Shiro使用自定义注解使用权限的细粒度控制

已于 2025-06-17 11:26:21 修改
阅读量199 收藏 1
点赞数 7
CC 4.0 BY-SA版权
分类专栏: 认证鉴权 Springboot 文章标签: springboot
于 2025-06-17 11:19:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asdurt/article/details/148711410

背景

针对同一个接口中,根据 action属性 包含多种操作,现在需要实现对action做细粒度权限控制;
shiro的鉴权注解是接口维度的;

实现

增强shiro鉴权能力:使用自定义注解,支持通过接口参数(action)实现对权限点的细粒度控制;

代码实现

新增注解

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 描述:自定义注解:
 * 针对一个接口有多种操作
 * 通过请求参数实现多种操作的细粒度控制
 *
 * @author xxx
 * @since 2025/05/30
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresParamPermission {
    /**
     * 类:aop从入参中找到指定类,递归查找指定属性
     */
    Class<?> searchClazz() default String.class;

    /**
     * 属性名称,aop从该属性名称中拿到具体值,默认名称是action
     */
    String searchKey() default "action";

    /**
     * 权限点前缀
     */
    String permPrefix();
}

添加注解切面

import java.util.Map;

import javax.servlet.http.HttpServletRequest;

import org.apache.commons.lang3.StringUtils;
import org.apache.logging.log4j.util.Strings;
import org.apache.shiro.authz.UnauthorizedException;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import com.alibaba.fastjson.JSON;

import cn.com.common.utils.JSONUtils;
import lombok.extern.slf4j.Slf4j;

/**
 * 描述: 切面 针对一个接口有多个操作 根据请求参数实现权限点细粒度鉴权
 *
 * @author xxx
 * @since 2025/05/30
 */
@Aspect
@Component
@Slf4j
public class ParamPermissionAspect {
    @Before("@annotation(requiresParamPermission)")
    public void checkPermission(JoinPoint joinPoint, RequiresParamPermission requiresParamPermission) {
        Object[] args = joinPoint.getArgs();

        // 权限点后缀
        String permSuffix = Strings.EMPTY;

        ServletRequestAttributes attributes = (ServletRequestAttributes)RequestContextHolder.getRequestAttributes();
        String method = null;
        if (attributes != null) {
            method = attributes.getRequest().getMethod();
        }

        if (StringUtils.equalsAnyIgnoreCase(method, RequestMethod.GET.name(), RequestMethod.DELETE.name())) {
            // 从请求参数中拿到
            if (attributes != null) {
                HttpServletRequest request = attributes.getRequest();
                Map<String, String[]> paramMap = request.getParameterMap();
                for (Map.Entry<String, String[]> entry : paramMap.entrySet()) {
                    String key = entry.getKey();
                    if (StringUtils.equals(key, requiresParamPermission.searchKey()) && entry.getValue() != null
                        && entry.getValue().length > 0) {
                        permSuffix = entry.getValue()[0];
                        break;
                    }
                }
            }
        } else { // 从请求体中拿到
            for (Object arg : args) {
                if (requiresParamPermission.searchClazz().isInstance(arg)) {
                    // 递归查找权限点后缀
                    permSuffix = JSONUtils.findPath(JSON.toJSON(arg), requiresParamPermission.searchKey());
                    break;
                }
            }
        }

        // 操作鉴权 操作权限点组成: 前缀:后缀
        String completePerm = requiresParamPermission.permPrefix() + ":" + permSuffix;
        log.info("current-method[{}] need permission:{}", joinPoint.getSignature().getName(), completePerm);
        if (!SecurityUtils.getSubject().isPermittedAll(completePerm)) {
            throw new UnauthorizedException("没有权限执行该操作");
        }
    }
}

json工具类

import com.alibaba.fastjson.JSONArray;
import com.alibaba.fastjson.JSONObject;

@Slf4j
public class JSONUtils {
	/**
     * 递归遍历:在目标对象中查找属性值
     * @param targetObj 目标对象
     * @param searchName 查找属性
     * @return 属性值
     */
    public static String findPath(Object targetObj, String searchName) {
        if (targetObj instanceof JSONObject) {
            JSONObject jsonObject = (JSONObject) targetObj;
            if (jsonObject.containsKey(searchName)) {
                return jsonObject.getString(searchName);
            }
            for (String key : jsonObject.keySet()) {
                Object value = jsonObject.get(key);
                String result = findPath(value, searchName);
                if (result != null) {
                    return result;
                }
            }
        } else if (targetObj instanceof JSONArray) {
            JSONArray jsonArray = (JSONArray) targetObj;
            for (Object item : jsonArray) {
                String result = findPath(item, searchName);
                if (result != null) {
                    return result;
                }
            }
        }
        return null;
    }
}

