 欢迎加入小哈的星球,你将获得:专属的项目实战/ Java 学习路线 / 一对一提问 / 学习打卡/赠书福利目前, 正在星球内部带小伙伴做第一个项目:全栈前后端分离博客,手摸手,后端 + 前端全栈开发,从 0 到 1 讲解每个功能点开发步骤,1v1 答疑,直到项目上线。目前已更新了141小节,累计21w+字,讲解图:9...
springboot权限管理系统源码.zip
05-28
springboot权限管理系统源码 主要功能: * 系统用户,角色,权限增删改查,权限分配,权限配色 * 文件上传可自由选择本地存储,七牛云存储,阿里云存储 * 系统字典 * 配置网站基本信息,包括博客数据限制 ...
springboot库存管理系统
10-02
基于springboot+mybatis搭建的库存管理系统,功能包括: 供销管理:客户管理、供应商管理、商品管理。 进退货管理:商品进货、商品退货查询。 销售管理:商品销售、销售退货查询。 系统管理:部门管理、菜单管理、...
基于springBoot权限管理系统
01-07
mysiteforme权限管理系统是学习springBoot时基于springBoot开发的一套轻量级的系统脚手架,可以以此形成一套属于自己的系统后台 ,自动生成前后台基本代码;使用Spring Boot、Shiro、MyBatis、Layui等框架,包含:...
基于springboot的RBAC权限管理演示系统
01-17
这是一个RBAC权限管理系统,即基于角色的用户权限控制,,使用springboot框架开发,UI使用的是layui。。 演示地址:http://116.196.66.248:8090/page/index 欢迎大家下载。。。。另外,建议使用IDEA导入项目。。
springboot图书管理系统
07-09
此外,权限管理和用户认证也是图书管理系统不可或缺的部分。Spring Security可以提供强大的安全控制,包括角色分配、登录验证、访问控制等。通过XML配置或Java配置,我们可以定制化的定义安全策略,确保系统操作的...
springBoot整合springSecurity基于RBAC权限验证
qq_1641486826的博客
12-02 2441
学学springSecurity的认证授权框架,后续整合一下JWT 先说一下基于RBAC权限管理的思路 在数据库中配置用户权限 在每个接口上使用注解的形式说明接口需要用户拥有那个权限才能访问 SpringSecurity使用拦截请求的方式对当前用户拥有的权限和接口需要的权限进行比对,包含则放行,不包含则拦截 导入SpringSecurity的maven坐标 <dependency> <groupId>org.springframework.boot
spring boot注解实现权限控制
大圣即大盗
12-25 3713
1、自定义注解 Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface RoleCheck { String[] roles() default {}; } 2、注解的实现 @Service public class RoleCheckInterceptor ...
SpringBoot 自定义注解(二)权限校验
这就是快乐嘛
07-20 1307
通过注解加上拦截器实现对指定注解参数的拦截 注解类: @Target({ ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interface PermissionCheck { // 根据参数判断 String resourceKey(); } 再对过滤的方法上面加注解: @GetMapping("v2") @PermissionCheck(resourceKey = "t
自己实现注解式权限校验(SpringBoot)
LitongZero的博客
12-20 4131
权限校验(SpringBoot注解式) 权限校验是很多情况都会用到的,结合Java注解和拦截器,直接在Controller层的方法上添加一个注解,可以无侵入式的进行权限校验。 一.Java注解 1.RequestMapping 我们打开一个最常用的Spring注解 可以看到,RequestMapping注解上,还有几个注解,分别代表 ①Target:注解目标(如:可以在方法、类、参数中使用)...
springBoot项目搭建包含RBAC模块 -- 基础框架搭建(一)
weixin_43470322的博客
06-21 1051
这是一个springboot单体的项目使用的是聚合工程,包含基础RBAC模块,主要使用的是:springboot 、mybatis-plus、webflux、mysql、redis、rabbitmq等技术。
Spring Boot实现简单的用户权限管理(超详细版)
热门推荐
Veggie的博客
08-06 6万+
为了避免浪费时间进行不必要的阅读,这里先对项目进行简单的介绍。在实际应用场景中,每个用户都有对应的角色,而每个角色又有对应的一些角色。因为一个用户可以有多个角色,一个角色也可以被多个用户所拥有,角色和权限的关系也同理,这里主要利用多对多的映射关系将他们联系起来,对他们进行管理。 ...
springboot 权限管理
03-31
Spring Boot 提供了多种权限管理方式,如使用 Spring Security 或自定义实现。下面简单介绍两种实现方式: 1. 使用 Spring Security Spring Security 是 Spring 生态中用于安全认证和授权的框架,可以非常方便地实现基于角色或权限的访问控制。在 Spring Boot 中集成 Spring Security 非常简单,只需要添加依赖和配置文件即可。 首先,在 `pom.xml` 中添加 Spring Security 的依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 然后,在 `application.properties` 文件中配置用户名和密码: ``` spring.security.user.name=admin spring.security.user.password=123456 ``` 最后,在 Spring Boot 应用程序的启动类上添加 `@EnableWebSecurity` 注解,启用 Spring Security: ```java @SpringBootApplication @EnableWebSecurity public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 现在,你可以使用 `@PreAuthorize` 或 `@Secured` 注解来限制方法的访问: ```java @RestController public class UserController { @GetMapping("/users") @PreAuthorize("hasRole('ADMIN')") public List<User> getUsers() { // ... } @PostMapping("/users") @PreAuthorize("hasAuthority('CREATE_USER')") public void createUser(@RequestBody User user) { // ... } } ``` 在上面的例子中,`@PreAuthorize` 注解会检查用户是否具有指定的角色或权限。如果用户没有权限,访问将被拒绝。 2. 自定义实现 如果你不想使用 Spring Security,或者需要更细粒度的控制,可以自定义权限管理实现。下面是一个简单的例子: 首先,定义一个 `Permission` 类表示权限: ```java public enum Permission { READ_USER, CREATE_USER, UPDATE_USER, DELETE_USER } ``` 然后,定义一个 `User` 类表示用户信息: ```java public class User { private String username; private String password; private List<Permission> permissions; // getter and setter } ``` 接着,在 `UserController` 中添加一个 `checkPermission` 方法来检查用户是否具有指定的权限: ```java @RestController public class UserController { @Autowired private UserService userService; @GetMapping("/users") public List<User> getUsers() { checkPermission(Permission.READ_USER); return userService.getUsers(); } @PostMapping("/users") public void createUser(@RequestBody User user) { checkPermission(Permission.CREATE_USER); userService.createUser(user); } private void checkPermission(Permission permission) { User user = getCurrentUser(); if (user == null || !user.getPermissions().contains(permission)) { throw new RuntimeException("Access denied"); } } private User getCurrentUser() { // 获取当前用户信息 // ... } } ``` 在上面的例子中,`checkPermission` 方法会检查当前用户是否具有指定的权限。如果用户没有权限,访问将被拒绝。 最后,在 `UserService` 中添加一个 `getCurrentUser` 方法来获取当前用户信息: ```java @Service public class UserService { public User getCurrentUser() { // 获取当前用户信息 // ... } } ``` 在实际应用中,你可能需要更复杂的权限管理逻辑,如基于角色的访问控制、动态授权等。这些都可以通过自定义实现来实现。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值