自定义注解+拦截器实现用户鉴权

原创 已于 2025-08-29 09:02:57 修改 · 228 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #后端 #spring boot

于 2023-08-29 23:36:37 首次发布
文章讲述了如何在SpringBoot项目中配置拦截器,包括InterceptorConfig中注册全局拦截器,AuthInterceptor的preHandle方法进行token验证,以及自定义注解VerifyAdminToken的应用。还提到处理跨域请求时的类型转换问题和拦截器执行顺序。

拦截器

注册拦截器

InterceptorConfig.java
package com.example.springboot.sercurity;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Component
public class InterceptorConfig implements WebMvcConfigurer {
    @Autowired
    private AuthInterceptor authInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 拦截所有请求
		registry.addInterceptor(authInterceptor).addPathPatterns("/api/**");
    }

}

拦截器执行过程

  1. 1.preHandle
  2. 2.执行处理器逻辑(return前的语句)
  3. 3.postHandle
  4. 4.视图解析和试图渲染(return的页面)
  5. 5.afterCompletion

自定义拦截器

AuthInterceptor.java
package com.example.springboot.sercurity;

import com.example.springboot.service.UserService;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import java.lang.reflect.Method;

@Component
public class AuthInterceptor implements HandlerInterceptor {
    @Autowired
    private UserService userService;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception{
        // 获取token
        String token = request.getHeader("token");
         //如果不是映射到Controller直接放行
		//如果没有这句类型判断,当处理跨域请求时,类型转换会报错
        if(!(object instanceof HandlerMethod handlerMethod)){
            return true;
        }
        // 检查是否需要验证token
        Method method = handlerMethod.getMethod();
        //是否存在VerifyAdminToken注解,这个注解后文会说明
        if(method.isAnnotationPresent(VerifyAdminToken.class)){
            // 获取注解,验证token是否符合注解要求
            String str = checkToken(method.getAnnotation(VerifyAdminToken.class),token);
            if(!StringUtils.isEmpty(str)) throw new RuntimeException(str);
            return true;
        }
        return true;
    }

    // 检验token
    public String checkToken(VerifyAdminToken loginToken,String token){
        if(loginToken.required()){
            if(token == null)return "该请求没有token,请先获取token";
            if(userService.GetUserByToken(token)==null)return "未找到持有该token的用户";
            if(userService.GetUserByToken(token).getLevel()>=loginToken.level()){// token用户等级大于有效,判断是否要刷新令牌
                return null;
            }else{
                return "无效令牌";
            }
        }
        return null;
    }
}

代码中的

        if(!(object instanceof HandlerMethod handlerMethod)){
            return true;
        }
        // 检查是否需要验证token
        Method method = handlerMethod.getMethod();

原本是这句
HandlerMethod handlerMethod = (HandlerMethod)object;
跨域请求就会类型转换错误

java.lang.ClassCastException: class org.springframework.web.servlet.handler.AbstractHandlerMapping$PreFlightHandler cannot be cast to class org.springframework.web.method.HandlerMethod (org.springframework.web.servlet.handler.AbstractHandlerMapping$PreFlightHandler and org.springframework.web.method.HandlerMethod are in unnamed module of loader 'app')

当加入@CrossOrigin后,传到拦截器的object类型改变

多个拦截器的顺序

处理器前方法先注册先执行,处理器后方法和完成方法先注册后执行。若返回false,后续的处理器后方法和目标方法都不会执行,完成方法只执行返回true的拦截器的完成方法,而且顺序是先注册后执行。

自定义注解

注解(Annotation)是 Java 语言中的一个特性,用于为程序元素(类、方法、成员变量等)添加额外的信息,提供元数据。注解本身并不提供实际的逻辑功能,而是为其他工具或框架提供信息。

这是一个自定义注解 VerifyAdminToken,用于标识需要进行管理员令牌验证的类或方法。

VerifyAdminToken.java
package com.example.springboot.sercurity;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target({ElementType.METHOD,ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface VerifyAdminToken {
    boolean required() default true;
    int level() default 6;
}

