【全栈之路】springboot+自定义注解实现权限验证

最新推荐文章于 2024-03-31 23:41:10 发布
最新推荐文章于 2024-03-31 23:41:10 发布
阅读量361 收藏
点赞数
分类专栏: 全栈之路 文章标签: spring 权限 aop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaohaiyuan123/article/details/104207687
版权

应小型网站和app后台管理系统权限框架需要,本文通过自定义注解实现方法上面的实现接口权限验证。

首先定义权限注解

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 权限
 *
 * @author zhaohaiyuan
 *
 */
//标注这个类它可以标注的位置
@Target({ ElementType.METHOD, ElementType.ANNOTATION_TYPE })
//标注这个注解的注解保留时期
@Retention(RetentionPolicy.RUNTIME)
//是否生成注解文档
@Documented
public @interface Permission {
    public String role() default "";//默认的角色
    public String value() default "";//默认的权限标示
}

其次定义 AOP

import java.lang.reflect.Method;
import java.util.Arrays;
import java.util.List;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang.StringUtils;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.Signature;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import com.shuogesha.common.util.JsonResult;
import com.shuogesha.common.util.ResultCode;
import com.shuogesha.platform.entity.Role;
import com.shuogesha.platform.entity.User;
import com.shuogesha.platform.filter.AdminInterceptor;
import com.shuogesha.platform.web.CmsUtils;

/**
 * 权限拦截切面
 *
 * @author zhaohaiyuan
 *
 */
@Aspect
@Component
public class PermissionAspect {

    private final static Logger logger = LoggerFactory.getLogger(PermissionAspect.class);

    // 切入点表达式决定了用注解方式的方法切还是针对某个路径下的所有类和方法进行切,方法必须是返回void类型
    @Pointcut(value = "@annotation(com.shuogesha.platform.version.Permission)")
    private void permissionCut() {
    };

    // 定义了切面的处理逻辑。即方法上加了@PermissionCheck
    @Around("permissionCut()")
    public Object around(ProceedingJoinPoint pjp) throws Throwable {
        try {
            // 获取request方便获取当前登录用户
            ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
            HttpServletRequest request = attributes.getRequest();
            HttpServletResponse response = attributes.getResponse();
            String requestURI = request.getRequestURI();
            // 1.记录日志信息
            Signature signature = pjp.getSignature();
            String className = pjp.getTarget().getClass().getSimpleName();
            String methodName = signature.getName();
            logger.info("className:{},methodName:{},URL:{}", className, methodName, requestURI);
            // 2.角色权限校验
            MethodSignature methodSignature = (MethodSignature) signature;
            Method targetMethod = methodSignature.getMethod();
            if (targetMethod.isAnnotationPresent(Permission.class)) {
                // 获取方法上注解中表明的权限
                Permission permission = targetMethod.getAnnotation(Permission.class);
                String perm = permission.value();
                // 获取管理员用户
                User user = CmsUtils.getUser(request);
                if (StringUtils.isNotEmpty(perm)) {
                    String[] perms = perm.split(",");// 接口允许的权限
                    List<String> list = Arrays.asList(perms);
                    if (!checkPerm(list, user)) {// 没有权限进行访问操作
                        return new JsonResult(ResultCode.NOT_SUPPORTED,ResultCode.NOT_SUPPORTED.msg(), null);
                    }
                    // 执行业务逻辑,放行
                    return pjp.proceed();
                }
            }
        }catch (Exception e) {
         }
        // 执行业务逻辑,放行
        return pjp.proceed();
    }

    /**
     * 判断是否有权限
     *
     * @param list
     * @param user
     * @return
     */
    public boolean checkPerm(List<String> url, User user) {
        boolean result = false;
        if (user != null) {
            if (user.getUsername().equals(AdminInterceptor.admin)) {// 如果是特殊的管理员

            } else if (user.isAdmin()) {// 如果是超级管理员
                result = true;
            } else {
                if (user.getRoles() != null) {//循环角色是否有拥有全部权限
                    for (Role role : user.getRoles()) {
                        if (role.isAllperms()) {
                            result = true;
                            break;
                        }
                    }
                }
                List<String> list = user.getPerms();
                if (list != null) {
                    for (int i = 0; i < list.size(); i++) {
                        if (url.contains(list.get(i))) {// 只要权限其中一个满足即可
                            result = true;
                            break;
                        }
                    }
                }
            }
        }
        return result;
    }
}

