Java项目接口权限校验的灵活实现

原创 于 2025-07-28 22:11:09 发布 · 487 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #python #开发语言 #spring cloud #spring boot

引言

在Java Web开发中,接口权限校验是保护系统资源安全的关键机制。本文将介绍一种灵活、可配置的接口权限校验方案,通过注解驱动和拦截器实现,既能保证安全性,又能灵活控制哪些接口需要校验。

设计思路

实现方案的核心设计要点:

  1. 注解驱动:使用自定义注解标记需要权限校验的接口
  2. 拦截器机制:在请求处理前进行统一权限校验
  3. 灵活配置:支持方法级和类级配置,可动态调整
  4. 权限缓存:提高权限验证效率

在这里插入图片描述

实现步骤

1. 定义权限校验注解

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface PermissionCheck {
    
    /**
     * 权限标识,支持多个权限(满足任意一个即可)
     */
    String[] value() default {};
    
    /**
     * 是否开启权限校验(默认开启)
     */
    boolean enabled() default true;
    
    /**
     * 逻辑关系:AND-需满足所有权限,OR-满足任意权限
     */
    Logical logical() default Logical.OR;
}

public enum Logical {
    AND, OR
}

2. 实现权限校验拦截器

@Component
public class PermissionInterceptor implements HandlerInterceptor {
    
    @Autowired
    private PermissionService permissionService;
    
    @Override
    public boolean preHandle(HttpServletRequest request, 
                             HttpServletResponse response, 
                             Object handler) throws Exception {
        
        // 如果不是Controller方法直接放行
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        
        // 获取方法上的注解
        PermissionCheck methodAnnotation = method.getAnnotation(PermissionCheck.class);
        // 获取类上的注解
        PermissionCheck classAnnotation = method.getDeclaringClass()
                                              .getAnnotation(PermissionCheck.class);
        
        // 1. 如果方法上明确关闭权限校验
        if (methodAnnotation != null && !methodAnnotation.enabled()) {
            return true;
        }
        
        // 2. 如果类上关闭权限校验且方法未指定
        if (classAnnotation != null && !classAnnotation.enabled() 
            && (methodAnnotation == null || methodAnnotation.enabled())) {
            return true;
        }
        
        // 3. 获取当前用户权限
        User currentUser = getCurrentUser(request);
        if (currentUser == null) {
            response.sendError(HttpStatus.UNAUTHORIZED.value(), "用户未登录");
            return false;
        }
        
        // 4. 获取需要的权限
        Set<String> requiredPermissions = getRequiredPermissions(
            methodAnnotation, classAnnotation);
        
        // 5. 无需权限校验
        if (requiredPermissions.isEmpty()) {
            return true;
        }
        
        // 6. 检查权限
        boolean hasPermission = checkPermissions(
            currentUser, requiredPermissions, 
            methodAnnotation != null ? methodAnnotation.logical() : 
                     (classAnnotation != null ? classAnnotation.logical() : Logical.OR)
        );
        
        if (!hasPermission) {
            response.sendError(HttpStatus.FORBIDDEN.value(), "权限不足");
            return false;
        }
        
        return true;
    }
    
    private Set<String> getRequiredPermissions(PermissionCheck methodAnnotation, 
                                               PermissionCheck classAnnotation) {
        Set<String> permissions = new HashSet<>();
        
        // 方法注解优先
        if (methodAnnotation != null && methodAnnotation.value().length > 0) {
            Collections.addAll(permissions, methodAnnotation.value());
            return permissions;
        }
        
        // 类注解
        if (classAnnotation != null && classAnnotation.value().length > 0) {
            Collections.addAll(permissions, classAnnotation.value());
        }
        
        return permissions;
    }
    
    private boolean checkPermissions(User user, Set<String> requiredPermissions, Logical logical) {
        // 获取用户实际权限(可从缓存中获取)
        Set<String> userPermissions = permissionService.getUserPermissions(user.getId());
        
        if (logical == Logical.AND) {
            return userPermissions.containsAll(requiredPermissions);
        } else {
            return requiredPermissions.stream()
                    .anyMatch(userPermissions::contains);
        }
    }
}

