备案控制台
开发者社区 安全 文章 正文

SpringSecurity利用@PreAuthorize注解自定义权限校验

2022-06-17 2815
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 利用@PreAuthorize注解自定义权限校验

利用@PreAuthorize注解自定义权限校验

使用场景:

由于项目中,需要对外开放接口,要求做请求头校验,不做其他权限控制.所以准备对开放的接口全部放行,不做登录校验.想到之前用这个注解来实现管理后台的权限校验,所以为了方便在需要对外开放的接口贴上注解即可.记录一下实现过程.

开启@EnableGlobalMethodSecurity(prePostEnabled = true)注解, 在继承 WebSecurityConfigurerAdapter 这个类的类上面贴上这个注解.并且prePostEnabled设置为true,@PreAuthorize这个注解才能生效,SpringSecurity默认是关闭注解功能的.

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter implements WebMvcConfigurer {....}
复制代码


编写自定义的鉴权方法

// service取名sc是方便注解调用
@Service("sc")
@Slf4j
public class SginCheckService {
\
   @Autowired
   private PlatformManageService platformManageService;
\
   public boolean checkSgin(){
       HttpServletRequest request = UserContextHolder.getHttpServletRequest();
       String appid = request.getHeader("appid");
       String signature = request.getHeader("signature");
       String timestamp = request.getHeader("timestamp");
       //非crm管理平台
       PlatformManage platformManage = platformManageService.getOne(Wrappers.<PlatformManage>lambdaQuery().eq(PlatformManage::getSourcetype, appid));
       if (platformManage == null) {
           log.error("平台不存在:" + appid);
            //鉴权失败抛出自定义异常
           throw new SginCheckException();
       }
       //校验签名
       String secretKey = platformManage.getPrivateKey();
       MD5 md5 = new MD5();
       String lowerCase = md5.getMD5ofStr(appid + secretKey + timestamp).toLowerCase();
       if (!lowerCase.equals(signature)) {
           log.error("签名校验失败:" + "crm:" + lowerCase + ",接口:" + signature);
           //鉴权失败抛出自定义异常
           throw new SginCheckException();
       }
       //如果鉴权成功不return true 会报错.
       return true;
   }
}
复制代码


创建自定义异常类

public class SginCheckException extends BaseException {
   public SginCheckException() {
       super();
   }
   public SginCheckException(String message) {
       super(SystemErrorType.SIGNATURE_ERROR,message);
   }
}
复制代码


在统一异常处理类里面捕获异常类并做对应处理

@ControllerAdvice
@Slf4j
public class GlobalExceptionHandler {
/**
    * 签名失败抛出异常处理
    *
    * @param e
    * @return
    */
   @ResponseBody
   @ResponseStatus(HttpStatus.UNAUTHORIZED)
   @ExceptionHandler(value = {SginCheckException.class})
   public Result sginCheckException(SginCheckException e) {
       return Result.fail(SystemErrorType.SIGNATURE_ERROR);
   }
}
复制代码


5.最后就是在需要鉴权的接口上贴上注解

// 调用方法语法  @beanname.methodname()
 @ApiOperation(value = "会员注册", notes = "会员注册", httpMethod = "POST")
   @PostMapping("/register")
   @PreAuthorize("@sc.checkSgin()")
   public Result register(@RequestBody @Valid MemberRegisterParam memberRegisterParam, HttpServletRequest request) {
       log.error("会员注册:" + memberRegisterParam);
       return memberService.register(memberRegisterParam, request);
   }



