SpringBoot中使用自定义注解和拦截器实现简单的权限控制

最新推荐文章于 2025-04-14 19:33:14 发布
最新推荐文章于 2025-04-14 19:33:14 发布
阅读量1.7k 收藏 12
点赞数 9
分类专栏: SpringBoot 文章标签: spring boot 后端 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60761472/article/details/137212917
版权

SpringBoot中使用自定义注解和拦截器实现简单的权限控制

本文首发在我的个人站点:追逐日落,欢迎大家前去参观~

前言

众所周知,作为系统的最后一道防线,对于一些重要操作(crud等),后端默认接收的所有的请求都是“不可信”的,除了确认用户登录状态之外,还要对接收的数据进行一系列的合法性校验等等,即使已经在前端页面对用户输入信息做了一定的限制。因为请求可以伪造,也可能被拦截篡改,即使在正常情况下,用户也可能因为误操作或者恶意行为发送不合法的请求。

如果多角色系统的接口不做权限校验的话,那无疑是在“裸奔”,任何一个普通的登录用户都能调用所有的接口。

Q:什么是权限控制?

A:让特定的用户只能访问特定的资源。

在实际项目中,如果权限控制需要复杂的逻辑或者需要非常细致的权限划分,可能需要借助专门的权限框架,主流的权限框架有

  • Spring Security https://spring.io/projects/spring-security

    Spring Security 是一个功能强大、高度可定制的身份验证和访问控制框架。它是确保基于 Spring 的应用程序安全的事实标准。
    Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。与所有 Spring 项目一样,Spring Security 的真正威力在于它可以轻松扩展以满足自定义需求

  • Apache Shiro https://shiro.apache.org/

    Apache Shiro™ 是一个功能强大且易于使用的 Java 安全框架,可执行身份验证、授权、加密和会话管理。利用 Shiro 易于理解的 API,您可以快速、轻松地保护任何应用程序的安全–从最小的移动应用程序到最大的网络和企业应用程序。

虽然上述的框架功能十分完备,但是对于只有两三个角色的系统来说,杀鸡焉用宰牛刀啊,通过使用SpringBoot框架提供的自定义注解和拦截器功能,可以轻松地实现对不同用户角色的访问权限控制。

本文用例说明:

系统有三种角色,管理员、教师、学生。

在数据库用户表中,用户类型字段以tinyint存储,3代表管理员,2代表教师,1代表学生。

功能需求:有些接口只能管理员访问,有些接口可以让管理员和老师访问,有些接口只能学生访问。

定义权限常量

在项目下新建constant包,并新建接口用于定义角色权限常量

public interface UserConstant {
   
    int USER_TYPE_ADMIN = 3; // 管理员
    int USER_TYPE_TEACHER = 2; // 教师
    int USER_TYPE_STUDENT = 1; // 学生
    int USER_TYPE_LOGIN = 0; // 登录未认证身份用户
}

