51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程软考华为认证厂商认证IT技术PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

灵活!Spring Boot 自定义注解结合参数解析器实现权限控制

作者:编程疏影
开发 前端
在实际项目中,该方案适用于对性能和灵活性要求较高的场景,开发者可以在此基础上,结合自身业务需求,进一步优化和扩展,如 动态权限配置、RBAC(基于角色的访问控制) 等。

在现代 Web 应用开发中,权限控制是至关重要的一个环节,尤其是在微服务架构和前后端分离的模式下。如何在保证安全性的同时,兼顾开发的便捷性和代码的可读性,是开发者需要重点关注的问题。

Spring Boot 提供了多种方式来实现权限管理,例如 Spring Security,但在某些场景下,我们希望有更轻量级、灵活的权限控制方案。本篇文章将介绍如何通过 Spring Boot 3.4 中的 自定义注解 结合 AOP 和 参数解析器,实现一套可扩展的权限控制方案。

本方案的核心思路是:

  1. 通过 AOP 拦截 
    需要权限校验的方法,实现全局权限校验逻辑。
  2. 通过拦截器(Interceptor) 
    解析请求 Token,并将用户信息存储到上下文中,方便后续权限校验使用。
  3. 使用自定义参数解析器(HandlerMethodArgumentResolver) 
    在 Controller 方法参数中,通过注解直接获取当前登录用户信息,提高代码的可读性。
  4. 支持 SpEL(Spring 表达式语言) 
    以动态方式获取用户数据,实现更灵活的权限控制。

本文将结合代码示例,详细介绍该方案的实现方式,并最终构建一套完整的权限校验框架。

自定义注解

获取当前用户信息的注解

package com.icoderoad.auth;


import java.lang.annotation.*;


@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.PARAMETER)
public @interface AuthUser {
    /** 通过 SpEL 表达式从当前登录用户信息中提取数据 */
    String value() default "";
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.

权限控制注解

package com.icoderoad.auth;


import java.lang.annotation.*;


@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface PreAuthorize {
    /** 需要的权限 */
    String[] value() default {};


    /** 权限校验逻辑(全部匹配或部分匹配) */
    Logical logic() default Logical.AND;


    enum Logical {
        AND, OR;
    }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.

核心组件实现

生成 Token 的工具类

package com.icoderoad.utils;


import com.fasterxml.jackson.databind.ObjectMapper;
import io.jsonwebtoken.*;
import io.jsonwebtoken.security.Keys;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;


import java.util.*;
import java.util.function.Function;


@Component
public class JwtUtil {
    @Value("${jwt.secret}")
    private String secret;


    @Value("${jwt.expiration}")
    private Long expiration;


    private final ObjectMapper objectMapper;


    public JwtUtil(ObjectMapper objectMapper) {
        this.objectMapper = objectMapper;
    }


    /** 生成 JWT 令牌 */
    public String generateToken(User user) {
        try {
            String payload = objectMapper.writeValueAsString(user);
            return createToken(payload);
        } catch (JsonProcessingException e) {
            throw new RuntimeException(e);
        }
    }


    private String createToken(String payload) {
        return Jwts.builder()
            .claim("info", payload)
            .subject("auth_token")
            .issuedAt(new Date())
            .expiration(new Date(System.currentTimeMillis() + expiration * 1000))
            .signWith(Keys.hmacShaKeyFor(secret.getBytes()))
            .compact();
    }


    /** 解析 Token 获取用户信息 */
    public User getUser(String token) {
        try {
            String info = (String) getClaimFromToken(token, claims -> claims.get("info"));
            return objectMapper.readValue(info, User.class);
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }


    private <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) {
        Claims claims = Jwts.parserBuilder()
            .setSigningKey(Keys.hmacShaKeyFor(secret.getBytes()))
            .build()
            .parseClaimsJws(token)
            .getBody();
        return claimsResolver.apply(claims);
    }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46.
  • 47.
  • 48.
  • 49.
  • 50.
  • 51.
  • 52.
  • 53.
  • 54.
  • 55.
  • 56.
  • 57.
  • 58.
  • 59.
  • 60.
  • 61.
  • 62.
  • 63.
  • 64.
  • 65.
  • 66.
  • 67.
  • 68.
  • 69.
  • 70.
  • 71.
  • 72.
  • 73.
  • 74.

