【全栈之路】springboot+自定义注解实现权限验证

最新推荐文章于 2024-03-25 16:07:00 发布
最新推荐文章于 2024-03-25 16:07:00 发布
阅读量332 收藏
点赞数
分类专栏: 全栈之路 文章标签: spring 权限 aop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaohaiyuan123/article/details/104207687
版权

应小型网站和app后台管理系统权限框架需要,本文通过自定义注解实现方法上面的实现接口权限验证。

首先定义权限注解

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 权限
 *
 * @author zhaohaiyuan
 *
 */
//标注这个类它可以标注的位置
@Target({ ElementType.METHOD, ElementType.ANNOTATION_TYPE })
//标注这个注解的注解保留时期
@Retention(RetentionPolicy.RUNTIME)
//是否生成注解文档
@Documented
public @interface Permission {
    public String role() default "";//默认的角色
    public String value() default "";//默认的权限标示
}

其次定义 AOP

import java.lang.reflect.Method;
import java.util.Arrays;
import java.util.List;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang.StringUtils;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.Signature;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import com.shuogesha.common.util.JsonResult;
import com.shuogesha.common.util.ResultCode;
import com.shuogesha.platform.entity.Role;
import com.shuogesha.platform.entity.User;
import com.shuogesha.platform.filter.AdminInterceptor;
import com.shuogesha.platform.web.CmsUtils;

/**
 * 权限拦截切面
 *
 * @author zhaohaiyuan
 *
 */
@Aspect
@Component
public class PermissionAspect {

    private final static Logger logger = LoggerFactory.getLogger(PermissionAspect.class);

    // 切入点表达式决定了用注解方式的方法切还是针对某个路径下的所有类和方法进行切,方法必须是返回void类型
    @Pointcut(value = "@annotation(com.shuogesha.platform.version.Permission)")
    private void permissionCut() {
    };

    // 定义了切面的处理逻辑。即方法上加了@PermissionCheck
    @Around("permissionCut()")
    public Object around(ProceedingJoinPoint pjp) throws Throwable {
        try {
            // 获取request方便获取当前登录用户
            ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
            HttpServletRequest request = attributes.getRequest();
            HttpServletResponse response = attributes.getResponse();
            String requestURI = request.getRequestURI();
            // 1.记录日志信息
            Signature signature = pjp.getSignature();
            String className = pjp.getTarget().getClass().getSimpleName();
            String methodName = signature.getName();
            logger.info("className:{},methodName:{},URL:{}", className, methodName, requestURI);
            // 2.角色权限校验
            MethodSignature methodSignature = (MethodSignature) signature;
            Method targetMethod = methodSignature.getMethod();
            if (targetMethod.isAnnotationPresent(Permission.class)) {
                // 获取方法上注解中表明的权限
                Permission permission = targetMethod.getAnnotation(Permission.class);
                String perm = permission.value();
                // 获取管理员用户
                User user = CmsUtils.getUser(request);
                if (StringUtils.isNotEmpty(perm)) {
                    String[] perms = perm.split(",");// 接口允许的权限
                    List<String> list = Arrays.asList(perms);
                    if (!checkPerm(list, user)) {// 没有权限进行访问操作
                        return new JsonResult(ResultCode.NOT_SUPPORTED,ResultCode.NOT_SUPPORTED.msg(), null);
                    }
                    // 执行业务逻辑,放行
                    return pjp.proceed();
                }
            }
        }catch (Exception e) {
         }
        // 执行业务逻辑,放行
        return pjp.proceed();
    }

    /**
     * 判断是否有权限
     *
     * @param list
     * @param user
     * @return
     */
    public boolean checkPerm(List<String> url, User user) {
        boolean result = false;
        if (user != null) {
            if (user.getUsername().equals(AdminInterceptor.admin)) {// 如果是特殊的管理员

            } else if (user.isAdmin()) {// 如果是超级管理员
                result = true;
            } else {
                if (user.getRoles() != null) {//循环角色是否有拥有全部权限
                    for (Role role : user.getRoles()) {
                        if (role.isAllperms()) {
                            result = true;
                            break;
                        }
                    }
                }
                List<String> list = user.getPerms();
                if (list != null) {
                    for (int i = 0; i < list.size(); i++) {
                        if (url.contains(list.get(i))) {// 只要权限其中一个满足即可
                            result = true;
                            break;
                        }
                    }
                }
            }
        }
        return result;
    }
}

