springmvc简单实现权限控制

最新推荐文章于 2024-05-29 20:10:49 发布
最新推荐文章于 2024-05-29 20:10:49 发布
阅读量3.3w 收藏 5
点赞数 9
分类专栏: java 文章标签: spring mvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiejx618/article/details/43732371
版权
用过了Spring Security,一般都不会采用这种简单的自定义方式.自定义当然灵活自由,越要完善,也就意味做的工作越多.使用框架,别人考虑得相对周到,比如spring security的防止攻击就有session fixation, clickjacking, cross site request forgery.以下的简单实现的权限控制虽然可以去实现这样的功能,但就没必要了.当然这个模型是包含认证和授权.


1.写一个自定义注解(功能类似于spring security的@PreAuthorize)

package org.exam.auth;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface Auth {
	String value() default "";
	String name() default "";
}
2.写一个拦截器. 
package org.exam.auth;
import org.springframework.http.HttpStatus;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;
import java.util.Set;
public class AuthInterceptor extends HandlerInterceptorAdapter {
	public static final String SESSION_USERID = "kUSERID";
	public static final String SESSION_AUTHS = "kAUTHS";
	@Override
	public boolean preHandle(HttpServletRequest request,
			HttpServletResponse response, Object handler) throws Exception {
		boolean flag = true;
		if (handler instanceof HandlerMethod) {
			Auth auth = ((HandlerMethod) handler).getMethod().getAnnotation(Auth.class);
			if (auth != null) {// 有权限控制的就要检查
				if (request.getSession().getAttribute(SESSION_USERID) == null) {// 没登录就要求登录
					response.setStatus(HttpStatus.FORBIDDEN.value());
					response.setContentType("text/html; charset=UTF-8");
					PrintWriter out=response.getWriter();
					out.write("{\"type\":\"nosignin\",\"msg\":\"请您先登录!\"}");
					out.flush();
					out.close();
					flag = false;
				} else {// 登录了检查,方法上只是@Auth,表示只要求登录就能通过.@Auth("authority")这类型,验证用户权限
					if (!"".equals(auth.value())) {
						Set<String> auths = (Set<String>) request.getSession().getAttribute(SESSION_AUTHS);
						if (!auths.contains(auth.value())) {// 提示用户没权限
							response.setStatus(HttpStatus.FORBIDDEN.value());
							response.setContentType("text/html; charset=UTF-8");
							PrintWriter out=response.getWriter();
							out.write("{\"type\":\"noauth\",\"msg\":\"您没有"+auth.name()+"权限!\"}");
							out.flush();
							out.close();
							flag = false;
						}
					}
				}
			}
		}
		return flag;
	}
}
处理controller的@RequestMapping方法(这里的处理直接通过response处理,spring security先抛异常,然后再统一处理异常):
a.如果这个方法没有使用Auth注解,会认为没有作权限控制,任何人可以访问.
b.如果这个方法只标注了@Auth,如果用户没登录,会返回一个403,并提示用户登录.
c.如果这个方法标注了具体需要某种权限,如@Auth("authority"),就要求用户必须有这种权限,否则返回403,并提示用户没有权限,这里相当于实现授权,并且授权之前先认证.


3.让拦截器起作用.重写org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter#addInterceptors方法 
@Configuration
@ComponentScan(basePackages={"org.exam.web"})
@EnableWebMvc
public class MvcConfig extends WebMvcConfigurerAdapter{
	@Override
	public void addInterceptors(InterceptorRegistry registry) {
		registry.addInterceptor(new AuthInterceptor());
	}
	//其它略...
}
4.用户登录(只做了一个模拟登录)和具体使用,剩下的就可以测试了. 
@Controller
@RequestMapping("/user")
public class UserController {
	@RequestMapping("/login")
	@ResponseBody
	public boolean login(HttpSession session,User user){
		boolean result=false;
		//模拟从数据库查出存在这样的用户
		Long userId=user.getId();
		if(userId!=null&&userId>0){
			session.setAttribute(AuthInterceptor.SESSION_USERID, userId);
			session.setAttribute(AuthInterceptor.SESSION_AUTHS, new HashSet<String>(Arrays.asList("user_list", "user_query", "user_save")));
			result=true;
		}
		return result;
	}
	@Auth("user_queryXXXX")
	@RequestMapping("/query")
	@ResponseBody
	public String query(){
		System.out.println("query");
		return getClass().toString();
	}
	@Auth("user_list")
	@RequestMapping("/list")
	@ResponseBody
	public String list(){
		System.out.println("list");
		return getClass().toString();
	}
	@Auth("user_save")
	@RequestMapping("/add")
	public String add(User user){
		System.out.println("add:"+user);
		return "user/add";
	}
}




