2. 程式人生 > >Spring Boot實現OAuth 2.0(二)-- 自定義許可權驗證

Spring Boot實現OAuth 2.0(二)-- 自定義許可權驗證

阿新 發佈:2019-02-04

自定義攔截器進行許可權驗證

涉及到的姿勢:

  • 自定義註解
  • 攔截器
  • Spring Boot新增攔截器

文章目錄:

自定義註解

@Target(ElementType.METHOD)//作用在方法
@Retention(RetentionPolicy.RUNTIME)//僅在執行時
@Documented
public @interface RoleAnnotation {

    /**
     * <b>“且”關係的Role</b>
     * <p>必須指定type</p>
     */
    public static String TYPE_AND = "and"
 
;

    /**
     * <b>“或”關係的Role</b>
     */
    public static String TYPE_OR = "or";

    /**
     * <b>“混合”關係的Role</b>
     * <p>必須指定type</p>
     */
    public static String TYPE_MIXED 
                            = "mixed";

    /**
     * <b>Role之間的關聯方式</b>
     */
 

    String type() default 
                RoleAnnotation.TYPE_OR;

    /**
     * <b>“且”關係的Role</b>
     * <p>必須指定type</p>
     */
    String[] and() default {};

    /**
     * <b>“或”關係的Role</b>
     */
    @AliasFor("value")
    String[] or() default {};

    @AliasFor
 
("or")
    String[] value() default {};

    /**
     * <b>“混合”關係的Role</b>
     * <p>必須指定type</p>
     */
    String mixed() default "";
    // ( (hr && fe) || admin )

}

在這裡定義的是自定義註解,只相當於介面,還沒有實現。
在下面的攔截器中,會出現自定義註解的實現。
在這裡提兩個姿勢點:

  1. @AliasFor(“or”)是取別名,這樣就可以讓使用註解人,使用自己喜歡的註解關鍵字。
  2. value()方法是註解的預設方法,給value賦值的時候,@RoleAnnotation(value = “”) 可以直接寫成@RoleAnnotation( “”)。再加上@AliasFor的作用,你就可以讓自定義註解,將預設值賦值給你想要的那個欄位。

自定義攔截器

@Service("qiYunRoleInterceptor")
public class RoleInterceptor implements HandlerInterceptor {

    @Autowired
    private TokenStore tokenStore;

    @Override
    public boolean preHandle(
    HttpServletRequest request,
    HttpServletResponse response,
    Object handler)
            throws Exception {
        HandlerMethod handlerMethod =(HandlerMethod) handler;
        RoleAnnotation roleAnnotation = 
                handlerMethod.getMethodAnnotation(RoleAnnotation.class);// 在這裡使用了自定義註解,也就相當於註解的實現類
        if (roleAnnotation == null) {
            return true;
        }

        String token = request.getParameter("access_token");
        if (StringUtils.isEmpty(token)) {
            noPermission(response);
            return false;
        }
        OAuth2Authentication auth = tokenStore.readAuthentication(token);
        Collection<GrantedAuthority> authorities = auth.getAuthorities();
        if (authorities.isEmpty()) {
            noPermission(response);
            return false;
        }

        Set<String> permissons = new HashSet<String>();
        for (GrantedAuthority authority : authorities) {
            permissons.add(authority.getAuthority());
        }

        boolean hasRole = false;
        String dealType = roleAnnotation.type();
        switch (dealType) {
            case RoleAnnotation.TYPE_OR :
                String[] orRoles = roleAnnotation.or();
                for (String orRole : orRoles) {
                    if (permissons.contains(orRole)) {
                        hasRole = true;
                        break;
                    }
                };
                break;
            case RoleAnnotation.TYPE_AND :
                String[] andRoles = roleAnnotation.and();
                Set<String> requireRoles = new HashSet<String>();
                for (String role : andRoles) {
                    requireRoles.add(role);
                }
                if (permissons.containsAll(requireRoles)) {
                    hasRole = true;
                }
                break;
            case RoleAnnotation.TYPE_MIXED :
                break;
        }

        if (!hasRole) {
            noPermission(response);
        }
        return hasRole;
    }

    private void noPermission(HttpServletResponse response) throws IOException {
        response.setContentType("application/json; charset=utf-8");  
        response.setCharacterEncoding("UTF-8");  

