SpringBoot 1.13 前端用户权限控制

最新推荐文章于 2025-03-08 12:18:40 发布
最新推荐文章于 2025-03-08 12:18:40 发布
阅读量514 收藏
点赞数
分类专栏: java 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u012474395/article/details/104419227
版权
本文详细介绍了在用户登录成功后如何将用户信息保存至session并进行权限验证的过程。包括用户授权实现,通过MD5加密密码比对确保安全性,以及使用SpringBoot过滤器对会话进行验证和路径权限检查。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.13 前端用户权限

在用户登陆成功后将用户信息保存到session中,并在后续的访问过程中进行验证以及有针对用户和功能的权限过滤。

  • (1) 用户授权

@ApiOperation(value = "登录接口", notes = "用户登录接口,登录之后才可访问其他接口")
@RequestMapping(value = "/login",method = RequestMethod.POST)
public ResponseData login(UserLoginVo userLoginVo, HttpSession session) {
    String username = userLoginVo.getUsername();
    String password = userLoginVo.getPassword();
    SysUser sysUser = sysUserService.findByKeyword(username);

    if (StringUtils.isBlank(username)) {
        return ResponseData.errorMessage("用户名不能为空");
    } else if (StringUtils.isBlank(password)) {
        return ResponseData.errorMessage("登陆密码不能为空");
    } else if (sysUser == null) {
        return ResponseData.errorMessage("查询不到指定用户");
    } else if (!sysUser.getPassword().equals(MD5Util.encode(password))) {
        return ResponseData.errorMessage("用户名或密码错误");
    } else if (sysUser.getState() != 1) {
        return ResponseData.errorMessage("用户已被冻结,请联系管理员");
    } else {    // LOGIN SUCCESS
        List<SysRole> roles = sysRoleUserService.getRoleListByUserId(sysUser.getId());
        List<SysAcl> acls = sysCoreService.getAclListByUserId(sysUser.getId());
        List<SysAcl> deniedAcls = sysCoreService.getDeniedAclListByUserId(sysUser.getId());
        UserVo userVo = new UserVo();
        BeanUtils.copyProperties(sysUser, userVo);

        userVo.setRoles(roles);
        userVo.setAcls(acls);
        userVo.setDeniedAcls(deniedAcls);

        session.setAttribute("user", userVo);
    }
    Map<String, String> tokenMap = new HashMap<String,String>();
    tokenMap.put("token", session.getId());
    tokenMap.put("userId", sysUser.getId());
    return ResponseData.success(tokenMap);
}
  • (2) 安全过滤
    SpringBoot使用过滤器验证当前会话是否已经登陆过,并针对要访问的路径进行权限验证。

package com.zone7.admin.config.filter;

import com.alibaba.fastjson.JSON;
import com.google.common.collect.Sets;
import com.zone7.admin.commons.response.ResponseCode;
import com.zone7.admin.commons.response.ResponseData;
import com.zone7.admin.sys.common.RequestHolder;
import com.zone7.admin.sys.pojo.SysAcl;
import com.zone7.admin.sys.vo.UserVo;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.List;
import java.util.Set;

/**
 * RequestFilter
 * 请求过滤器
 * 安全认证
 * @author: zone7
 * @time: 2019.02.19
 */
@WebFilter(filterName = "RequestFilter", urlPatterns = "/*")
public class RequestFilter implements Filter {

    private static Set<String> URL_WHITE_LIST = Sets.newHashSet();

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        //忽略不过旅的路径
        URL_WHITE_LIST.add("/unauth");
        URL_WHITE_LIST.add("/login");
        URL_WHITE_LIST.add("/static");
        URL_WHITE_LIST.add("/actuator");
    }

    private boolean isWhiteUrl(String requestUrl){
        if (URL_WHITE_LIST.contains(requestUrl)){
            return true;
        }
        for(String str:URL_WHITE_LIST){

            if(requestUrl.startsWith(str)){
                return true;
            }

        }

        return false;
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String requestUrl = request.getRequestURI();
        if (isWhiteUrl(requestUrl)) {
            filterChain.doFilter(servletRequest, servletResponse);
            return;
        }
        UserVo userVo = (UserVo) request.getSession().getAttribute("user");
        if (userVo == null) {
            request.getRequestDispatcher("/unauth").forward(request, response);
            return;
        }

