springMVC springBoot shiro 自定义shiro授权注解,自定义授权解析器

于 2020-10-22 11:14:21 发布
阅读量798 收藏 2
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Spring springboot java 文章标签: springmvc shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Alonme/article/details/109216116
本文介绍了如何通过扩展Shiro的注解功能,创建自定义授权注解`@DefaultPermission`,结合MVC注解`@MController`,实现更灵活的CRUD权限控制。子类可以重写通用接口,指定业务类别的权限需求。同时,自定义的`DefaultAuthorizationAttributeSourceAdvisor`和`DefaultPermissionAnnotationAopInterceptor`处理类确保了自定义注解的正确解析和授权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  shiro支持注解式的授权控制,共有5个:

  • @RequiresAuthentication
    当前 Subject 已经通过 login 进行了身份验证;即 Subject.isAuthenticated() 返回 true。
  • @RequiresUser
    当前 Subject 已经身份验证或者通过记住我登录的。
  • @RequiresGuest
    当前 Subject 没有身份验证或通过记住我登录过,即是游客身份。
  • @RequiresRoles
    当前 Subject 需要的角色。
  • @RequiresPermissions
    当前 Subject 需要的权限
    但这些不满足当前的一些需求。父controller有方法权限的通用规则(CRUD),子类规定具体业务(的CRUD),即类似**@RequestMapping**的拼接。查看shiro源码看看他是如何实现注解解析的,决定自行解决
/**
 * 自定义shiro授权注解
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DefaultPermission {
    String value();
}

/**
 * 自定义MVC注解
 * 用以配合自定义shiro注解使用(@DefaultPermission )
 */
@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
@Documented
@RestController
@RequestMapping
public @interface MController {
    @AliasFor(annotation = RequestMapping.class)
    String[] value() default {};
    //排除需要生成的API,加上后该业务将不再生成其中的API。
    DefaultMethod[] excludeMethod() default {};
    //排除需要授权的API,加上后该方法将不再需要授权。
    DefaultMethod[] excludePermission() default {};
}

/**
 * controller的默认对外API方法名
 */
public enum DefaultMethod {
    ALL("all"),
    PAGE("defaultPage"),
    LIST("defaultList"),
    DETAIL("defaultDetail"),
    UPDATE("defaultUpdate"),
    DEL("defaultDel"),
    DELS("defaultDels"),
    DELETE("defaultDelete"),
    DELETES("defaultDeletes");
    private String methodName;
    DefaultMethod(String methodName) {
        this.methodName=methodName;
    }
    public String getMethodName(){
        return this.methodName;
    }
    public static DefaultMethod getEnum(String methodName){
        for(DefaultMethod enm:DefaultMethod.values()){
            if (enm.getMethodName().equals(methodName))return enm;
        }
        return null;
    }
}

public class BaseController<T extends BaseService,M extends BaseModel> {
    @Autowired
    protected T service;
    /**
     * 默认对外接口
     * @param modelMap
     * @param param
     * @return
     */
    @ApiOperation("分页查询")
    @GetMapping("/page")
    @DefaultPermission(":read")
    public Object defaultPage(ModelMap modelMap, @RequestParam Map<String, Object> param) {
    	//业务增强,子类注入的service可重写【beforePage】方法实现查询参数的处理功能
        service.beforePage(param);
        //同样可重写【pageHandler】方法,可对查询后的结果进行增强处理。
        //【getPage】方法传入两个参数,第一个为查询条件;第二个为【Consumer】可遍历处理查询后的结果集
        return setSuccessModelMap(modelMap, service.getPage(param,service.pageHandler()));
    }
    ... ...
}



/**
 * 自定义shiro注解授权处理类
 */
public class DefaultAuthorizationAttributeSourceAdvisor extends AuthorizationAttributeSourceAdvisor{
    private static final Class<? extends Annotation>[] AUTHZ_ANNOTATION_CLASSES =
            new Class[] {
            		//注入自定义注解
                    DefaultPermission.class,
                    RequiresPermissions.class, RequiresRoles.class,
                    RequiresUser.class, RequiresGuest.class, RequiresAuthentication.class
            };

    public DefaultAuthorizationAttributeSourceAdvisor() {
        setAdvice(new DefaultPermissionAnnotationAopInterceptor());
    }

