自定义注解实现权限验证

已于 2023-06-29 10:43:21 修改
阅读量3.5k 收藏 32
点赞数 5
分类专栏: Spring 文章标签: java spring
于 2022-03-02 16:03:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57504474/article/details/123230857
版权
本文介绍了如何在Spring MVC中通过自定义注解实现权限验证。首先,定义了一个`RoleAuthorize`注解,然后创建了一个拦截器`RoleInterceptor`检查请求中的方法或类是否带有权限注解,并根据用户token获取角色ID进行匹配。测试部分展示了如何在学生管理接口上使用注解限制访问权限。
摘要由CSDN通过智能技术生成

一、前言

在我们写项目时,一个项目通常会有拥有不同角色的用户,在进入某个方法前,会判断该用户是否具有此权限,今天我们来用自定义注解实现一下这个功能。

注解参数不懂的小伙伴可以移步这篇文章:java自定义注解_crazyK.的博客-CSDN博客  

二、业务场景

1.场景介绍

假如有一个学生管理系统,我们来对一个用户是否具有对学生管理这个模块操作的权限进行验证

2.数据库

存储用户基本信息的用户表

角色表

用户角色关联表

3.前情提示

在写权限验证之前要把登录功能并传入token,在token里保存登录用户的角色id (后面会用到)

//登录
    @RequestMapping("login")
    public ResultJson login(User user) {
        if (user.getUserName() == null || user.getUserPassword() == null) {
            return ResultJson.error("用户名或密码错误!");
        }
        User userDb = loginService.login(user);
        if (userDb == null) {
            return ResultJson.error("用户名或者密码错误!");
        }

        Long uid = userDb.getId();
        //查询登录用户具有的角色id
        List<Long> roleIdList = loginService.userRoleIdList(uid);
        user.setId(uid);
        user.setRoleIdList(roleIdList);
        //这里设置token
        String token = TokenUtil.genToken(user);
        User user1 = new User();
        user1.setId(userDb.getId());
        user1.setUserName(userDb.getUserName());
        user1.setUserMail(userDb.getUserMail());
        user1.setUserPhone(userDb.getUserPhone());
        user1.setToken(token);
        user1.setRoleIdList(roleIdList);
        user1.setId(userDb.getId());
        return ResultJson.ok(GlobalConstant.RESULT_OK_MSG, user1);
    }

三、编码

1.创建一个自定义注解

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Inherited
@Documented
/**
 * 权限验证自定义注解
 */
public @interface RoleAuthorize {
    String[] value() default {};
}

2.创建一个拦截器

这个拦截器拦截所有访问路径的url,如果访问方法上带有我们创建的自定义注解RoleAuthoeize,则获取这个注解上限定访问的角色,方法中没有注解在获取这个类是否有这个注解,如果都没有,则这个类没有访问权限限制,放行

@Component
public class RoleInterceptor  extends HandlerInterceptorAdapter {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
                             Object handler) throws Exception {
        
        HandlerMethod handlerMethod = (HandlerMethod)handler;
        //在方法上寻找注解(这里是反射)
        RoleAuthorize permission = handlerMethod.getMethodAnnotation(RoleAuthorize.class);
        if (permission == null) {
            //方法不存在则在类上寻找注解则在类上寻找注解
            permission = handlerMethod.getBeanType().getAnnotation(RoleAuthorize.class);
        }

        //如果没有添加权限注解则直接跳过允许访问
        if (permission == null) {
            return true;
        }

        //获取角色id(登录时用户拥有的角色id存储在了token中)
        String token = request.getHeader(GlobalConstant.HEADER_TOKEN);
        Long roleId = TokenUtil.getRoleId(token);
        String roleId2 = String.valueOf(roleId);
        //获取注解中的值
        String[] validateRoles = permission.value();
        for(int i = 1; i < validateRoles.length; i++){
            if (validateRoles[i].equals(roleId2 )){
                return true;
            }
        }
        throw new AccessDeniedException("您没有权限!");
    }
}

3.注册拦截器

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Autowired
    private RoleInterceptor roleInterceptor;
    

    @Override
    public void addInterceptors(InterceptorRegistry registry){
        registry.addInterceptor(roleInterceptor).addPathPatterns("/**");

    }
}

四、测试

1.先写几个简单的方法将自定义注解修饰在方法上(修饰在类上也可以)

