Spring AOP校验权限

已于 2025-02-20 22:01:00 修改
阅读量558 收藏 10
点赞数 5
CC 4.0 BY-SA版权
文章标签: spring java 后端
于 2025-02-20 22:00:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xundefined/article/details/145764400

权限校验是一个比较通用的业务需求,一般会通过 Spring AOP 切面 + 自定义权限校验注解 实现统一的接口拦截和权限校验;

常用的认证框架有

框架/工具

适用场景

主要特点

优点

缺点

Spring Security

复杂的企业级应用

强大的安全功能,与 Spring 集成良好

功能全面,安全性强,社区支持广泛

学习曲线陡峭,配置繁琐

Apache Shiro

中小型项目

轻量级,易于使用

简单易用,灵活,适合快速上手

功能相对有限,文档不够完善

Auth0

云端身份管理需求

托管服务,功能丰富

易于使用,功能强大,适合云端解决方案

费用高昂,依赖外部服务

Sa-Token

快速开发的中小型项目

轻量级、易用性强,专注于认证和授权

轻量级,启动快API 简洁,易于上手灵活性高

社区相对较小生态不如 Spring Security 完善

Sa-Token以前的文章有使用,需要的可参考Sa-Token常用方法以及整合_satoken-优快云博客

使用aop注解进行权限校验

1.先创建一个AuthCheck注解用于权限校验

@Target(ElementType.METHOD) //只在方法上生效
@Retention(RetentionPolicy.RUNTIME) //运行时生效
public @interface AuthCheck {
    /**
     * 必须有某个角色
     */
    String mustRole() default "";
}

2.创建一个java类进行设置切入点和要操作的内容

@Aspect
@Component
public class AuthInterceptor {

    //基于 AOP(面向切面编程)的权限校验逻辑,使用了 Spring 的 @Around 切面方法来拦截带有 @AuthCheck 注解的方法调用,
    // 并根据注解中的 mustRole 属性进行权限验证

    @Resource
    private UserService userService;

    /**
     * 执行拦截
     *
     * @param joinPoint 切入点
     * @param authCheck 权限校验注解
     */
    //会拦截所有带有 @AuthCheck 注解的目标方法。
    //authCheck 是 @AuthCheck 注解的参数化引用,用于获取注解实例。
    @Around("@annotation(authCheck)")
    public Object doInterceptor(ProceedingJoinPoint joinPoint, AuthCheck authCheck) throws Throwable {
        //ProceedingJoinPoint joinPoint:这是 Spring AOP 提供的一个接口,
        // 代表被拦截的目标方法的连接点。通过它可以调用目标方法(joinPoint.proceed())
        //AuthCheck authCheck:这是从注解中提取的 @AuthCheck 实例,用于访问注解的属性值(如 mustRole)。

        String mustRole = authCheck.mustRole(); //获取mustRole属性的值

        //使用 RequestContextHolder 获取当前线程绑定的请求上下文。
        //将其转换为 ServletRequestAttributes 并提取出 HttpServletRequest 对象,用于后续获取登录用户信息。
        RequestAttributes requestAttributes = RequestContextHolder.currentRequestAttributes();
        HttpServletRequest request = ((ServletRequestAttributes) requestAttributes).getRequest();

        // 当前登录用户
        User loginUser = userService.getLoginUser(request);
        UserEnumRole mustRoleEnum = UserEnumRole.getEnumRoleByValue(mustRole);
        // 不需要权限,放行
        if (mustRoleEnum == null) {
            return joinPoint.proceed();
        }
        // 以下为:必须有该权限才通过
        // 获取当前用户具有的权限
        UserEnumRole userRoleEnum = UserEnumRole.getEnumRoleByValue(loginUser.getUserRole());
    
        if (userRoleEnum == null) {
            throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
        }
        //检查目标方法是否要求管理员权限(mustRoleEnum 是否为 ADMIN)。如果是,且当前用户不是管理员,则抛出业务异常,拒绝访问。
        if (UserEnumRole.ADMIN.equals(mustRoleEnum) && !UserEnumRole.ADMIN.equals(userRoleEnum)) {
            throw new BusinessException(ErrorCode.NO_AUTH_ERROR);
        }
        // 通过权限校验,放行
        return joinPoint.proceed();
    }

