公司项目JAVA开发规范总结(四)——权限规范

已于 2023-09-26 19:34:58 修改
阅读量269 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: # JAVA编码规范 文章标签: java servlet 前端
于 2022-06-28 09:43:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44593275/article/details/125496338
本文介绍了如何通过拦截器和注解在Spring MVC应用中实现用户权限验证,包括AdminAccessRightsInterceptor和TokenAuthenticationInterceptor的使用,以及如何通过UserAuthorized注解和切面进行更细粒度的权限控制。重点讨论了不同实现方式的优缺点和优化建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

四、权限规范

1、拦截器+MVC实现

概述:通过拦截去设置用户是否能够访问该接口

AdminAccessRightsInterceptor:该拦截器只允许管理员及以上身份才能访问,

TokenAuthenticationInterceptor:这两个拦截器都是用来进行token校验的,判断是否是系统用户,是否能访问接口。

通过token去获取用户信息,获取成功则说明token校验通过,可进行接口访问

public class TokenAuthenticationInterceptor implements HandlerInterceptor  {
 @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,Object object) throws Exception {
    	String token = request.getHeader("Authorization");
    	Object obj = checkToken(token);
    	if(obj.getError()==0&&StringUtils.isNotBlank(obj.getData().get("UserID"))) {
		    request.setAttribute("acc_schoolid", obj.getData().get("SchoolID"));
		    request.setAttribute("acc_userid", obj.getData().get("UserID"));
		    try {
		        request.setAttribute("acc_username", URLDecoder.decode(obj.getData().get("UserName"),"UTF-8"));
		    } catch (Exception e) {
		        log.error("token认证成功,转码用户名称出现异常:{}",e);
		        request.setAttribute("acc_username", obj.getData().get("UserID"));
		    }
		    request.setAttribute("acc_usertype", obj.getData().get("UserType"));
		    request.setAttribute("acc_userclass", obj.getData().get("UserClass"));
		    request.setAttribute("acc_studylevel", obj.getData().get("StudyLevel"));
		    request.setAttribute("acc_photoPath", URLDecoder.decode(obj.getData().get("PhotoPath"),"UTF-8"));
		
		    return true;
		
		}else {
		
		    returnErrorResponse(new PacketHttpRes_V32<>(ReturnCode.token_false_code,ReturnCode.token_false_message,ReturnCode.err_nomean_code,ReturnCode.err_nomean_message,null),response); 
		
		    log.error("token认证失败,未认证的请求。error={},用户ID为{}",obj.getError(),obj.getData().get("UserID"));
		
		    return false;
		
		}
    }
}

将获取到的用户信息进行存储到request中,当需要用户信息的时候则从中拿出来使用

 registry.addInterceptor(tokenAuthenticationInterceptor)
		                                   .addPathPatterns("/TeachingPlan/**")
		                                   .excludePathPatterns("/TeachingPlan/AddApplyInfo")

当我们写一些接口的时候,需时刻注意其权限规范,要注意其是否在拦截器的链路范围内,是否符合权限要求。

2、注解+切面实现

使用拦截器做安全权限校验

优点:可对于相同前缀的访问路径做同样的权限处理

 registry.addInterceptor(tokenAuthenticationInterceptor)
		                                   .addPathPatterns("/TeachingPlan/**")
		                                   .excludePathPatterns("/TeachingPlan/AddApplyInfo")

缺点:如果用户拥有多角色多权限,那就得编写多个拦截器,配置多次该路径,最主要的是权限的区分不够细致,如果配置细致针对到每个接口,那么就会显得代码冗余杂乱,也失去了它自身的优点。

优化方案:

概述:编写UserAuthorized注释和切面实现类,通过对于添加了该注释的接口方法,当用户访问时进行切面拦截处理,进行前置的token校验与身份权限校验。

UserAuthorized注释:

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserAuthorized {
    
	//是否起作用
    boolean required() default true;
	//需要拥有身份权限才能访问
    String[] params() default {};