@Target({ElementType.METHOD, ElementType.TYPE}) 表示这个注解可以标注在方法和类上。
@Retention(RetentionPolicy.RUNTIME) 表示这个注解将被保留到运行时。这样,在运行时可以通过反射获取到这个注解的信息。

boolean required() default true; 定义了一个必需的属性 required,默认值为 true。表示是否需要进行管理员令牌验证。
int level() default 6; 定义了一个可选的属性 level,默认值为 6。表示验证的级别。

通过method.getAnnotation(VerifyAdminToken.class)获取到对象的注解

拦截器拦截请求并跳入处理函数中,处理函数获取请求方法上的注解并处理

自定义注解加 AOP 实现服务接口以及内部认证
qq_64948664的博客
10-01 2019
1.定义注解:使用@interface关键字定义注解。2.注解元素:在注解中定义元素,就像在接口中定义方法。3.元注解:使用元注解(如@Retention、@Target等)来描述注解的行为。1. 定义注解可以使用@interface关键字来定义一个注解。在上面的例子中, MyAnnotation 注解有两个元素: value 和 number。其中, number 有一个默认值 0。2. 元注解注解注解注解,用来描述注解本身的行为。
Spring Boot中使用注解拦截器实现通用校验器和基于角色的注解
J老熊
09-20 1591
通过使用Spring Boot注解拦截器,我们可以优雅地实现通用校验器和灵活的限控制。本文将以电商交易系统为案例,详细讲解如何在Spring Boot实现支持角色入参的限校验器,以及如何通过注解拦截器实现通用校验器,提供高拓展性和可维护性的解决方案。
Spring 拦截器——HandlerInterceptor
东方一号蓝的博客
09-23 712
介绍Spring拦截器——HandlerInterceptor的简单使用。采用注解的方式。
Spring】使用自定义注解方式实现AOP
像风走过八千里
08-26 1464
AOP,是一种面向切面编程,可以通过预编译方式和运行期间动态代理实现程序功能的统一维护的一种技术。在软件开发中,(Authentication)是一项非常重要的安全措施,用于验证用户身份和限。在应用程序中,我们通常会使用AOP(Aspect-Oriented Programming)来实现功能,以便在需要进行的地方进行统一的处理。一种常用的实现AOP的方式是使用自定义注解
RuoYi-Vue-Plus (SaToken 注解)
javaxueba的博客
04-22 3330
请注意:此注解的忽略效果只针对 SaInterceptor拦截器 和 AOP注解 生效,对自定义拦截器与过滤器不生效。2- SaManager.getStpLogic(checkLogin.type(), false) 获取到。策略类中 SaManager.getStpLogic(checkLogin.type(), false)实现类位置: cn.dev33.satoken.interceptor.SaInterceptor。调用了checkByAnnotation 方法,进行匹配角色:如下。
方法:基于 Spring Aop 的注解
程序吟游的博客
02-22 4998
限标识如:"business:project:list" 保存在菜单表,用户表与菜单表关联。如果自定义注解中的参数值@RequiresPermissions("business:project:list") 存在于当前用户所拥有的限中,则该允许访问该方法,否则拒绝。这通常涉及到定义一个切面(Aspect),该切面会在方法执行前进行拦截,并根据注解value值来决定是否允许执行该方法。然后,你需要定义一个切面,该切面会拦截带有 @RequiresPermissions 注解的方法。
注解实现接口和防刷限制
weixin_42202992的博客
12-26 655
注解实现接口和防刷限制
SpringBoot AOP各种注解自定义注解使用案例(免费下载)
02-24
例如,创建一个名为`@Cacheable`的自定义注解,用于缓存方法的返回结果: ```java @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface Cacheable { String cacheName() default ...
springmvc用于方法注解拦截器的解决方案代码
08-28
本篇文章将深入探讨如何使用注解拦截器实现这一功能,避免在每个需要的方法中重复编写校验代码。 首先,我们需要创建一个自定义注解,例如名为`@Auth`的注解,它将用于标记需要的方法或类。这个注解使用...
(WebFlux)001、如何自定义注解实现功能
编号94530
07-24 814
尝试新东西的时候是一个不断探索,学习的过程。多看,多搜,多学。
Spring mvc项目自定义注解实现拦截器和aop实现日志打印
qq_43290655的博客
08-15 2930
Spring mvc项目自定义注解实现拦截器和aop实现日志打印
自定义注解(AOP、拦截器
qq_22858799的博客