业务使用

在需要细粒度控制的接口上添加自定义注解:

	@RequiresParamPermission(permPrefix = "account:app:action:query")
	@GetMapping("/query")
    BaseResponse<Map<String, List<String>>> queryAppAction(
        @RequestParam @NotNull(message = "设备ID不能为空") String deviceId,
        @RequestParam @NotNull(message = "action不能为空") String action) {
        return BaseResponse.ok(appActionService.queryAppAction(deviceId, action));
    }
SpringBootShiro自定义注解权限控制源码下载
04-06
SpringBootShiro自定义注解权限控制
ssm+自定义标签+自定义注解 实现权限细粒度控制
04-13
在这个项目中,开发者尝试模仿Apache Shiro框架,通过自定义标签和自定义注解来实现权限细粒度控制,从而更好地管理和限制用户访问特定的资源。 Apache Shiro是一个强大且易用的Java安全框架,处理认证、授权、...
基于shiro自定义注解扩展
chengyang1086的博客
08-07 481
基于shiro自定义注解的扩展 根据我的上一篇文章,权限设计的杂谈中,涉及到了有关于前后端分离中,页面和api接口断开表与表层面的关联,另辟蹊径从其他角度找到方式进行关联。这里我们主要采取了shiro自定义注解的方案。本篇文章主要解决以下的问题。 如何通过逻辑进行页面与api接口的关联。...
自定义Shiro注解
weixin_33909059的博客
04-23 607
自定义Shiro注解 顺序 创建自定义注解 资源管理器,继承AuthorizationAttributeSourceAdvisor,添加新注解支持 AOP拦截器,继承AopAllianceAnnotationsAuthorizingMethodInterceptor 方法拦截器,继承AuthorizingAnnotationMeth...
shiro常用注解和过滤器,编写自定义注解实现 anon 所有人访问功能
weixin_45947759的博客
11-20 887
已登录,未记住我,重开浏览器之后,就成了未登录@RequiresGuest:未登录可以访问;认证过或使用记住我功能拒绝访问@RequiresAuthentication: 认证过可以访问,其他时候拒绝访问@RequiresUser: 认证过或使用记住我功能可以访问同时具备2个权限才能访问拥有其中任意一个权限就可以访问@RequiresRoles 跟 @RequiresPermissions 使用差不多的。
shiro+自定义注解解决权限问题(毕设校园交流平台权限更正)
zll_zll_zll_zll的博客
02-10 455
毕设(校园交流平台)权限修正 前段毕设时间把毕设部署到了线上,果然当时懒惰没认真做权限,部署完没多久就被大佬看破了然后 好吧然后我就趁今天有时间修复下。 先说下现状 当时为了懒省劲(大家别学我)只在user表上加了一个字段判断是否管理员身份,权限上只在部分接口上加了,现在想起来还真是漏洞百出。 其实就管理员和普通用户两种角色,但由于后端权限未做全导致现在存在的问题: 管理员权限泄露 普通用...
使用SpringBootshiro实现基于数据库的细粒度动态权限管理系统实例.zip
12-24
Shiro的主要优势在于其简单易用的API和对复杂权限控制的良好支持,适合处理动态、细粒度权限管理问题。 要实现基于数据库的动态权限管理,我们需要设计一套权限模型。通常,这包括用户(User)、角色(Role)和...
管理系统系列--使用SpringBootshiro实现基于数据库的细粒度动态权限管理系统实例.zip
02-24
在本教程中,我们将深入探讨如何构建一个基于SpringBootShiro细粒度动态权限管理系统。SpringBoot作为现代Java应用程序开发的首选框架,简化了配置和依赖管理,而Shiro则是一个强大的安全管理框架,专注于身份...
基于shiro自定义aop+注解实现自己想要的权限管理
zyx7653296的博客
10-17 909
前提:已经集成shiro的环境下,shiro自带的权限不足以满足需求,所以想到的这个办法。 目的:判断当前操作用户是否有权限处理这个操作,大概意思就是加入部门概念,判断该用户是否越部门去处理其他部门的数据了 第一步我们先自定义一个aop接口,放在cn.zyx.test.base.shiro.annotion包下。 /** * 权限注解 用于检查权限 规定访问权限 * 主要用于只能操作自...
