若依框架基于@PreAuthorize注解的权限控制

这篇具有很好参考价值的文章主要介绍了若依框架基于@PreAuthorize注解的权限控制。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一、Java注解(Annotation)

1. 概述        

2. Annotation通用定义

(1)@interface

(2)@Documented

(3)@Target(ElementType.TYPE)

(4)@Retention(RetentionPolicy.RUNTIME)

二、基于注解的权限控制

1. 数据权限

 2. 角色权限


一、Java注解(Annotation)

1. 概述        

        Java 注解(Annotation)又称 Java 标注,是 JDK5.0 引入的一种注释机制。

        Java 定义了一套注解,共有 7 个,3 个在 java.lang 中,剩下 4 个在 java.lang.annotation 中。

作用在代码的注解是:

  • @Override - 检查该方法是否是重写方法。如果发现其父类,或者是引用的接口中并没有该方法时,会报编译错误。
  • @Deprecated - 标记过时方法。如果使用该方法,会报编译警告。
  • @SuppressWarnings - 指示编译器去忽略注解中声明的警告。

作用在其他注解的注解(或者说 元注解)是:

  • @Retention - 标识这个注解怎么保存,是只在代码中,还是编入class文件中,或者是在运行时可以通过反射访问。
  • @Documented - 标记这些注解是否包含在用户文档中。
  • @Target - 标记这个注解应该是哪种 Java 成员。
  • @Inherited - 标记这个注解是继承于哪个注解类(默认 注解并没有继承于任何子类)

2. Annotation通用定义

@Documented
@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
public @interface MyAnnotation1 {
}

(1)@interface

        使用 @interface 定义注解时,意味着它实现了 java.lang.annotation.Annotation 接口,即该注解就是一个Annotation。定义 Annotation 时,@interface 是必须的。

(2)@Documented

        类和方法的 Annotation 在缺省情况下是不出现在 javadoc 中的。如果使用 @Documented 修饰该 Annotation,则表示它可以出现在 javadoc 中。

        定义 Annotation 时,@Documented 可有可无;若没有定义,则 Annotation 不会出现在 javadoc 中。

(3)@Target(ElementType.TYPE)

        ElementType 是 Annotation 的类型属性。而 @Target 的作用,就是来指定 Annotation 的类型属性。

ElementType.METHOD:该注解只能声明在一个类的方法前。

ElementType.TYPE:该注解只能声明在一个类前。

(4)@Retention(RetentionPolicy.RUNTIME)

        @Retention(RetentionPolicy.RUNTIME) 的意思就是指定该 Annotation 的策略是 RetentionPolicy.RUNTIME。这就意味着,编译器会将该 Annotation 信息保留在 .class 文件中,并且能被虚拟机读取。

总结:

       @interface 用来声明 Annotation,@Documented 用来表示该 Annotation 是否会出现在 javadoc 中, @Target 用来指定 Annotation 的类型,@Retention 用来指定 Annotation 的策略。

Java中常用的Annotation:

@Deprecated  -- @Deprecated 所标注内容,不再被建议使用。
@Override    -- @Override 只能标注方法,表示该方法覆盖父类中的方法。
@Documented  -- @Documented 所标注内容,可以出现在javadoc中。
@Inherited   -- @Inherited只能被用来标注“Annotation类型”,它所标注的Annotation具有继承性。
@Retention   -- @Retention只能被用来标注“Annotation类型”,而且它被用来指定Annotation的RetentionPolicy属性。
@Target      -- @Target只能被用来标注“Annotation类型”,而且它被用来指定Annotation的ElementType属性。
@SuppressWarnings -- @SuppressWarnings 所标注内容产生的警告,编译器会对这些警告保持静默。

二、基于@PreAuthorize注解的权限控制

        若依框架使用 Spring Security来进行鉴权, Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限。

@PreAuthorize注解用于配置接口,要求用户拥有某些权限才可访问,它拥有如下方法

方法 参数 描述
hasPermi String 验证用户是否具备某权限
lacksPermi String 验证用户是否不具备某权限,与 hasPermi逻辑相反
hasAnyPermi String 验证用户是否具有以下任意一个权限
hasRole String 判断用户是否拥有某个角色
lacksRole String 验证用户是否不具备某角色,与 isRole逻辑相反
hasAnyRoles String 验证用户是否具有以下任意一个角色,多个逗号分隔

1. 数据权限

整体逻辑:每个用户分配角色之后,都会有一定的权限,在用户访问某个接口时,会判断用户所拥有的权限是否包含该接口需要的权限,然后将判断的结果("true"或者"fales")传入@PreAuthorize注解实现数据权限的控制。当Spring EL 表达式返回TRUE,则权限校验通过;

示例: 

例如在判断用户是否具有新增用户权限时,加上了下面这个注解:

 若依框架基于@PreAuthorize注解的权限控制

 (1)@PreAuthorize 注解:

@PreAuthorize注解括号里面接收的是String类型的参数,且值为 "true"  或者 "false" 

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Inherited
@Documented
public @interface PreAuthorize {
    String value();
}