xiejx618
关注
  • 9
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
springmvc使用JWT实现鉴权并防止流只能读取一次的ERROR
一个真实、有温度的无名小卒
02-06 2856
为了保证接口的安全性,在restful服务接口中我们常常使用JWT进行登陆鉴权,JWT的原理很简单: 登陆成功后用JWT根据登陆信息生成一个token返回给调用者,调用者下次调用其它接口把登录信息和相关token一起传给服务,使用springmvc拦截器进行拦截验证,看token是否有效,有效则跳转到指定的controller进行处理! 以ssm框架为例 一.pom.xml 导入jwt的包:
springmvc+interceptor拦截器及权限控制+第三章
weixin_43026397的博客
05-13 283
拦截器(Interceptor)介绍: 拦截器(Interceptor),主要完成请求参数的解析、将页面表单参数赋给值栈中相应属性、执行功能检验、程序异常调试等工作。 拦截器开发步骤: 1.创个类用Interceptor实现handlerInterceptor接口 实现handlerInterceptor接口中的方法 实现后接口后的图如下,我写了每个方法的作用跟执行时候 2.配置自定义的拦截器对象 <?xml version="1.0" encoding="UTF-8"?> <be
servlet和springmvc用户鉴权
u014397507的博客
03-29 328
servlet 创建filter文件: package com.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.Serv
Java 框架技术:SpringMVC的用户权限控制
最新发布
qq_66493659的博客
05-29 365
能够使用Spring MVC实现简单的后台系统登录验证
Spring拦截器实现鉴权
weixin_32896095的博客
03-13 1308
某些网站,是需要用户登录才能访问,如果对每一个页面判断用户是否登录,会造成代码冗余,在拦截器中进行鉴权操作可以减少代码的冗余. 图片是慕课网-格鲁老师的流程图 这里面涉及两个知识点:拦截器和ThreadLocal 拦截器 HandlerInterceptor是Spring提供的处理器拦截器接口,以下为源码. public interface HandlerInterceptor { //...
springmvc+shiro+maven 实现登录与权限授权
pengjwhx的博客
09-18 6678
Shiro是Shiro 是一个 Apache 下的一开源项目项目,旨在简化身份验证和授权。1:shiro的配置,通过maven加入shiro相关jar包 [java] view plain copy print?&amp;amp;lt;!–shiro–&amp;amp;gt;&amp;amp;lt;dependency&amp;amp;gt;&amp;amp;lt;groupId&amp;amp;gt;org.apache.shiro&amp;amp
SpringMVC+Mybatis整合实现简单权限控制系统代码
05-25
10. **安全框架集成**:为了更高效地实现权限控制,可以考虑集成Spring Security或Shiro等安全框架,它们提供了更全面的权限管理和认证机制。 通过以上步骤,我们可以构建一个基本的SpringMVC+Mybatis整合的权限...
SpringMVC+shiro权限管理
04-02
**SpringMVC+Shiro权限管理** 在现代Web应用程序开发中,权限管理和用户认证是至关重要的组成部分。...通过深入学习和实践这个项目,开发者可以掌握如何在实际项目中实现复杂的权限控制和用户管理。
简单实现springmvc共26页.pdf.zip
10-31
11. **拦截器(Interceptor)**:Spring MVC 提供了一种预处理和后处理请求的方法,可以实现登录验证、权限控制等功能。 12. **转换器(Converter)和格式化器(Formatter)**:它们用于将 HTTP 请求中的数据转换为...
SpringMVC框架简单实现
11-12
在本项目中,"panda-springmvc"是一个简易版的SpringMVC框架实现,旨在帮助理解其核心概念和工作流程。 首先,让我们深入了解一下SpringMVC的核心组件: 1. **DispatcherServlet**:这是SpringMVC的前端控制器,...
javaWeb用户权限控制简单实现过程
09-01
本文将详细介绍如何实现一个简单的用户权限控制系统。 首先,我们需要设计数据库来存储用户和权限信息。这里有两个核心表:`users` 和 `modules`。`users` 表用于存储用户的基本信息,如用户代码、用户名、密码,...