shiro注解权限控制-5个权限注解
来日可期的博客
05-24 336
转载地址:https://blog.csdn.net/w_stronger/article/details/73109248
shiro通过注解方式自定义控制接口无需认证访问的解决过程
热门推荐
凌大大的博客
01-26 1万+
1. 需求背景   用过Shiro的小伙伴都知道,shiro提供两种权限控制方式,通过过滤器或注解。我们项目是springboot + vue前后分离项目,后台对于权限控制一直使用的是过滤器的方式,并且还有自定义的过滤器。大概如下: @Bean("shiroFilter") public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new
springMVC springBoot shiro 自定义shiro授权注解自定义授权解析器
mxywxwk的博客
10-22 800
  shiro支持注解式的授权控制,共有5个: @RequiresAuthentication:当前 Subject 已经通过 login 进行了身份验证;即 Subject.isAuthenticated() 返回 true。 @RequiresUser:当前 Subject 已经身份验证或者通过记住我登录的。 @RequiresGuest:当前 Subject 没有身份验证或通过记住我登录过,即是游客身份。 @RequiresRoles:当前 Subject 需要的角色。 @RequiresPermi
Shiro 采用注解方式无法进入自定义Realm类的授权方法 解决方案
qq_26626375的博客
08-02 1565
Shiro采用@RequiresPermissions没有执行doGetAuthorizationInfo解决 Shiro采用@RequiresPermissions没有执行doGetAuthorizationInfo解决之道 前几天在升级框架的时候,使用了标签注入的方式添加shiro权限.但是没有执行AuthorizingRealm 的doGetAuthorizat
shiro源码分析之自定义注解RequiredPermission(可代替RequiresPermissions)
tommer911
10-31 5472
shiro源码分析,并添加自定义授权校验注解RequiredPermission
spnavcfg-0.3.1-1.el8.tar.gz
08-19
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
一个涵盖患者、疾病与药物关系的权威医疗 RDF 数据集
08-19
资源下载链接为: https://pan.quark.cn/s/7d4480e88650 一个涵盖患者、疾病与药物关系的权威医疗 RDF 数据集(最新、最全版本!打开链接下载即可用!)
【汽车电子电气】整车线束设计优化:从3D建模到降本增效的全流程解析及挑战应对了汽车电子电气
最新发布
08-19
内容概要:本文详细阐述了汽车线束设计在整车电气系统中的重要性和设计流程。线束作为整车电子电气架构的物理实现,承担着连接ECU、传感器、执行器等模块的功能,贯穿车辆的动力、安全、智能驾驶等多个领域。文章从线束设计的核心作用、设计流程、核心挑战及降本措施四个方面展开。核心作用包括功能实现、安全保障、性能优化和成本控制;设计流程涵盖3D线束设计、电气原理设计和2D线束设计三个阶段;核心挑战涉及复杂系统集成、轻量化与成本平衡及试装验证;降本措施则通过国产化替代和设计优化来实现。 适合人群:从事汽车电子电气系统设计、开发及制造的工程师和技术人员,尤其是具备一定工作经验的研发人员。 使用场景及目标:①了解线束设计在整个汽车电气系统中的作用及其设计流程;②掌握线束设计的关键技术和挑战,如复杂系统集成、轻量化设计等;③学习如何通过国产化替代和设计优化降低成本并提高产品质量。 其他说明:本文不仅提供了详细的线束设计理论知识,还结合实际案例介绍了具体的实施路径和方法,旨在帮助读者全面理解和掌握线束设计的相关技术。阅读过程中,建议结合实际工程经验,重点关注设计流程中的关键技术点和降本措施的具体实施方案。
SpringBoot结合MyBatis和Shiro实现细粒度权限控制
- 页面细粒度控制:在JSP或Thymeleaf等模板引擎中,可以使用Shiro标签库提供的标签来控制页面上元素的显示与隐藏,这样可以基于用户的权限控制页面元素的展示。 6. **错误统一拦截处理** - 异常处理:Spring Boot...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值