Springboot简单授权,限制访问

已于 2023-06-12 11:07:47 修改
阅读量2.8k 收藏 2
点赞数 2
分类专栏: Java基础 文章标签: spring boot java sql
于 2022-04-29 17:24:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58696998/article/details/124498440
版权

提示:以下是部分代码,全部代码链接

链接:https://pan.baidu.com/s/14wTJ53RR1zDIiX4YXt4XDw 
提取码:thk6

思路:

1.获取请求头中token,从redis中获取当前登录对象的id    方法:   request.getHeader("token")

2.通过用户id到数据库中查询当前登录对象的角色,获取到角色id

3.通过角色id关联查询当前登录对象能访问的url    返回ArrayList<power>

4.请求头中获取当前访问接口的url路径                              方法:request.getRequestURI();

5.将ArrayList遍历,获取ArrayList中的url 放入一个新的ArrayList<String>中

6.遍历ArrayList<String>,判断里面是否包含从请求头中获取的方法(如果有说明当前登陆对象有权限访问该资源,如果没有说明当前登录对象没有权限访问,返回401,msg="您没有权限访问,请充钱......,只有充钱才能让你变得更加强大!")

数据库设计

用户表:

CREATE TABLE `people` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT 'id',
  `name` varchar(20) DEFAULT NULL COMMENT '姓名',
  `sex` char(1) DEFAULT NULL COMMENT '性别(0女,1男)',
  `age` int(20) DEFAULT NULL COMMENT '年龄',
  `address` varchar(20) DEFAULT NULL COMMENT '地址',
  `user_name` varchar(20) DEFAULT NULL COMMENT '用户名',
  `pwd` varchar(50) DEFAULT NULL COMMENT '密码',
  `email` varchar(20) DEFAULT NULL COMMENT '邮箱',
  `phonenumber` varchar(20) DEFAULT NULL COMMENT '电话',
  `login_ip` varchar(20) DEFAULT NULL COMMENT '最后登录IP',
  `status` char(1) DEFAULT NULL COMMENT '帐号状态(0正常 1停用)',
  `login_date` datetime DEFAULT NULL COMMENT '最后登录时间',
  `create_by` varchar(20) DEFAULT NULL COMMENT '创建者',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_by` varchar(20) DEFAULT NULL COMMENT '修改者',
  `update_time` datetime DEFAULT NULL COMMENT '修改时间',
  `remark` varchar(255) DEFAULT NULL COMMENT '备注',
  `roleid` bigint(20) DEFAULT NULL COMMENT '角色id',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=6918579172826951681 DEFAULT CHARSET=utf8;

角色表:

CREATE TABLE `role` (
  `id` bigint(20) NOT NULL COMMENT 'id',
  `rolename` varchar(25) DEFAULT NULL COMMENT '角色名称',
  `powerid` bigint(20) DEFAULT NULL COMMENT '权限id',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

权限表:

CREATE TABLE `power` (
  `id` bigint(20) NOT NULL COMMENT 'id',
  `url` varchar(255) DEFAULT NULL COMMENT '地址',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

角色权限中间表:

CREATE TABLE `rolemiddle` (
  `id` bigint(20) NOT NULL COMMENT 'id',
  `roleid` bigint(20) DEFAULT NULL COMMENT '角色id',
  `powerid` bigint(20) DEFAULT NULL COMMENT '权限id',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

关联关系:

用户表中的roleid(角色id) 与角色表  一对一

用户表与权限表   一对多

实体类:

用户表

package com.thk.domain;

import com.fasterxml.jackson.annotation.JsonFormat;
import com.fasterxml.jackson.annotation.JsonIgnore;
import com.fasterxml.jackson.annotation.JsonProperty;

import javax.validation.constraints.Email;
import javax.validation.constraints.NotBlank;
import javax.validation.constraints.Size;
import java.util.Date;

public class People extends BaseEntity {
    /**
     * id
     */
    private Long id;
    /**
     * 姓名
     */
    @Size(min = 0, max = 30, message = "用户昵称长度不能超过30个字符")
    private String name;
    /**
     * 年龄
     */
    private Integer age;
    /**
     * 性别
     */
    private String sex;