}

UserAuthorizeAspect切面实现类:

@Slf4j
@Aspect
@Component
public class UserAuthorizeAspect {

    @Autowired
    private RestTemplate restTemplate;

    @Autowired
    private GetAddressBySysId getAddressBySysId;

    @Autowired
    private BaseRequest baseRequest;

    @Pointcut("@annotation(com.lancoo.common.security.annotation.UserAuthorized)")
    private void pointcut() {
    }

    @Before("pointcut()")
    public void before(JoinPoint joinPoint){
        Signature signature = joinPoint.getSignature();
        MethodSignature methodSignature = (MethodSignature) signature;
        Method method = methodSignature.getMethod();
        UserAuthorized authorized = method.getAnnotation(UserAuthorized.class);
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        String token = getToken(request);
       	Object obj = getUser(token);
        checkLoginResult(request, obj);
        checkUserPower(authorized, request);

    }

    @Around("pointcut()")
    public Object doAround(ProceedingJoinPoint joinPoint) throws Throwable {
        return joinPoint.proceed();
    }

    /**
     * 在切入点return内容之后切入内容(可以用来对处理返回值做一些加工处理)
     *
     * @param joinPoint
     */
    @AfterReturning("pointcut()")
    public void doAfterReturning(JoinPoint joinPoint) {
    }