        JSONObject json = new JSONObject();
        json.put("error code", "500");
        json.put("description", "no permission");

        String error = json.toString();
        OutputStream out = response.getOutputStream();  
        out.write(error.getBytes("UTF-8"));  
        out.flush();  
        out.close();
    }

}

配置WebMvcConfigurer

@Configuration
public class MvcConfigurer implements WebMvcConfigurer {

    @Autowired
    @Qualifier("qiYunRoleInterceptor")
    private HandlerInterceptor interceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
         registry.addInterceptor(interceptor).addPathPatterns("/api/**");
    }

}

相關推薦

Spring Boot實現OAuth 2.0-- 定義許可權驗證

自定義攔截器進行許可權驗證 涉及到的姿勢: 自定義註解 攔截器 Spring Boot新增攔截器 文章目錄: 自定義註解 @Target(ElementType.METHOD)//作用在方法 @Retention(RetentionP

Spring Boot實現OAuth 2.0

忘記po原始碼了,點這裡[github 原始碼] 開篇當然是包結構啦。 @EnableAuthorizationServer @SpringBootApplication 【更正】 ( scanBasePackages = {“co

spring-boot整合redis作為快取3——定義key

        分幾篇文章總結spring-boot與Redis的整合         4、自定義key         5、spring-boot引入Redis         在上一篇文章中說道key是用來分辨同一個快取中的快取資料的。key是可以自己制定的,也

ASP.NET WebApi OWIN 實現 OAuth 2.0定義獲取 Token

href timespan 獲取 edi prot cep b- med 2-0 相關文章:ASP.NET WebApi OWIN 實現 OAuth 2.0 之前的項目實現,Token 放在請求頭的 Headers 裏面,類似於這樣: Accept: application

Spring Boot 揭秘與實戰 數據存儲篇 - 聲明式事務管理

public rollback long tar jpa oid config 新的 autowire 文章目錄 1. 聲明式事務 2. Spring Boot默認集成事務 3. 實戰演練4. 源代碼 3.1. 實體對象 3.2. DAO 相關 3.3. Service

Spring Boot幹貨系列:配置文件解析

set test profile ava java prefix 標註 了解 pre Spring Boot:配置文件解析 前言 上一篇介紹了Spring Boot的入門,知道了Spring Boot使用“習慣優於配置”(項目中存在大量的配置,此外

使用Spring+MySql實現讀寫分離spring整合多數據庫

ont 依據 xml配置 實現 整合 配置 item 匹配 mic 緊接著上一章,因為現在做的項目還是以spring為主要的容器管理框架,所以寫以下spring如何整合多個數據源。 1. 背景 我們一般應用對數據庫而言都是“讀多寫少”,也就說對數據庫讀取數據的壓力比較大

微服務 SpringBoot 2.0:配置文件解析

@override 書寫 string 接下來 code java interface sse als properties我用了好多年,你卻讓我用yml,這是什麽鬼 —— Java面試必修 引言 上一篇介紹了Spring Boot的輕松入門項目構建,對Spring B

Spring Boot中使用WebSocket總結:向指定使用者傳送WebSocket訊息並處理對方不線上的情況

Spring Boot中使用WebSocket總結(二):向指定使用者傳送WebSocket訊息並處理對方不線上的情況 在上一篇文章(www.zifangsky.cn/1355.html)中我介紹了在Spring專案中使用WebSocket的幾種實現方式。但是,上篇文章中只介紹了服務端採用廣播模式給所有客戶

