自定义注解实现RBAC权限校验,不要再说你不会了

已于 2022-10-20 09:22:47 修改
阅读量3.9k 收藏 30
点赞数 32
分类专栏: 面试宝典 文章标签: java spring boot spring 后端
于 2022-01-22 14:15:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wujiangbo520/article/details/122636877
版权

目录

1、前言

2、实现思路

3、编码实战

3.1、准备

3.2、数据库表准备

3.3、自定义注解

3.4、拦截器

3.5、接口使用

3.6、测试

3.7、结论

4、结束语

1、前言

学过Spring Security的小伙伴都知道,SpringBoot项目可以集成Spring Security做权限校验框架,然后在Controller接口上直接使用@PreAuthorize注解来校验权限,但是如果我不想引入像Security、Shiro等第三方框架,也要实现权限校验的效果,该怎么做呢?

接下来就给大家介绍一种方案:拦截器+自定义注解做基于RBAC模型的权限校验

2、实现思路

  1. 首先数据库需要有基于RBAC模型的表,我们这里用最简单的5张表做示例:用户表、角色表、权限表、用户角色关联表、角色权限关联表

  2. 用户每次登录成功后,都需要联表查询该用户拥有的权限集合字符串,加密到token串中(此处可以使用JWT),返回给前端,前端存储到浏览器中,以后每次请求后台接口时,都将此token取出,放到请求头信息中,带到后台

  3. 然后新建自定义注解,该注解用于接口上面,表示该接口需要校验访问者的权限

  4. 新建拦截器,对所有请求方法的请求进行拦截,然后判断是否有自定义注解,如果有的话,取出权限字符串,和请求头中token的权限字符串集合进行比对,如果包含其中,则说明有权限访问该方法,如果不包含其中,就说明该用户没有权限访问该方法

3、编码实战

3.1、准备

这里我准备了一个SpringBoot基础环境代码,我会在此基础上进行集成,代码我已上传,地址如下:

SpringBootBase: SpringBoot基础项目框架

基础薄弱的同学,可以下载下来,跟我下面的步骤一步一步走,就可以出来效果了,再集成到你自己的项目中

3.2、数据库表准备

5张表准备:

用户表:

CREATE TABLE `sys_user` (
  `user_id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT '用户ID',
  `dept_id` bigint(20) DEFAULT NULL COMMENT '部门ID',
  `position_id` varchar(5) DEFAULT NULL COMMENT '职位ID',
  `class_id` bigint(20) DEFAULT NULL COMMENT '班级ID',
  `user_name` varchar(30) NOT NULL COMMENT '用户账号',
  `nick_name` varchar(30) NOT NULL COMMENT '用户昵称',
  `user_type` varchar(2) DEFAULT '00' COMMENT '用户类型(00系统用户)',
  `email` varchar(50) DEFAULT '' COMMENT '用户邮箱',
  `phonenumber` varchar(11) DEFAULT '' COMMENT '手机号码',
  `sex` char(1) DEFAULT '0' COMMENT '用户性别(0男 1女 2未知)',
  `avatar` varchar(300) DEFAULT '' COMMENT '头像地址',
  `password` varchar(100) DEFAULT '' COMMENT '密码',
  `status` char(1) DEFAULT '0' COMMENT '帐号状态(0正常 1停用)',
  `del_flag` char(1) DEFAULT '0' COMMENT '删除标志(0代表存在 2代表删除)',
  `login_ip` varchar(128) DEFAULT '' COMMENT '最后登录IP',
  `login_date` datetime DEFAULT NULL COMMENT '最后登录时间',
  `create_by` varchar(64) DEFAULT '' COMMENT '创建者',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_by` varchar(64) DEFAULT '' COMMENT '更新者',
  `update_time` datetime DEFAULT NULL COMMENT '更新时间',
  `remark` varchar(500) DEFAULT NULL COMMENT '备注',
  PRIMARY KEY (`user_id`),
  UNIQUE KEY `un_user_name` (`user_name`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用户信息表';

角色表:

CREATE TABLE `sys_role` (
  `role_id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT '角色ID',
  `role_name` varchar(30) NOT NULL COMMENT '角色名称',
  `role_key` varchar(100) DEFAULT NULL COMMENT '角色权限字符串',
  `role_sort` int(4) DEFAULT NULL COMMENT '显示顺序',
  `status` char(1) NOT NULL DEFAULT '0' COMMENT '角色状态(0正常 1停用)',
  `del_flag` char(1) DEFAULT '0' COMMENT '删除标志(0代表存在 2代表删除)',
  `create_by` varchar(64) DEFAULT '' COMMENT '创建者',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_by` varchar(64) DEFAULT '' COMMENT '更新者',
  `update_time` datetime DEFAULT NULL COMMENT '更新时间',
  `remark` varchar(500) DEFAULT NULL COMMENT '备注',
  PRIMARY KEY (`role_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色信息表';

权限表:

CREATE TABLE `sys_menu` (
  `menu_id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT '菜单ID',
  `menu_name` varchar(50) NOT NULL COMMENT '菜单名称',
  `parent_id` bigint(20) DEFAULT '0' COMMENT '父菜单ID',
  `order_num` int(4) DEFAULT '0' COMMENT '显示顺序',
  `path` varchar(200) DEFAULT '' COMMENT 'menu_id全路径',
  `component` varchar(255) DEFAULT NULL COMMENT '组件路径',
  `query` varchar(255) DEFAULT NULL COMMENT '路由参数',
  `is_frame` int(1) DEFAULT '1' COMMENT '是否为外链(0是 1否)',
  `is_cache` int(1) DEFAULT '0' COMMENT '是否缓存(0缓存 1不缓存)',
  `menu_type` char(1) DEFAULT '' COMMENT '菜单类型(M目录 C菜单 F按钮)',
  `visible` char(1) DEFAULT '0' COMMENT '菜单状态(0显示 1隐藏)',
  `status` char(1) DEFAULT '0' COMMENT '菜单状态(0正常 1停用)',
  `perms` varchar(100) DEFAULT NULL COMMENT '权限标识',
  `icon` varchar(100) DEFAULT '#' COMMENT '菜单图标',
  `create_by` varchar(64) DEFAULT '' COMMENT '创建者',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_by` varchar(64) DEFAULT '' COMMENT '更新者',
  `update_time` datetime DEFAULT NULL COMMENT '更新时间',
  `remark` varchar(500) DEFAULT '' COMMENT '备注',
  PRIMARY KEY (`menu_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='菜单权限表';

用户角色关联表:

CREATE TABLE `sys_user_role` (
  `user_id` bigint(20) NOT NULL COMMENT '用户ID',
  `role_id` bigint(20) NOT NULL COMMENT '角色ID',
  PRIMARY KEY (`user_id`,`role_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用户和角色关联表';

角色权限关联表:

CREATE TABLE `sys_role_menu` (
  `role_id` bigint(20) NOT NULL COMMENT '角色ID',
  `menu_id` bigint(20) NOT NULL COMMENT '菜单ID',
  PRIMARY KEY (`role_id`,`menu_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色和菜单关联表';

3表联查,传入用户ID就可以查询出该用户拥有哪些权限字符串了,SQL如下:  

select * from sys_menu t1
left join sys_role_menu t2 on t1.menu_id = t2.menu_id
left join sys_user_role t3 on t2.role_id = t3.role_id
where t3.user_id = #{userId}

3.3、自定义注解

新建一个自定义注解:

package org.wujiangbo.annotation;

import java.lang.annotation.*;

/**
 * 自定义注解校验权限
 */
@Target({ ElementType.PARAMETER, ElementType.METHOD })
@Retention(RetentionPolicy.RUNTIME)
public @interface CheckPermission {

    /**
     * 权限字符串
     */
    String per() default "";
}

3.4、拦截器

新建拦截器,代码如下:

package org.wujiangbo.interceptor;

import org.apache.commons.lang3.StringUtils;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.wujiangbo.annotation.CheckPermission;
import org.wujiangbo.exception.MyException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.reflect.Method;
import java.util.ArrayList;
import java.util.List;

/**
 * 权限校验拦截器
 */
@Component
public class CheckPermissionInterceptor implements HandlerInterceptor {

