文档章节

结合shiro使用aop自定义权限验证

javahao
 javahao
发布于 2017/02/24 14:49
字数 877
阅读 68
收藏 1

#场景 为了敏捷开发,作者在平台中把dao、service、甚至controller三层基本的增删改查都抽象到顶层,这样在一个新模块中只要有了这三层就拥有了增删改查的功能,结合代码生成器大大提升了开发效率,但是在这种情况下,shiro自带的权限验证_@RequiresPermissions_注解就显得有点力不从心了。

#方案 1、采用自定义注解将资源权限分成两块,一块是功能模块注解(@PermissionModule),一块是资源操作注解(@PermissionOperate),这样在抽象出去的controller层面就可以只在@PermissionOperate()定义可访问的资源权限名称,在实际的功能模块类中定义模块名称,两块拼在一起即一个完整的资源权限

代码如下:

/**
 * use for:资源模块
 * Created by javahao on 2017/2/20.
 * auth:JavaHao
 */
@Documented
@Target({ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PermissionModule {
    String value() default "";
}
/**
 * use for:资源
 * Created by javahao on 2017/2/20.
 * auth:JavaHao
 */
@Documented
@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface PermissionOperate {
    /**
     * 资源
     * @return
     */
    String[] value() default "";

    /**
     * 关系
     * @return
     */
    Relation relation() default Relation.AND;
}

/**
 * use for:关系
 * Created by javahao on 2017/2/24.
 * auth:JavaHao
 */
public enum Relation {
    OR,AND;
}

2、使用AOP在添加了指定注解的方法加切入点,这样在访问指定资源之前,先进行权限校验,如果验证通过则继续访问,如果验证失败则跳转越权页面。

代码如下:

@Aspect
@Component
public class PermissionAop {
    @Before(value="@annotation(operate)")
    public void permission(JoinPoint jp,PermissionOperate operate) throws Throwable{
        Class aspectClz = jp.getTarget().getClass();
        if(aspectClz.isAnnotationPresent(PermissionModule.class)){
            PermissionModule module = (PermissionModule) aspectClz.getAnnotation(PermissionModule.class);
            String[] operates = operate.value();
            String[] checks = new String[operates.length];
            for(int i = 0 ; i < operates.length ; i++){
                checks[i] = module.value()+":"+operates[i];
            }
            if(!UserUtil.isPermitted(operate.relation(),checks))
                throw new UnauthorizedException("用户:["+UserUtil.getName()+"]正在越权访问资源:"+ ArraysUtil.joinStringArray(Arrays.asList(operates),","));
        }
    }
}
/**
 * use for:检测到请求未授权回调
 * Created by javahao on 2017/2/24.
 * auth:JavaHao
 */
@ControllerAdvice
public class UnAuthorizationHandler {
    @ExceptionHandler({UnauthorizedException.class})
    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    public ModelAndView processUnauthenticatedException(NativeWebRequest request, UnauthorizedException e) {
        ModelAndView mv = new ModelAndView();
        mv.addObject("exception", e);
        mv.setViewName("unauthorized");
        return mv;
    }
}

注:

此处作者遇到的难点在aop的@Before地方,初始写法是

@Before(value="@annotation()")
    public void permission(JoinPoint jp) throws Throwable{
        
    }

大家可能注意到了变化@annotation()和方法无参数,这种情况下,如果想要获取到完整的权限标示是比较困难的,作者尝试过N种方法都没能成功这篇博客虽然说得很详细,但是按照博主的方法测试之后,始终还是获取到的代理方法,无法获取到切面的注解。 最终作者在这篇博客中受到启发

@Before(value="@annotation(operate)")
    public void permission(JoinPoint jp,PermissionOperate operate) throws Throwable{
        ......
    }

还有一点资源权限验证是作者扣的shiro的标签源码,大家需要“自扣”即可

<shiro:hasPermission name=""/>

附赠一段使用aop的列选择代码

@AfterReturning(pointcut="within(com..*) && @annotation(columnSelect)",returning="modelAndView")
	public void getCurrentDictColumn(Object modelAndView,ColumnSelect columnSelect) throws Exception{
		//加入列选择
		DictColumns dictColumns = new DictColumns();			
		Module module = new Module();
		module.setId(columnSelect.moduleId());
		String accountId=CurrentProperties.getCurrentAccountCache().getAccount().getId();
		dictColumns.setAccountId(accountId);
		dictColumns.setModule(module);
		List<DictColumns> dictColumnsList=dictColumnsService.listDictColumnsByAccount(dictColumns);
//		HttpServletResponse response = CurrentProperties.getCurrentResponse();
//		response.setCharacterEncoding("UTF-8");
//		PrintWriter printWriter = response.getWriter();
		ModelMap modelMap = ((ModelAndView)modelAndView).getModelMap();
		modelMap.put("dictColumnsList",dictColumnsList);
		modelMap.put("module",module);
		