        RequestHolder.add(userVo);
        RequestHolder.add(request);

        //如果有配置按钮权限,就验证,没有配置表示可以使用
        //DeniedAcls为禁用的权限列表
        List<SysAcl> acls = userVo.getDeniedAcls();
        boolean hasPower=true;
        for(SysAcl acl:acls){
            if(acl.getUrl().equals(requestUrl) || ("/"+acl.getUrl()).equals(requestUrl)){
                hasPower = false;
                break;
            }
        }

        if(!hasPower){
            ResponseData res = ResponseData.error(ResponseCode.ERROR_LOGIN_NOAUTH_ACL);
            String json = JSON.toJSONString(res);
            response.setCharacterEncoding("UTF-8");
            response.setHeader("Content-type","application/json");
            response.getWriter().println(json);
            response.getWriter().flush();
            return;

        }

        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {

    }
}
SpringBoot 集成 SpringSecurity 配置访问权限
m0_50163856的博客
02-23 688
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>
基于spring boot + MybatisPlus 商城管理系统的Java开源商城系统
m0_61926406的博客
12-22 844
基于spring boot + MybatisPlus 商城管理系统的Java开源商城系统
SpringBoot 安全框架 SpringSecurity 实战教程:从登录认证到权限控制
最新发布
梵心白莲的博客
03-08 979
在现代 Web 应用开发中,安全性是至关重要的一环。Spring Boot 作为一款流行的 Java 开发框架,为开发者提供了便捷的开发体验。而 Spring Security 则是 Spring 生态系统中专门用于提供安全服务的框架,它可以帮助开发者轻松实现用户认证和权限控制等功能。本文将通过实战教程的方式,详细介绍如何在 Spring Boot 项目中使用 Spring Security 实现从登录认证到权限控制的完整流程。
详解VUE前端按钮权限控制
10-17
主要介绍了VUE前端按钮权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot 权限控制(菜单控制,页面元素控制,url控制)
04-13
基于RBAC思想的权限控制,可先建立完整的库,也可以使用使用代码生成,包中提供两种方式, 代码先后顺序 菜单控制----》元素控制-------》url控制
一个炫酷的 springboot 后台模板,有菜单,权限,用户 管理的基本功能
09-21
一个后台管理系统,包含有菜单管理,比如新增、删除、修改菜单,同理有权限,用户多角色管理,多样报表,饼图,线形图,柱形图等 ,还有登录校验,当天登录次数过多限制,ip登录过多限制。等基本功能。后续可根据业务需求扩展。
2021-02-26~27~28 大数据课程笔记 day37day38day39
qq_44745905的博客
02-28 3721
@R星校长 音乐数据中心平台 1.1 数据库与ER建模 1.1.1 数据库(DataBase) 数据库是按照数据结构来组织、存储和管理数据的仓库,是一个长期存储在计算机内的、有组织的、可共享的、统一管理的大量数据的集合。 数据库是以一定方式储存在一起、能与多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合,可视为电子化的文件柜,存储电子文件的处所,用户可以对文件中的数据进行新增、查询、更新、删除等操作,数据组织主要是面向事务处理任务。 1.1.2 数据库三范式 关系型数据库设计时,遵照一定的.
vulhub之Spring
追风少年亚索的博客
11-01 739
免责声明: 本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。
教室资源管理系统-课程设计报告
青竹小轩的博客
06-30 1481
