當前位置：首頁 > 科技 > 軟件

通過Spring AOP結合SpEL表達式：構建強大且靈活的權限控制體系

來源：責編：時間：2023-11-28 09:36:09 231觀看

導讀環境：SpringBoot2.7.121.前言在當今的Web應用程序中，權限驗證是一個重要的安全措施，用于確保只有具有適當權限的用戶才能訪問特定的資源。隨著應用程序的規模和復雜性的增加，實現權限驗證變得更加困難。為了解決這個問題，

環境：SpringBoot2.7.12

1.前言

在當今的Web應用程序中，權限驗證是一個重要的安全措施，用于確保只有具有適當權限的用戶才能訪問特定的資源。隨著應用程序的規模和復雜性的增加，實現權限驗證變得更加困難。為了解決這個問題，我們可以使用Spring AOP（面向切面編程）和Spring Security的組合，它們可以提供一種有效的方法來實現權限驗證。

在本文中，我們將探討如何使用Spring AOP和Spring Security來實現權限驗證。我們首先介紹Spring AOP和Spring Security的概念，然后解釋如何將它們結合起來實現權限驗證。通過這種方式，我們可以確保只有具有適當權限的用戶能夠訪問受保護的資源，從而提高應用程序的安全性。

一、Spring AOP介紹

Spring AOP是Spring框架中的一個模塊，用于支持面向切面編程。它允許開發者在應用程序中的關鍵點定義切面，從而對程序流程進行干預和控制。通過使用AOP，我們可以將與業務邏輯無關的代碼（如日志記錄、事務管理、權限認證等）抽取出來，并將其放在獨立的切面中，這樣可以提高代碼的可重用性和可維護性。

二、Spring Security介紹

Spring Security是一個強大的安全框架，用于保護Web應用程序。它提供了豐富的安全特性，包括認證、授權、訪問控制等。通過使用Spring Security，我們可以輕松地實現用戶身份驗證、角色授權、URL級別的訪問控制等功能，從而確保只有經過授權的用戶才能訪問受保護的資源。

三、Spring AOP與Spring Security的組合

我們可以將Spring AOP與Spring Security結合起來實現權限驗證。具體步驟如下：

定義一個Aspect切面，用于實現權限驗證邏輯。該Aspect可以攔截用戶對受保護資源的訪問請求，并驗證其權限。
定義一個Filter，該過濾器實現token的解析，將權限信息保存到當前的安全上下文中，最后添加到Security的過濾器鏈中。
在Aspect中，我們可以使用Spring Security提供的API來獲取當前用戶的身份信息、角色等信息，并根據業務需求判斷用戶是否具有訪問受保護資源的權限。
如果用戶沒有足夠的權限訪問受保護資源，我們可以拋出一個異常，以阻止用戶繼續訪問。
如果用戶具有足夠的權限訪問受保護資源，我們可以允許用戶繼續訪問該資源。

通過這種方式，我們可以輕松地實現權限驗證，從而提高應用程序的安全性。同時，使用Spring AOP和Spring Security還可以降低代碼的耦合度，提高代碼的可重用性和可維護性。

2. 權限認證實現

權限認證過濾器

該過濾器的作用用來解析token，將權限信息添加到SecurityContext上下文中

public class PackAuthenticationFilter extends OncePerRequestFilter {  public static final String TOKEN_NAME = "x-api-token" ;    @SuppressWarnings("unused")  private ApplicationContext context ;    public PackAuthenticationFilter(ApplicationContext context) {    this.context = context ;  }    @Override  protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)      throws ServletException, IOException {    String token = request.getHeader(TOKEN_NAME) ;    if (!StringUtils.hasLength(token)) {      response.setContentType("text/html;charset=UTF-8") ;      response.getWriter().println("沒有權限訪問") ;      return ;    }     // 解析token    List<? extends GrantedAuthority> authorities = JwtUtils.parseAuthority(token) ;    Authentication authentication = new UsernamePasswordAuthenticationToken("", "", authorities) ;    SecurityContextHolder.getContext().setAuthentication(authentication) ;    filterChain.doFilter(request, response) ;  }}

安全配置類

將上面的過濾器添加到Security過濾器鏈中

@Configurationpublic class SecurityConfig {    @Autowired  void setContext(ApplicationContext context) {    this.context = context ;  }  @Bean  public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {    http.csrf().disable();    // 對所有的資源全部放行，我們只做對Controller接口的限制訪問    http.authorizeRequests().anyRequest().permitAll() ;    // 添加過濾器    http.addFilterBefore(new PackAuthenticationFilter(this.context), UsernamePasswordAuthenticationFilter.class) ;    http.formLogin().disable() ;    return http.build();  }}