    /**
     * 地址
     */
    private String address;
    /**
     * 用户名
     */
    @NotBlank(message = "用户账号不能为空")
    @Size(min = 0, max = 30, message = "用户账号长度不能超过30个字符")
    private String userName;
    /**
     * 密码
     */
    private String pwd;
    /**
     * 邮箱
     */
    @Email(message = "邮箱格式不正确")
    @Size(min = 0, max = 50, message = "邮箱长度不能超过50个字符")
    private String email;
    /**
     * 电话
     */
    @Size(min = 0, max = 11, message = "手机号码长度不能超过11个字符")
    private String phonenumber;
    /**
     * 最后登录IP
     */
    private String loginIp;
    /**
     * 帐号状态(0正常 1停用)
     */
    private String status;
    /**
     * 最后登录时间
     */
    @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss", timezone = "GMT+8")
    private Date loginDate;

    /**
     * 角色id
     */
    private Long roleid;

    public Long getRoleid() {
        return roleid;
    }

    public void setRoleid(Long roleid) {
        this.roleid = roleid;
    }

    public String getStatus() {
        return status;
    }

    public void setStatus(String status) {
        this.status = status;
    }


    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    @Size(min = 0, max = 30, message = "用户昵称长度不能超过30个字符")
    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public Integer getAge() {
        return age;
    }

    public void setAge(Integer age) {
        this.age = age;
    }

    public String getAddress() {
        return address;
    }

    public void setAddress(String address) {
        this.address = address;
    }

    @NotBlank(message = "用户账号不能为空")
    @Size(min = 0, max = 10, message = "用户账号长度不能超过10个字符")
    public String getUserName() {
        return userName;
    }

    public void setUserName(String userName) {
        this.userName = userName;
    }

    @JsonIgnore
    @JsonProperty
    public String getPwd() {
        return pwd;
    }

    public void setPwd(String pwd) {
        this.pwd = pwd;
    }

    @Email(message = "邮箱格式不正确")
    @Size(min = 0, max = 50, message = "邮箱长度不能超过50个字符")
    public String getEmail() {
        return email;
    }

    public void setEmail(String email) {
        this.email = email;
    }

    @Size(min = 0, max = 11, message = "手机号码长度不能超过11个字符")
    public String getPhonenumber() {
        return phonenumber;
    }

    public void setPhonenumber(String phonenumber) {
        this.phonenumber = phonenumber;
    }

    public String getLoginIp() {
        return loginIp;
    }

    public void setLoginIp(String loginIp) {
        this.loginIp = loginIp;
    }

    public Date getLoginDate() {
        return loginDate;
    }

    public void setLoginDate(Date loginDate) {
        this.loginDate = loginDate;
    }

    public String getSex() {
        return sex;
    }

    public void setSex(String sex) {
        this.sex = sex;
    }

    public People() {
    }

    @Override
    public String toString() {
        return "People{" +
                "id=" + id +
                ", name='" + name + '\'' +
                ", age=" + age +
                ", sex='" + sex + '\'' +
                ", address='" + address + '\'' +
                ", userName='" + userName + '\'' +
                ", pwd='" + pwd + '\'' +
                ", email='" + email + '\'' +
                ", phonenumber='" + phonenumber + '\'' +
                ", loginIp='" + loginIp + '\'' +
                ", status='" + status + '\'' +
                ", loginDate=" + loginDate +
                ", roleid=" + roleid +
                '}';
    }
}

角色表

package com.thk.domain;


import lombok.Data;

/**
 * 角色对象 role
 * 
 * @author thk
 * @date 2022-04-29
 */
@Data
public class Role extends BaseEntity
{

    /** id */
    private Long id;

    /** 角色名称 */
    private String rolename;

    /** 权限id */
    private Long powerid;

}

权限表

package com.thk.domain;

import lombok.Data;
import org.apache.commons.lang3.builder.ToStringBuilder;
import org.apache.commons.lang3.builder.ToStringStyle;

/**
 * 权限表对象 power
 * 
 * @author thk
 * @date 2022-04-29
 */
@Data
public class Power extends BaseEntity
{

    /** id */
    private Long id;