}

使用也比较简单,只需要在需要校验的方法上加上自定义注解即可

x-ming-code
关注
7.6 SpringBoot AOP实战 统一角色权限校验
天罡gg的专栏
07-23 2924
通过上文7.5 SpringBoot 拦截器Interceptor实战 统一角色权限校验,很多朋友学会了Interceptor实现以后,很想学习如何使用AOP实现 统一角色权限校验,所以本文就来安排AOP的实现!对于SpringBoot的AOP的相关基础知识,请参考我之前写过的博客,也是上过综合热榜第一的文章,本文的实战会用到其中的@annotation、@Before、@Around等方式!非常详细的SpringBoot AOP入门文章!应用范围非常广,可以说是项目必用!
ruoyi接口权限校验
xuhss_com的博客
06-21 2231
此文章属于ruoyi项目实战系列ruoyi系统在前端主要通过权限字符包含与否来动态显示目录和按钮。为了防止通过http请求绕过权限限制,后端接口也需要进行相关权限设计。由于对原理还不够深入了解,所以此处只粗浅讲解在ruoyi项目是如何应用的。 在请求调用接口前,被注解的接口需要首先通过验证。通过注解参数返回值和来判断是否有权限。 Ruoyi并没有使用原生的Spel表达式,而是使用了自定义的类,通过其中自定义方法 来进行权限判断。注解使用举例: 接口权限校验流程 粗略用两个例子来讲解前端请求如何经过后端接口
JavaSpring AOP 实现用户权限验证
08-31
本篇文章主要介绍了JavaSpring AOP 实现用户权限验证,用户登录、权限管理这些是必不可少的业务逻辑,具有一定的参考价值,有兴趣的可以了解一下。
Spring AOP 实现功能权限校验功能
08-08 169
版权声明:本文为博主原创文章,未经博主允许不得转载。 目录(?)[-] 使用拦截器实现未登录时跳转到登录界面的功能 1 拦截器SecurityInterceptor 2spring-mvcxml拦截器配置部分 使用AOP实现功能权限校验 1 切面类 PermissionAspect 2自定义注解ValidatePermission 3 s...
Spring AOP 基于注解实现用户权限校验
2302_79789602的博客
06-10 843
interface:继承了 Annotation 接口的自定义注解,定义注释类型。@Target:表示这个注解可以应用的地方,此处做权限校验是用在方法上的,所以此处的值为 @Target(ElementType.METHOD)@Retention:表示这个注解的保留策略,此处定义为 @Retention(RetentionPolicy.RUNTIME)
权限校验接口检验
一起加油吧~
08-08 4541
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限
Aop接口权限校验
最新发布
Mr.J
01-19 164
【代码】Aop接口权限校验
Spring AOP实现功能权限校验功能的示例代码
08-28
Spring AOP实现功能权限校验功能的示例代码 本篇文章主要介绍了Spring AOP实现功能权限校验功能的示例代码,通过使用拦截器和AOP技术来实现未登录时跳转到登录界面的功能,以及在service层方法中抛异常来实现权限...
使用Spring AOP接口权限校验和日志记录
m0_49692893的博客
01-30 1889
AOP: 翻译为面向切面编程(Aspect Oriented Programming),它是一种编程思想,是面向对象编程(OOP)的一种补充。它的目的是在不修改源代码的情况下给程序动态添加额外功能。
Spring AOP 实现权限校验:代码示例
"本文主要展示了如何使用Spring AOP来实现功能权限校验的示例代码,探讨了在权限管理中的两种常见方法:拦截器和AOP,并提供了使用拦截器实现未登录用户重定向到登录页面的示例。" 在Spring框架中,AOP(面向切面...
Spring Boot整合Aop面向切面编程实现权限校验SpringAop+自定义注解+自定义异常+全局异常捕获,实现权限验证,要求对每个接口都实现单独的权限校验
热门推荐
pangHu很菜
03-06 2万+
SpringAop+自定义注解+自定义异常+全局异常捕获,实现权限验证,要求对每个接口都实现单独的权限校验
使用简单的注解切面工程实现接口权限校验
weixin_45511144的博客
01-04 590
使用简单的注解切面工程实现接口权限校验
简单的token用户登录实现,接口权限校验
萌兔兔MMQ!!
09-16 1731
不想用redis管理也可以放在内存中,基本思路就是每次登录成功新建一个map,key是token,value是临时类,里面有user的实体和当前保存时的毫秒值,然后将map放入list中,每次请求对比有无这个token(key),然后拿出user即可,再建立一个定时任务,定时对比当前系统时间和临时类中的毫秒值,如果超出规定的时间就删除当前map,切记删除后break,否则会报空指针异常。# redis数据库索引(默认为0),我们使用索引为6的数据库,避免和其他数据库冲突。# redis连接池配置。
自定义接口并设置权限验证
qq_53480941的博客
10-29 5198
我们可以通过形如@PreAuthorize("@ss.hasPermi('system:xxx:xxx')")的格式授予前端访问的权限;我们可以通过在学生系统里边自定义一个权限验证的按钮;首先打开菜单管理里边的学生信息管理系统里添加一个按钮plain>权限验证debugTestalert("验证成功!");},后端在MystudentsController里边添加");}此时打开学生信息管理系统 里边多了一个权限验证按钮点击权限验证按钮。
SpringBoot:切面AOP实现权限校验:实例演示与注解全解(2)
2401_83916435的博客
05-07 1128
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Spring Security基于jwt实现权限校验
Instanceztt的博客
12-01 1602
在中我实现了基于jwt实现的认证,本文在此基础上继续实现权限认证二 代码实现用户认证成功生成jwt时将权限信息加载到jwt中..................................................................................................定义和用于认证成功从jwt中解析jwt中的权限信息.....................................jwt校验成功后解析jwt并加载到安全上下文中.........
一文详细讲解SpringBoot 动态权限校验实现方案
abackcab的博客
02-25 1835
1、定义一个CustomAuthenticationEntryPoint实现AuthenticationEntryPoint处理匿名用户访问无权限资源(可以理解为未登录的用户访问,确实有些接口是可以不登录也能访问的,比较少,我们在WebSecurityConfig已经配置过了。但是测试的时候发现,任何接口的调用都会进入这里MyFilterInvocationSecurityMetadataSource getAttriButes方法,包括我webSecurityConfig里配置的不需要登录的url。
AspectJ 简单的权限管理
David宫洪深的博客
10-30 973
AspectJ实现权限管理的demo
Spring Security介绍(四)权限校验
w_t_y_y的博客
02-29 2566
(1)自定义拦截器或者AOP校验:对需要鉴权的接口做拦截,用户的权限从SecurityContextHolder中获取,接口访问权限可以通过自定义Annotation注入,具体参照。用户认证+授权后,就可以进行接口权限控制。思路是拿用户(已授予的)权限接口所需权限进行比较,不包含则视为无权。和shiro类似,sercurity也提供了注解式权限校验
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值