    @Override
    public boolean matches(Method method, Class targetClass) {
        Method m = method;
        if ( isAuthzAnnotationPresent(m) ) {
            return true;
        }
        if ( targetClass != null) {
            try {
                m = targetClass.getMethod(m.getName(), m.getParameterTypes());
                return isAuthzAnnotationPresent(m) || isAuthzAnnotationPresent(targetClass);
            } catch (NoSuchMethodException ignored) {

            }
        }

        return false;
    }

    private boolean isAuthzAnnotationPresent(Class<?> targetClazz) {
        for( Class<? extends Annotation> annClass : AUTHZ_ANNOTATION_CLASSES ) {
            Annotation a = AnnotationUtils.findAnnotation(targetClazz, annClass);
            if ( a != null ) {
                return true;
            }
        }
        return false;
    }

    private boolean isAuthzAnnotationPresent(Method method) {
        for( Class<? extends Annotation> annClass : AUTHZ_ANNOTATION_CLASSES ) {
            Annotation a = AnnotationUtils.findAnnotation(method, annClass);
            if ( a != null ) {
                return true;
            }
        }
        return false;
    }
}

/**
 * 自定义shiro的AOP拦截器
 * 用以注入自定义的授权拦截器
 */
public class DefaultPermissionAnnotationAopInterceptor extends AopAllianceAnnotationsAuthorizingMethodInterceptor {
    public DefaultPermissionAnnotationAopInterceptor() {
		//注入原注解授权拦截器
        super();
        //注入自定义注解授权拦截器
        this.methodInterceptors.add(new DefaultPermissionAnnotationMethodInterceptor());
    }
}


/**
 * 自定义注解授权拦截器
 */
public class DefaultPermissionAnnotationMethodInterceptor extends AuthorizingAnnotationMethodInterceptor {
    public DefaultPermissionAnnotationMethodInterceptor() {
    	//注入自定义注解授权处理器
        super(new DefaultPermissionAnnotationHandler());
    }

    public void assertAuthorized(MethodInvocation mi) throws AuthorizationException {
        try {
        	//因为需要方法所在的类,就直接在拦截器处理了授权认证了
        	//自定义注解授权处理逻辑
            Annotation typeAnnotation=getAnnotation(mi);
            if (!(typeAnnotation instanceof DefaultPermission)) return;
            MController annotation= mi.getThis().getClass().getAnnotation(MController.class);
            if(annotation!=null){
                String method=mi.getMethod().getName();
                List<DefaultMethod> excludePermission=Arrays.asList(annotation.excludePermission());
                if(excludePermission.contains(DefaultMethod.ALL))return;
                if(!excludePermission.contains(DefaultMethod.getEnum(method))){
                    DefaultPermission a=(DefaultPermission)typeAnnotation;
                    String base= Stream.of(annotation.value()).collect(Collectors.joining()).substring(1);
                    ((DefaultPermissionAnnotationHandler)getHandler()).assertAuthorized(base+a.value());
                }
            }
        }catch(AuthorizationException ae) {
            if (ae.getCause() == null) ae.initCause(new AuthorizationException("Not authorized to invoke method: " + mi.getMethod()));
            throw ae;
        }
    }
}


/**
 * 自定义注解授权处理器
 * 授权逻辑已在拦截器,这里直接复制父类逻辑即可
 */
public class DefaultPermissionAnnotationHandler extends AuthorizingAnnotationHandler{
    public DefaultPermissionAnnotationHandler() {
        super(DefaultPermission.class);
    }

    public void assertAuthorized(String permission) throws AuthorizationException {
        this.getSubject().checkPermission(permission);
    }

    @Override
    public void assertAuthorized(Annotation a) throws AuthorizationException {

    }
}
//shiro启用注解授权,并注入自定义的注解授权处理类
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
    AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new DefaultAuthorizationAttributeSourceAdvisor();
    authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
    return authorizationAttributeSourceAdvisor;
}

/**
 * 案例controller
 * 会自动生成”/address/page“API,并且访问该API需要”address:read“权限
*/
@MController("/address")
public class AddressController extends BaseController<AddressService, Address> {
}

  这样可在父类创建通用的对外接口,以及接口的基础访问权限。子类只需规定业务类别即可。有自定义的业务可重写相应的增强方法。

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值