    /** 地址 */
    private String url;

}

controller

/**
 * 查询全部用户 分页
 *
 * @param people
 * @return
 */
@GetMapping("/selectAll")
public TableDataInfo selectAll(People people, HttpServletRequest request, HttpServletResponse response) {
    if (verifyPermissions(request)) {
        return errorDataTable();
    }
    //判断是否有权限
    if (!competence(request)) {
        return errorDataTable();
    }
    startPage();
    List<People> list = peopleService.selectAll(people);
    return getDataTable(list);
}

/**
 * 查询全部用户 不分页
 *
 * @param people
 * @param request
 * @param response
 * @return
 */
@GetMapping("/list")
public AjaxResult list(People people, HttpServletRequest request, HttpServletResponse response) {
    if (verifyPermissions(request)) {
        return AjaxResult.error(HttpStatus.UNAUTHORIZED, "非法访问,请先登录");
    }
    //判断是否有权限
    if (!competence(request)) {
        return AjaxResult.error(HttpStatus.UNAUTHORIZED, "您没有权限访问,只有充钱才能让你变得更加强大,请充钱......");
    }
    List<People> list = peopleService.selectAll(people);
    return AjaxResult.success(list);

/**
 * 判断是否有权限
 *
 * @param request
 * @return
 */
public boolean competence(HttpServletRequest request) {
    //request.getHeader("token")------从请求头中获取token
    //getUserId(request.getHeader("token"))----获取当前登录对象的id
    //获取当前登录对象的全部信息
    People people = peopleMapper.selectById(getUserId(request.getHeader("token")));
    //从请求头中获取的地址
    String requestURI = request.getRequestURI();
    //通过角色id查询当前登陆对象的所有权限
    List<Power> list = powerMapper.selectUrl(people.getRoleid());
    ArrayList<String> list1 = new ArrayList<>();
    if (!StringUtils.isEmpty(list)) {
        list.forEach(r -> {
            list1.add(r.getUrl());
        });
        return lsitUtils.ifcontain(list1, requestURI);
    }
    return false;
}
/**
 * 获取登录用户id
 */
public Long getUserId(String token) {
    Object o = redisUtil.get(token);
    if (!StringUtils.isNull(o)) {
        Long id = Long.valueOf(String.valueOf(o));
        return id;
    }
    throw new NullPointerException();
}
/**
 * 判断集合中是否存在某个字符串  限制String类型的list
 * @param list
 * @param str
 * @return
 */
public  boolean ifcontain(Collection<?> list, String str){
    boolean b =false;
    for (Object o : list) {
        if (o.equals(str)) {
            return b = true;
        }
    }
    return b;
}
}

service

/**
 * 查询全部用户
 *
 * @param people
 * @return
 */
List<People> selectAll(People people);

service实现类:

/**
 * 查询全部用户
 *
 * @param people
 * @return
 */
@Override
public List<People> selectAll(People people) {
    List<People> list = baseMapper.selectLists(people);
    list.forEach(r -> {
        if (r.getSex() == null) {
            r.setSex(Constant.UNKNOWN);
        }
        if (Constant.MALE.equals(r.getSex())) {
            r.setSex(Constant.MAN);
        }

        if (Constant.GIRL.equals(r.getSex())) {
            r.setSex(Constant.WOMAN);
        }
    });
    return list;
}

mapper

/**
 * 查询全部用户
 * @param people
 * @return
 */
List<People> selectLists(People people);

mapper.xml

<!--查询url-->
<select id="selectUrl" resultType="com.thk.domain.Power">
        SELECT p.url FROM rolemiddle as  r
        LEFT JOIN power as p  ON r.powerid=p.id
        WHERE r.roleid=#{id}
</select>


