基于shiro自定义aop+注解实现自己想要的权限管理

最新推荐文章于 2023-04-09 00:29:48 发布
最新推荐文章于 2023-04-09 00:29:48 发布
阅读量867 收藏 2
点赞数 1
分类专栏: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyx7653296/article/details/102598143
版权

前提:已经集成shiro的环境下,shiro自带的权限不足以满足需求,所以想到的这个办法。

目的:判断当前操作用户是否有权限处理这个操作,大概意思就是加入部门概念,判断该用户是否越部门去处理其他部门的数据了

第一步我们先自定义一个aop接口,放在cn.zyx.test.base.shiro.annotion包下。

/**
 * 权限注解 用于检查权限 规定访问权限
 * 主要用于只能操作自身数据范围内数据
 * 总管理员可以通过该权限
 * @example @BasicPermission
 */
@Retention(RetentionPolicy.RUNTIME)    //始终不会丢弃,运行期也保留该注解
@Target({ElementType.METHOD})          //标注方法注解
public @interface BasicPermission {

    /**
     * 需要一个标识,去确认去哪里验证是不是该登陆用户的数据范围
     */
    String key() default "";
	
}

 我们写完了之后首先哪去controller层做个简单的测试,看看@注解是否出现

    /**
     * 冻结课程
     *
     * @author zyx
     * @Date 2019年7月2日15点49分
     * 关于权限这里,只能是超级管理员/是该课程所属的门店的管理员,才能冻结或者解冻课程
     */
    @RequestMapping("/freeze")
    @BasicPermission(key="course")
    @ResponseBody
    public ResponseData freeze(@RequestParam Integer courseId) {
        if (ToolUtil.isEmpty(courseId)) {
            throw new ServiceException(BizExceptionEnum.REQUEST_NULL);
        }
 
        this.courseService.setCourseState(courseId, BasicSysState.FREEZED.getCode());
        
        return SUCCESS_TIP;
    }

 然后去实现aop切面类:

/**
 * 权限检查的aop
 *
 * @author zyx
 * @date 2019年7月2日15点52分
 */
@Aspect
@Component
@Order(200)
public class BasicPermissionAop {

    @Autowired
    private PermissionCheckService check;

    //这里annotation里放的就是上面注解所在的位置,我们要切入该注解里
    @Pointcut(value = "@annotation(cn.zyx.test.base.shiro.annotion.BasicPermission)")
    private void cutPermission() {

    }

    @Around("cutPermission()")
    public Object doPermission(ProceedingJoinPoint point) throws Throwable {
		MethodSignature ms = (MethodSignature) point.getSignature();
		Method method = ms.getMethod();
		BasicPermission BasicPermission = method.getAnnotation(BasicPermission.class);
		String aopValue = point.getArgs()[0].toString();//获取请求参数id
		String aopKey = BasicPermission.key();//获取注解里写的key
       
        //如果当前用户是管理员,则不需要去范围权限进行检查
        if(!ShiroKit.isAdmin()) {
        	//范围权限检查
            boolean result = check.checkDataScope(aopKey,aopValue);
            if (result) {
                return point.proceed();
            } else {
                throw new NoPermissionException();
            }     
        }    
        return point.proceed();
  
    }

}

到这里为止,整个流程就实现完成了,后面贴一下我详细权限检查过程,方便以后自己查看。

/**
 * 检查用接口
 */
public interface PermissionCheckService {
    
    /**
     * 检查当前登陆用户是否操作的是他所在的数据
     */
    
    boolean checkDataScope(String key,String value);
}
/**
 * 权限自定义检查
 */
@Service
@Transactional(readOnly = true)
public class PermissionCheckServiceServiceImpl implements PermissionCheckService {

	@Override
	public boolean checkDataScope(String key,String value) {
		//获取当前登陆人的部门所对应的商店/部门
		Shop shop = ShiroKit.getDeptShopDataScope();
		//根据前端传参的key与value,获取对应的shopId,如果没有,会返回-1
		Integer keyId = -1;
        /**
		 * 暂时怎么写,等以后攒多了if判断语句,统一改成策略模式
		 */
           