springmvc用于方法鉴权的注解拦截器的解决方案代码
08-28
主要介绍了springmvc用于方法鉴权的注解拦截器的解决方案代码,具有一定借鉴价值,需要的朋友可以参考下。
spring+springmvc+mybatis项目案例实现用户角色权限管理
03-17
使用spring+springmvc框架 整合了Mybatis持久层框架 整合Druid用于数据库连接,并使用Druid对业务层监控spring jdbc 整合EhCache,对Mybatis的二级缓存进行管理和对spring进行缓存管理 整合FastJson对指定http类型的数据进行转换 整合hibernate.validator校验器对controller接口参数进行校验 使用了springmvc统一异常处理 使用了FormattingConversionServiceFactoryBean对于传入参数中日期或数字字符串进行数据转换和数据格式化 使用了SpringContextHolder方便在自定义线程中调用spring已经实例的bean,如使用service 使用了urlrewrite filter进行地址重写,实现伪静态页面 使用了sitemesh对网页进行布局和修饰 使用了loginFilter对访问进行登录过滤 使用了CheckCodeServlet生成验证码图片
Spring MVC整合Shiro权限控制的方法
08-27
主要介绍了Spring MVC整合Shiro权限控制,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springmvc系】利用RequestBodyAdviceAdapter做接口鉴权
run_boy_2022的博客
08-14 1263
RequestBodyAdvice这里类能干什么对进行增强处理,比如所有请求的数据都加密之后放在 body 中,在到达 controller 的方法之前,需要先进行解密,那么就可以通过 RequestBodyAdvice 来进行统一的解密处理,无需在 controller 方法中去做这些通用的操作。
利用@PreAuthorize注解自定义权限校验
热门推荐
weixin_47345400的博客
09-18 2万+
利用@PreAuthorize注解自定义权限校验 使用场景: 由于项目中,需要对外开放接口,要求做请求头校验,不做其他权限控制.所以准备对开放的接口全部放行,不做登录校验.想到之前用这个注解来实现管理后台的权限校验,所以为了方便在需要对外开放的接口贴上注解即可.记录一下实现过程. 开启@EnableGlobalMethodSecurity(prePostEnabled = true)注解, 在继承 WebSecurityConfigurerAdapter 这个类的类上面贴上这个注解.并且prePostEn
掌握Spring MVC拦截器整合技巧,实现灵活的请求处理与权限控制
m0_59230408的博客
01-18 7680
在这个方法中可以通过返回值来决定是否要进行放行,我们可以把业务逻辑放在该方法中,如果满足业务则返回true放行,不满足则返回false拦截。方法,如果返回true,则代表放行,会执行原始Controller类中要请求的方法,如果返回false,则代表拦截,后面的就不会再执行了。(7)如果满足规则,则进行处理,找到其对应的controller类中的方法进行执行,完成后返回结果。配置多个后,执行顺序是什么?(5)在找到具体的方法之前,我们可以去配置过滤器(可以配置多个),按照顺序进行执行。
uniapp通过addInterceptor拦截路由跳转,控制页面是否需要登录
qq_40591925的博客
07-18 6010
uniapp通过addInterceptor拦截路由跳转,控制页面是否需要登录
uniapp 使用 addInterceptor 实现登录拦截
qq_42389674的博客
01-07 8200
什么是uni.addInterceptor uni.addInterceptor 是用于拦截 uni 的api的方法,一般用于给api添加全局的属性,或者全局处理事件 登录拦截 使用 uni.interceptor ,实现当需要登录,并且没有token的时候跳转到登录页,否则正常跳转 import store from "../store"; const whiteList = [ // "/pages/myInfo/myInfo" ]; //白名单 不需要登录的页面路径组成的数组 .
简述SpringMVC可以实现的功能
06-03
5. 提供拦截器的机制:SpringMVC提供了一种拦截器的机制,可以在请求的前后添加一些通用的处理逻辑,如权限控制、日志记录等。 6. 支持RESTful风格的开发:SpringMVC支持RESTful风格的开发,可以使用HTTP的GET、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值