文章标签:
数据安全/隐私保护
GTW_Zeus
目录
相关文章
Designer小郑
|
11月前
|
安全 NoSQL Java
SpringBoot3整合SpringSecurity,实现自定义接口权限过滤(二)
SpringBoot3整合SpringSecurity,实现自定义接口权限过滤
Designer小郑
727 0
1ong
|
10月前
|
缓存 Java
Jwt使用Aop方式自定义权限注解认证
使用Aop前置通知方式, 在控制层上使用指定切面注解, 并赋予注解参数为访问接口所需角色权限代码, 进行身份认证和权限校验
1ong
71 0
流烟默
|
1月前
|
数据库 数据安全/隐私保护
SpringSecurity请求授权规则配置与注解使用说明
SpringSecurity请求授权规则配置与注解使用说明
流烟默
46 0
清雨小竹
|
8月前
|
存储 NoSQL Java
SpringBoot自定义实现类似jwt权限验证效果
SpringBoot自定义实现类似jwt权限验证效果
清雨小竹
60 0
Designer小郑
|
11月前
|
存储 缓存 安全
SpringBoot3整合SpringSecurity,实现自定义接口权限过滤(一)
SpringBoot3整合SpringSecurity,实现自定义接口权限过滤
Designer小郑
719 0
不一样的科技宅
|
前端开发 Java 数据库
SpringBoot分组校验及自定义校验注解
在日常的开发中,参数校验是非常重要的一个环节,严格参数校验会减少很多出bug的概率,增加接口的安全性。在此之前写过一篇SpringBoot统一参数校验主要介绍了一些简单的校验方法。而这篇则是介绍一些进阶的校验方式。比如说:在某个接口编写的过程中肯定会遇到,当xxType值为A,paramA值必传。xxType值为B,paramB值必须传。对于这样的,通常的做法就是在controller加上各种if判断。显然这样的代码是不够优雅的,而分组校验及自定义参数校验,就是来解决这个问题的。
不一样的科技宅
220 0
有一只柴犬
SpringMVC自定义注解验证登陆拦截
这里业务场景需要,所有的请求都需要登录验证。个别通用业务不需要登录拦截。注解方式替代原有的if判断。
有一只柴犬
98 0
SpringMVC自定义注解验证登陆拦截
-编程工程师-
|
SQL 安全 Java
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种.
-编程工程师-
706 0
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
SuperProgMan.SYJ
|
前端开发 安全 Java
SpringSecurity权限控制和注销
SpringSecurity权限控制和注销
SuperProgMan.SYJ
120 0
mad7ophwxc52c
|
前端开发 Java 数据库
SpringSecurity非注解方式进行权限控制
写在前面 本文是使用SpringSecurity进行权限控制,此次项目没有采用SpringSecurity的注解形式,因为当你使用SpringSecurity注解形式进行权限控制的时候,当你给一个接口定义了注解过后,那么这个接口所对应的角色也就固定了,如果要修改启动的项目,只有重新修改代码,然后进行部署,本次演示是通过查询数据权限来获取对应的角色来进行匹配是否放行
mad7ophwxc52c
212 2
SpringSecurity非注解方式进行权限控制

热门文章

最新文章

  • 1
    优酷中后台前端解决方案-总览
  • 2
    流计算风云再起 - PostgreSQL携PipelineDB力挺IoT(物联网), 大幅提升性能和开发效率
  • 3
    PyODPS 安装常见问题解决
  • 4
    读取excel文件后计算指定行列笛卡儿积并写出
  • 5
    Hibernate 里一些常用操作
  • 6
    10.2-10.3 datetime与时间格式的相互转换
  • 7
    Netty重要概念介绍
  • 8
    联想确认再次裁员 称调整主要分布在海外
  • 9
    阿里2016财报:强调正全力发展云计算等为四大业务
  • 10
    STL - 常用关联容器代码 - set & multiset
  • 1
    基于SpringBoot+Vue+uniapp的民宿预订系统的详细设计和实现(源码+lw+部署文档+讲解等)
    41
  • 2
    《500 Lines or Less》(13)—— A 3D Modeller
    35
  • 3
    基于SpringBoot+Vue+uniapp的电子书阅读器系统的详细设计和实现(源码+lw+部署文档+讲解等)
    29
  • 4
    基于SpringBoot+Vue的母婴全程服务管理系统的详细设计和实现(源码+lw+部署文档+讲解等)
    34
  • 5
    基于SpringBoot+Vue的招投标管理系统的详细设计和实现(源码+lw+部署文档+讲解等)
    31
  • 6
    基于SpringBoot+Vue的失物招领系统的详细设计和实现(源码+lw+部署文档+讲解等)
    28
  • 7
    基于SpringBoot+Vue的高校科研信息管理系统的详细设计和实现(源码+lw+部署文档+讲解等)
    28
  • 8
    基于SpringBoot+Vue+uniapp的电影信息推荐APP的详细设计和实现
    30
  • 9
    基于SpringBoot+Vue+uniapp的课程考勤及作业提交App的详细设计和实现
    25
  • 10
    基于SpringBoot+Vue+uniapp的宠物饲养管理APP的详细设计和实现
    27

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    2024年阿里云免费云服务器及学生云服务器申请教程参考