<!--查询全部用户-->
<select id="selectLists" resultType="com.thk.domain.People">
    <include refid="selectPeopleVo"/>
    <where>
        <if test="name != null  and name != ''">and name like concat('%', #{name}, '%')</if>
        <if test="age != null ">and age = #{age}</if>
        <if test="sex != null ">and sex = #{sex}</if>
        <if test="address != null  and address != ''">and address = #{address}</if>
        <if test="userName != null  and userName != ''">and user_name like concat('%', #{userName}, '%')</if>
        <if test="pwd != null  and pwd != ''">and pwd = #{pwd}</if>
        <if test="email != null  and email != ''">and email = #{email}</if>
        <if test="phonenumber != null  and phonenumber != ''">and phonenumber = #{phonenumber}</if>
        <if test="loginIp != null  and loginIp != ''">and login_ip = #{loginIp}</if>
        <if test="status != null  and status != ''">and status = #{status}</if>
        <if test="loginDate != null ">and login_date = #{loginDate}</if>
    </where>
</select>

测试

admin拥有全部权限

总经理拥有全部权限

员工只能查询

admin测试:

登录获取token

 admin查询全部

 员工测试:

员工登录获取token

 员工查询全部

删除员工的查询权限:

删除前

删除后

 员工查询全部

愿你是阳光 ^ _ ^
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Springboot接口添加IP白名单限制
second_place_zyj的博客
04-23 7148
添加白名单限制,为我们的项目保驾护航
Springboot shiro认证授权实现原理及实例
08-19
Springboot shiro 认证授权实现原理及实例 作为一款流行的 Java 框架,Spring Boot 提供了许多插件来支持开发过程,而 Shiro 则是一个功能强大的身份验证和授权框架。下面,我们将详细介绍 Spring Boot 中如何使用 ...
SpringBoot+Shiro+Jwt实现登录认证
weixin_44740485的博客
05-08 1831
srpingboot这里就不再进行赘述,相信大家都非常的熟悉了 Shiro 一个安全框架,可以实现用户的认证和授权。比SpringSecurity要简单的多。 Jwt 我的理解就是可以进行客户端与服务端之间验证的一种技术,取代了之前使用 Session 来验证的不安全性 什么不适用 Session? 原理是,登录之后客户端和服务端各自保存一个相应的 SessionId,每次客户端发起请求的时候就得携带这个 SessionId 来进行比对 1、Session 在用户请求量大的时候服务器开销太大了 2
聊聊Spring boot项目中IP白名单限制
最新发布
andyLyysh的博客
04-27 818
IP白名单限制解决方案,Spring boot接口实现白名单限制,使用Nignx实现IP是白名单限制
spring boot未授权访问及Swagger漏洞处理
热门推荐
yudaxiaye的博客
06-20 1万+
无需修改源码,处理spring boot未授权访问及Swagger漏洞处理
SpringBoot之自定义错误页面
beOkWithAnything
02-23 3667
 SpringBoot 默认配置: 如果是浏览器请求URL错误,返回错误页面;如果是postman等非浏览器客户端请求URL错误,返回 json 数据: SpringBoot源码: @Controller @RequestMapping({"${server.error.path:${error.path:/error}}"}) public class BasicErrorControll...
SpringBoot 项目使用 Redis 对用户 IP 进行接口限流
yuechuzhixing的博客
07-27 1354
SpringBoot 项目使用 Redis 对用户 IP 进行接口限流
springboot对hadoop增删改查源码及hadoop图片访问
02-28
- 安全方面,应考虑添加权限控制,限制对Hadoop存储的敏感资源的访问,防止未授权访问。 综上所述,这个项目涉及到的技术栈包括SpringBoot的集成、Hadoop的文件操作以及Servlet的使用。通过这些技术的结合,我们...