    /**
     * 前置处理
     * 该方法将在请求处理之前进行调用
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler){
        if (!(handler instanceof HandlerMethod)) {
            //说明拦截到的请求,不是请求方法的,那就直接放行
            return true;
        }
        //指定到这里,说明请求的是方法
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        //获取方法对象
        Method method = handlerMethod.getMethod();
        //获取方法上面的 CheckPermission 注解对象
        CheckPermission methodAnnotation = method.getAnnotation(CheckPermission.class);
        if (methodAnnotation != null) {
            //获取权限字符串
            String per = methodAnnotation.per();
            if(StringUtils.isNotBlank(per)){
                /**
                 * 说明需要校验权限,拥有该权限字符串,才能访问该方法
                 * 此时,需要从request头信息中拿到token,然后解密token,得到用户的权限集合,然后再做判断即可
                 */
                //这里我们造点测试数据,假设从token中解析出当前登录用户的权限集合如下
                List<String> userPermissionList = new ArrayList<>();
                userPermissionList.add("user:addUser");
                userPermissionList.add("user:deleteUser");
                userPermissionList.add("user:updateUser");
                userPermissionList.add("user:pageList");

                //开始判断
                if(!userPermissionList.contains(per)){
                    throw new MyException("您暂无权限进行此操作");
                }
            }
        }
        //必须返回true,否则会拦截掉所有请求,不会执行controller方法中的内容了
        return true;
    }
}

需要将上面的拦截器类加入到web环境中,新建下面配置类:

package org.wujiangbo.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;
import org.wujiangbo.interceptor.CheckPermissionInterceptor;

/**
 * 统一拦截器配置类
 */
@Configuration
public class WebConfig extends WebMvcConfigurationSupport {

    @Autowired
    private CheckPermissionInterceptor checkPermissionInterceptor;

    //添加自定义拦截器
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(checkPermissionInterceptor).addPathPatterns("/**");
        super.addInterceptors(registry);
    }
}

注意:

我这里的拦截器中,没有对token进行解析,只是模拟了一下,实际项目中,token肯定是密文,无法直接使用的,需要先解析出用户拥有的权限集合字符串

3.5、接口使用

下面我们再controller接口中就可以直接使用了,如下:

package org.wujiangbo.controller;

import lombok.extern.slf4j.Slf4j;
import org.wujiangbo.annotation.CheckPermission;
import org.wujiangbo.result.JSONResult;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * 测试接口类
 */
@RestController
@Slf4j
public class TestController {

    //用户新增接口
    @GetMapping("/user/addUser")
    @CheckPermission(per = "user:addUser") //表示访问者需要具备 user:addUser 权限才能访问该接口
    public JSONResult addUser(){
        return JSONResult.success("addUser success");
    }

    //部门新增接口
    @GetMapping("/dept/addDept")
    @CheckPermission(per = "dept:addDept") //表示访问者需要具备 dept:addDept 权限才能访问该接口
    public JSONResult addDept(){
        return JSONResult.success("addDept success");
    }

}

3.6、测试

用postman工具测试,先访问新增用户接口:http://localhost:8001/user/addUser

再访问新增部门接口:http://localhost:8001/dept/addDept

3.7、结论

从测试结果可以看出,确实可以做到接口的权限校验,以后使用的话,可以直接在controller加个注解就可以了,非常的方便

4、结束语

  • 这样的权限校验在实际工作中也有应用场景,希望大家都可以掌握哦

  • 大家如果还有任何疑问,可以留言,我会第一时间回复的

  • 最后别忘点赞哦,非常感谢大家的支持与厚爱,我会不断分享更多干货的哈

 