3. 注册拦截器

@Configuration
public class WebConfig implements WebMvcConfigurer {
    
    @Autowired
    private PermissionInterceptor permissionInterceptor;
    
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(permissionInterceptor)
                .addPathPatterns("/api/**")  // 拦截API路径
                .excludePathPatterns("/api/public/**"); // 排除公共接口
    }
}

4. 权限服务实现

@Service
public class PermissionServiceImpl implements PermissionService {
    
    @Autowired
    private PermissionMapper permissionMapper;
    
    @Autowired
    private CacheManager cacheManager;
    
    @Override
    public Set<String> getUserPermissions(Long userId) {
        // 从缓存获取
        Cache cache = cacheManager.getCache("userPermissions");
        Cache.ValueWrapper wrapper = cache.get(userId);
        if (wrapper != null) {
            return (Set<String>) wrapper.get();
        }
        
        // 从数据库查询
        Set<String> permissions = permissionMapper.selectPermissionsByUserId(userId);
        // 放入缓存
        cache.put(userId, permissions);
        return permissions;
    }
}

使用示例

1. 类级别权限控制

@RestController
@RequestMapping("/users")
@PermissionCheck(value = {"USER_MANAGE"}, logical = Logical.AND)
public class UserController {
    
    // 需要USER_MANAGE权限
    @GetMapping
    public List<User> listUsers() {
        // ...
    }
    
    // 不需要权限校验(覆盖类级别设置)
    @PermissionCheck(enabled = false)
    @GetMapping("/public")
    public User getPublicUser() {
        // ...
    }
}

2. 方法级别权限控制

@RestController
@RequestMapping("/products")
public class ProductController {
    
    // 需要PRODUCT_READ权限
    @PermissionCheck("PRODUCT_READ")
    @GetMapping
    public List<Product> listProducts() {
        // ...
    }
    
    // 需要同时具备PRODUCT_WRITE和PRODUCT_MANAGE权限
    @PermissionCheck(value = {"PRODUCT_WRITE", "PRODUCT_MANAGE"}, logical = Logical.AND)
    @PostMapping
    public Product createProduct(@RequestBody Product product) {
        // ...
    }
}

3. 公共接口(无需权限)

@RestController
@RequestMapping("/public")
public class PublicController {
    
    // 无需任何权限校验
    @GetMapping("/info")
    public SystemInfo getSystemInfo() {
        // ...
    }
}

进阶优化

1. 动态权限配置

可将权限配置存储在数据库中,实现动态管理:

CREATE TABLE api_permission (
    id BIGINT PRIMARY KEY AUTO_INCREMENT,
    api_path VARCHAR(255) NOT NULL,
    http_method VARCHAR(10) NOT NULL,
    permission_code VARCHAR(50) NOT NULL,
    enabled BOOLEAN DEFAULT true,
    UNIQUE KEY uni_api_method (api_path, http_method)
);

在拦截器中增加数据库权限检查逻辑:

// 在PermissionInterceptor中增加
private boolean checkDynamicPermission(String path, String method) {
    List<String> requiredPermissions = permissionService
        .getPermissionsForApi(path, method);
    
    if (requiredPermissions.isEmpty()) {
        return true; // 无配置表示不需要权限
    }
    
    // 检查用户权限...
}

2. 权限缓存策略

使用Redis缓存用户权限数据,提高性能:

@Configuration
public class RedisConfig {
    
    @Bean
    public RedisCacheManager cacheManager(RedisConnectionFactory factory) {
        RedisCacheConfiguration config = RedisCacheConfiguration.defaultCacheConfig()
                .entryTtl(Duration.ofMinutes(30))  // 30分钟过期
                .disableCachingNullValues();
        
        return RedisCacheManager.builder(factory)
                .cacheDefaults(config)
                .build();
    }
}