09-15 2666
Slf4j@Component@Aspect/*** 定义切点*//*** 环绕通知* @return*/log.info("请求链接:{}", httpServletRequest.getRequestURL().toString());log.info("请求类型:{}", httpServletRequest.getMethod());
Java后端接口调用拦截处理:注解拦截器实现
最新发布
qq_45351273的博客
04-28 1392
拦截器(Interceptor)是Spring MVC框架提供的功能,能够在请求到达控制器之前或之后执行特定逻辑。它适合用于全局范围的拦截操作,例如统一的日志记录、Token校验、限验证等。通过实现接口,可以定义拦截器的具体逻辑。@Component@Override// 获取请求头中的Token// 阻止请求继续执行// 校验Token有效性if (!// 阻止请求继续执行// 更新Token状态// 放行请求// 简单模拟Token校验逻辑。
java拦截器 (含自定义注解)
Refain的博客
01-29 396
java三大利器:过滤器、监听器、拦截器 Springboot 拦截器配置(登录拦截): 第一步:编写拦截器实现类,实现接口 HandlerInterceptor, 重写里面需要的三个比较常用的方法,实现自己的业务逻辑代码 (就是自己拦截器拦截什么处理) package com.*.*.interceptor; import java.io.IOException; import javax.servlet.http.HttpServletRequest; import ..
springboot项目jwt认证(企业级实现方案)
qq_45443475的博客
03-15 915
Resource@Override// 从 http 请求头中取出 token// 如果不是映射到方法直接通过if(!//检查是否有passtoken注释,有则跳过认证logger.info("=====pass token 跳过token 拦截=====");// 执行认证logger.info("请求路径:" + httpServletRequest.getRequestURI());
Java中如何创建自定义注解
IT老兵的驿站
04-24 3310
前言 关于Java注解,我一直在用,没有太搞明白它的原理,至于如何自定义一个注解,就更不明白了。其实参考的这篇文章,之前看过一遍,当时以为看懂了,但是最近在工作中去印证的时候,发现对注解还是不理解,所以这两天又再看了一遍,感觉这下又懂了一些。 本文针对着原文的段落进行备注和记录笔记。 正文 This comprehensive look at annotations in Java ...
Spring Boot 实战指南(五):自定义注解拦截器
TracyCoder的博客
07-04 2747
自定义注解Java语言提供的一种元编程(metaprogramming)机制,它允许开发者在代码中添加自己的元数据(metadata),以便在程序运行时进行解析和处理。通过注解我们可以免去繁琐的配置过程,简化开发流程,可以解决很多实际开发过程中的痛点、难点,让我们可以提出更多更合理的非侵入式解决方案。以下是一些使用自定义注解的原因和好处:提供额外的元数据:自定义注解可以通过在源代码中添加额外的元数据,用于描述类、方法、字段等程序元素的特性和属性。
自定义注解+拦截器实现限控制
2301_82242670的博客
04-08 303
一次偶然,从朋友那里得到一份“java高分面试指南”,里面涵盖了25个分类的面试题以及详细的解析:JavaOOP、Java集合/泛型、Java中的IO与NIO、Java反射、Java序列化、Java注解、多线程&并发、JVM、Mysql、Redis、Memcached、MongoDB、SpringSpring BootSpring Cloud、RabbitMQ、Dubbo 、MyBatis 、ZooKeeper 、数据结构、算法、Elasticsearch 、Kafka 、微服务、Linux。
自定义注解+拦截器实现,对部分敏感字段的加解密
CuiGongZi的博客
08-22 1078
*** 敏感信息类注解*/@Inherited/*** 敏感字段注解*/@Inherited。
请帮我找一个Spring Security + JWT实现用户的git项目源码
03-20
<think>好的,我现在需要帮助用户找到一个使用Spring Security和JWT实现用户的Git项目源码。首先,我应该回顾用户提供的引用内容,看看是否有相关的资源或项目可以推荐。引用1到3都是关于Spring Security和JWT的教程和配置示例,其中引用3提到了一篇优快云的文章,里面可能有项目源码链接。 接下来,我需要考虑用户可能需要具体的Git仓库,而不仅仅是教程。因此,我应该回忆一些常见的开源项目或者GitHub上受欢迎的相关仓库。例如,GitHub上有很多使用Spring BootSpring Security和JWT实现认证和授的示例项目。我需要确保推荐的仓库是活跃的、有详细的文档,并且代码结构清晰,方便用户学习。 另外,用户可能希望这些项目包含用户认证(比如登录、注册)以及基于JWT的机制。