基于SpringBoot的简易问卷调查系统.zip
05-29
同时,为了保证接口的安全性,系统可能还采用了Spring Security进行权限控制,限制授权访问。 此外,系统可能还包含邮件服务,用于向参与者发送问卷链接。SpringBoot集成了JavaMailSender接口,可以方便地发送...
springboot项目源码 图书管理系统.zip
07-12
2. 权限控制:使用角色和权限模型,限制不同用户对资源的访问。 六、模板引擎与前端展示 对于前端展示,系统可能采用了Thymeleaf或FreeMarker等模板引擎,结合HTML、CSS和JavaScript,构建了用户友好的界面。用户...
springboot集成jwt
01-25
SpringBoot项目中集成JWT,可以实现无状态的API访问控制,提高系统的安全性和可扩展性。 ### JWT基础 JWT由三部分组成:Header(头部)、Payload(负载)和Signature(签名)。头部通常包含令牌类型(JWT)和...
禁止地址栏直接访问页面(有权限也不行)
12-20
禁止地址栏直接访问页面
SpringBoot 接口访问频率限制(一)
qq_40694890的博客
04-01 1570
1. 在本文中,设计并实现了策略模式(Strategy Pattern),从而让程序能够根据需要灵活选择具体的行为实现。 2. 本文还实现了模板方法模式(Template Method Pattern),将一些步骤延迟到子类中实现,使得子类可以在不改变结构的基础上重写部分方法以适应不同的情况。 3. 对于策略模式的优化方面,我们进一步强化了开闭原则(Open-Closed Principle)应用。通过新增策略类的方式,使系统能够在不改动原有代码的前提下增加新的行为策略,从而提升了系统的可维护性和可扩展性。
SpringBoot限制IP访问频率
学习 - 总结 - 分享 - Francis
03-23 4524
引言 显示中存在恶意ip频繁请求情况,本文通过自定义注解+拦截器实现限制ip访问的频率   实现 1. 添加pom依赖 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-aspects</artifact...
SpringBoot整合SpringSecurity权限控制(动态拦截url+单点登录)
jiaoqi6132的博客
04-04 2342
Slf4j@Component@Resource@Override//获取身份验证详细信息//用于校验mac地址白名单(这里只是打个比方,登录验证中增加的额外字段)//表单输入的用户名//表单输入的密码//校验用户名密码if (!matches) {!");@Override@Component@Resource@Override//任意登录用户名!");//从数据库获取密码//用户拥有的角色// }
springboot项目通过ip和url限制用户请求次数
搬砖狗-小强的专栏
07-30 2551
通过拦截器,我们设置了1分钟内同一个ip和ur如果请求超过25次就提醒超过了限定的次数。
Springboot整合SpringSecurity 03-访问权限控制
枫林晚丶的博客
09-12 1490
Springboot整合SpringSecurity 03-访问权限控制 在Springboot整合SpringSecurity 02-使用自定义登陆页面中我们已经学会了自定义自己的登陆页面了。 下面让我们继续学习SpringSecurity的权限控制。 1.配置我们的静态资源,更新登陆页面 通常我们的网页都是需要引用静态css,images等资源的。所以这里我们模拟平常的开发场景。 在stati...
Spring Boot手把手教学(16):mysql8限制IP远程登录
非著名程序猿
02-26 1228
1、前言 mysql的连接,为了安全,一般都需要限制IP登录,无论是内网IP端,或者某些固定的IP;接下来让我们说下 如何限制IP登录; 我们这里使用的Mysql8.0版本,其他版本的命令或许有所不同 2、操作 2.1 服务器登录mysql [root@10 /]# mysql -u root -p 输入你的密码 切换到mysql库 mysql> use mysql; 查看用户 mysql> select user,host from user; 这里可以看到所有用户
Springboot Env未授权访问漏洞
12-22
Springboot Env未授权访问漏洞是指在使用Spring Boot框架开发的应用中,由于未正确配置安全措施,导致攻击者可以通过访问特定的URL路径来获取敏感信息或执行未授权的操作。这可能会导致数据泄露、权限提升等安全问题。 为了防止Springboot Env未授权访问漏洞,可以采取以下措施: 1. 禁用或限制敏感URL路径的访问权限:可以通过配置Spring Security来限制对敏感URL路径的访问权限,只允许授权用户或角色访问。 2. 配置HTTPS协议:使用HTTPS协议可以加密通信,防止敏感信息在传输过程中被窃取。 3. 使用安全框架或组件:可以使用一些安全框架或组件,如Spring Security、Apache Shiro等,来增加应用的安全性。 4. 更新和升级依赖库和组件:及时更新和升级使用的依赖库和组件,以修复已知的安全漏洞。 5. 定期进行安全审计和漏洞扫描:定期对应用进行安全审计和漏洞扫描,及时发现和修复潜在的安全问题。 请注意,以上措施只是一些常见的防护方法,具体的防护措施需要根据实际情况进行调整和实施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值