(2)ss.hasPermi() 方法:

 ss:ss是PermissionService类实例化后起的的对象名

hasPermi() 方法接收一个 String类型的参数,值为'system:user:add',返回值为布尔类型,首先进行校验,判断参数是否为空,然后拿到当前登录系统的用户,判断当前用户是否为空以及用户拥有的权限是否为空(调用 loginUser.getPermissions() 方法,返回一个Set集合的权限列表),最后调用 hasPermissions(loginUser.getPermissions(), permission) 方法判断用户是否有该权限,如果包含就返回 true。

若依框架基于@PreAuthorize注解的权限控制

若依框架基于@PreAuthorize注解的权限控制 若依框架基于@PreAuthorize注解的权限控制

若依框架基于@PreAuthorize注解的权限控制

 存储权限信息表:

若依框架基于@PreAuthorize注解的权限控制

 若依框架基于@PreAuthorize注解的权限控制

 2. 角色权限

角色权限时根据用户所属的角色来进行权限控制,实际原理和数据权限一样。文章来源地址https://www.toymoban.com/news/detail-423322.html

// 属于user角色
@PreAuthorize("@ss.hasRole('user')")

// 不属于user角色
@PreAuthorize("@ss.lacksRole('user')")

// 属于user或者admin之一
@PreAuthorize("@ss.hasAnyRoles('user,admin')")

到了这里,关于若依框架基于@PreAuthorize注解的权限控制的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • SpringBoot - @PreAuthorize注解详解

    写在前面 @PreAuthorize注解会在方法执行前进行权限验证,支持Spring EL表达式,它是基于方法注解的权限解决方案。只有当@EnableGlobalMethodSecurity(prePostEnabled=true)的时候,@PreAuthorize才可以使用,@EnableGlobalMethodSecurity注解在SPRING安全中心进行设置,如下: 如何使用 ①. 注解如何使用

    2024年02月12日
    浏览(39)
  • 详细分析SpringSecurity中的@PreAuthorize注解

    在Java中, @PreAuthorize 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(

    2024年04月28日
    浏览(33)
  • SpringSecurity的注解@PreAuthorize(“@ss.hasPermi(‘system:config:list‘)“)实现流程

    今天项目做权限控制,发现项目里别人的做法很方便,特此记录实现过程。 逻辑方法这里省略,具体参考下面的链接 实现思路就是使用SpringSecurity框架,开启权限校验@EnableGlobalMethodSecurity注解,第二步自动校验规则的方法hasPermi()方法,逻辑自己实现,第三步就可以使用

    2024年02月16日
    浏览(48)
  • Spring Security 之方法级的权限管控 @PreAuthorize 使用详解

    默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同的访问条件. Spring Security 支持三种方法级注解, 分别是 JSR-205 注解 /@Secured 注解 / prePostEnabled 注解. 这些注解不仅可以直接加 controller 方法上, 也可以注解 Service 或

    2024年04月26日
    浏览(34)
  • RuoYi若依管理系统最新版 基于SpringBoot的权限管理系统

    RuoYi是一个后台管理系统,基于经典技术组合(Spring Boot、Apache Shiro、MyBatis、Thymeleaf)主要目的让开发者注重专注业务,降低技术难度,从而节省人力成本,缩短项目周期,提高软件安全质量。 本地版本为截止2023-9-10最新版本V4.7.7 完全响应式布局(支持电脑、平板、手机等所

    2024年02月09日
    浏览(40)
  • SpringSecurity安全框架学习——@PreAuthorize的实现原理

    首先我们打开@PreAuthorize注解的源码,然后按住Ctrl并单击PreAuthorize,可以看到在EnableMethodSecurity注解中有引用 (本文使用IDEA,后续不再复述) 查看EnableMethodSecurity源码,可以到,其引用了MethodSecuritySelector 按照惯例,打开MethodSecuritySelector 可以看到,当prePostEnabled=true时,会注

    2023年04月16日
    浏览(35)
  • 基于若依框架的微信小程序登录

    一、用户表结构 二、用户实体类 三、登录时用到的SQL语句 四、微信用户登录验证 五、创建token令牌 六、登录接口涉及方法

    2024年02月11日
    浏览(40)
  • 基于若依前后端分离框架的小程序的token验证

    后端和管理端都用的若依框架。 但是前段的小程序需要微信授权登录。这时候就需要在若依框架上重新再起一套token验证。 首先创建两个类(只要放在你能够引用得到的位置就可以): 第一个:实体 第二个service: 下一步: 找到 com.ruoyi.framework.security.filter; 这个文件 添加你

    2024年02月11日
    浏览(46)
  • spring boot中常用的安全框架 Security框架 利用Security框架实现用户登录验证token和用户授权(接口权限控制)

    spring boot中常用的安全框架 Security 和 Shiro 框架 Security 两大核心功能 认证 和 授权 重量级 Shiro 轻量级框架 不限于web 开发 在不使用安全框架的时候 一般我们利用过滤器和 aop自己实现 权限验证 用户登录 Security 实现逻辑 输入用户名和密码 提交 把提交用户名和密码封装对象

    2024年02月06日
    浏览(52)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包