认证拦截器

package com.icoderoad.interceptor;


import com.icoderoad.utils.JwtUtil;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.*;
import java.io.IOException;
import java.util.regex.*;


@Component
public class AuthInterceptor implements HandlerInterceptor {
    private static final Pattern AUTH_PATTERN = Pattern.compile("^Bearer (?<token>[a-zA-Z0-9-._~+/]+=*)$", Pattern.CASE_INSENSITIVE);


    private final JwtUtil jwtUtil;
    private final ObjectMapper objectMapper;


    public AuthInterceptor(JwtUtil jwtUtil, ObjectMapper objectMapper) {
        this.jwtUtil = jwtUtil;
        this.objectMapper = objectMapper;
    }


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String authorization = request.getHeader(HttpHeaders.AUTHORIZATION);
        if (authorization == null || !authorization.startsWith("Bearer ")) {
            sendError(response, "缺失 Token");
            return false;
        }


        Matcher matcher = AUTH_PATTERN.matcher(authorization);
        if (!matcher.matches()) {
            sendError(response, "无效 Token");
            return false;
        }


        User user = jwtUtil.getUser(matcher.group("token"));
        if (user == null) {
            sendError(response, "登录失效,请重新登录");
            return false;
        }


        SecurityContext.setUser(user);
        return true;
    }


    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) {
        SecurityContext.clear();
    }


    private void sendError(HttpServletResponse response, String message) throws IOException {
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().print(objectMapper.writeValueAsString(Map.of("code", -1, "message", message)));
    }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46.
  • 47.
  • 48.
  • 49.
  • 50.
  • 51.
  • 52.
  • 53.
  • 54.
  • 55.
  • 56.
  • 57.
  • 58.
  • 59.
  • 60.
  • 61.
  • 62.
  • 63.
  • 64.
  • 65.
  • 66.

权限切面

package com.icoderoad.aspect;


import com.icoderoad.annotation.PreAuthorize;
import com.icoderoad.context.SecurityContext;
import com.icoderoad.exception.AuthException;
import com.icoderoad.model.User;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.stereotype.Component;


import java.util.Collections;
import java.util.Set;


@Aspect
@Component
public class PermissionAspect {
    @Around("@annotation(preAuthorize)")
    public Object checkPermission(ProceedingJoinPoint joinPoint, PreAuthorize preAuthorize) throws Throwable {
        User user = SecurityContext.getUser();
        if (user == null) {
            throw new AuthException("请先登录");
        }


        Set<String> requiredPerms = Set.of(preAuthorize.value());
        Set<String> userPerms = user.getPermissions();
        boolean hasPermission = validatePermissions(requiredPerms, userPerms, preAuthorize.logic());


        if (!hasPermission) {
            throw new AuthException("权限不足");
        }


        return joinPoint.proceed();
    }


    private boolean validatePermissions(Set<String> required, Set<String> has, PreAuthorize.Logical logic) 		{
        return logic == PreAuthorize.Logical.AND ? has.containsAll(required) : !Collections.disjoint(required, has);
    }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46.

配置拦截器

package com.icoderoad.config;


import com.icoderoad.interceptor.AuthInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.*;


@Configuration
public class WebConfig implements WebMvcConfigurer {
    private final AuthInterceptor authInterceptor;


    public WebConfig(AuthInterceptor authInterceptor) {
        this.authInterceptor = authInterceptor;
    }


    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authInterceptor).addPathPatterns("/users/**");
    }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.

测试

package com.icoderoad.controller;


import com.icoderoad.model.User;
import com.icoderoad.util.JwtUtil;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.*;


import java.util.Map;
import java.util.Set;


@RestController
public class LoginController {
    private final JwtUtil jwtUtil;


    public LoginController(JwtUtil jwtUtil) {
        this.jwtUtil = jwtUtil;
    }


    @GetMapping("/login")
    public ResponseEntity<Object> login(@RequestParam String username) {
        User user = new User(1L, username, Set.of("USER"));
        String token = jwtUtil.generateToken(user);
        return ResponseEntity.ok(Map.of("token", token));
    }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.