//增加
    //value中的值表示只有拥有角色id为1的管理员或id为2的老师才具有对学生信息操作的权限
    @RoleAuthorize(value = {"1","2"})
    @RequestMapping("insert")
    public ResultJson insert(@RequestBody User user) {
            if (studentService.save(user)) {
                studentService.insertUserRole(user.getId());
                return ResultJson.ok(GlobalConstant.RESULT_OK_MSG, user);
            } else {
                return ResultJson.error(GlobalConstant.RESULT_ERROR_MSG);
            }
    }

    //修改
    @RoleAuthorize(value = {"1","2"})
    @RequestMapping("update")
    public ResultJson updateById(@RequestBody User user) {
            if (studentService.updateById(user)) {
                return ResultJson.ok(GlobalConstant.RESULT_OK_MSG, user);
            } else {
                return ResultJson.error(GlobalConstant.RESULT_ERROR_MSG);
            }
    }

    //删除
    @RoleAuthorize(value = {"1","2"})
    @RequestMapping("delete")
    public ResultJson deleteById(Long id) {
            if (studentService.removeById(id)) {
                studentService.deleteUserRole(id);
                return ResultJson.ok(GlobalConstant.RESULT_OK_MSG, id);
            } else {
                return ResultJson.error(GlobalConstant.RESULT_ERROR_MSG);
            }

    }

2.测试

1)先登录

2.调用学生模块的任意一个接口测试

别忘了传入token(要验证用户拥有的角色id) 

 调用接口

 再登录一个只有学生角色的用户

 

 

