SpringBoot+拦截器+自定义注解实现权限控制

原创 已于 2022-08-30 18:18:49 修改 · 1.5k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot

于 2020-09-21 09:56:20 首次发布
本文介绍了一种基于自定义注解的权限控制方案,包括注解定义、使用及权限验证流程。通过创建自定义注解、应用到控制器方法,并借助自定义拦截器完成权限检查。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、创建自定义注解

package com.shenlan.common.annotation;

import java.lang.annotation.*;

/**
 * @author : xukun
 * @date : 2020/9/17
 */

@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Inherited
public @interface RequestAuthority {

    String[] value();
    //所有的权限都满足,默认为false,表示满足一个就可以
    boolean andAuthority() default false;
}

二、在控制器的方法上使用该注解

@PostMapping("/search")
@ResponseBody
@ApiOperation(value = "查询或检索图层列表")
//这些权限只需要满足一个就可以
@RequestAuthority(value = {AuthorityConstant.INDEX_LAYER_QUERY, AuthorityConstant.LAYER_LIST,
        AuthorityConstant.LAYER_QUERY, AuthorityConstant.RELATIONWITHLAYER_QUERY,
        AuthorityConstant.RELATION_QUERY, AuthorityConstant.RELATION_LAYER_QUERY,
        AuthorityConstant.LAYER_APPROVAL_LAYER_LIST, AuthorityConstant.LAYER_APPROVAL_LAYER_QUERY
})
public ResponseData search(@RequestParam(defaultValue = "1") int pageNo,
                           @RequestParam(defaultValue = "10") int pageSize, @RequestBody LayerSearchPO params) {
    PageHelper.startPage(pageNo, pageSize);
    return ResponseDataUtil.buildSuccess(new PageInfo<>(service.list(params)));
}

三、创建自定义拦截器,继承HandlerInterceptorAdapter,重写preHandle方法,那么所有的请求在进入控制器前都会被该方法拦截。我们在这个方法里面进行权限的认证。

/**
 * @author : xukun
 * @date : 2020/9/21
 */
public class SecurityInterceptor extends HandlerInterceptorAdapter {

    @Autowired
    UserInfoService userInfoService;
    
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (!isAuthority(handler)) {
            throw new BDException("没有操作权限");
        }
        return true;
    }

    /**
     * 判断此次请求是否有权限
     *
     * @param handler
     * @return 有权限返回true
     */
    private boolean isAuthority(Object handler) {
        boolean flag = true;
        if (handler instanceof HandlerMethod) {
            //获得请求的方法
            Method method = ((HandlerMethod) handler).getMethod();
            //获得该方法上面的注解,如果没有注解,直接返回true,通过
            RequestAuthority annotation = method.getAnnotation(RequestAuthority.class);
            if (annotation != null) {
                //得到当前登录人的权限,判断请求的权限是否包含在内
                QueryUserAuthRequest request = new QueryUserAuthRequest();
                request.setUserId(UserUtils.getLogInfo().getId());
                request.setAppCode(Long.valueOf(SysConstant.appCode));
                List<String> authorlist;
                try {
                    authorlist = userInfoService.getAuthorByUserId(request).getData();

                } catch (RestTemplateException e) {
                    throw new BDException(e.getMessage());
                }
                //获得注解的值(权限)
                String[] values = annotation.value();
                //是否所有的权限都满足才可以
                boolean andAuthority = annotation.andAuthority();
                if (andAuthority) {//该请求所有的权限都满足才可以
                    flag = containsCheck(Arrays.asList(values), authorlist);
                } else {
                    flag = haveCheck(Arrays.asList(values), authorlist);
                }
            }
        }
        return flag;
    }

    /**
     * 判断权限列表中是否包含给定权限
     *
     * @param targets 给定权限
     * @param sources 权限列表
     * @return 全部包含返回true
     */
    private boolean containsCheck(List<String> targets, List<String> sources) {
        if (targets == null || sources == null || targets.size() > sources.size()) {
            return false;
        }
        for (String target : targets) {
            if (!sources.contains(target)) {
                return false;
            }
        }
        return true;
    }

