自定义注解+拦截器实现权限管理

已于 2024-01-31 09:47:44 修改
阅读量1.3k 收藏 24
点赞数 18
文章标签: 开发语言 spring boot java
于 2024-01-31 09:44:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60376559/article/details/135946490
版权

自定义注解

1、什么是注解?

Annontation是Java5开始引入的新特征,中文名称叫注解。

它提供了一种安全的类似注释的机制,用来将任何的信息或元数据(metadata)与程序元素(类、方法、成员变量等)进行关联。为程序的元素(类、方法、成员变量)加上更直观、更明了的说明,这些说明信息是与程序的业务逻辑无关,并且供指定的工具或框架使用。Annontation像一种修饰符一样,应用于包、类型、构造方法、方法、成员变量、参数及本地变量的声明语句中。
  Java注解是附加在代码中的一些元信息,用于一些工具在编译、运行时进行解析和使用,起到说明、配置的功能。注解不会也不能影响代码的实际逻辑,仅仅起到辅助性的作用。

2、注解的用处:

  • 生成文档。这是最常见的,也是java 最早提供的注解。常用的有@param @return
  • 跟踪代码依赖性,实现替代配置文件功能。比如Dagger 2 依赖注入,未来java 开发,将大量注解配置,具有很大用处;
  • 在编译时进行格式检查。如@override 放在方法前,如果你这个方法并不是覆盖了超类方法,则编译时就能检查出。

3、注解的原理

注解本质是一个继承了Annotation 的特殊接口,其具体实现类是Java 运行时生成的动态代理类。而我们通过反射获取注解时,返回的是Java 运行时生成的动态代理对象$Proxy1。通过代理对象调用自定义注解(接口)的方法,会最终调用AnnotationInvocationHandler 的invoke 方法。该方法会从memberValues 这个Map 中索引出对应的值。而memberValues 的来源是Java 常量池。

3.1、元注解

所有元注解定义在java.lang.annotation包下面,其中Annotation是注解的基本接口,所有的注解都继承这个接口

java.lang.annotation 提供了四种元注解,专门注解其他的注解(在自定义注解的时候,需要使用到元注解):

1、**@Documented **** **:指定被标注的注解会包含在javadoc中。

2、@Retention: 指定注解的生命周期(源码、class文件、运行时),其参考值见类的定义:java.lang.annotation.RetentionPolicy

● RetentionPolicy**.SOURCE** : 在编译阶段丢弃。这些注解在编译结束之后就不再有任何意义,所以它们不会写入字节码。@Override, @SuppressWarnings都属于这类注解。
● RetentionPolicy**.CLASS** : 在类加载的时候丢弃。在字节码文件的处理中有用。注解默认使用这种方式。
● RetentionPolicy**.RUNTIME** : 始终不会丢弃,运行期也保留该注解,因此可以使用反射机制读取该注解的信息。我们自定义的注解通常使用这种方式

3、@Target:指定注解使用的目标范围(类、方法、字段等),其参考值见类的定义:java.lang.annotation.ElementType

● ElementType.**CONSTRUCTOR :**用于描述构造器。
● ElementType.**FIELD :**成员变量、对象、属性(包括enum实例)。
● ElementType.LOCAL_VARIABLE: 用于描述局部变量。
● ElementType.METHOD : 用于描述方法。
● ElementType.**PACKAGE :**用于描述包。
● ElementType.PARAMETER :用于描述参数。
● ElementType.ANNOTATION_TYPE:用于描述参数
● ElementType.**TYPE :**用于描述类、接口(包括注解类型) 或enum声明。

4、**@Inherited **** **:指定子类可以继承父类的注解,只能是类上的注解,方法和字段的注解不能继承。即如果父类上的注解是@Inherited修饰的就能被子类继承。

jdk1.8又提供了以下两个元注解

**5、@Native:**指定字段是一个常量,其值引用native code。

**6、@Repeatable:**注解上可以使用重复注解,即可以在一个地方可以重复使用同一个注解,像spring中的包扫描注解就使用了这个。

7、使用@interface关键词来定义注解。

3.3、注解处理器类库

Java使用Annotation接口来代表程序元素前面的注解,该接口是所有Annotation类型的父接口。除此之外,Java在java.lang.reflect 包下新增了AnnotatedElement接口,该接口代表程序中可以接受注解的程序元素,该接口主要有如下几个实现类:

Class:类定义
  Constructor:构造器定义
  Field:累的成员变量定义
  Method:类的方法定义
  Package:类的包定义

java.lang.reflect 包下主要包含一些实现反射功能的工具类,实际上,java.lang.reflect 包所有提供的反射API扩充了读取运行时Annotation信息的能力。当一个Annotation类型被定义为运行时的Annotation后,该注解才能是运行时可见,当class文件被装载时被保存在class文件中的Annotation才会被虚拟机读取。
  AnnotatedElement 接口是所有程序元素(Class、Method和Constructor)的父接口,所以程序通过反射获取了某个类的AnnotatedElement对象之后,程序就可以调用该对象的如下方法来访问Annotation信息:

方法1: T getAnnotation(Class annotationClass): 返回改程序元素上存在的、指定类型的注解,如果该类型注解不存在,则返回null。
  **方法2:**Annotation[] getAnnotations():返回该程序元素上存在的所有注解。
  **方法3:**boolean isAnnotationPresent(Class<?extends Annotation> annotationClass):判断该程序元素上是否包含指定类型的注解,存在则返回true,否则返回false.
  **方法4:**Annotation[] getDeclaredAnnotations(Class annotationClass):返回直接存在于此元素上的所有注释。与此接口中的其他方法不同,该方法将忽略继承的注释。(如果没有注释直接存在于此元素上,则返回长度为零的一个数组。)该方法的调用者可以随意修改返回的数组;这不会对其他调用者返回的数组产生任何影响。

4、自定义注解

自定义注解类编写的一些规则:

  1. Annotation 类型定义为**@interface **** **, 所有的Annotation 会自动继承java.lang.Annotation这一接口,并且不能再去继承别的类或是接口。
  2. 参数成员只能用public 或默认(default) 这两个访问权修饰。语法:类型 属性名() [default 默认值]; default表示默认值 ,也可以不编写默认值的.
  3. 参数成员只能用基本类型byte、short、char、int、long、float、double、boolean八种基本数据类型和String、Enum、Class、annotations等数据类型,以及这一些类型的数组.
  4. 要获取类方法和字段的注解信息,必须通过Java的反射技术来获取 Annotation 对象,因为你除此之外没有别的获取注解对象的方法。
  5. 注解也可以没有定义成员,,不过这样注解就没啥用了。

注意: 自定义注解需要使用到元注解。

  • 注解方法不能有参数。
  • 注解方法的返回类型局限于原始类型,字符串,枚举,注解,或以上类型构成的数组。
  • 注解方法可以包含默认值。
import java.lang.annotation.*;

@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Inherited
@Documented
public @interface RequiredPermission {
    String value();
}

5、自定义注解结合Springboot的拦截器功能实现权限拦截

import com.xdw.demo.base.common.ApiCodeConstant;
import com.xdw.demo.base.common.MyException;
import com.xdw.demo.permission.RequiredPermission;
import com.xdw.demo.service.PermissionService;
import org.apache.commons.collections.CollectionUtils;
import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.List;

@Component
public class PermissionInterceptor implements HandlerInterceptor {
    private static Logger log = LoggerFactory.getLogger(PermissionInterceptor.class);
    @Autowired
    private PermissionService permissionService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //从上一个登录验证拦截器中获取userid
        log.info("mmm="+request.getAttribute("userId"));
        long userId = Long.parseLong(String.valueOf(request.getAttribute("userId")));
        // 验证权限
        if (this.hasPermission(handler,userId)) {
            log.info("hasPermission");
            request.setAttribute("userId",userId);
            return true;
        }
        log.info("No Permission");
        //  null == request.getHeader("x-requested-with") TODO 暂时用这个来判断是否为ajax请求
        // 如果没有权限 则抛403异常 springboot会处理,跳转到 /error/403 页面
//        response.sendError(HttpStatus.FORBIDDEN.value(), "无权限");
        throw new MyException(ApiCodeConstant.RESULT_PERMISSION_EXCEPTION,"无权限");
//        return false;
    }