基于IDEA 2023开发实现的教室资源管理系统是一个集成了多媒体教室管理、设备管理、多媒体教室申请、教学与设备信息查询等功能的综合性管理信息系统。在本系统的开发过程中,注重新技术、新工具的使用。以Windows 11为操作平台,以IDEA 2023为开发工具,选取MySQL为数据库,采用前后端不分离应用模式,按照软件工程的方法进行开发。Springboot框架和Java技术的应用,使得系统的结构清晰、安全、方便及实用,具有良好的可扩展性、可维护性以及平台无关性,并大大提高了整个软件系统的性能。
视频教程-用Java从零开始开发一个物联网项目-物联网技术
weixin_33297981的博客
05-28 5051
Java从零开始开发一个物联网项目 多年的产品设计和开发经验,带领团队完成...
前端如何控制权限_前端实战——技术篇(三、开发相关): 权限管理_手把手教网络安全技巧
程序员三九的博客
05-11 1941
在我们开发任何一个系统时都会涉及到权限的问题,或简单或复杂需要基于业务需求而定。在中后台系统中,特别是比如ERP系统中,权限的设计尤为重要。
管理员访客身份登录用户账户,java web/springboot/mybatis实现只能看用户信息但不允许修改
qq_41633199的博客
09-30 1863
上线的项目,不可避免的会遇见用户提出的bug,这时候我们可能需要去用户的页面重现用户所说的Bug,为了安全,最好进入用户页面的时候不能修改用户的数据,只能查看。 对于上述需求实现的方法有多种: 1:根据ajax请求方式来进行拦截,如果ajax请求方式不是get请求,则在filter或者aop中拦截掉,这种方法实现起来最简单,能较好的在分布式系统发挥工作,但是要求接口必须是restful风格。 2:在操作dao之前进行拦截,在进行数据库操作之前如果检测到当前的用户只允许查看,则抛异常进行拦截,下面.
Cannot invoke “org.springframework.web.servlet.mvc.condition.PatternsRequestCondition.getPatterns()“
热门推荐
qq_21480329的博客
06-04 1万+
spring boot 2.7.0与swagger 3.0整合异常解决
springboot整合SpringSecurity并实现简单权限控制
听钱塘信来的博客
11-28 7200
springboot整合SpringSecurity并实现简单权限控制
SpringBoot 配置篇 - 加载指定YML文件
小蜜蜂的博客
11-26 5160
SpringBoot 加载自定义YML文件 最近工作中需要用到Security,在踩坑的过程中因为重写了AccessDecisionManager,所以想效仿原版实现security_whitelist.properties将白名单列表从主yml文件中分离出来。 在之前学习的@PropertySource 读取指定配置文件的文章中我们了解到使用PropertySource可以指定配置文件类去加载指定的properties文件,关于properties的配置可以参考一下这篇文章,本文将讲述yml的踩坑过程。
页面/按钮 - 权限控制前端
m0_53149377的博客
03-13 3635
权限控制
Vue 前端页面按钮权限控制
wjswangjinsheng的博客
07-23 1万+
前言 按钮权限控制的功能其实在前面的一篇的页面权限管理也包含有这个功能,但是没有凸显出来,所以现在单独写一篇文章用来记录一下 一、什么是按钮权限控制? 刚刚做完了一个后台管理系统,有用到按钮权限控制,所以记录一下。按钮权限控制就是说对于不同的用户,可操作的按钮是不一样的,比如有些按钮有些用户是看不见,有些用户是可以看得见的。应用场景:用户A能看得到‘新增’按钮,而用户B是看不到‘新增’按钮的 二、使用步骤 按钮权限控制,我知道的有两种解决方案:1.定义一个全局方法,配合v-if实现(下面会介绍);2.使用
springboot 实现权限管理(一)
qq_44654974的博客
01-22 1万+
一、背景 1、 为什么进行权限管理? 生活在形形色色的世界之中,我们各自扮演着各自的角色,拥有不同的权利和义务。映射在计算机系统之中,也一样需要 角色、权限 来进行对用户的分类,限制访问资源,保证资源地合理被使用,使人各司其职。 2、应用场景 假设 管理员可以对用户进行CRUD的管理,而普通用户往往只拥有对资源的查看,无法进行删除等高级权限。 3、SpringBoot实现主要的方式 (1)采用注解+拦截器 (2)Shiro框架 (3)Spring Security 4、重点理解 (1)理解用户、角色、权限
TwinCAT3运动控制教程1.13:模块化自动化软件详解
TwinCAT3运动控制教程V1.13是由毕孚自动化设备贸易(上海)有限公司于2019年4月发布的一份详尽教程,着重介绍了倍福公司开发的基于PC的控制软件TwinCAT3。该软件标志着倍福历史上的一个重大突破,以其模块化设计和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zone 7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值