小学生波波
关注
  • 32
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 10
    评论
专栏目录
利用Spring Security做角色权限校验
12-10
- 要实现动态权限校验,我们需要从数据库中获取用户的角色和权限。这可以通过自定义`UserDetailsService`实现,该接口用于加载用户信息。 - 自定义`UserDetailsService`后,需要将其绑定到Spring Security的配置中...
rbac框架java_基于Spring-Security安全框架的RBAC权限管理顶
weixin_36259939的博客
02-21 845
rbac-security这是一个基于简单的RBAC模型,结合Spring Security开发的权限管理模块。一、RBAC模型介绍RBAC是Role-Based Access Control的缩写,意思就是基于角色的权限访问控制。基本思想: 对系统的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥...
自定义注解实现权限验证
欢迎一起学习交流
03-02 3353
一、前言 在我们写项目时,一个项目通常会有拥有不同角色的用户,在进入某个方法前,会判断该用户是否具有此权限,今天我们来用自定义注解实现一下这个功能。 二、业务场景 1.场景介绍 假如有一个学生管理系统,我们来对一个用户是否具有对学生管理这个模块操作的权限进行验证 2.数据库 存储用户基本信息的用户表 角色表 用户角色关联表 3.前情提示 在写权限验证之前要把登录功能并传入token,在token里保存登录用户的角色id(后面会用到) //登录 @Reque..
使用自定义注解进行权限校验
最新发布
weixin_54925172的博客
06-16 892
对于一些重复性的操作我们可以用提取为util的方式进行处理,但也可以更简便一些,比如自定义个注解进行。选择看这篇文章的小伙伴想必都对注解不陌生,但是可能对它的工作原理不太清楚。这里我们用注解实现对接口的权限校验,让大家感受一下,自定义注解的魅力。
自定义注解+拦截器实现权限管理
weixin_60376559的博客
01-31 1177
自定义注解+拦截器实现权限管理
Springboot】基于AOP和自定义注解实现权限校验
Annancqxxx的博客
11-23 589
(1)假设现在有一个项目,用户只需登录就可以访问所有接口。基于这种场景,我们一般的权限鉴权逻辑是:用户登录后生成一个随机token保存到redis并返回给用户端,用户随后的每次请求都会携带这个token。服务器配置拦截器拦截用户请求,查看请求是否携带token并且查询token是否有效,若请求没有携带token或者token过期,直接拒绝请求,若token有效则刷新token的过期时间,放行请求。(2)
自定义拦截器实现权限校验
shenzhou_yh的博客
09-21 1045
背景 前几天接收到一个业务需求,简要描述一下,当某个企业账户冻结之后,企业在登陆后台管理系统,不能进行某些操作,如导入员工信息、发放员工福利、发票信息申请等,但是系统中的查看功能如账单查询、员工查询都可以正常使用。 很显然,从全局去处理账户的状态判断是不可取的,因为在账户冻结之后,并不是所有的动作都是被禁止的,这里就可以使用过滤器对指定的方法进行筛选校验 既定方案 使用自定义的注解,标注需要进行账户状态校验的请求方法,使用拦截器拦截这些接口,在拦截器中执行账户状态的判断,如果账户状态正产则放行,如果状态异常
自定义注解-验验证接口权限
普通人一枚
08-06 346
有如下需求:在没有权限管理的情况下阻挡普通用户的接口请求,可以做自定义验证来验证接口权限
【ssm项目源码】企业权限管理系统.zip
01-22
4. **权限管理模型**:企业权限管理系统通常采用RBAC(Role-Based Access Control,基于角色的访问控制)模型。在这个模型中,用户被赋予不同的角色,每个角色有一组预定义的权限。用户通过其角色获得权限,而不是...
Sa-Token v1.36.0一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!
10-14
- **权限校验**:在需要鉴权的接口或方法前,添加注解或调用API进行权限检查,框架会自动处理无权限的异常。 - **Session管理**:在分布式环境中,通过设置配置,Sa-Token将自动处理Session的同步问题。 - **SSO实现...
权限管理。
12-13
本主题将深入探讨如何利用Hibernate和Spring框架来实现一套完整的权限管理系统。Hibernate作为Java领域广泛使用的对象关系映射(ORM)框架,可以帮助我们将数据库操作简化为面向对象的方式;而Spring则是一个全面的...
springboot+mybatis 开发的权限管理系统.zip