因此,我需要过滤那些涵盖这些功能的项目。可能的关键词包括“Spring Security JWT example”、“Spring Boot JWT authentication”等。GitHub的搜索功能可以帮助找到这些项目,但作为回答,我需要直接提供具体的仓库链接。 还要注意检查这些仓库的更新日期,确保它们使用的是较新的Spring Security版本,避免推荐过时的代码,因为Spring Security的配置在不同版本间可能有变化。例如,引用2中的配置使用了application.properties中的JWT参数,这可能对应特定的项目结构。 此外,引用3中的优快云文章可能有配套的Git仓库链接,用户可能需要注册或登录才能查看,但通常这类教程会提供源码地址。因此,在回答中提及该文章并建议用户查看其中的源码部分是有帮助的。 最后,需要确保回答的结构清晰,分点列出推荐的资源,并简要说明每个资源的特点,帮助用户选择最适合他们需求的。同时,按照用户的要求,回答需要使用中文,并且正确使用LaTeX格式(虽然在这个问题中可能用不到数学公式,但需要遵循系统级指令中的格式要求)。 总结步骤: 1. 分析用户需求:寻找使用Spring Security和JWT的Git项目源码。 2. 回顾提供的引用,寻找可能的源码链接或相关项目。 3. 利用已知资源,推荐GitHub上的热门仓库,确保项目质量和活跃度。 4. 提供优快云文章中的项目参考,补充可能的源码来源。 5. 结构化回答,分点列出每个推荐资源,并简要描述其内容。 6. 检查是否符合格式要求,如中文回答、正确引用标识等。</think>以下是推荐的Spring Security与JWT实现用户的Git项目源码及相关资源: ### 1. **Spring Security + JWT官方指南示例** - **项目地址**: [spring-security-jwt-guide](https://github.com/Snailclimb/spring-security-jwt-guide) 此项目详细展示了Spring Boot整合Spring Security和JWT的完整流程,包含用户注册、登录、限控制。代码结构清晰,注释丰富,适合快速上手[^1]。 ### 2. **JWT与Spring Security集成模板** - **项目地址**: [spring-boot-jwt](https://github.com/szerhusenBC/jwt-spring-security-demo) 该项目实现了基于角色的限验证(如`ROLE_ADMIN`和`ROLE_USER`),使用`JJWT`库生成和解析JWT,配置了安全过滤链和自定义用户详情服务[^2]。 ### 3. **企业级实战案例** - **项目地址**: [spring-boot-security-jwt](https://github.com/koushikkothagal/spring-security-jwt) 包含OAuth2与JWT结合方案,支持数据库存储用户信息(如MySQL),并演示了如何通过`@PreAuthorize`注解实现方法级限控制[^3]。 ### 4. **中文教程配套源码** - **参考文章**: [Springboot+Spring Security+JWT实现登录校验](https://blog.youkuaiyun.com/qq_33612228/article/details/108853525) 此优快云文章的配套源码(通常位于文章末尾)提供了从JWT生成到Spring Security拦截器的完整实现,适合中文开发者阅读[^3]。 --- ### 关键实现步骤概述 1. **依赖配置**:在`pom.xml`中添加`spring-security-core`和`jjwt`依赖。 2. **JWT工具类**:实现生成Token、解析Token和验证Token的方法,例如: ```java public String generateToken(UserDetails userDetails) { return Jwts.builder() .setSubject(userDetails.getUsername()) .setExpiration(new Date(System.currentTimeMillis() + jwtExpiration)) .signWith(SignatureAlgorithm.HS512, jwtSecret) .compact(); } ``` 3. **自定义过滤器**:继承`OncePerRequestFilter`,在`doFilterInternal`中解析请求头的JWT并设置认证信息到`SecurityContextHolder`。 4. **安全配置**:通过`WebSecurityConfigurerAdapter`配置放行登录接口,其他接口需: ```java @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated() .and() .addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class); } ``` ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值