SpringBoot使用自定义注解校验Token及角色权限

最新推荐文章于 2024-04-17 11:33:08 发布
最新推荐文章于 2024-04-17 11:33:08 发布
阅读量1k 收藏 5
点赞数 2
分类专栏: SpringCloud 分布式 笔记 文章标签: restful java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wq2323/article/details/120435293
版权
笔记 同时被 3 个专栏收录
23 篇文章 0 订阅
订阅专栏
分布式
10 篇文章 0 订阅
订阅专栏
SpringCloud
6 篇文章 0 订阅
订阅专栏

最近学习时,自己项目中用到了Token,涉及到User和Admin两个角色,普通的用户并没有很大的权限,和Admin拥有较大的权限。每次在写代码前都需要重复校验角色,根据角色来决定是否有操作这个接口的权限。

于是我想到,能不能定义一个注解,在注解的参数中输入这个接口可访问的角色,同时再定义一个接口,得到对应token的参数。

项目没有涉及到RBAC模式,就划分Admin和User,因此思路还是比较好理解的。

1.定义一个Token注解


import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
/**
 * 自定义注解,实现Token的校验
 * 2021-9-23 09:39:37
 * @author weilinlin
 */
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface Token {
    public static final String USER_KEY = "USER_ID";
    //开关,默认打开,设为false时关闭
    boolean validate() default true;
    //角色信息,支持多个角色
    String roles() ;

}

2.设定第二个注解,用于在解析Token时,返回对应的数据,如Id、role

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 自定义注解,获取用户的信息
 * 2021-9-23 09:39:37
 * @author weilinlin
 */
@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginUser {
}

3.编写解析逻辑:,需要将解析后的数据放到request中

import entity.BaseController;
import entity.StatusCode;
import entity.TokenEntity;
import exception.CourseException;
import io.jsonwebtoken.Claims;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import utils.ComStringUtil;
import utils.JwtUtil;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;

@Component
public class JwtInterceptor extends HandlerInterceptorAdapter {
    private static final Logger logger = LoggerFactory.getLogger(BaseController.class);
    public static final String USER_KEY = "SMOYU";
    @Autowired
    private JwtUtil jwtUtil;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Token annotation;
        if(handler instanceof HandlerMethod) {
            annotation = ((HandlerMethod) handler).getMethodAnnotation(Token.class);
        }else{
            return true;
        }
        //没有声明需要权限,或者声明不验证权限
        if(annotation == null || annotation.validate() == false){
            return true;
        }

        //没有传送角色信息,默认为不校验权限
        if(ComStringUtil.isEmpty(annotation.roles())){
            return true;
        }

        //从header中获取token
        String header = request.getHeader("Authorization");
        if(ComStringUtil.isEmpty(header)){
            throw new CourseException(StatusCode.ACCESSERROR,"权限不足!");
        }
        logger.info("请求头:"+header);
        //得到token字符串
        String token = ComStringUtil.getTokenBySubs(header);
        if(ComStringUtil.isEmpty(token)){
            throw new CourseException(StatusCode.ACCESSERROR,"权限不足!");
        }
        //解析token
        Claims claims = null;
        try {
            claims = jwtUtil.parseJWT(token);
        }catch (Exception e){

            throw new CourseException(StatusCode.ACCESSERROR,"Token校验失败!请重新登录");
        }
        if(claims == null){

            throw new CourseException(StatusCode.ACCESSERROR,"Token校验失败!请重新登录");
        }
        logger.info("Token解析数据:"+claims);

        //得到角色信息,只要有一个角色符合,就能返回
        String[] roles = annotation.roles().split(",");
        logger.info("角色参数:"+roles);
        TokenEntity entity = new TokenEntity();

        for (String role : roles) {
            if(!role.equals(claims.get("roles"))){
                continue;
            }
            entity.setId(Long.valueOf(claims.getId()));
            entity.setRoles((String) claims.get("roles"));
            request.setAttribute(USER_KEY,entity);
            return  true;
        }

        throw new CourseException(StatusCode.ACCESSERROR,"权限不足!请使用正确的账号操作。");

