若依框架基于@PreAuthorize注解的权限控制

目录

一、Java注解(Annotation)

1. 概述        

2. Annotation通用定义

(1)@interface

(2)@Documented

(3)@Target(ElementType.TYPE)

(4)@Retention(RetentionPolicy.RUNTIME)

二、基于注解的权限控制

1. 数据权限

 2. 角色权限


一、Java注解(Annotation)

1. 概述        

        Java 注解(Annotation)又称 Java 标注,是 JDK5.0 引入的一种注释机制。

        Java 定义了一套注解,共有 7 个,3 个在 java.lang 中,剩下 4 个在 java.lang.annotation 中。

作用在代码的注解是:

  • @Override - 检查该方法是否是重写方法。如果发现其父类,或者是引用的接口中并没有该方法时,会报编译错误。
  • @Deprecated - 标记过时方法。如果使用该方法,会报编译警告。
  • @SuppressWarnings - 指示编译器去忽略注解中声明的警告。

作用在其他注解的注解(或者说 元注解)是:

  • @Retention - 标识这个注解怎么保存,是只在代码中,还是编入class文件中,或者是在运行时可以通过反射访问。
  • @Documented - 标记这些注解是否包含在用户文档中。
  • @Target - 标记这个注解应该是哪种 Java 成员。
  • @Inherited - 标记这个注解是继承于哪个注解类(默认 注解并没有继承于任何子类)

2. Annotation通用定义

@Documented
@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
public @interface MyAnnotation1 {
}

(1)@interface

        使用 @interface 定义注解时,意味着它实现了 java.lang.annotation.Annotation 接口,即该注解就是一个Annotation。定义 Annotation 时,@interface 是必须的。

(2)@Documented

        类和方法的 Annotation 在缺省情况下是不出现在 javadoc 中的。如果使用 @Documented 修饰该 Annotation,则表示它可以出现在 javadoc 中。

        定义 Annotation 时,@Documented 可有可无;若没有定义,则 Annotation 不会出现在 javadoc 中。

(3)@Target(ElementType.TYPE)

        ElementType 是 Annotation 的类型属性。而 @Target 的作用,就是来指定 Annotation 的类型属性。

ElementType.METHOD:该注解只能声明在一个类的方法前。

ElementType.TYPE:该注解只能声明在一个类前。

(4)@Retention(RetentionPolicy.RUNTIME)

        @Retention(RetentionPolicy.RUNTIME) 的意思就是指定该 Annotation 的策略是 RetentionPolicy.RUNTIME。这就意味着,编译器会将该 Annotation 信息保留在 .class 文件中,并且能被虚拟机读取。

总结:

       @interface 用来声明 Annotation,@Documented 用来表示该 Annotation 是否会出现在 javadoc 中, @Target 用来指定 Annotation 的类型,@Retention 用来指定 Annotation 的策略。

Java中常用的Annotation:

@Deprecated  -- @Deprecated 所标注内容,不再被建议使用。
@Override    -- @Override 只能标注方法,表示该方法覆盖父类中的方法。
@Documented  -- @Documented 所标注内容,可以出现在javadoc中。
@Inherited   -- @Inherited只能被用来标注“Annotation类型”,它所标注的Annotation具有继承性。
@Retention   -- @Retention只能被用来标注“Annotation类型”,而且它被用来指定Annotation的RetentionPolicy属性。
@Target      -- @Target只能被用来标注“Annotation类型”,而且它被用来指定Annotation的ElementType属性。
@SuppressWarnings -- @SuppressWarnings 所标注内容产生的警告,编译器会对这些警告保持静默。

二、基于@PreAuthorize注解的权限控制

        若依框架使用 Spring Security来进行鉴权, Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限。

@PreAuthorize注解用于配置接口,要求用户拥有某些权限才可访问,它拥有如下方法

方法 参数 描述
hasPermi String 验证用户是否具备某权限
lacksPermi String 验证用户是否不具备某权限,与 hasPermi逻辑相反
hasAnyPermi String 验证用户是否具有以下任意一个权限
hasRole String 判断用户是否拥有某个角色
lacksRole String 验证用户是否不具备某角色,与 isRole逻辑相反
hasAnyRoles String 验证用户是否具有以下任意一个角色,多个逗号分隔

1. 数据权限

整体逻辑:每个用户分配角色之后,都会有一定的权限,在用户访问某个接口时,会判断用户所拥有的权限是否包含该接口需要的权限,然后将判断的结果("true"或者"fales")传入@PreAuthorize注解实现数据权限的控制。当Spring EL 表达式返回TRUE,则权限校验通过;

示例: 

例如在判断用户是否具有新增用户权限时,加上了下面这个注解:

 若依框架基于@PreAuthorize注解的权限控制_第1张图片

 (1)@PreAuthorize 注解:

@PreAuthorize注解括号里面接收的是String类型的参数,且值为 "true"  或者 "false" 

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Inherited
@Documented
public @interface PreAuthorize {
    String value();
}

(2)ss.hasPermi() 方法:

 ss:ss是PermissionService类实例化后起的的对象名

hasPermi() 方法接收一个 String类型的参数,值为'system:user:add',返回值为布尔类型,首先进行校验,判断参数是否为空,然后拿到当前登录系统的用户,判断当前用户是否为空以及用户拥有的权限是否为空(调用 loginUser.getPermissions() 方法,返回一个Set集合的权限列表),最后调用 hasPermissions(loginUser.getPermissions(), permission) 方法判断用户是否有该权限,如果包含就返回 true。

若依框架基于@PreAuthorize注解的权限控制_第2张图片

若依框架基于@PreAuthorize注解的权限控制_第3张图片 若依框架基于@PreAuthorize注解的权限控制_第4张图片

 存储权限信息表:

若依框架基于@PreAuthorize注解的权限控制_第5张图片

 若依框架基于@PreAuthorize注解的权限控制_第6张图片

 2. 角色权限

角色权限时根据用户所属的角色来进行权限控制,实际原理和数据权限一样。

// 属于user角色
@PreAuthorize("@ss.hasRole('user')")

// 不属于user角色
@PreAuthorize("@ss.lacksRole('user')")

// 属于user或者admin之一
@PreAuthorize("@ss.hasAnyRoles('user,admin')")

你可能感兴趣的:(spring,boot,后端,java)