自定义权限模块4——后端权限拦截

最新推荐文章于 2024-06-25 16:02:04 发布
原创 最新推荐文章于 2024-06-25 16:02:04 发布 · 642 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#拦截器 #自定义权限 #spring-boot

本篇博客接着上篇博客自定义权限模块3——后端代码实现,并在上篇博客项目的基础上进行改造。

  • 目录结构

这里写图片描述
这里写图片描述

  • 修改SecurityApplication.java
package com.xyc.security;

import com.xyc.security.interceptor.SecurityInterceptor;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

@SpringBootApplication
@ServletComponentScan(basePackages = "com.xyc.security.filter")/*扫描过滤器*/
public class SecurityApplication extends WebMvcConfigurerAdapter {
    public static void main(String[] args) {
        SpringApplication.run(SecurityApplication.class, args);
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) { //注册权限拦截器
        registry.addInterceptor(new SecurityInterceptor());
    }
}
  • SecurityInterceptor.java
package com.xyc.security.interceptor;

import com.xyc.security.annotation.Module;
import com.xyc.security.annotation.Permission;
import com.xyc.security.bo.LoginUserInfo;
import com.xyc.security.common.Constant;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.List;

/**
 * 权限拦截器,用于访问拦截进行权限排查
 * Created by xyc on 2017/8/13 0013.
 */
public class SecurityInterceptor extends HandlerInterceptorAdapter {
    /**
     * 在请求处理之前(Controller方法调用之前)进行调用
     *
     * @param request
     * @param response
     * @param handler
     * @return 只有返回true才会继续向下执行,返回false取消当前请求
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        /**
         * 在之前的博客中我们已经接触过HandlerMethod,接下来我们简单介绍一下HandlerMethod,简单来说HandlerMethod包含的信息包括类、方法和参数的一个信息类,
         * 通过其两个构造函数我们就可以了解其功能,对应着springMVC的Controller来说就是某个url对应的某个Controller执行的方法。
         */
        if (handler.getClass() == HandlerMethod.class) {    //判断是否为Controller请求
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Class cls = handlerMethod.getBeanType();
            if (cls.isAnnotationPresent(Controller.class) || cls.isAnnotationPresent(RestController.class)) {   //是否是Controller
                Module module = (Module) cls.getAnnotation(Module.class);
                if (module != null) {   //如果有权限模块注解则进行权限判断
                    LoginUserInfo loginUserInfo = (LoginUserInfo) request.getSession(true).getAttribute(Constant.LOGIN_USER_INFO);  //获取登录用户信息
                    if (loginUserInfo == null || loginUserInfo.getMpInfoMap() == null || loginUserInfo.getMpInfoMap().isEmpty()) { //如果登录用户或者用户权限为空则取消当前请求
                        return false;
                    }

                    List<String> permissionList = loginUserInfo.getMpInfoMap().get(module.value());
                    if (permissionList == null || permissionList.isEmpty()) {    //登录用户权限模块的权限列表为空则取消当前请求
                        return false;
                    }
                    if (permissionList.contains(handlerMethod.getMethodAnnotation(Permission.class).value())) { //登录用户拥有此权限则继续向下执行
                        return true;
                    } else {
                        return false;
                    }
                }
            }
        }
        return true;
    }
}
  • 总结

以上就是自定义权限的实现代码了,基本的思想就这些,具体的实现就看大家的喜好了。

  • github

https://github.com/xiayongchao/security

  • 参考

http://blog.youkuaiyun.com/qq924862077/article/details/53789852
http://blog.youkuaiyun.com/catoop/article/details/50501696