    }
}

4.从request中拿数据

import com.smoyu.user.annotation.LoginUser;
import entity.TokenEntity;
import org.springframework.core.MethodParameter;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.support.WebDataBinderFactory;
import org.springframework.web.context.request.NativeWebRequest;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.method.support.ModelAndViewContainer;

import java.util.Map;

@Component
public class LoginUserHandlerMethodArgumentResolver implements HandlerMethodArgumentResolver
{
    @Override
    public boolean supportsParameter(MethodParameter methodParameter) {
        return methodParameter.getParameterType().isAssignableFrom(TokenEntity.class)&&methodParameter.hasParameterAnnotation(LoginUser.class);
    }

    @Override
    public Object resolveArgument(MethodParameter methodParameter, ModelAndViewContainer modelAndViewContainer, NativeWebRequest nativeWebRequest, WebDataBinderFactory webDataBinderFactory) throws Exception {
        //获取登陆用户信息

        Object object = nativeWebRequest.getAttribute(AuthorizationInterceptor.USER_KEY, RequestAttributes.SCOPE_REQUEST);
        if(object == null){
            return null;
        }
        return (TokenEntity)object;
    }
}

5.拦截对应的路径即可:

@Configuration
public class JwtConfig extends WebMvcConfigurationSupport {


    @Autowired
    private AuthorizationInterceptor jwtInterceptor;
    @Autowired
    private LoginUserHandlerMethodArgumentResolver loginUserHandlerMethodArgumentResolver;
//    private String fileSavePath = "/usr/xiaomoyu/images/";

    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/**/login/**");
        super.addInterceptors(registry);
    }
    /**
     * 发现如果继承了WebMvcConfigurationSupport,则在yml中配置的相关内容会失效。 需要重新指定静态资源
     *
     * @param registry
     */
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/**").addResourceLocations(
                "classpath:/static/");
        registry.addResourceHandler("swagger-ui.html").addResourceLocations(
                "classpath:/META-INF/resources/");
        registry.addResourceHandler("/webjars/**").addResourceLocations(
                "classpath:/META-INF/resources/webjars/");
        //设定本地文件访问路径
    /*  registry.addResourceHandler("/images/**")
                .addResourceLocations("file:"+fileSavePath);*/
        super.addResourceHandlers(registry);
    }

    /**
     * 实现LoginUser注解,从请求request中得到参数
     * @param argumentResolvers
     */
    @Override
    protected void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
        argumentResolvers.add(loginUserHandlerMethodArgumentResolver);
    }


}

使用方式

    @GetMapping("/userInfo/token")
    @Token(roles = "student")
    public Result getUserInfo(@LoginUser TokenEntity tokenEntity){
}