注意:本次通过用户登录以后把用户的登录信息放在request里面,顾aop里面需要获取request获取当前登录用户,用户登录以后把权限和角色信息放在的用户信息中,所以直接验证是否有权限。

测试例子使用

@RequestMapping(value = "/save", method = RequestMethod.POST)
    @Permission(value = "sys:adsense:add")
    public @ResponseBody Object o_save(Adsense bean) {
        adsenseService.save(bean);
        return new JsonResult(ResultCode.SUCCESS, bean);
    }

 

千年板蓝根
关注
专栏目录
SpringBoot>15 - 自定义注解实现权限控制
cp026la的博客
01-16 1万+
简介: 较原始的项目中使用的是JSP页面标签结合后台方法上注解配合实现权限控制,目前前后端完全分离开发已经是主流模式,大型的项目中可能会用到 shiro 或者 spring security 做安全校验,但是在小型项目中可以使用自定义注解达到权限控制的要求。 误区: 很多人认为权限控制就是控制不同用户在页面上拥有不同的功能(即不同的按钮),这是用户体验范围,这种情况下,只要知道后端地址,还是...
全栈式使用 SpringBoot + SpringSecurity 做登录认证
IT小村
03-04 4070
一、前言 目前JavaEE开发中,安全框架流行的主要有两个,分别是 Shiro、SpringSecurity。 之前是都是使用 Shiro 做权限管理的,原因很简单,因为大家都说这个更简单轻量,都觉得 SpringSecurity 太笨重复杂。但是在下使用了之后,觉得还是挺简单,因为我们开发基本都要以 Spring 为核心,而 SpringSecurity 更能很好地整合在一块,其和 Spri...
springboot通过自定义注解完成简单的权限认证.zip
10-11
springboot自定义注解的demo;通过本案例实现了通过自定义注解的拦截的方法可以设置访问权限;通过拦截器获取指定方法上的自定义的注解,然后判断当前的接口需不要权限校验;然后通过对应的访问去处理;demo里面的代码简单;文档齐全,初学者秒懂.本文一篇文章搞定
SpringBoot 通过自定义注解实现权限检查
热门推荐
蹊源的奇思妙想的博客
08-27 1万+
最近开发了一个接口,完成后准备自测时,却被拦截器拦截了,提示:(AUTH-NO)未能获得有效的请求参数!怎么会这样呢? 于是我全局搜了这个提示语,结果发现它被出现在一个Aspect类当中了,并且把一个 @interface 作为了一个切点,原来这里利用了Spring AOP面向切面的方式进行权限控制。
自己实现注解权限校验(SpringBoot)
LitongZero的博客
12-20 4461
权限校验(SpringBoot注解式) 权限校验是很多情况都会用到的,结合Java注解和拦截器,直接在Controller层的方法上添加一个注解,可以无侵入式的进行权限校验。 一.Java注解 1.RequestMapping 我们打开一个最常用的Spring注解 可以看到,RequestMapping注解上,还有几个注解,分别代表 ①Target:注解目标(如:可以在方法、类、参数中使用)...
Springboot实现自定义注解权限校验
55555的博客
11-04 548
Springboot实现自定义注解权限校验自定义注解类定义拦截器注册拦截器注解使用示例controller层js层 自定义注解类 /** * @author whx * 权限 */ @Documented @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface FunctionPermission { int functionId() default 0; } @Documente
一个基于SpringBoot+Vue校园二手交易平台源码.zip
06-17
开发者可能使用JWT(JSON Web Tokens)进行用户身份验证,通过OAuth2或自定义的权限模型实现权限控制。 6. **数据库设计**: 校园二手交易平台可能包括用户、商品、订单等多个表。开发者可能使用MySQL或PostgreSQL等...
基于springboot+mybatis+shiro+vue的前后端分离汽车租赁管理系统.zip
05-30
- **授权**:实现角色与权限的管理,控制用户访问特定资源的权限。 - **会话管理**:提供了统一的会话管理,支持分布式会话。 - **过滤器**:Shiro通过Filter链实现Web安全控制,可以自定义拦截规则。 4. Vue.js...
SpringBoot+MyBatis+Vue教评管理系统源码及数据库解析
系统后端采用SpringBoot框架,与MyBatis数据持久层框架配合,实现了高效的数据库操作。前端界面则使用Vue框架构建,具备良好的用户交互体验。整个系统包含登录验证、主页面展示、系统管理、学生管理以及教评数据分析...
SpringBoot+vue3打造企业级一体化SaaS系统
love0everything的博客
03-20 770