自定義注解

該注解的作用用來標注具體的Controller接口。

@Retention(RetentionPolicy.RUNTIME)@Target(ElementType.METHOD)public @interface PreAuthority {    String value() default "" ;  }

驗證切面

該切面讀取接口配置的權限，驗證是否具有相應的權限

@Component@Aspectpublic class AuthenticationAspect {    private AuthorityVerify authorityVerify ;    public AuthenticationAspect(AuthorityVerify authorityVerify) {    this.authorityVerify = authorityVerify ;  }    @Pointcut("@annotation(auth)")  private void authority(PreAuthority auth) {}    @Around("authority(auth)")  public Object test(ProceedingJoinPoint pjp, PreAuthority auth) throws Throwable {    String authority = auth.value() ;    boolean permit = this.authorityVerify.hasAuthority(authority) ;    if (!permit) {      throw new RuntimeException("權限不足") ;    }    Object ret = pjp.proceed() ;    return ret ;  }  }

權限驗證工具類

@Componentpublic class AuthorityVerify {  public boolean hasAuthority(String authority) {    Collection<? extends GrantedAuthority> authorities = SecurityContextHolder.getContext().getAuthentication().getAuthorities() ;    return authorities.contains(new SimpleGrantedAuthority(authority)) ;  }  }

全局異常處理

在上面的切面類中，如果沒有權限是直接拋出的異常，所以這里定義一個全局異常對異常進行統一的處理。都比較簡單，理解即可。

@RestControllerAdvicepublic class GlobalExceptionAdvice {    @ExceptionHandler({Exception.class})  public Object exceptionProcess(Exception e) {    return e.getMessage() ;  }}

測試接口

@RestController@RequestMapping("/api")public class ApiController {  @GetMapping("/save")  @PreAuthority("api:save")  public Object save(HttpServletResponse response) throws Exception {    return "save method invoke..." ;  }    @GetMapping("/{id}")  @PreAuthority("api:query")  public Object query(@PathVariable("id") Integer id) {    return "query method invoke..." ;  }  }

測試用戶

Map<String, Object> map = new HashMap<>() ;map.put("userId", "888888") ;map.put("authorities", List.of("api:create", "api:query", "api:update", "api:delete")) ;String token = createToken(map) ;System.out.println(token) ;String content = parseToken(token);System.out.println(content) ;System.out.println(">>>>>>>>>>>>>>>>>>>>>") ;System.out.println(parseAuthority(token)) ;

這里模擬了一個用戶信息，設置了權限集合，通過這些信息生成JWT信息。如下：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOiI4ODg4ODgiLCJhdXRob3JpdGllcyI6WyJhcGk6Y3JlYXRlIiwiYXBpOnF1ZXJ5IiwiYXBpOnVwZGF0ZSIsImFwaTpkZWxldGUiXSwiZXhwIjoxNjk5NjE3NTM3fQ.GGLYIP2g5RZZkBoLnyQ_NWOQq_NUQylr5iZH9ouDiCM

測試結果

圖片

/api/save接口配置的權限是api:save，實際模擬的用戶是沒有這個權限的，所以這里看到的是切面中拋出的異常信息。

圖片

查詢接口正常訪問。

以上是簡單的示例，實際你應該會使用Spring Security結合數據庫一起來驗證管理用戶的。

通過本文的介紹，我們了解了如何使用Spring AOP和Spring Security的組合來實現權限驗證。通過這種方式，我們可以提高應用程序的安全性，并降低代碼的耦合度，提高代碼的可重用性和可維護性。希望本文能夠幫助讀者更好地理解和應用Spring AOP和Spring Security，為他們的應用程序開發提供有益的參考。

思考：

在上面的Controller中直接通過@PreAuthority('xxx')進行權限的設置，那我們是不是可以實現類似Spring Security提供@PreAuthorize("hasRole('xxx')")注解的功能，其中hasRole('xxx')是SpEL表達式。其實這里我們可以對切面稍加修改即可實現，部分代碼如下：

初始化SpEL上下文：

@PostConstructpublic void init() {  SpelParserConfiguration config = new SpelParserConfiguration(true, true);  parser = new SpelExpressionParser(config) ;  context = new StandardEvaluationContext() ;  context.setRootObject(this.authorityVerify) ;}

修改切面

@Around("authority(auth)")public Object test(ProceedingJoinPoint pjp, PreAuthority auth) throws Throwable {  String authority = auth.value() ;  boolean permit = this.parser.parseExpression(authority).getValue(this.context, Boolean.class) ;  if (!permit) {    throw new RuntimeException("不具備對應角色") ;  }  Object ret = pjp.proceed() ;  return ret ;}