没有权限 

crazyK.
关注
专栏目录
java自定义注解实现权限控制
zmsister的博客
07-19 1782
这3个生命周期分别对应于Java源文件(.java文件)--->.class文件--->内存中的字节码。source注解只保留在源文件,当Java文件编译成class文件的时候,注解被遗弃;class注解被保留到class文件,但jvm加载class文件时候被遗弃,这是默认的生命周期。runtime注解不仅被保存到class文件中,jvm加载class文件之后,仍然存在。上面定义的是作用于方法的注解,所以我们需要在方法中使用@Permission。@Retention注解的作用。...
springboot通过自定义注解完成简单的权限认证.zip
10-11
通过本案例实现了通过自定义注解的拦截的方法可以设置访问权限;通过拦截器获取指定方法上的自定义的注解,然后判断当前的接口需不要权限校验;然后通过对应的访问去处理;demo里面的代码简单;文档齐全,初学者秒懂.本文...
AOP的另类用法 (权限校验&&自定义注解)
qq_51033936的博客
03-07 1894
告别了OOP编程, 迎来了一个新的AOP编程时代👍👍👍, 最近有同学问我AOP除了写日志还能干什么, 其实AOP能干的事情挺多的, 可能只是他们写的代码中暂时用不到. 其实如果当我们写一些简单的程序的时候, SpringSecurity完全用不到的时候, 就可以使用AOP与自定义注解来为角色的访问权限进行鉴定, 绝对比Security更轻量👉👉👉 我们在接触框架的时候经常会用到注解, 但是我们自己自定义注解的情况比较少, 一般都是配合切面编程使用, 一起来看看吧
springAop+自定义注解实现权限管理
09-14
一个简单的采用自定义注解结合SpringAop实现方法执行的权限管理,这个demo中并没有涉及到与数据库的交互和业务代码,用户权限在登陆时采用简单的手动初始化。该demo用的jdk1.7编译,Spring4.0版本,只想通过这个demo熟悉相关技术,如有不足之处还望各位大佬多多包涵并指出。
自定义注解+AOP实现权限控制
最新发布
qq_45794852的博客
08-19 221
在实际开发中,我们常常需要对方法进行权限控制,就比如对用户身份的校验,判断其是不是管理员身份,此时我们就可以使用自定义注解+AOP进行权限校验。接下来我们开始演示一个Demo,管理员能够访问用户和管理员对应的接口,而用户只能访问用户的接口,并且还对登录的用户的用户名和密码进行校验。这样我们就实现了使用自定义注解+AOP实现权限校验了,只需要在需要进行校验的接口上添加注解即可!自定义@AdminLoginToken注解。用户访问用户页面结果。管理员访问管理员页面。
使用自定义注解进行权限校验
weixin_54925172的博客
06-16 1005
对于一些重复性的操作我们可以用提取为util的方式进行处理,但也可以更简便一些,比如自定义个注解进行。选择看这篇文章的小伙伴想必都对注解不陌生,但是可能对它的工作原理不太清楚。这里我们用注解实现对接口的权限校验,让大家感受一下,自定义注解的魅力。
自定义权限校验
AE86的博客
05-14 514
最近写一个小应用,有涉及到权限控制的,不想引入SpringSecurity等权限框架,感觉用框架太重了,于是自己用拦截器简单实现了下。思路就是自定义一个注解,标注在需要权限控制Contoller的方法上,该注解有一个roles属性,表示接口需要的角色,定义一个拦截器,拦截每个请求,根据请求头携带的Token查询用户信息,判断用户角色中是否有注解声明的某个角色,如果有权限就放行,没有就拦截抛异常。 数据库表结构 登录 因为会拦截所有请求,从请求头中获取TokenID查询用户信息,而这个TokenID就是.
自定义注解实现权限校验实战
菜不是原罪
02-26 798
最近刚入职新公司。维护一个老的系统。然后我把权限逻辑基于AOP给简单优化了一下。之后使用注解就可以了。作为一个自定义注解+AOP的实战记录吧。 1、提供了一个注解:@CheckPermission /** * @author zhangjiahui01 */ @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.METHOD}) @D...
自定义注解结合AOP实现权限校验
qq_61068952的博客
04-11 1011
自定义注解结合AOP实现权限校验
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
Spring Boot 通过 AOP 和自定义注解实现权限控制的方法 在本文中,我们将探讨如何使用 Spring Boot 通过 Aspect-Oriented Programming(AOP)和自定义注解实现权限控制。权限控制是任何应用程序的重要组件,它...
ssm+自定义标签+自定义注解 实现权限细粒度控制
04-13
1. **注解处理器**:创建一个自定义注解处理器,通常是一个Spring的`@Aspect`组件,它会在方法执行前进行拦截,调用权限服务进行权限验证。 2. **标签库**:定义自定义标签,与Spring的EL表达式结合,获取当前用户...
自定义注解实现权限校验含义_使用AOP实现权限拦截校验
weixin_39883260的博客
12-01 192
aop的好处就在于它可以只让你写一次代码,然后这些代码就可以用于容器当中的所有对象,权限拦截校验是一个表现形式。那么,我们要如何实现这个功能?首先,定义一个注解:这里有一个PermissionEnum枚举类,当然可以直接使用String 代替,不过不推荐,其源码如下:这里,我们控制的权限颗粒度是方法,所以必须使用一个标识符来标志出每个方法,我们只要将Permission注解加到方法之上,就能被切面...
SpringBoot中使用自定义注解和拦截器实现简单的权限控制
云景的博客
03-31 1205
众所周知,作为系统的最后一道防线,对于一些重要操作(crud等),后端默认接收的所有的请求都是“不可信”的,除了确认用户登录状态之外,还要对接收的数据进行一系列的合法性校验等等,即使已经在前端页面对用户输入信息做了一定的限制。因为请求可以伪造,也可能被拦截篡改,即使在正常情况下,用户也可能因为误操作或者恶意行为发送不合法的请求。如果多角色系统的接口不做权限校验的话,那无疑是在“裸奔”,任何一个普通的登录用户都能调用所有的接口。Q:什么是权限控制?A:让特定的用户只能访问特定的资源。
自定义注解实现RBAC权限校验,不要再说你不会了
小学生波波
01-22 4019
拦截器+自定义注解实现RBAC权限校验,你绝对看得懂
自定义注解+拦截器实现权限管理
weixin_60376559的博客
01-31 1264
自定义注解+拦截器实现权限管理
SpringBoot项目自定义注解实现RBAC权限校验
qq_45830276的博客
08-27 1934
SpringBoot项目可以集成Spring Security做权限校验框架,然后在Controller接口上直接使用@PreAuthorize注解来校验权限,那么我们能够自制简易的权限呢,通过看该博客能够自己自制一套简易的权限管理模式。...
Java自定义注解实现权限管理
小识的博客
07-02 8796
前言 对自定义注解不太了解的可以看我的相关文章:https://blog.csdn.net/zzti_erlie/article/details/80829569 源码 参考博客
利用自定义注解实现权限验证
qq_49005459的博客
08-19 1560
思路: 根据自定义注解,给对应权限能够查看到的资源的Controller方法上添加注解(也就是一个权限字符串),权限字符串跟方法是一对多的关系,同一个权限字符串可以添加到多个方法上;当用户有对应的权限时才能查看对应的资源; 所以我们可以获取到用户所拥有的所有权限字符串集合(登录时获取到,放入令牌池) & 当前所访问的方法对应的权限字符串(反射动态获取方法上的注解) => 判断集合中是否有这一个 创建一个anno包,包里创建PreAuth,注意PreAuth是Annotation类型的,
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值