}

【软件开发规范一】《Java开发规范
商务合作|问题讨论|交流学习 请联系作者微信,加微信请务必注明来意,博客主页有联系方式
07-18 3011
此文档说明书供开发部全体成员阅读。1.【强制】不允许任何魔法值(即未经预先定义的常量)直接出现在代码中。反例2.【强制】long或者Long初始赋值时,使用大写的L,不能是小写的l,小写容易跟数字1混淆,造成误解。说明写的是数字的21,还是Long型的2?3.【推荐】不要使用一个常量类维护所有常量,按常量功能进行归类,分开维护。说明大而全的常量类,非得使用查找功能才能定位到修改的常量,不利于理解和维护。正例缓存相关常量放在类CacheConsts下;...
Java实训企业级Java框架开发——权限管理系统_03
qq_54531415的博客
05-21 632
Java中的ORM框架 SpringBoot 应用 集成 MyBatis-Plus
Shiro - 项目 开发中的权限管理
KOKjock的博客
07-10 394
大家好,我是 IT 修真院深圳分院第 5 期的学员,一枚正直纯洁善良的的的的的 java 的程序员。今天给大家分享一下,项目开发之Shiro - 项目 开发中的权限管理。----------------------------------------------------------------------------------------1. 背景介绍什么是权限管理?权限管理,一般指根据系统...
java权限问题吗_运行JAVA程序的权限问题
weixin_39625098的博客
02-26 166
import org.apache.ftpserver.FtpServerFactory;import org.apache.ftpserver.listener.ListenerFactory;import org.apache.ftpserver.FtpServer;import org.apache.ftpserver.ftplet.FtpException;public class Ftp...
Java 开发中,关于权限验证的相关思考
风中之枫
07-28 481
权限分“ Action 级” 和 “数据级” ,两个级别。Action 级的验证可以放到 Filter 中,检查路径,判断 action 值,action 默认为 select数据级的验证放在每个模块的 Action 中,会根据不同变量值有不同的情况,因此不能写在 Filter
孤尽班第25天 -- 项目权限管理
yaseru的博客
11-29 430
用户角色管理 RBAC模型 RBAC(role based access control)是一种设计模式,用来设计和管理权限相关数据的一种模型。
java权限控制详解,比较全
啊哒的博客
12-05 5262
java权限控制详解,比较全
《web开发技术(java)》实验——利用Session完成用户登录功能------(1).pdf
最新发布
07-23
在Web开发中,Java技术一直扮演着重要的角色。特别是在处理用户登录和会话管理方面,Session机制是一个核心的概念。Session(会话)指的是用户在访问服务器时,从进入站点到离开的一段时间内,用户的浏览器和服务器...
基于Java的农业科研项目管理信息系统优化开发——以宁夏农林科学院为例.pdf
07-02
基于Java的农业科研项目管理信息系统优化开发是宁夏农林科学院为提升科研项目管理水平、实现科研项目全生命周期管理而进行的一项信息技术创新实践。该系统以B/S模式运行,依托Web技术和Java程序设计语言开发,有效...
对日java开发自述———————大毕业生就业建议
weixin_43605103的博客
04-17 2902
技术落后,流程非常规范,基本照着流程一步一步 大错不错 ,不会出大错。 我自己是从大就在对日外包公司实习,干了不到年跳出去的。刚毕业那会,说实在话,你能指望一个没太大学习心的刚毕业的学生,技术有多好嘛。刚毕业的学生优势在于学习的东西略微新一些,但是很缺乏运用。再碰上实训(少有可以多敲代码的机会)总是互相抄作业,满陌生的对于那些“语法”,哈哈哈。 实习那会觉得有人要,面试通过蛮开心的。那就上班喽,至于什么样的公司以后的发展怎么样都没想过。实习一年基本测试,动代码也是改很小的bug,毕竟还小,动代码如果
访问控制权限及命名规范
08-06
NULL 博文链接:https://chaoyi.iteye.com/blog/2080351
JAVA权限开发详解,权限管理模块开发之数据规则权限开发详解
weixin_42523529的博客
03-22 647
权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。从控制力度来看,可以将权限管理分为两大类:1,功能级权限管理;2,数据级权限管理。从控制方向来看,也可以将权限管理分为两大类:1,从系统获取数据,比如查询订单、查询客户资料;2,向系统提交数据,比如删除订单、修改客户资料数据权限是在功能权...
后台管理系统权限管理详解
qq_43803757的博客
09-07 7098
vue后台管理系统权限关系梳理与详解
多可系统的权限规则详解
初衷的博客
12-22 488
权限管理是多可文档管理系统的重要组成部分,用户只有被授予权限,才可以对相应的文件、文件夹等执行一定的操作,这样就确保了文件的私密性。那么,多可系统中权限管理的规则是什么样的呢?其实,多可系统中的权限管理遵循继承规则和累加规则,下面详细介绍这两种规则。 1. 继承规则 用户有父工作组权限,则一定有子组及其文件夹的权限。 用户有父文件夹的操作权限,则一定有子文件夹的权限。 用户有文件夹的操作权限,则一定有文件夹中文件的操作的权限。如下图所示,用户甲在“市场部”被授X权限,则甲在“市场部”的子组“产品部”
Java中的权限问题
zfliu96的博客
10-22 678
1、成员方法中权限修饰符的访问                     同一个包下           同一类    (子类和无关类)    不同包下(子类)    不同包下(无关类) a) private      Y b) 默认         Y          Y c) protected     Y          Y              Y d...
Java项目---权限分类
天才小汪汪
04-29 1426
权限分类可以分成两种 第一种,功能性权限。什么叫功能性权限呢?就是说一个用户,在该系统上,可以使用那些功能,比如在一个图书管理系统中,管理员权限就是可以使用所有功能,包括管理所有子账号的增删改,而子账号只能更改自己的信息。所以管理员比子账号多出了一个账号管理权限,这种类型的权限就是功能性权限。 第二种,数据性权限。即在账号的区别上,所能查看或修改的数据不一样。比如图书管理系统中,管理员权限可以...
java web简单权限管理设计
w2222288的专栏
10-18 1345
最近在做一个网站类型项目,主要负责后台,ui框架选型为jquery easy ui,项目架构为spring mvc + spring jdbc,简单易用好上手!搭建好框架后开始了第一个任务,设计并实现一套简单的权限管理功能。 一套最基本的权限管理包括用户、角色、资源。 数据库设计 我的设计如下: 用户:user 角色:role 用户-角色:user_role 资源:resou
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值