@Service
public class RedisPermissionService implements PermissionService {
    
    @Autowired
    private RedisTemplate<String, Set<String>> redisTemplate;
    
    @Override
    public Set<String> getUserPermissions(Long userId) {
        String key = "user:permissions:" + userId;
        Set<String> permissions = redisTemplate.opsForSet().members(key);
        
        if (permissions == null || permissions.isEmpty()) {
            // 从数据库加载
            permissions = permissionMapper.selectPermissionsByUserId(userId);
            if (!permissions.isEmpty()) {
                redisTemplate.opsForSet().add(key, permissions.toArray(new String[0]));
                redisTemplate.expire(key, 30, TimeUnit.MINUTES);
            }
        }
        
        return permissions;
    }
}

方案对比

实现方式优点缺点适用场景
拦截器+注解灵活、非侵入、配置简单无法动态修改中小型项目
动态数据库配置可动态调整、集中管理增加数据库访问、实现复杂大型复杂系统
AOP实现解耦彻底、可复用性高配置复杂、学习曲线陡峭需要高度解耦的系统

总结

本文介绍了一种基于注解和拦截器的接口权限校验方案,具有以下特点:

  1. 灵活配置:通过注解控制每个接口的权限要求
  2. 非侵入式:不影响业务逻辑代码
  3. 层次分明:支持类级别和方法级别的权限控制
  4. 易于扩展:可结合数据库实现动态权限管理
  5. 性能优化:通过缓存减少权限查询开销