修改接口

@GetMapping("/save")@PreAuthority("hasRole({'ADMIN', 'MGR'})")public Object save(HttpServletResponse response) throws Exception {  return "save method invoke..." ;}

該接口只要具有ADMIN或者MGR角色的都可以訪問。

本文鏈接：http://www.www897cc.com/showinfo-26-34646-0.html通過Spring AOP結合SpEL表達式：構建強大且靈活的權限控制體系

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇：阿里面試官：LinkedHashMap是怎么保證元素有序的？

下一篇：如何使用 Formik 創建 React 表單

標簽：

熱門焦點

K60 Pro官方停產第三方瞬間漲價

雖然沒有官方宣布，但Redmi的一些高管也已經透露了，Redmi K60 Pro已經停產且不會補貨，這一切都是為了即將到來的K60 Ultra鋪路，屬于廠家的正常操作。但有意思的是該機在停產之后
MIX Fold3包裝盒泄露新機本月登場

小米的全新折疊屏旗艦MIX Fold3將于本月發布，近日該機的真機包裝盒在網上泄露。從圖上來看，新的MIX Fold3包裝盒在外觀設計方面延續了之前的方案，變化不大，這也是目前小米旗艦
K60至尊版剛預熱一加Ace2 Pro正面硬剛

Redmi這邊剛如火如荼的宣傳了K60 Ultra的各種技術和硬件配置，作為競品的一加也坐不住了。一加中國區總裁李杰發布了兩條微博，表示在自家的一加Ace2上早就已經采用了和PixelWo
微信語音大揭秘：為什么禁止轉發？

大家好，我是你們的小米。今天，我要和大家聊一個有趣的話題：為什么微信語音不可以轉發？這是一個我們經常在日常使用中遇到的問題，也是一個讓很多人好奇的問題。讓我們一起來揭開這
三分鐘白話RocketMQ系列—— 如何發送消息

我們知道RocketMQ主要分為消息生產、存儲（消息堆積）、消費三大塊領域。那接下來，我們白話一下，RocketMQ是如何發送消息的，揭秘消息生產全過程。注意，如果白話中不小心提到相關代
大廠卷向扁平化

來源：新熵作者丨南枝編輯丨月見大廠職級不香了。俗話說，兵無常勢，水無常形，互聯網企業調整職級體系并不稀奇。7月13日，淘寶天貓集團啟動了近年來最大的人力制度改革，目前已形成一
華為Mate60標準版細節曝光：經典星環相機模組回歸

這段時間以來，關于華為新旗艦的爆料日漸密集。據此前多方爆料，今年華為將開始恢復一年雙旗艦戰略，除上半年推出的P60系列外，往年下半年的Mate系列也將
Windows 11發布，微軟一改往常對老機型開放的態度

距離 Windows 11 發布已經過去一周，在過去一周里，很多數碼愛好者圍繞其對 Android 應用的支持、對老機型的升級問題展開了激烈討論。與以往不同的是，在這次大
電博會上海爾智家模擬500平大平層，還原生活空間沉浸式體驗

電博會為了更好地讓參展觀眾真正感受到智能家居的絕妙之處，海爾智家的程傳嶺先生同樣介紹了展會上海爾智家的模擬500平大平層，還原生活空間沉浸式體驗。程傳

日韩成人免费在线_国产成人一二_精品国产免费人成电影在线观..._日本一区二区三区久久久久久久久不

通過Spring AOP結合SpEL表達式：構建強大且靈活的權限控制體系

1.前言

一、Spring AOP介紹

二、Spring Security介紹

三、Spring AOP與Spring Security的組合

2. 權限認證實現

相關依賴

權限認證過濾器

安全配置類

自定義注解

驗證切面

全局異常處理

測試接口

測試結果

思考：

修改切面

修改接口

K60 Pro官方停產第三方瞬間漲價

MIX Fold3包裝盒泄露新機本月登場

K60至尊版剛預熱一加Ace2 Pro正面硬剛

微信語音大揭秘：為什么禁止轉發？

三分鐘白話RocketMQ系列—— 如何發送消息

大廠卷向扁平化

華為Mate60標準版細節曝光：經典星環相機模組回歸

Windows 11發布，微軟一改往常對老機型開放的態度

電博會上海爾智家模擬500平大平層，還原生活空間沉浸式體驗

最新推薦

猜你喜歡

熱門推薦

相關資訊