定义Access注解

新建an

最低0.47元/天 解锁文章
自定义注解+拦截器实现权限管理
weixin_60376559的博客
01-31 1453
自定义注解+拦截器实现权限管理
spring boot自定义拦截器,自定义注解实现简易的权限控制注解
你一个人,就不想到别处看看? ---- 我怕一转身连你也不见了......
01-21 563
首先,spring boot需要添加web的依赖,因为是基于web的拦截(拦截controller): 自定义权限注解: package com.hf.mypractice.annocation; import java.lang.annotation.*; /** * @Description: 定义权限注解 * @Date: 2019/1/11 * @Auther: wm yu...
springAop+自定义注解实现权限管理
09-14
一个简单的采用自定义注解结合SpringAop实现方法执行的权限管理,这个demo中并没有涉及到与数据库的交互业务代码,用户权限在登陆时采用简单的手动初始化。该demo用的jdk1.7编译,Spring4.0版本,只想通过这个demo熟悉相关技术,如有不足之处还望各位大佬多多包涵并指出。
SpringBoot自定注解实现权限管理(项目实现
weixin_48913290的博客
08-27 1248
本文章讲解的是基于RBAC模型的数据库设计的拦截器+自定义注解的形式实现权限验证。service层(主要的作用是获取用户相应的token,并存入redis)拦截器的配置(拦截了所有的请求并,验证是否存在token以及是否过期)切面的方式(环绕的方式返回验证结果)接下来,就是该用户是否有权限访问。登入的controller层。...
Spring Boot 实现权限管理(上)
最新发布
2201_75435513的博客
04-14 889
权限管理的本质,就是一系列挡在控制器前面的过滤器,实现权限管理,也就是设置并实现过滤器的过程。
基于自定义注解实现简单的数据权限控制
qq_43159762的博客
11-18 568
基于自定义注解实现简单的数据权限控制 需求: 最近做一个物联网项目,需要使用权限,使每个角色只能操作自己的机器. 前言 1、目前系统拥有3个角色1️⃣:创建者2️⃣管理者3️⃣观察者 权限1⃣️包含2⃣️的所有权限,2⃣️包含3⃣️的所有权限 2、机器与用户为多对多的关系,即一个用户对应多个机器,一个机器对用多个用户. 3、权限表,因为权限简单没有做细分.所以数据库存在userId-roleId-deviceId的关系表. 4、自定义注解一般使用AOP或者过滤器开发,我们这里使用AOP. 开发 1、引入
SpringBoot 、Shiro、 自定义注解权限控制源码下载
04-06
SpringBoot 、Shiro、 自定义注解权限控制
springboot通过自定义注解完成简单的权限认证.zip
10-11
springboot自定义注解的demo;通过本案例实现了通过自定义注解的拦截的方法可以设置访问权限;通过拦截器获取指定方法上的自定义注解,然后判断当前的接口需不要权限校验;然后通过对应的访问去处理;demo里面的代码...
java SpringBoot自定义注解,及自定义解析器实现对象自动注入操作
08-24
在 Java SpringBoot 框架中,自定义注解自定义解析器是非常重要的概念,它们可以帮助开发者轻松地实现对象自动注入操作。下面,我们将详细介绍 Java SpringBoot 自定义注解自定义解析器实现对象自动注入操作的...
Spring Boot+Jwt+AOP+自定义注解实现接口的权限控制
心安.的博客
06-20 2342
之前在项目中通过自定义拦截器+自定义注解进行权限校验,拦截器代码过于臃肿!!!于是想到了使用面向切面的方法!!
springboot + 拦截器 + 注解 实现自定义权限验证
weixin_34357436的博客
01-23 327
springboot + 拦截器 + 注解 实现自定义权限验证最近用到一种前端模板技术:jtwig,在权限控制上没有用springSecurity。因此用拦截器注解结合实现权限控制。 1.1 定义权限常量 PermissionConstants.java public class PermissionConstants { /** * 管理员-产品列表查询 ...
Spring Boot 通过AOP自定义注解实现权限控制的方法
08-25
主要介绍了Spring Boot 通过AOP自定义注解实现权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
使用Spring Boot整合ShiroJWT实现基于注解权限控制
果酱 の 博客
07-28 2027
Web应用程序中,权限控制是保护资源确保用户访问安全的重要组成部分。Shiro是一个强大的安全框架,而JWT(JSON Web Token)是一种用于身份验证授权的开放标准。本文将介绍如何使用Spring Boot整合ShiroJWT,并通过注解实现基于角色权限的权限控制
自定义注解实现权限验证
欢迎一起学习交流
03-02 3750
一、前言 在我们写项目时,一个项目通常会有拥有不同角色的用户,在进入某个方法前,会判断该用户是否具有此权限,今天我们来用自定义注解实现一下这个功能。 二、业务场景 1.场景介绍 假如有一个学生管理系统,我们来对一个用户是否具有对学生管理这个模块操作的权限进行验证 2.数据库 存储用户基本信息的用户表 角色表 用户角色关联表 3.前情提示 在写权限验证之前要把登录功能并传入token,在token里保存登录用户的角色id(后面会用到) //登录 @Reque..
基于springboot通过自定义注解AOP实现权限验证
王观前的专栏
10-21 4328
这篇文章主要介绍自定义注解配合AOP的使用来完成一个简单的权限验证的功能。 一、移入依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version...
Spring Aop +自定义注解实现用户权限控制
小白鼠丶
10-10 994
项目结构: pom.xml:<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/x
SpringBoot项目自定义注解实现RBAC权限校验
qq_45830276的博客
08-27 2059
SpringBoot项目可以集成Spring Security做权限校验框架,然后在Controller接口上直接使用@PreAuthorize注解来校验权限,那么我们能够自制简易的权限呢,通过看该博客能够自己自制一套简易的权限管理模式。...
用JWT,AOP切面自定义注解做一个Springboot权限控制
太渊
12-23 951
Target是一个元注解(meta-annotation),用于指定自定义注解可以用于哪些元素上。元注解是指用来定义其他注解注解。表示该注解可以应用于方法元素上。这意味着注解只能被用在类的方法上,而不能用于类、字段、参数等其他元素。@Retention是另一个元注解,用于指定自定义注解在什么级别保留其信息。表示该注解的信息在运行时会被保留在 JVM 中,可以通过反射机制访问到。这意味着在程序运行时,可以通过注解处理器来检查使用注解的信息,这对于需要在运行时进行权限检查的场景非常有用。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值