        //BasicPermissionConstant.COURSE="course",写在另外一个静态常量类里
		if(BasicPermissionConstant.COURSE.equals(key)) {
			Course course = new Course();
			course.setId(Integer.valueOf(value));
			course = courseMapper.selectOne(new QueryWrapper<Course>(course));
			if(ToolUtil.isNotEmpty(course) && ToolUtil.isNotEmpty(course.getShopId())) {
				keyId = course.getShopId();
			}
		}
		if(keyId.equals(shop.getId())) {
			return true;
		}
		return false;
	}

}

 

zyx7653296
关注
专栏目录
SpringBoot 、Shiro自定义注解权限控制源码下载
04-06
SpringBoot 、Shiro自定义注解权限控制
ssm+自定义标签+自定义注解 实现权限细粒度控制
04-13
在这个项目中,开发者尝试模仿Apache Shiro框架,通过自定义标签和自定义注解实现权限的细粒度控制,从而更好地管理和限制用户访问特定的资源。 Apache Shiro是一个强大且易用的Java安全框架,处理认证、授权、...
ShiroAOP横切模式-注解权限控制
05-21 297
AuthorizationAttributeSourceAdvisor切入点 /* * Licensed to the Apache Software Foundation (ASF) under one * or more contributor license agreements. See the NOTICE file * distributed with...
shiro注解权限控制-5个权限注解
adai1682的博客
01-25 240
RequiresAuthentication: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证 RequiresGuest: 使用该注解标注的类,实例,方法在访问或调用时,当前Subject可以是“gust”身份,不需要经过认证或者在原先的session中存在记录。 Require...
shiro+自定义注解解决权限问题(毕设校园交流平台权限更正)
zll_zll_zll_zll的博客
02-10 431
毕设(校园交流平台)权限修正 前段毕设时间把毕设部署到了线上,果然当时懒惰没认真做权限,部署完没多久就被大佬看破了然后 好吧然后我就趁今天有时间修复下。 先说下现状 当时为了懒省劲(大家别学我)只在user表上加了一个字段判断是否管理员身份,权限上只在部分接口上加了,现在想起来还真是漏洞百出。 其实就管理员和普通用户两种角色,但由于后端权限未做全导致现在存在的问题: 管理员权限泄露 普通用...
springMVC springBoot shiro 自定义shiro授权注解自定义授权解析器
mxywxwk的博客
10-22 741
  shiro支持注解式的授权控制,共有5个: @RequiresAuthentication:当前 Subject 已经通过 login 进行了身份验证;即 Subject.isAuthenticated() 返回 true。 @RequiresUser:当前 Subject 已经身份验证或者通过记住我登录的。 @RequiresGuest:当前 Subject 没有身份验证或通过记住我登录过,即是游客身份。 @RequiresRoles:当前 Subject 需要的角色。 @RequiresPermi
【RBAC】基于springboot+shiro实现RBAC权限后台管理系统.zip
最新发布
09-08
【RBAC】基于springboot+shiro实现RBAC权限后台管理系统.zip 项目结构 |—— ctrl —— 请求层 |—— service —— 业务层 |—— common |—— |—— annotation —— 项目中使用的注解 |—— |—— aspect —— ...
SpringAOP+自定义注解模拟shiro框架实现
06-06
首先,我们需要定义一个自定义注解 `@RequiresPermissions`,用于标识需要授权访问的方法,例如: ```java @Retention...这样,我们就通过 Spring AOP自定义注解模拟实现了类似 Shiro 权限校验的功能。
SSM+Shiro+Redis实现项目的权限管理
05-06
SSM+Shiro+Redis是Java Web开发中一种常见的权限管理解决方案,主要涉及Spring、Spring MVC、MyBatis三大框架与Apache Shiro安全框架及Redis缓存技术的整合。这个小Demo展示了如何在项目中实现高效且灵活的权限控制...