    /**
     * 是否有权限
     *
     * @param handler
     * @return
     */
    private boolean hasPermission(Object handler,long userId) {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            // 获取方法上的注解
            RequiredPermission requiredPermission = handlerMethod.getMethod().getAnnotation(RequiredPermission.class);
            // 如果方法上的注解为空 则获取类的注解
            if (requiredPermission == null) {
                requiredPermission = handlerMethod.getMethod().getDeclaringClass().getAnnotation(RequiredPermission.class);
            }
            // 如果标记了注解,则判断权限
            if (requiredPermission != null && StringUtils.isNotBlank(requiredPermission.value())) {
                // redis或数据库 中获取该用户的权限信息 并判断是否有权限,优先从redis获取
                List<String> permissionNameList = permissionService.getPermissionNameListByUserId(userId);
                if (CollectionUtils.isEmpty(permissionNameList) ){
                    return false;
                }
                return permissionNameList.contains(requiredPermission.value());
            }
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // TODO
    }
}
Hik_0821
关注
springboot 自定义注解+拦截器+Redis实现限流,防止恶意刷接口实践
浪丶荡
11-18 998
自定义注解,具体频次,根据具体场景设置 import java.lang.annotation.*; @Inherited @Documented @Target({ElementType.FIELD, ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) /** * 限流注解 */ public @interface AccessLimit { //标识 指定sec时间段内的访问次数限制
自定义注解+拦截器+redis缓存, 轻松实现项目中对某一接口的精确权限判断
h321880947的博客
04-15 353
此文描述 : 通常,业务的某些接口需要做权限的校验,比如: 登录限制(此功能需要登录才可以查看); 登录之后对付费用户和免费用户的区分限制(此功能需要vip才可以查看); 精确到普通会员和付费会员的不一样的访问次数限制(此功能访问次数超过了限制); 精确到按照时间规定访问次数(此功能今天或一周内访问次数超过了限制);并且在超出了对应值之后报警 使用到的技术栈背景:springboot 2.3.4.RELEASE、阿里云Redis 5.0、 jdk 1.8 使用到的相关:自定义注解拦截器、反射 正文
springAop+自定义注解实现权限管理
09-14
一个简单的采用自定义注解结合SpringAop实现方法执行的权限管理,这个demo中并没有涉及到与数据库的交互和业务代码,用户权限在登陆时采用简单的手动初始化。该demo用的jdk1.7编译,Spring4.0版本,只想通过这个demo熟悉相关技术,如有不足之处还望各位大佬多多包涵并指出。
JAVA实现自定义注解
最新发布
weixin_46155048的博客
10-12 1393
注解功能最为强大,其所标注的方法用于编写包裹业务模块执行的代码,通知的第一个参数必须是 ProceedingJoinPoint 类型。,@Pointcut切点表达式非常丰富,可以将 方法(method)、类(class)、接口(interface)、包(package) 等作为切入点,非常灵活,常用的有@annotation、@within、execution等方式,上面的示例使用的是@annotation方式,意思就是说被Spring扫描到方法上带有@annotation中的注解 就会执行切面通知。
基于自定义注解实现简单的数据权限控制
qq_43159762的博客
11-18 530
基于自定义注解实现简单的数据权限控制 需求: 最近做一个物联网项目,需要使用权限,使每个角色只能操作自己的机器. 前言 1、目前系统拥有3个角色1️⃣:创建者2️⃣管理者3️⃣观察者 权限1⃣️包含2⃣️的所有权限,2⃣️包含3⃣️的所有权限 2、机器与用户为多对多的关系,即一个用户对应多个机器,一个机器对用多个用户. 3、权限表,因为权限简单没有做细分.所以数据库存在userId-roleId-deviceId的关系表. 4、自定义注解一般使用AOP或者过滤器开发,我们这里使用AOP. 开发 1、引入
使用自定义注解实现按钮权限控制【项目】
九七的博客
11-18 469