    /**
     * 判断权限列表中是否有给定权限
     *
     * @param targets 给定权限
     * @param sources 权限列表
     * @return 包含一个返回true
     */
    private boolean haveCheck(List<String> targets, List<String> sources) {
        if (targets == null || sources == null || targets.size() > sources.size()) {
            return false;
        }
        for (String target : targets) {
            if (sources.contains(target)) {
                return true;
            }
        }
        return false;
    } 
}

四、创建配置类,实现WebMvcConfigurer接口,重写addInterceptors方法,添加拦截器。

/**
 * @author xukun
 * @date 2020/7/28
 */
@Configuration
public class StaticConfig implements WebMvcConfigurer {
	/**
	 * 将自定义的拦截器交给Spring容器管理
	 */
    @Bean
    public SecurityInterceptor getSecurityInterceptor() {
        return new SecurityInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
    	//添加自定义的拦截器
        InterceptorRegistration addInterceptor = registry.addInterceptor(getSecurityInterceptor());
        //拦截所有请求
        addInterceptor.addPathPatterns("/**");
    }
}

五、重启项目,进行测试

多味花生
关注
SpringBoot>15 - 自定义注解实现权限控制
cp026la的博客
01-16 1万+
简介: 较原始的项目中使用的是JSP页面标签结合后台方法上注解配合实现权限控制,目前前后端完全分离开发已经是主流模式,大型的项目中可能会用到 shiro 或者 spring security 做安全校验,但是在小型项目中可以使用自定义注解达到权限控制的要求。 误区: 很多人认为权限控制就是控制不同用户在页面上拥有不同的功能(即不同的按钮),这是用户体验范围,这种情况下,只要知道后端地址,还是...
Springboot基于拦截器自定义权限认证讲解
weixin_49297205的博客
08-11 1806
Springboot基于自定义注解拦截器权限控制
springAop+自定义注解实现权限管理
09-14
一个简单的采用自定义注解结合SpringAop实现方法执行的权限管理,这个demo中并没有涉及到与数据库的交互和业务代码,用户权限在登陆时采用简单的手动初始化。该demo用的jdk1.7编译,Spring4.0版本,只想通过这个demo熟悉相关技术,如有不足之处还望各位大佬多多包涵并指出。
Spring Boot 拦截器实战:登录验证、日志记录、权限控制一网打尽!
最新发布
小小菜鸟的博客
06-03 420
本文将带你从零开始掌握 Spring Boot 拦截器的使用,并通过多个实用案例展示其强大之处!
自定义注解+拦截器实现权限管理
weixin_60376559的博客
01-31 1471
自定义注解+拦截器实现权限管理
java自定义注解实现权限控制
zmsister的博客
07-19 1892
这3个生命周期分别对应于Java源文件(.java文件)--->.class文件--->内存中的字节码。source注解只保留在源文件,当Java文件编译成class文件的时候,注解被遗弃;class注解被保留到class文件,但jvm加载class文件时候被遗弃,这是默认的生命周期。runtime注解不仅被保存到class文件中,jvm加载class文件之后,仍然存在。上面定义的是作用于方法的注解,所以我们需要在方法中使用@Permission。@Retention注解的作用。...
springboot实现用户的CRUD和用自定义注解实现接口权限控制最简单的demo
myid6的博客
03-14 377
1. annotation包下的AdminPermission(自定义注解)需要权限的功能在类上加@AdminPermission就可以了。三. Mapper、Service、ServiceImpl。5.JwtInterceptor拦截器。2.用户dto类用于登录功能。省略..........四.自定义注解和控制器。
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
Springboot+Vue+shiro实现前后端分离、权限控制】 在现代Web开发中,前后端分离是一种常见的架构模式,它可以提高开发效率并优化用户体验。Springboot与Vue.js的结合,加上Shiro的安全框架,可以构建出高效、安全...
SpringBoot中使用自定义注解拦截器实现简单的权限控制
云景的博客
03-31 1728