shiro 在方法上添加注解配置
weixin_34080571的博客
03-07 265
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro和spring整合,使用权限注解
08-31
shiro的权限注解,必须和aop框架整合使用,本资源是springAOP整合shiro的例子。
自定义Shiro注解
weixin_33909059的博客
04-23 550
自定义Shiro注解 顺序 创建自定义注解 资源管理器,继承AuthorizationAttributeSourceAdvisor,添加新注解支持 AOP拦截器,继承AopAllianceAnnotationsAuthorizingMethodInterceptor 方法拦截器,继承AuthorizingAnnotationMeth...
Shiro权限控制的5个常用权限注解详解!
Lu_Dai_Ma的博客
08-05 606
Shiro权限控制的5个常用权限注解详解!Shiro是一个比较好用的安全框架,虽然还有很多的其他框架也是比较好用的,但是目前使用Shiro来进行安全权限开发的人也还是不在少数的。对于Shiro权限经常用到的5个注解的详细意思大家还是需要了解的。 一、5个控制权限的注解 1.RequiresAuthentication 使用该注解标注的类,实例,方法在访问或调用时,当前Subject必须在当前session中已经过认证;验证用户是否登录,等同于方法subject.isAuthenticated() 结果
Shiro权限控制(三):Shiro注解权限验证
热门推荐
kity9420的专栏
04-10 1万+
一、目标 通过注解方式实现URL的权限验证 二、前言 在前面的一篇博文中《Shiro权限控制之自定义Filter(二)》,我们的权限验证是配置在shiro配置文件中的,即在spring-shiro-web.xml中的ShiroFilterFactoryBean的filterChainDefinitions属性中,如下 <!-- Shiro的web过滤器 --> <...
使用自定义注解AOP管理shiro权限
weixin_34242509的博客
12-18 187
一、场景 在使用shiro框架的时候,遇到了这样的需求:本系统有多个用户,每个用户分配不同角色,每个角色的权限也不一致。比如A用户拥有新闻列表的增删改查权限,而B用户只有查看新闻列表的权限,而没有删除、新增、修改的权限,此时有3种方案:1、不给B用户分配删除、新增、修改的菜单,这样用户就无法点击从而无法操作。2、给B用户分配菜单,后台中进行增删改查操作时都要进行权限验证。 3、给B用户...
shiro学习笔记十二:shiro权限注解
chunlulin2540的博客
08-19 179
一、项目说明 项目环境:jdk1.7+tomcat7+idea2018+maven+shiro1.3.2 源代码github地址:https://github.com/tmAlj/shiro/tree/master/ssms 实现目标:通过使用部分权限注解实现相应的效果,达到对shir...
springboot使用shiro框架实现在controller层加注解来权限控制
weixin_42759398的博客
04-09 1090
2. 配置Shiro的安全管理器和其他必要的组件,比如Realm、CacheManager等。// 从数据库或其他数据源中获取用户的角色和权限信息,并添加到AuthorizationInfo中。以上就是使用Shiro框架在Spring Boot中进行权限控制的基本操作,希望能够对你有所帮助。// 获取用户输入的账号密码。// 模拟数据库中的账号密码。return "用户列表";return "添加用户";return "删除用户";// 获取用户身份信息。// 实现用户认证逻辑。// 实现用户授权逻辑。
模仿shiro接口鉴权,自定义注解+spring aop实现用户访问接口权限校验
Apollo
11-27 1057
目录目的or背景码代码的工具人---is me1. 自定义一个校验权限的注解2. 码好咱们的切面3. 搞个api4. postman测试4.1 看书api4.2 添加书api 目的or背景 shiro有个注解是@RequiresPermissions,接口方法加上这个表示需要有指定权限才能访问,不然提示无权限访问等类似信息,这个吧,有点意思,没玩过,所以就来简单模仿下,自己自定义一个注解,具备指定权限才可调通。 码代码的工具人—is me 接下来就是demo实现 1. 自定义一个校验权限的注解 packa.
Spring Aop +自定义注解实现用户权限控制
小白鼠丶
10-10 964
项目结构: pom.xml:<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/x
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值