注意:本次通过用户登录以后把用户的登录信息放在request里面,顾aop里面需要获取request获取当前登录用户,用户登录以后把权限和角色信息放在的用户信息中,所以直接验证是否有权限。

测试例子使用

@RequestMapping(value = "/save", method = RequestMethod.POST)
    @Permission(value = "sys:adsense:add")
    public @ResponseBody Object o_save(Adsense bean) {
        adsenseService.save(bean);
        return new JsonResult(ResultCode.SUCCESS, bean);
    }

 

千年板蓝根
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot>15 - 自定义注解实现权限控制
cp026la的博客
01-16 9866
简介: 较原始的项目中使用的是JSP页面标签结合后台方法上注解配合实现权限控制,目前前后端完全分离开发已经是主流模式,大型的项目中可能会用到 shiro 或者 spring security 做安全校验,但是在小型项目中可以使用自定义注解达到权限控制的要求。 误区: 很多人认为权限控制就是控制不同用户在页面上拥有不同的功能(即不同的按钮),这是用户体验范围,这种情况下,只要知道后端地址,还是...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
springboot通过自定义注解完成简单的权限认证.zip
10-11
springboot自定义注解的demo;通过本案例实现了通过自定义注解的拦截的方法可以设置访问权限;通过拦截器获取指定方法上的自定义的注解,然后判断当前的接口需不要权限校验;然后通过对应的访问去处理;demo里面的代码简单;文档齐全,初学者秒懂.本文一篇文章搞定
自己实现注解权限校验(SpringBoot)
LitongZero的博客
12-20 3986
权限校验(SpringBoot注解式) 权限校验是很多情况都会用到的,结合Java注解和拦截器,直接在Controller层的方法上添加一个注解,可以无侵入式的进行权限校验。 一.Java注解 1.RequestMapping 我们打开一个最常用的Spring注解 可以看到,RequestMapping注解上,还有几个注解,分别代表 ①Target:注解目标(如:可以在方法、类、参数中使用)...
Spring Boot中实现对特定URL的权限验证:拦截器、切面和安全框架的比较
最新发布
diligent_man_z的博客
03-25 792
而如果您的项目安全需求较为复杂,建议使用专门的安全框架(如Spring Security),它提供了一套完整的安全解决方案。本文将比较这三种方式的优劣,并通过示例代码来佐证观点,以帮助您选择适合您项目需求的最佳方案。通过示例代码的演示,您可以更好地理解这三种方式的实现方式和特点。根据您的项目需求和团队的技术能力,选择适合的方式来实现权限验证是关键。无论您选择哪种方式,通过示例代码的展示,您可以更好地理解在Spring Boot中实现对特定URL的权限验证的具体实现方式,确保您的应用程序的安全性和合规性。
Springboot实现自定义注解权限校验
55555的博客
11-04 506
Springboot实现自定义注解权限校验自定义注解类定义拦截器注册拦截器注解使用示例controller层js层 自定义注解类 /** * @author whx * 权限 */ @Documented @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface FunctionPermission { int functionId() default 0; } @Documente
SpringBoot 通过自定义注解实现权限检查
热门推荐
蹊源的奇思妙想的博客
08-27 1万+
最近开发了一个接口,完成后准备自测时,却被拦截器拦截了,提示:(AUTH-NO)未能获得有效的请求参数!怎么会这样呢? 于是我全局搜了这个提示语,结果发现它被出现在一个Aspect类当中了,并且把一个 @interface 作为了一个切点,原来这里利用了Spring AOP面向切面的方式进行权限控制。
SpringBoot使用自定义注解实现权限拦截的示例
08-29
本篇文章主要介绍了SpringBoot使用自定义注解实现权限拦截的示例,具有一定的参考价值,有兴趣的可以了解一下
springBoot+aop+自定义注解+本地线程实现统一接口日志及接口响应时长
02-01
内容概要:springboot+拦截器+aop+自定义注解+本地线程实现统一接口日志记录,记录下接口所在模块、接口描述、接口请求参数、接口返回参数、接口请求时间以及接口耗时用于接口优化,接口记录参数以及操作人防止使用...
SpringBoot使用AOP+注解实现简单的权限验证的方法
08-25