03-26
它们提供了丰富的API和配置选项,能够方便地进行权限校验和拦截。 Spring Security是一个强大的安全框架,它可以与Spring Boot无缝集成,提供认证、授权、会话管理等功能。通过配置WebSecurityConfigurerAdapter,...
RBAC鉴权实验操作
yuer1228的博客
08-27 209
kind: Rolemetadata:rules:- apiGroups: [""] # "" 标明 core API 组以上就是使用RBAC将角色和对应的权限绑定的实验操作。
自定义注解实现身份校验权限校验
莫须有的博客
08-02 334
自定义一个注解,运用Spring AOP实现一个简单的用户身份和权限验证功能
SpringBoot自定注解实现权限管理(项目实现
weixin_48913290的博客
08-27 1091
本文章讲解的是基于RBAC模型的数据库设计的拦截器+自定义注解的形式实现权限验证。service层(主要的作用是获取用户相应的token,并存入redis)拦截器的配置(拦截了所有的请求并,验证是否存在token以及是否过期)切面的方式(环绕的方式返回验证结果)接下来,就是该用户是否有权限访问。登入的controller层。...
如何在项目中自定义注解实现权限数据管理案例
I wanna be myself, where I Belong.
05-15 548
这里的思路很简单,就是根据权限,动态的给你的SQL后边追加过滤条件。创建一个实体类BaseEntity,里边是一个map叫做params,key就是data_scope,value就是要追加的SQL。然后让每个实体类都继承这个BaseEntity,接口参数传入实体类。利用AOP前置通知给map中放一个SQL语句,mapper中用==${params.data_scope}==追加实现功能。} }让所以的实体类继承上边的BaseEntity。
springboot + 拦截器 + 注解 实现自定义权限验证
weixin_48747363的博客
05-22 575
springboot + 拦截器 + 注解 实现自定义权限验证
Security方法注解权限控制过程及自定义权限表达式
pscool的博客
05-02 1619
(也可以采用若依的方法,自定义权限表达式,其实就是利用了el表达式,但是通过自定义权限表达式的过程,可以更加清楚security处理方法权限时的整个处理过程)
简单的权限验证
不知名路人甲的博客
11-01 893
如果采用spring家族进行后端开发,想要实现多用户多权限很容易联想到spring security,shiro两大常见框架,但是两者都有一定的学习成本,并且由于兼容了很多设计模式的思想,源码很复杂,短时间不容易上手。那么,我们能不能通过一些java基础知识实现呢?因此本文使用。
基于RBAC和ACL 自定义开发一个权限框架 java实现
04-22
好的,关于基于RBAC和ACL自定义开发一个权限框架的Java实现,我可以给您一些建议。RBAC指的是基于角色的访问控制,ACL指的是访问控制列表。这两种访问控制模型可以互相结合,实现更加精细的权限控制。以下是一些实现框架的建议: 1.定义用户、角色和资源 首先,需要定义用户、角色和资源这三个基本概念。在Java中,通常通过类来表达这些概念,例如User、Role和Resource类。其中,用户可以拥有多个角色,角色可以拥有多个资源。具体实现时可以使用集合来存储这些对象,并通过ID或名称进行关联。 2.实现RBAC模型 接下来,可以实现基于角色的访问控制模型。首先,需要定义角色的权限,例如对某个资源的访问权限。这可以通过一个Permissions类来实现。然后,可以给每个角色分配一组权限,表示该角色可以访问哪些资源。最后,在访问该资源时,需要根据用户所拥有的角色来检查其是否有访问权限。 3.实现ACL模型 除了RBAC模型,还可以实现ACL模型来进行更细粒度的权限控制。在ACL模型中,需要为每个资源定义一个访问控制列表,该列表包含可以访问该资源的用户和对应的权限。这可以通过一个AccessControlList类来实现。然后,在访问该资源时,需要在访问控制列表中查找该用户是否有相应的权限。 4.结合RBAC和ACL模型 RBAC和ACL模型可以结合使用,实现更为精细的访问控制。例如,可以使用RBAC模型来控制对资源的访问,使用ACL模型对资源的操作进行管理。具体实现时,需要为每个角色分配一组资源,然后给每个资源定义一个访问控制列表,列表中包含可以对该资源进行操作的用户和相应的权限。 总之,以上就是一个基于RBAC和ACL模型的自定义权限框架的实现建议。在具体实现时,可以根据实际需求进行调整和改进。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小学生波波

感谢您的厚爱与支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值