通过合理的权限校验实现,可以大大提高系统的安全性,同时保持代码的整洁和可维护性。根据项目需求,可以选择合适的实现方式和优化策略。

提示:在实际项目中,建议结合Spring Security或Shiro等安全框架,可以更全面地解决认证授权问题。本文方案适用于需要轻量级权限控制的场景。

Java接口调用时的权限验证功能
weixin_42632091的博客
11-24 5900
JAVAJava接口调用时的权限验证功能一、编写的环境二、使用步骤1.配置前端调用的接口2.配置拦截路径3.创建验证文件4.创建注解@PassToken总结 Java接口调用时的权限验证功能 提示:这里可以添加本文要记录的大概内容: 例如:一般系统前端调用后台相关功能接口时,需要验证此时用户的权限是否满足调用该接口的条件,因此我们需要配置相应的验证权限的功能。 提示:以下是本篇文章正文内容,下面案例可供参考 一、编写的环境 工具:IDEA 框架:GUNS框架(自带后台权限验证配置,我们这里需要编写前
java 权限校验_Spring AOP实现功能权限校验功能的示例代码
weixin_30131443的博客
02-13 921
实现功能权限校验的功能有多种方法,其一使用拦截拦截请求,其二是使用AOP抛异常。首先用拦截实现未登录时跳转到登录界面的功能。注意这里没有使用AOP切入,而是用拦截拦截,因为AOP一般切入的是service层方法,而拦截器是拦截控制器层的请求,它本身也是一个处理器,可以直接中断请求的传递并返回视图,而AOP则不可以。1.使用拦截实现未登录时跳转到登录界面的功能1.1 拦截器SecurityI...
java最简单的 接口权限验证
weixin_41231700的博客
07-26 453
Java接口权限验证入门指南 作为一名刚入行的开发者,你可能对如何实现Java接口权限验证感到困惑。本文将为你提供一份详细的指南,帮助你快速掌握这一技能。 权限验证流程 在开始之前,让我们先了解一下权限验证的基本流程。以下是实现权限验证的一般步骤: 步骤 描述 1 用户请求接口 2 接口接收请求并验证用户...
Java解决垂直鉴权问题(对垂直权限进行校验
qq_57703172的博客
05-07 1375
避免垂直鉴权实现原理:每次用户访问时,都要判定该用户是否有访问此 URL 的权限
Java权限验证
qq_27416233的博客
11-14 3077
#Java权限验证   这里面我们进行一些简单的权限验证,先从数据库建立关系来说起 ###建立数据库表 1.User表(用户) CREATE TABLE USER( id INT(11) PRIMARY KEY AUTO_INCREMENT COMMENT '用户id', userName VARCHAR(30) NOT NULL COMMENT '用户姓名', address...
浅谈Java 三种方式实现接口校验
08-29
在使用AOP进行接口校验时,首先需要定义一个权限注解(例如@AccessToken),该注解用于标注哪些接口需要进行权限校验。随后,可以编写一个切面(Aspect),在该切面中利用AOP的拦截机制(如使用@Around注解)来拦截...
Java实现接口校验的三种主流方式对比分析
最新发布
07-04
该方式解耦业务逻辑与校验逻辑,适合全局权限控制。 在Spring MVC中实现HandlerInterceptor,在preHandle阶段校验请求Token。通过注册拦截器到Spring容器,可灵活配置拦截路径。此方式与MVC框架深度集成,适合Web...
Java接口校验的三种实现方式详解
总结起来,Java接口校验有多种实现途径,AOPMVC拦截器是其中的两种常见方法。它们各自的优势在于代码结构清晰,易于维护,且能够适应不同的应用场景。通过选择合适的方式,我们可以确保接口的正确调用安全边界,...
java后台数据隔离实现方式
01-26
例如,`DataScopeAspect` 类可能就是实现这一功能的切面类,它会在数据查询之前进行权限校验。 3. 数据权限管理: 数据权限管理是数据隔离的核心,通常包括角色分配、权限设定权限检查。`DataScope` 类可能包含...
基于Spring Boot的fanxing-security-spring-boot-starter权限校验与安全框架设计源码
09-30
通过这些Java文件,开发者可以实现包括但不限于权限校验、安全特性配置等功能。整个框架不包含登录状态管理,这可能是因为设计者认为登录状态管理应由应用自己决定,而权限校验安全特性才是框架需要专注的核心问题...
java 访问权限验证
12-12
java 访问权限验证,包括代码注释及个人笔记
java的细粒度权限shiro权限校验 ssh
11-22
java的细粒度权限shiro权限校验 Spring + Struts + hibernate
java拦截器处理用户登录信息,以及app接口校验
07-13
拦截器统一处理用户的请求信息,包含网站的用户登录验证以及app的接口规范。
java接口参数校验
weixin_49300975的博客
06-13 535
Digits (integer, fraction) 被注解的元素必须是一个数字,其值必须在可接受的范围内。@DecimalMax(value) 被注解的元素必须是一个数字,其值必须小于等于指定的最大值。@DecimalMin(value) 被注解的元素必须是一个数字,其值必须大于等于指定的最小值。@Min(value) 被注解的元素必须是一个数字,其值必须大于等于指定的最大值。@Max(value) 被注解的元素必须是一个数字,其值必须小于等于指定的最大值。
权限校验接口检验
一起加油吧~
08-08 4741
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限
Java 三种方式实现接口校验
weixin_33709590的博客
06-08 1379
方法一:AOP 代码如下定义一个权限注解   [java] view plain copy   package com.thinkgem.jeesite.common.annotation;      import java.lang.annotation.ElementType;   import java.lang.annotation.Retention;   import jav...
java 权限校验_权限验证 · Java高效编程 · 看云
weixin_33139275的博客
02-16 733
## 重写MyRealm中的doGetAuthorizationInfo方法```@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {User user = (User) SecurityUtils.getSubject().getPrincipa...
帮我用java写一个权限验证接口
weixin_42576804的博客
01-06 211
好的,我可以用中文帮你写一个用于权限验证的 Java 接口。 这是一个简单的例子,你可以使用它来验证用户是否具有某项权限: import java.util.List; public interface AuthorityChecker { /** * 验证用户是否具有给定的权限 * @param userId 用户 ID * @param authorit...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zc-code

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值