众所周知,作为系统的最后一道防线,对于一些重要操作(crud等),后端默认接收的所有的请求都是“不可信”的,除了确认用户登录状态之外,还要对接收的数据进行一系列的合法性校验等等,即使已经在前端页面对用户输入信息做了一定的限制。因为请求可以伪造,也可能被拦截篡改,即使在正常情况下,用户也可能因为误操作或者恶意行为发送不合法的请求。如果多角色系统的接口不做权限校验的话,那无疑是在“裸奔”,任何一个普通的登录用户都能调用所有的接口。Q:什么是权限控制?A:让特定的用户只能访问特定的资源。
基于自定义注解实现简单的数据权限控制
qq_43159762的博客
11-18 578
基于自定义注解实现简单的数据权限控制 需求: 最近做一个物联网项目,需要使用权限,使每个角色只能操作自己的机器. 前言 1、目前系统拥有3个角色1️⃣:创建者2️⃣管理者3️⃣观察者 权限1⃣️包含2⃣️的所有权限,2⃣️包含3⃣️的所有权限 2、机器与用户为多对多的关系,即一个用户对应多个机器,一个机器对用多个用户. 3、权限表,因为权限简单没有做细分.所以数据库存在userId-roleId-deviceId的关系表. 4、自定义注解一般使用AOP或者过滤器开发,我们这里使用AOP. 开发 1、引入
使用自定义注解实现按钮权限控制【项目】
九七的博客
11-18 523
最近工作中,遇到一个需求,需要将某一个具体按钮收口到某一个人,于是就有了今天的记录。 首先创建自定义注解 /** * @Author yanjun * @Date 2021/11/18 10:12 * 自定义注解 用于实现权限控制 */ @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface AuthorizedLimit { /** * 是否拦截 */ b
自定义注解+AOP实现权限控制
qq_45794852的博客
08-19 377
在实际开发中,我们常常需要对方法进行权限控制,就比如对用户身份的校验,判断其是不是管理员身份,此时我们就可以使用自定义注解+AOP进行权限的校验。接下来我们开始演示一个Demo,管理员能够访问用户和管理员对应的接口,而用户只能访问用户的接口,并且还对登录的用户的用户名和密码进行校验。这样我们就实现了使用自定义注解+AOP实现权限的校验了,只需要在需要进行校验的接口上添加注解即可!自定义@AdminLoginToken注解。用户访问用户页面结果。管理员访问管理员页面。
自定义注解+mybatis拦截器实现权限控制
qq_42059717的博客
02-19 1945
通过自定义注解+mybaits拦截器实现在不更改xml内容的情况下,动态添加权限sql实现权限过滤
springboot拦截器实现管理员权限控制功能
m0_46494630的博客
05-26 2141
思路是这样的,在页面展示中,只显示权限内能使用的功能模块,进入每一个界面都需要拦截器对其进行权限验证,对不能使用的功能使用拦截器进行拦截。 这是主要设计到的三张数据库表格: 这是拦截器: package com.video.handler; import com.video.model.Admin; import com.video.model.User; import com.video.service.AdminLoginService; import org.springfram
使用自定义注解权限控制
灰的博客
07-10 334
一,注解类 package test.annotation; import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; imp...
Spring Boot中使用注解的方式实现数据权限控制
m0_71777195的博客
05-19 1565
** * 数据权限过滤注解 * */@Target(ElementType.METHOD)@Retention(RetentionPolicy.RUNTIME)@Documentedpublic @interface DataScope{/** * 部门表的别名 */ public String deptAlias() default "";/** * 用户表的别名 */ public String userAlias() default "";
如何在项目中自定义注解实现权限数据管理案例
I wanna be myself, where I Belong.
05-15 870
这里的思路很简单,就是根据权限,动态的给你的SQL后边追加过滤条件。创建一个实体类BaseEntity,里边是一个map叫做params,key就是data_scope,value就是要追加的SQL。然后让每个实体类都继承这个BaseEntity,接口参数传入实体类。利用AOP前置通知给map中放一个SQL语句,mapper中用==${params.data_scope}==追加实现功能。} }让所以的实体类继承上边的BaseEntity。
SpringBoot】登录和权限控制拦截器
✈ 正在努力 の 寒江(StudiousTiger) ✌ 呐 ✈
08-12 5067
文章目录一、实现登录功能二、实现权限控制 一、实现登录功能 在springboot实现登录,其实是和web以及springmvc阶段是一样的,下面,我们简单的聊一聊springboot中的登录。 第一步:编写前端页面: <!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="UTF-8"> <title&g
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值