全面提升前后端技术水平,独立完成全栈项目开发能力,快速进击全栈工程师,最终在面试中脱颖而出。整合后端主流技术(Spring Boot、物理数据库隔离、加载动态权限、多方式权限控制)、前端必会框架(vue3 ),完整落地ERP+CRM一体化SaaS系统,带你打造全流程商业级To B项目。
spring boot 自定义注解实现权限验证
09-26 2722
一、定义自定义注解 /**  * 自定义注解  * 如果Controller 有该标记,那么这个Controller下面所有的方法都会被过滤器进行验证  * 如果Controller 没有有该标记,但Controller中的某个方法拥有该标记,那么这个方法将被过滤器验证(其他没有被标记的不会被验证)  * @author Chen,Shunhua  * @date 2017年9月21日
Springboot自定义注解校验
cyh0107的博客
01-12 737
抛出的异常如果属于ConstraintDeclarationException异常,则会被直接抛出,否则会转为其他异常,无法被异常处理器BizException捕获。BizException异常继承ConstraintDeclarationException异常类。注解处理类实现javax.validation ConstraintValidator接口。校验失败后validate这个set会有值,如果校验全成功,set为空。校验器可以为false,在业务中处理。message中可以添加错误信息。
SpringBoot自定义注解Springboot权限角色注解
蕃薯耀的博客
04-25 1720
================================ ©Copyright 蕃薯耀 2022-04-25 蕃薯耀的博客_CSDN博客 一、自定义角色注解 import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy;
SpringBoot自定注解实现权限管理(项目实现
weixin_48913290的博客
08-27 1180
本文章讲解的是基于RBAC模型的数据库设计的拦截器+自定义注解的形式实现权限验证。service层(主要的作用是获取用户相应的token,并存入redis)拦截器的配置(拦截了所有的请求并,验证是否存在token以及是否过期)切面的方式(环绕的方式返回验证结果)接下来,就是该用户是否有权限访问。登入的controller层。...
Spring Boot+Jwt+AOP+自定义注解实现接口权限控制
LT19990304的博客
06-20 2135
之前在项目中通过自定义拦截器+自定义注解进行权限校验,拦截器代码过于臃肿!!!于是想到了使用面向切面的方法!!
Springboot】基于AOP自定义注解实现权限校验
Annancqxxx的博客
11-23 865
(1)假设现在有一个项目,用户只需登录就可以访问所有接口。基于这种场景,我们一般的权限鉴权逻辑是:用户登录后生成一个随机token保存到redis并返回给用户端,用户随后的每次请求都会携带这个token。服务器配置拦截器拦截用户请求,查看请求是否携带token并且查询token是否有效,若请求没有携带token或者token过期,直接拒绝请求,若token有效则刷新token的过期时间,放行请求。(2)
SpringBoot中使用自定义注解和拦截器实现简单的权限控制
最新发布
云景的博客
03-31 1298
众所周知,作为系统的最后一道防线,对于一些重要操作(crud等),后端默认接收的所有的请求都是“不可信”的,除了确认用户登录状态之外,还要对接收的数据进行一系列的合法性校验等等,即使已经在前端页面对用户输入信息做了一定的限制。因为请求可以伪造,也可能被拦截篡改,即使在正常情况下,用户也可能因为误操作或者恶意行为发送不合法的请求。如果多角色系统的接口不做权限校验的话,那无疑是在“裸奔”,任何一个普通的登录用户都能调用所有的接口。Q:什么是权限控制?A:让特定的用户只能访问特定的资源。
springboot自定义注解校验数据权限
liujevon1212的博客
05-22 869
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、数据权限控制?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 在日常的系统开发中,功能权限和菜单权限是绕不开的话题,其中功能权限可以借助一些开源框架如spring security解决,而数据权限因为和业务紧密相连,实现起来容易使代码变得臃肿难看,如何通过简单的方式实现数据权限控制,推荐给大家一个方法,借助spring spel实现精简数据权限的代码实现。 提示:以下是本篇文章正.
SpringBoot自定义注解实现权限拦截教程
"本文将详细介绍如何在SpringBoot项目中利用自定义注解实现权限拦截功能。通过创建自定义注解和拦截器,我们可以对特定的控制器或方法进行权限验证,确保只有具有相应权限的用户才能访问。" 在SpringBoot框架中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

千年板蓝根

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值