结论

通过本篇文章的学习,我们基于 Spring Boot 3.4 实现了一套高效、灵活的权限控制方案,核心组件包括:

  1. 自定义注解 @PreAuthorize
    用于定义方法级权限控制。
  2. 拦截器(Interceptor)用于解析 Token 并获取用户信息。
  3. AOP 切面在方法执行前进行权限校验。
  4. 自定义参数解析器让 Controller 层代码更加简洁优雅。

相比传统的 Spring Security 方案,本方案的优势在于:

  • 更加轻量级不依赖复杂的认证机制,仅需少量代码即可实现。
  • 高度可扩展可以灵活适配不同的认证方式,如 JWT、OAuth2 等。
  • 代码解耦业务逻辑与权限校验分离,提升可维护性。

在实际项目中,该方案适用于对性能和灵活性要求较高的场景,开发者可以在此基础上,结合自身业务需求,进一步优化和扩展,如 动态权限配置、RBAC(基于角色的访问控制) 等。

如果你在 Spring Boot 3.4 版本的开发中,正在寻找一种 既安全又高效的权限控制方案,不妨尝试本文介绍的方法,相信会给你的项目带来新的启发和帮助。


责任编辑:武晓燕 来源: 路条编程
Spring项目开发
相关推荐
Spring Boot自定义注解+参数解析器,构建灵活的安全认证机制
通过SpringAOP实现权限认证,是构建安全Java应用的一种高效方式。SpringAOP允许开发者在方法执行的前、后或抛出异常时,自动执行特定的逻辑,而无需修改原有的业务代码。

2025-03-10 01:00:00

Spring参数解析器
SpringBoot 中如何自定义参数解析器
在一个Web请求中,参数我们无非就是放在地址栏或者请求体中,个别请求可能放在请求头中。

2021-03-16 10:39:29

SpringBoot参数解析器
SpringBoot 自定义参数解析器 So Easy!
MultiValueMap和其他Map,前者中又分三种情况:MultipartFile、Part或者其他普通请求,前两者可以处理文件上传,第三个就是普通参数。如果是普通Map,则直接获取到原始请求参数放到一个Map集合中返回即可。

2022-07-11 10:37:41

MapPart集合
Spring Boot 自定义注解详解
本文将详细介绍如何在SpringBoot中创建和使用自定义注解。我们将探讨注解的基本原理、具体的实现步骤,并分享一些实际应用场景,更好地理解和应用自定义注解。

2024-10-14 17:18:27

开发 Spring 自定义视图和视图解析器
Spring3.0默认包含了多种视图和视图解析器,比如JSP、Velocity视图等,但在某些情况下,我们需要开发自定义的视图及其解析器,以便显示特殊文件格式的视图,我们也可以使用自定义视图及解析器,针对特定的视图做相应的处理。本文将通过一个示例来介绍如何开发Spring自定义视图和视图解析器,来显示后缀名为SWF的视图,并提供一个简单的注册机制,为特定后...

2013-01-14 11:40:50

IBMdW
手把手教你在 SpringBoot 中自定义参数解析器
如果用了SpringMVC,有的小伙伴们可能会觉得参数获取方式太丰富了,各种注解如RequestParam、RequestBody、RequestHeader、PathVariable,参数可以是keyvalue形式,也可以是JSON形式,非常丰富!

2022-05-11 10:45:21

SpringMVC框架Map
Spring Boot下如何校验Spring MVC的请求参数及如何自定义校验注解
SpringBoot提供了springbootstartervalidation为Bean的校验提供支持。我们可以通过一系列的校验注解对JavaBean的属性进行校验。

2022-11-10 07:53:54

Spring参数校验
实战篇:解决 Swagger 和自定义参数解析器的功能冲突
们在上文中提到过,RequestBody使用的参数解析器RequestResponseBodyMethodProcessor优先级高于我们自定义的参数解析器,所以为了正常使用,需要将RequestBody注解去掉。这就会导致swagger无法识别正确的参数类型,将请求体识别为QueryParams,然后将body展开。