25. Spring Boot 2.x 最佳实践之 Spring Security+ Swagger+自定义拦截器Token权限校验
极客星云-优快云博客
05-17 2733
这篇博文来总结下Spring Boot 2.x+ Spring Security+ 自定义拦截器实现带Token权限控制最佳实战攻略.
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 4946
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-Token和Spring WebFlux集成Sa-Token这两个常用的开发框架。......
基于拦截器+注解实现后端权限管理
weixin_37842058的博客
12-04 327
今天公司要做前后端分离的权限管理。由于各种原因,没有使用shiro,需要自己实现一套权限拦截器 这个功能涉及到前端和后端 后端主要基于springboot 拦截器+注解实现 前端主要用vue 的自定义指令实现 今天先记录下后端的实现方案。 一、搭建springboot环境(略) 二、创建一个空的 springboot项目(准备将功能打成jar包直引进 业务项目里面) 三、编码过程 1、创建一个注解...
自定义权限管理:登录拦截
smart_an的专栏
12-21 489
在大家的印象中,对于一个系统而言,需要登录的接口占多数还是不需要登录的接口占多数呢?答案是不一定。如果是后台接口,那么基本都是要登录的,而对于前台接口或者APP,那就有可能五五开了。比如很多APP都提供了游模式,下载APP能浏览一些问题和回答,但要发表文章或评论时,就会提醒你登录。为什么要问这个问题呢?具体选哪种,取决于你的系统属于哪种。本文假定大部分接口无需登录,只对部分接口做限制。代码几乎一样,大家可以自己改改。这里只贴出核心代码,一切工具类封装请参考小册其他章节。
拦截器后端权限
a498936289的博客
12-22 426
注意,这里只是针对后端,如果是加权限的话,即用户登录后前端通过账号权限进行菜单过滤,用户不拥有的菜单权限,前端直接不展示,即相当于用户在前端界面也访问不到,这样相当于做的是假权限,但是这样的情况下,通过postman其实也还是可以直接访问后端接口的,所以这里做的权限是针对后端权限,即如果账号没有相应权限的话,通过postman直接调也是不能调通的。新建用户,通过角色给用户账号赋予菜单权限,如,新建用户A,角色为a,而a角色拥有菜单bcd的权限,那么此时,用户A就可以访问菜单bcd。
后台权限拦截器编写
辐_射的博客
06-23 1180
package cn.itcast.shop.Interceptor; import org.apache.struts2.ServletActionContext; import cn.itcast.shop.vo.AdminUser; import com.opensymphony.xwork2.ActionInvocation; import com.opensymphony.xwor
自定义拦截器实现权限管理
可可豆3号
11-11 863
自定义拦截器实现权限管理: 如果用户登录后可以访问action中的所有方法。 --用户登录后,在session中设置用户的状态 如果用户没有登录不允许访问action中的方法,并且提示“你没有权限执行该操作”。 通过jsp页面设置用户的登录或退出状态。 要自定义拦截器需要实现com.opensymphony.xwork2.interceptor.Interceptor接口: pac
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
`CustomShiroFilter`是自定义的过滤器,实现具体的权限控制逻辑。 通过以上步骤,我们可以构建出一个基于Springboot+Vue+Shiro的前后端分离应用,实现了权限控制,同时解决了跨域问题。这种架构不仅提高了开发效率...
SpringBoot——整合Shiro,实现安全认证和权限管理功能
戏拈秃笔的博客
06-25 1135
Apache Shiro是一个开源的轻量级的Java安全框架,它提供身份验证、授权、密码管理以及会话管理等功能。相对于Spring Security,Shiro框架更加直观、易用,同时也能提供健壮的安全性 在实际工作时可能使用小而简单的Shiro就足够了,不存在Shiro和Security哪个更好
SpringBoot-3】切面AOP实现权限校验:实例演示与注解全解
2401_85117868的博客
06-24 1588
这样,代码冗余和可维护性的问题得到了解决,但每个业务方法中依然要依次手动调用这些公共方法,也是略显繁琐。:处理,包括处理时机和处理内容。在我们的程序中,经常存在一些系统性的需求,比如权限校验、日志记录、统计等,这些代码会散落穿插在各个业务逻辑中,非常冗余且不利于维护。包名:表示需要拦截的包名,后面的两个句点表示当前包和当前包的所有子包,在本例中指 com.mutest.controller包、子包下所有类的方法。):这个星号表示方法名,* 表示所有的方法,后面括弧里面表示方法的参数,两个句点表示任何参数。
基于拦截器后端资源权限实现
zl5186888的博客
09-21 464
在用户登录时,将该账户可用的接口资源路径以某种形式存放在缓存中,当接口请求发起时,拦截器解析该账户所拥有的接口资源路径并与请求体路径相比对。当然,针对后台接口资源实现面向用户的分管并不是非拦截器不可,同样的道理,我们采用AOP或过滤器实现 理论上也是可行的,总体思路都是在请求访问时做鉴权回应。用户登录的信息(授权接口资源等)缓存(session或自定义cookie)的编写这里不做介绍,各位可以按自己的思路实现,只要能够在请求体中解析即可。,转载请注明原文链接:http://www.dxzl8.com/
实现自定义权限控制(Springboot+拦截器+注解)
zhangdayan的博客
10-31 738
1、定义权限常量 Constants.java public class Constants { public static final String FRANCHISEE_TYPE_MAIN = "MAIN"; public static final String FRANCHISEE_TYPE_ADMIN = "ADMIN"; } 2、定义权限的注解Permissi...
一篇文章了解后端资源“拦截”和“权限认证”?
m0_67645544的博客
05-05 490