主要介绍了SpringBoot使用AOP+注解实现简单的权限验证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring boot 自定义注解实现权限验证
09-26 2668
一、定义自定义注解 /**  * 自定义注解  * 如果Controller 有该标记,那么这个Controller下面所有的方法都会被过滤器进行验证  * 如果Controller 没有有该标记,但Controller中的某个方法拥有该标记,那么这个方法将被过滤器验证(其他没有被标记的不会被验证)  * @author Chen,Shunhua  * @date 2017年9月21日
SpringBoot自定义注解Springboot权限角色注解
蕃薯耀的博客
04-25 1637
================================ ©Copyright 蕃薯耀 2022-04-25 蕃薯耀的博客_CSDN博客 一、自定义角色注解 import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy;
SpringBoot自定注解实现权限管理(项目实现
weixin_48913290的博客
08-27 1082
本文章讲解的是基于RBAC模型的数据库设计的拦截器+自定义注解的形式实现权限验证。service层(主要的作用是获取用户相应的token,并存入redis)拦截器的配置(拦截了所有的请求并,验证是否存在token以及是否过期)切面的方式(环绕的方式返回验证结果)接下来,就是该用户是否有权限访问。登入的controller层。...
Spring Boot+Jwt+AOP+自定义注解实现接口权限控制
LT19990304的博客
06-20 2004
之前在项目中通过自定义拦截器+自定义注解进行权限校验,拦截器代码过于臃肿!!!于是想到了使用面向切面的方法!!
Springboot】基于AOP自定义注解实现权限校验
Annancqxxx的博客
11-23 481
(1)假设现在有一个项目,用户只需登录就可以访问所有接口。基于这种场景,我们一般的权限鉴权逻辑是:用户登录后生成一个随机token保存到redis并返回给用户端,用户随后的每次请求都会携带这个token。服务器配置拦截器拦截用户请求,查看请求是否携带token并且查询token是否有效,若请求没有携带token或者token过期,直接拒绝请求,若token有效则刷新token的过期时间,放行请求。(2)
springboot自定义注解校验数据权限
liujevon1212的博客
05-22 767
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、数据权限控制?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 在日常的系统开发中,功能权限和菜单权限是绕不开的话题,其中功能权限可以借助一些开源框架如spring security解决,而数据权限因为和业务紧密相连,实现起来容易使代码变得臃肿难看,如何通过简单的方式实现数据权限控制,推荐给大家一个方法,借助spring spel实现精简数据权限的代码实现。 提示:以下是本篇文章正.
Spring Boot常用注解(四) - 自定义注解实现权限校验
李平安
05-30 2521
一.自定义注解 Spring Boot常用注解(一) - 元注解中介绍了解释注解注解,根据元注解我们可以编写自己的注解。 下面自定义注解,利用Spring的拦截器拦截某些浏览器请求,并进行权限校验 二. 自定义注解 根据Spring Boot常用注解(一) - 元注解中自定义一个作用在类或方法上的注解 @Target({ElementType.TYPE, ElementType.MET...
springboot:通过aop注解进行接口权限判断
Wanankl的博客
02-02 436
通过aop注解进行接口权限判断
spring boot为自定义注解使用AOP
weixin_45124507的博客
05-16 106
spring boot为自定义注解使用AOP 新建自定义注解: //用于描述方法,用于描述类,接口(包括注解类型)或enum声明 @Target({ElementType.METHOD,ElementType.TYPE}) //生命周期始终不丢弃,运行期仍保留该注解 @Retention(RetentionPolicy.RUNTIME) //将注解添加在java文档中 @Documented @Component public @interface MyTestAnnotation { /*表示该注
SpringBoot+AOP自定义权限注解
07-25
- *2* *3* [springboot+自定义注解+AOP实现权限控制(一)](https://blog.csdn.net/byteArr/article/details/103984725)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

千年板蓝根

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值