SpringCloud 2.0——Eureka客戶端搭建

上一篇:SpringCloud 2.0(一)——註冊中心Eureka搭建 這一節,我們基於SpringBoot搭建一個服務的提供方,然後註冊到上一節中我們搭建的Eureka註冊中心。還是跟上一篇一樣,去Spring的官網搜尋對應的Eureka Discovery依賴,如下圖:因

微服務 SpringBoot 2.0:配置檔案解析

properties我用了好多年,你卻讓我用yml,這是什麼鬼 —— Java面試必修 引言 上一篇介紹了Spring Boot的輕鬆入門專案構建,對Spring Boot的特性有了初步瞭解。但如果要想玩得很熟練的話就請看接下來的文章,這樣有助於後續我們快速

Android Retrofit 2.0使用教程OkHttp3 + Gson + RxJava

系列文章推薦:相關資料新增依賴compile 'com.squareup.okhttp3:okhttp:3.3.1' compile 'com.squareup.retrofit2:retrofit:2.1.0'別忘在Manifest裡新增許可權<uses-permis

Spring Boot 入門之 Web 篇

一、前言 上一篇《Spring Boot 入門之基礎篇(一)》介紹了 Spring Boot 的環境搭建以及專案啟動打包等基礎內容,本篇繼續深入介紹 Spring Boot 與 Web 開發相關的知識。 二、整合模板引擎 由於 jsp 不被 SpringBoot 推薦使用,所以模板引擎主

Spring Boot學習筆記----mybatis註解

之前的博文講述了mybatis註解的簡單用法,包括@Select,@Insert,@Update,@Delete,@Result,@Param和@Options。本文將記錄多個Provider的用法。 如何理解Provider呢?只是換了一種形式。將原來的SQ

構建 Zookeeper + Dubbo + Spring Boot 的分散式呼叫專案

一、使用 Spring Initializr 構建 Dubbo 服務消費者 dubbo-consumer 專案 1. 登入 http://start.spring.io/ 填寫如下資訊後點擊 “

Spring Boot 學習之 Web 篇

該系列並非完全原創,官方文件、作者一、前言上一篇《Spring Boot 入門之基礎篇(一)》介紹了 Spring Boot 的環境搭建以及專案啟動打包等基礎內容,本篇繼續深入介紹 Spring Boot 與 Web 開發相關的知識。二、整合模板引擎由於 jsp 不被 Spr

帶checkbox的ListView實現——定義Checkable控制元件的實現方法

前言:前一篇文章給大家展示了傳統的Listview的寫法,但有的時候我們並不想在DataHolder類中加一個標識是否選中的checked的成員變數,因為在專案開發中,大部分的ListItemLayout佈局都是大家共用的,有些人根本不需要checkbox控制元件,所以會在初

MySQL數據庫高級——定義函數

MySQL 自定義 函數 MySQL數據庫高級(二)——自定義函數 一、自定義函數簡介 自定義函數 (user-defined function UDF)是一種對MySQL擴展的途徑,其用法和內置函數相同。自定義函數的兩個必要條件:A、參數B、返回值(必須有)。函數可以返回任意類型的值。 二、自定

函式計算搭建 Serverless Web 應用- 定義域名

摘要: 繫結自定義域名可以允許使用者通過自定義域名訪問 FC 的函式,配合 HTTP 觸發器使用,為使用函式計算搭建 Web 應用提供便利。 簡介阿里雲 函式計算(Function Compute) 是事件驅動的全託管計算服務,是阿里雲的 Serverless 計算平臺。基於函式計算構建應用,您無需管理伺服

SpringBoot之HandlerInterceptor攔截器的使用 ——定義註解

在上一篇部落格已經介紹了HandlerInterceptor的基本用法這裡就不重複了詳見:SpringBoot之HandlerInterceptor攔截器的使用 ——(一) 功能簡介 攔截所有添加了我們自定義的註解的方法,並將userId和userMobile放入HttpServ