加入Token,roles如果有多个角色就用逗号隔开。
在方法参数上加入注解@LoginUser即可。

大功告成

小小码农日渐积累
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
token 获取用户信息(多身份):登录成功后会在请求头中存放token
weixin_54966486的博客
05-12 1945
@ApiOperation("获取个人信息") @GetMapping("/getInfo") public Result getUserInfoByToken(HttpServletRequest request,@ApiParam("令牌") @RequestHeader("token")String token){ // 获取用户中请求的token // 检查token 是否过期 20H boolean isEx = JwtHel...
SpringBoot框架集成token实现登录校验功能
08-25
主要为大家详细介绍了SpringBoot框架集成token实现登录校验功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringBoot使用token简单鉴权的具体实现方法
08-25
主要介绍了SpringBoot使用token简单鉴权的具体实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot+jwt实现token登陆权限认证的实现
08-19
主要介绍了springboot+jwt实现token登陆权限认证的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot:切面AOP实现权限校验:实例演示与注解全解
最新发布
weixin_42179304的博客
04-17 950
包名:表示需要拦截的包名,后面的两个句点表示当前包和当前包的所有子包,在本例中指 com.mutest.controller包、子包下所有类的方法。用户请求的 url 为:http://localhost:8080/aop/name,ip地址为:0:0:0:0:0:0:0:1。):这个星号表示方法名,* 表示所有的方法,后面括弧里面表示方法的参数,两个句点表示任何参数。注解相对应,指定的方法在切面切入目标方法之后执行,也可以做一些完成某方法之后的 Log 处理。的值必须要和参数保持一致,否则会检测不到。
SpringBoot集成JWT生成token校验方法过程解析
08-19
主要介绍了SpringBoot集成JWT生成token校验方法过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
php自定义token
Walker-C
08-15 1503
今天在使用laravel写东西的时候,需要与前端交互,看了jwt(json web token),于是自己想试着写一个简单的token类,token中存储了成员id和成员的权限,与前端交互时,将生成的token放在http请求头的Authorization中,整理如下: &lt;?php namespace App\Http\Controllers\Auth; use Illuminate\...
springboot通过自定义注解实现AOP角色权限校验
崔向阳@李晓的博客
04-02 2291
通过SpringBoot自定义注解实现AOP角色权限校验之前,首先先要了解一下注解的基本知识: Annotation是Java重要的组成部分,从J2SE 5.0时代就已经存在了。在我们的代码中,我们随处可以看到许多注解,例如@Autowired、@Override、@Service。这些注解我们可能非常熟悉,但是注解的作用、工作原理、工作方式以及我们如何自定义注解,我们可能并不熟悉。下面将逐步介...
Spring Security OAuth2 JWT 自定义token携带的信息
wangooo的博客
02-24 2449
oauth2在jwt仅支持用户名和权限。 以下方法实现 token 中添加自定义的参数: 自定义 UserDetails public class CustomerDetails implements UserDetails { private String id; private String username; private String password; private Set<GrantedAuthority> authorities; pri.
java服务-springboot拦截器实现用户登录Token权限校验
码者人生的技术博客
05-30 4344
springboot拦截器主要目标: 拦截请求,验证请求的用户对访问的资源是否有访问权限; 需要排除一些不在权限控制范围内的url,如swagger的接口文档列表; 需要排除的url,在配置文件中进行配置; 双拦截器
springboot给方法参数加注解判断当前登录用户
qq_41358574的博客
10-05 642
自定义注解:LoginUser。
springboot自定义注解+拦截器,校验token登录
qq_40790936的博客
06-30 554
registry.addInterceptor(authorizationInterceptor).addPathPatterns("/需要拦截controller/**", "/需要拦截controller/**");//token校验通过,将用户信息放在Attribute中,供需要用user信息的接口里从token取数据。@ApiOperation(value = "获取设备", notes = "equipment")//从header中获取token,验证token合法性。//获取登陆用户信息。
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot整合Spring Security实现用户角色验证以及权限控制
爱吃鸡腿的明仔
01-14 5662
文章目录一。Spring Security介绍二。工程搭建1.工程结构图:2.导入依赖3.编写security配置类4.编写UserDetailsService验证类5.Dao层6.model层7.控制器层8.工具类9.配置文件10.jsp示例登录页面11.启动类三。数据库结构t_user(用户表)t_role(角色表)t_permission(权限表)t_user_role(用户角色表)t_permission(角色权限表)四。测试1.用户登录验证2.用户权限验证五。项目地址 一。Spring Secu
Spring Authorization Server入门 (六) 自定义JWT中包含的内容与资源服务jwt解析器
云逸的博客
06-07 3281
最后经过两个简单的配置实现了自定义token内容与解析器,这也正是框架灵活与支持高度自定义的体现,实际上这些操作的代码部分都比较少,多的是理论部分,结合文档与源码能够更好的理解框架,文档中对于某些类的应用一般会有详细的说明与示例存在。
Spring Security OAuth2 自定义(增强)token信息
qq_36551991的博客
12-05 1034
Spring Security OAuth2提供了默认的token生成方式,但是有时候我们需要token携带一些我们自定义的信息,例如用户名、id等,这就需要我们自定义token信息
详细解析下gRPC examples-RBAC authenication-权限组管理-基于自定义Token
qq_42901723的博客
09-25 250
RBAC (Role-Based Access Control) 授权策略是一种用于控制系统或应用程序中用户或实体对资源的访问权限的方法。在 RBAC 中,访问控制是基于角色的,而不是基于个体用户的。:角色代表了一组用户或实体,这些用户或实体在系统中具有相似的权限需求或角色职责。例如,一个系统可以定义角色如管理员、编辑、普通用户等。:权限是指用户或实体可以执行的操作或访问的资源。每个角色都被赋予一组权限,这些权限决定了该角色能够进行的操作。
springboot项目使用拦截器和注解方式验证token
weixin_47402482的博客