		/*JsonConfig jsonConfig = new JsonConfig();  
		
		//排除不需要进行转换的属性
		jsonConfig.setExcludes(new String[] { "beanClass","prefix","callback","propertyEditorClass","propertyType","propertyValue","propertyValues","readMethod","writeMethod","writeMethodForActualAccess","writeMethodParameter"});  
		
		//防止自包含形成死循环
		jsonConfig.setCycleDetectionStrategy(CycleDetectionStrategy.LENIENT);
		
		// 当输出时间格式时,采用和JS兼容的格式输出 
		//注:JsDateJsonBeanProcessor 是json-lib已经提供的类,我们也可以实现自己的JsonBeanProcessor
		jsonConfig.registerJsonBeanProcessor(Date.class,new JsDateJsonBeanProcessor());
		
		JSONObject json = JSONObject.fromObject(modelMap,jsonConfig);
		
		printWriter.print(json);
		printWriter.close();*/
	}

更详细的aop讲解 请看这里 共同学习,共同进步!

© 著作权归作者所有

共有 人打赏支持
javahao
粉丝 2
博文 10
码字总数 11029
作品 0
济南
高级程序员
springboot + shiro 权限注解、请求乱码解决、统一异常处理

springboot + shiro 权限注解、请求乱码解决、统一异常处理 前篇 后台权限管理系统 相关: spring boot + mybatis + layui + shiro后台权限管理系统 springboot + shiro之登录人数限制、登录...

wyait
06/06
0
0
shiro基础配置

spring-shiro.xml文件 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:......

卯金刀GG
2016/09/09
25
0
Apache Shiro入门总结

一:数据库表结构 users:用户表,包含用户名、密码、角色ID。 roles:角色表,包含角色名。 permission:权限表,包含权限字符串(user:add),权限描述。 role_permission:中间表,包含角色和权限...

铂金小虫
2013/09/01
0
1
Shiro和Spring Security对比

Shiro简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不...

有余力则学文
04/27
0
0
SSM框架整合Shiro后的开发

手摸手教你SSM框架整合Shiro后的开发 前面,我们学习了Shiro实现权限管理之表结构设计以及JQuery-Ztree.js使用范例 ,接下来就详细介绍一下SSM框架整合Shiro框架后的开发。同样推荐大家参看张...

TyCoding
09/19
0
0

没有更多内容

加载失败,请刷新页面

加载更多

day99-20180926-英语流利阅读-待学习

换汤不换药的美容大忽悠:从抗衰老到肌肤焕发新生 Lala 2018-09-26 1.今日导读 说到护肤品,一个个大牌广告就浮现在我们眼前:皮肤吹弹可破的女明星手捧功能各异的瓶瓶罐罐,暗示着消费者买买...

飞鱼说编程
32分钟前
3
0
FFmpeg Maintainer赵军:FFmpeg关键组件与硬件加速

大家好!我是赵军,现就职于英特尔的DCG从事基于FFmpeg的硬件优化工作,两年多前加入FFmpeg社区,2018年4月成为FFmpeg的其中的一个FFmpeg Maintainer,主要负责FFmpeg的硬件优化工作。 概览:...

yizhichao
今天
1
0
ehlib 修改 使行号字体颜色 与标题字体颜色 一致

对ehlib 显示效果不够满意,而做的调整 修改这个过程:procedure TCustomDBGridEh.DrawIndicatorCell(ACol, ARow: Longint; AreaCol, AreaRow: Longint; ARect: TRect; AState: TGri......

vga
今天
1
0
Bash重定向详解

Bash重定向详解 Bash的重定向指的是将命令的输入和输出导向不同地方,而不是默认的标准输入、标准输出和标准错误。Bash的重定向实际上是对标准输入、标准输出和标准错误的重置,进而将所需输...

小陶小陶
今天
3
0
EventBus原理深度解析

一、问题描述 在工作中,经常会遇见使用异步的方式来发送事件,或者触发另外一个动作:经常用到的框架是MQ(分布式方式通知)。如果是同一个jvm里面通知的话,就可以使用EventBus。由于Event...

yangjianzhou
今天
54
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部