一.过滤器 过滤器实际上就是对web资源进行拦截,做一些处理后再交给下一个过滤器或servlet处理 通常都是用来拦截request进行处理的,也可以对返回的response进行拦截处理 Filter:拦截请求,过滤响应 如图所示: 通过filterChain.doFilter(request,response)交给下一个过滤器链处理 主要使用场景: 统一的资源管理(如用户会话的统一管理,编码格式的统一设置等等) 使用方式: 如果不满足条件,不要执行doFilter,不往下执行(跳转页面或直
关于权限控制模块(拦截URL 实现访问控制)(
syfx0318的博客
11-27 499
  思路 http://localhost:8080/control/center/main.do 我们拦截以/control 开始的所有路径 用户不登陆不允许访问以/control开始的路径 在web.xml中配置一个filter 具体如下 &lt;filter&gt; &lt;filter-name&gt;EmployeeLogonValidate&lt;/fil...
springboot拦截器配置
AndyMocan的博客
08-23 2028
首先定义拦截器  public class MyInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { ret...
spring security自定义权限拦截FilterInvocationSecurityMetadataSource
热门推荐
lichuangcsdn的博客
07-08 2万+
一般情况下,我们如果需要自定义权限拦截,则需要涉及到FilterInvocationSecurityMetadataSource这个接口了。 这里有个坑爹的地方。如果用户未登录,但是已经设置了拦截白名单的URL,仍然会进入到权限验证里面来。起初,我以为不会进来,但后来跟踪源代码发现,还是会进来。只是此时的身份是一个匿名用户。其默认的实现为DefaultFilterInvocationSecuri...
后端分离 SpringBoot整合SpringSecurity权限控制(动态拦截url)
摸鱼佬的博客
11-26 1万+
后端分离 SpringBoot整合SpringSecurity权限控制 Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实上的标准。 Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足自定义要...
基于拦截器的用自定义注解进行权限拦截
reee112的博客
05-17 877
对于增删改接口,管理员权限能操作,用户权限不能操作. 1. 定义一个注解类 @Documented @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.METHOD}) public @interface RoleOfAdmin { String value() default "admin"; } 2.重写Bean...
用户权限控制-拦截器Interceptor
qq_40996012的博客
10-18 1063
用户权限控制-拦截器Interceptor 1.拦截器的工作原理 2.拦截器的定义 @Component //将对象交给Spring容器管理 public class UserInterceptor implements HandlerInterceptor{ /** boolean:是否放行 true false */ @Override public boolean preHan.........
vue-antd-admin权限
最新发布
12-31
### 关于 `vue-antd-admin` 的权限管理实现 在 `vue-antd-admin` 中,权限管理系统的设计紧密围绕着 Vue Router 和 Ant Design of Vue 组件库展开。为了确保不同角色的用户能够访问到各自应有的页面并执行特定的操作,该框架采用了基于路由的角色权限控制机制。 #### 路由级别的权限控制 通过自定义指令或守卫函数来拦截用户的请求路径,判断当前登录者是否有权进入所申请的目标视图。对于未授权的情况,则重定向至无权提示页或其他指定位置[^1]。 ```javascript // src/router/index.js 示例片段 import { createRouter, createWebHistory } from 'vue-router'; const routes = [ { path: '/', component: () => import('@/views/layout/Index'), children: [ { path: '', name: 'home', meta: { title: '首页', icon: 'dashboard' }, component: () => import('@/views/home') } ] } ]; const router = createRouter({ history: createWebHistory(), routes, }); router.beforeEach((to, from, next) => { const hasPermission = checkUserPermissions(to.meta.requiredAuth); if (!hasPermission && to.meta.requiresAuth) { next({ name: 'unauthorized' }); } else { next(); } }); ``` 此代码展示了如何利用 `beforeEach` 导航守卫来进行简单的权限验证逻辑。当用户尝试跳转到某个带有 `requiresAuth` 属性标记的路由时,会先调用 `checkUserPermissions()` 方法检查是否满足条件;如果不符则转向名为 `'unauthorized'` 的错误页面[^2]。 #### 动态加载菜单与按钮级权限 除了上述全局性的路由保护外,在实际应用开发过程中还经常涉及到更细粒度的权限设置——即针对具体功能模块内的操作项(如新增、编辑、删除等)。这通常借助于动态渲染技术配合后端API接口返回的数据完成个性化展示: - **菜单栏**:依据用户身份获取对应的导航链接列表; - **表单/表格中的按钮**:根据业务场景决定哪些交互控件应该被隐藏或者禁用状态。 这些细节处理往往需要前端工程师同服务端协作设计合理的数据交换协议以及相应的UI展现策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值