2022-01-06 06:23:49

Swagger参数解析器
使用Spring自定义注解实现任务路由
在Springmvc的开发中,我们可以通过RequestMapping来配,当前方法用于处理哪一个URL的请求.同样我们现在有一个需求,有一个任务调度器,可以按照不同的任务类型路由到不同的任务执行器。其本质就是通过外部参数进行一次路由和Springmvc做的事情类似。简单看了Springmvc的实现原理之后,决定使用自定义注解的方式来实现以上功能。

2017-08-03 17:00:54

Springmvc任务执行器
深入解析SpringBoot默认JSON解析器自定义字段序列化策略
SpringBoot​中对依赖都做了很好的封装,可以看到很多springbootstarterxxx​系列的依赖,这是SpringBoot​的特点之一,不需要人为去引入很多相关的依赖了,starterxxx​系列直接都包含了所必要的依赖,所以我们再次点进去上面这个springbootstarterjson依赖,

2024-02-22 08:06:45

JSON策略解析器
自定义注解实现枚举值验证
通过自定义注解EnumValue,我们能够简化枚举值的验证过程,减少了重复代码的编写。这对于需要频繁进行枚举值验证的应用程序来说是一个有用的工具。希望本文能帮助你更好地理解如何使用自定义注解实现枚举值验证。

2023-10-24 13:48:50

自定义注解举值验证
Spring自定义注解玩法大全,从入门到…
在业务开发过程中我们会遇到形形色色的注解,但是框架自有的注解并不是总能满足复杂的业务需求,我们可以自定义注解来满足我们的需求。

2020-11-25 11:20:44

Spring注解Java
发现 XSS 漏洞?别急,用这招 SpringBoot 3.3 技巧轻松搞定!
我们创建了一个包含完整XSS防护的SpringBoot应用。自定义注解、过滤器和参数解析器的结合使我们的解决方案灵活且易于扩展。此方案不仅能有效防止XSS攻击,还能保证应用的可维护性和代码的整洁度。

2024-09-10 10:04:47

Spring Boot使用@Async实现异步调用:自定义线程池
本文中的例子我们可以在之前的例子基础上修改,也可以创建一个全新的SpringBoot项目来尝试。

2018-06-21 14:46:03

Spring Boot异步调用
玩转Java注解:元注解、内置注解自定义注解的原理和实现
Java注解(Annotation)又称Java标注,是JDK5.0引入的一种注释机制。重点:和Javadoc不同,Java标注可以通过反射获取标注内容。

2021-12-30 12:30:01

Java注解编译器
Spring WebFlux Security结合R2DBC实现权限控制
我们这里对实现的原理做简单的接收,主要核心是WebFilter。

2023-01-13 08:11:24

场景题:实际工作中哪里用到了自定义注解?如何实现自定义注解
自定义注解被广泛应用于日常开发中,像日志记录、性能监控、权限判断和幂等性判断等功能的实现,使用自定义注解来实现是非常方便的。

2024-12-27 15:37:23

通过Spring AOP结合SpEL表达式:构建强大且灵活权限控制体系
通过本文的介绍,我们了解了如何使用SpringAOP和SpringSecurity的组合来实现权限验证。通过这种方式,我们可以提高应用程序的安全性,并降低代码的耦合度,提高代码的可重用性和可维护性。希望本文能够帮助读者更好地理解和应用SpringAOP和SpringSecurity,为他们的应用程序开发提供有益的参考。

2023-11-27 08:28:37

SpEL表达式
HarmonyOS自定义权限组件--你真的弄懂了权限控制了吗?
鸿蒙权限请求框架,提供一个符合正规权限调用流程的框架并基于链式调用(这里简称strong模式),同时提供一个并不推荐使用的简单权限框架(简称lazy模式)。

2021-10-12 10:50:31

鸿蒙HarmonyOS应用
注解的这些高级技巧你会吗?快来学吧提高你的程序扩展性
自定义注解可以与泛型结合使用,以实现更加灵活、高效的程序设计。例如,我们可以在自定义注解中使用泛型类型参数,表示注解的属性类型

2023-07-05 08:20:33

自定义注解Java语言
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服