11-04 1494
springboot项目使用拦截器和注解方式验证token
Springboot】基于AOP和自定义注解实现权限校验
Annancqxxx的博客
11-23 427
(1)假设现在有一个项目,用户只需登录就可以访问所有接口。基于这种场景,我们一般的权限鉴权逻辑是:用户登录后生成一个随机token保存到redis并返回给用户端,用户随后的每次请求都会携带这个token。服务器配置拦截器拦截用户请求,查看请求是否携带token并且查询token是否有效,若请求没有携带token或者token过期,直接拒绝请求,若token有效则刷新token的过期时间,放行请求。(2)
springboot 项目实现 token 校验
05-29
Spring Boot项目中实现Token校验,可以通过以下步骤: 1. 在项目中引入相应的依赖,如JWT库等。 2. 创建Token的生成和校验工具类,其中生成Token的方法可以使用JWT库中的方法,校验Token的方法可以解析Token中的信息并进行校验。 3. 在需要进行Token校验的接口中,添加一个拦截器,用于拦截请求并进行Token校验。在拦截器中获取请求头中的Token信息,然后调用Token校验工具类进行校验。 4. 如果Token校验通过,则放行请求;如果Token校验失败,则返回相应的错误信息。 以下是一个简单的示例代码: (1)pom.xml中添加JWT库的依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> ``` (2)创建Token工具类: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; import java.util.Date; import java.util.HashMap; import java.util.Map; @Component public class JwtTokenUtil { private static final String CLAIM_KEY_USERNAME = "sub"; private static final String CLAIM_KEY_CREATED = "created"; @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private Long expiration; public String generateToken(String username) { Map<String, Object> claims = new HashMap<>(); claims.put(CLAIM_KEY_USERNAME, username); claims.put(CLAIM_KEY_CREATED, new Date()); return generateToken(claims); } private String generateToken(Map<String, Object> claims) { Date expirationDate = new Date(System.currentTimeMillis() + expiration * 1000); return Jwts.builder() .setClaims(claims) .setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } public String getUsernameFromToken(String token) { String username; try { Claims claims = getClaimsFromToken(token); username = claims.getSubject(); } catch (Exception e) { username = null; } return username; } public boolean validateToken(String token, String username) { String usernameFromToken = getUsernameFromToken(token); return usernameFromToken.equals(username) && !isTokenExpired(token); } private Claims getClaimsFromToken(String token) { Claims claims; try { claims = Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody(); } catch (Exception e) { claims = null; } return claims; } private boolean isTokenExpired(String token) { Date expirationDate = getExpirationDateFromToken(token); return expirationDate.before(new Date()); } private Date getExpirationDateFromToken(String token) { Claims claims = getClaimsFromToken(token); return claims.getExpiration(); } } ``` (3)创建Token拦截器: ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; @Component public class JwtTokenInterceptor implements HandlerInterceptor { @Autowired private JwtTokenUtil jwtTokenUtil; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String token = request.getHeader("Authorization"); String username = jwtTokenUtil.getUsernameFromToken(token); if (username != null && jwtTokenUtil.validateToken(token, username)) { return true; } else { response.getWriter().write("Token is invalid"); return false; } } } ``` (4)在需要进行Token校验的接口中添加拦截器: ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; @RestController @RequestMapping("/api") public class MyController { @Autowired private JwtTokenInterceptor jwtTokenInterceptor; @RequestMapping("/test") public String test() { return "Hello, world!"; } @RequestMapping("/test2") public String test2() { return "Hello, world 2!"; } @RequestMapping("/test3") public String test3() { return "Hello, world 3!"; } @RequestMapping("/test4") public String test4() { return "Hello, world 4!"; } @RequestMapping("/test5") public String test5() { return "Hello, world 5!"; } } ``` 在Spring Boot项目中实现Token校验,可以通过以上步骤实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值