最近工作中,遇到一个需求,需要将某一个具体按钮收口到某一个人,于是就有了今天的记录。 首先创建自定义注解 /** * @Author yanjun * @Date 2021/11/18 10:12 * 自定义注解 用于实现权限控制 */ @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface AuthorizedLimit { /** * 是否拦截 */ b
struts2拦截器实现权限控制
kanwoerzi
04-23 119
转载请注明出处:http://blog.csdn.net/wklken/archive/2011/04/23/6342985.aspx 在使用struts2框架开发一个办公OA系统时候,需要使用到权限控制 除了判定是否登陆之外,还必须对每个action的访问实现权限控制,因为如果用户登陆成功了,而且以前拥有某个权限的访问,记录下访问的action,而现在没有权限了,也能直接在地址栏输入...
拦截器实现权限管理
11-18
拦截器实现权限管理,没与数据库交互,不过原理差不多了
spring自定义注解实现拦截器实现方法
08-29
本文将详细讨论如何通过自定义注解实现Spring拦截器功能。 ### 自定义注解 首先,自定义注解是通过Java注解来标记某个方法或者类是否需要拦截,以及如何拦截。在Spring MVC中,常见的注解如`@RequestMapping`...
struts2 + spring +自定义注解+ 拦截器
LiuEP的博客
06-06 660
struts2 + spring +自定义注解+ 拦截器可以实现很多功能自定义注解拦截器struts.xmlweb.xmlAction spring拦截器可以实现很多需求,配合上自定义注解的话可以实现例如接口权限控制等。这里不实现具体需求,只做一个整体的效果,话不多说先上代码: 自定义注解 package sy.annotation; import java.lang.annotation...
ssm+自定义标签+自定义注解 实现权限细粒度控制
04-13
在这个项目中,开发者尝试模仿Apache Shiro框架,通过自定义标签和自定义注解实现权限的细粒度控制,从而更好地管理和限制用户访问特定的资源。 Apache Shiro是一个强大且易用的Java安全框架,处理认证、授权、...
java自定义注解实现权限控制
zmsister的博客
07-19 1822
这3个生命周期分别对应于Java源文件(.java文件)--->.class文件--->内存中的字节码。source注解只保留在源文件,当Java文件编译成class文件的时候,注解被遗弃;class注解被保留到class文件,但jvm加载class文件时候被遗弃,这是默认的生命周期。runtime注解不仅被保存到class文件中,jvm加载class文件之后,仍然存在。上面定义的是作用于方法的注解,所以我们需要在方法中使用@Permission。@Retention注解的作用。...
自定义注解+mybatis拦截器实现权限控制
qq_42059717的博客
02-19 1057
通过自定义注解+mybaits拦截器实现在不更改xml内容的情况下,动态添加权限sql实现权限过滤
SpringBoot-自定义注解AOP实现拦截器示例
小孔靠得住的博客
04-12 2186
当你在编写自定义注解时,@Target、@Retention、@Documented 和 @Inherited 是四个你可能会用到的元注解,它们可以帮助你更好地定义和使用注解
SpringBoot中使用自定义注解拦截器实现简单的权限控制
云景的博客
03-31 1337
众所周知,作为系统的最后一道防线,对于一些重要操作(crud等),后端默认接收的所有的请求都是“不可信”的,除了确认用户登录状态之外,还要对接收的数据进行一系列的合法性校验等等,即使已经在前端页面对用户输入信息做了一定的限制。因为请求可以伪造,也可能被拦截篡改,即使在正常情况下,用户也可能因为误操作或者恶意行为发送不合法的请求。如果多角色系统的接口不做权限校验的话,那无疑是在“裸奔”,任何一个普通的登录用户都能调用所有的接口。Q:什么是权限控制?A:让特定的用户只能访问特定的资源。
Java自定义注解实现权限管理
小识的博客
07-02 8809
前言 对自定义注解不太了解的可以看我的相关文章:https://blog.csdn.net/zzti_erlie/article/details/80829569 源码 参考博客
拦截器实现权限控制
weixin_55666891的博客
08-03 1199
SpringBoot使用拦截器实现操作权限检查
自定义注解+AOP实现权限控制
qq_45794852的博客
08-19 280
在实际开发中,我们常常需要对方法进行权限控制,就比如对用户身份的校验,判断其是不是管理员身份,此时我们就可以使用自定义注解+AOP进行权限的校验。接下来我们开始演示一个Demo,管理员能够访问用户和管理员对应的接口,而用户只能访问用户的接口,并且还对登录的用户的用户名和密码进行校验。这样我们就实现了使用自定义注解+AOP实现权限的校验了,只需要在需要进行校验的接口上添加注解即可!自定义@AdminLoginToken注解。用户访问用户页面结果。管理员访问管理员页面。
SpringBoot>15 - 自定义注解实现权限控制
热门推荐
cp026la的博客
01-16 1万+
简介: 较原始的项目中使用的是JSP页面标签结合后台方法上注解配合实现权限控制,目前前后端完全分离开发已经是主流模式,大型的项目中可能会用到 shiro 或者 spring security 做安全校验,但是在小型项目中可以使用自定义注解达到权限控制的要求。 误区: 很多人认为权限控制就是控制不同用户在页面上拥有不同的功能(即不同的按钮),这是用户体验范围,这种情况下,只要知道后端地址,还是...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值