极简权限认证必须掌握【代码+原理+建议收藏】_权限验证代码

最新推荐文章于 2024-08-04 11:07:52 发布

2301_79099378

最新推荐文章于 2024-08-04 11:07:52 发布

阅读量328

点赞数 3

分类专栏： 2024年程序员学习文章标签： java 开发语言

本文链接：https://blog.csdn.net/2301_79099378/article/details/137915162

版权

2024年程序员学习专栏收录该内容

68 篇文章 0 订阅

订阅专栏

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新大数据全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上大数据知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注大数据）

正文

这其实就是权限认证，理解并掌握其核心思想很重要，而且每个系统都避不开！下面一起看吧。

故事讲述 - 极简权限认证【代码+原理+建议收藏】

（这里附上了一个视频，过去看一下来个三连呗）

通常情况下，我们访问所有API都需要进行用户访问权限鉴定。比如判断当前访问的用户是什么人，什么角色。

在这里插入图片描述

下面基于商业办公楼安保系统来陈述。
在这里插入图片描述

今天去上班但是忘记带员工卡了

做为一个上班族，你去一个大型办公楼某一层楼办公/上班，想要进入不同楼层，商场物业会进行鉴定。

然后进入电梯打开按某一楼层。然后进入办公室之前还需要打开，这个滴卡的时候还会联网校验。

有些公司还会对员工进行更多的识别，但是本质都是说类似的。

当然滴多少次卡验证多少次，取决于你要去哪里，对应设置多少道安全关卡。

这其实跟我们做网站/平台的权限认证一个道理。

我们去一个地方滴卡，在技术中对等什么行为呢？

其实我们做系统为了安全，很多时候不会直接发送用户名和密码，这是不安全的。

这就像，多数办公楼小区不会每次都让你拿出身份证，然后让你背诵身份证号，地址。

或者每次你进入一个场所，都让你回答一堆私密问题，当答案和系统预先录入的数据完全配置，才让你进去。

这很麻烦！所以我们做权限认证的时候基于一个令牌（token）机制，这就像我们拿一个员工卡，门禁卡一样。

这里我们简单理解一个概念，token就像一个门禁卡一样，我们访问平台的资源的时候都带上这个token，滴一下，资源可以访问。

没滴卡/拿错别的卡，禁止进入办公楼！

先看效果，这就像下面的展示效果一样：
在这里插入图片描述

打了卡，我能进电梯/办公楼了吗？

先看效果：这个是登录用户访问受限资源的

在这里插入图片描述

让我们对比一下两次请求

第一次访问受限资源"/restrictData"，通过Inspector查看，这个请求的请求头并没有带上token。

就像忘记拿卡一样，网站直接拒绝访问了。

在这里插入图片描述
第二个请求细节如下，细看下图，这个请求携带了token令牌，访问受限资源，并且是有效果token，所以下面输出了“访问受限资源，当前用户雷学委”。

看完效果，你懂了权限认证的核心了吗？

你是否有几个问题在脑海中

这个网站是怎么认证每个请求是否有效合法？（针对每个访客，检验访客是否可进去访问资料）
这个网站的令牌token怎么生成的？（类似卡是怎么做出来，发卡的）

说完了上面一些直观感受，下面雷学委要带大家解读技术实现了，这次用javascript来实现，基于NodeJS引擎运行。

原理解析

第一个问题，如何验证每个请求是否合法

我们这里使用了express的拦截器（Interceptor）。代码如下：

//针对每一个请求
app.use((req, res, next)=>{
    var url = req.originalUrl
    console.log('filter - url:',url)
    // 第一步，判断是否白名单，比如登录，退出，其他不限制的资源访问。
    if(url.startsWith('/login/')||url==='/logout'||url==='/checkToken'){
        next();
        return;
    }
    // 第二步，如果不是上面的白名单资源，那么获取令牌token，没有代令牌直接拒绝
    var t = req.header('token')
    console.log('filter - request header token:', t)
    if(!t){
        res.status(400).send("禁止越权访问!!!")
        return
    }
    // console.log('filter - current session:', req.session)
    //第三步，查询网站的用户令牌注册表，是否保护当前令牌对应的用户，否则显示令牌失效，类似拿错卡了。
    var user = getUserByToken(req)
    if(!user){
       res.status(400).send("您的token失效或者未登录，请登录！")
       return 
    }
    //最后，上面的校验都通过了，直接进行后续资源处理。
    req.session.user = user
    console.log('filter - check user is ' + user)
    next();
});

// token令牌注册表
const tokenRegisterTable = {}
// 定义一个根据令牌查询并获取用户信息的方法
const getUserByToken=(req)=>{
    var t = req.header('token')
    if(!t) return false
    return tokenRegisterTable[t]
}

所以，通过一个拦截器，类似Spring的AOP机制（或者Servlet中的Filter）针对每一个请求查看令牌。

这个拦截器/过滤器，就像一个坚守在阵地的安全卫士：小兄弟站住，请出示有效证件？否则，尽快离开！
图片转自https://www.sohu.com/a/293107575_579043
（图片转自：https://www.sohu.com/a/293107575_579043，如果有版权问题请告知，感谢）

令牌如何生成，卡片怎么造出来发行的？

注册卡片，就像每个学生/员工去相关单位报到一样，你报到当天，管理给了你一个卡。

在我们代码中，通常都会有一个注册过程，但是不会这个时候发卡给你，因为网站数据发一个永久可以用的卡，会有很大的安全隐患。所以更多的做法是，每次登录都发卡（token令牌）！而且这个卡是有时限性的。

下面是登录发放token令牌的实现：

//这个是登录的接口，这里省去了校验密码的过程
app.get('/login/:user', function(req, res){
    const user = req.params.user
    console.log('user is ',user)
    //从express 的session会话中查看用户是否已经登录
    if(req.session.name){
        res.send('您已登录，用户'+req.session.name)
        return;
    }
    //如果没有登录，记录用户和在相应中设置两个cookie，记录用户名和token令牌
    req.session.user = user
    res.cookie('name', user)
    res.cookie('token', getTokenFromSession(user,req.session)) //token令牌用于客户端存储。看看下面的浏览器token的截图
    res.send("登录用户=" + user)
});
// 一个生成随机令牌的简单实现
const getTokenFromSession = (user, session)=>{
   var token = 'token-' + rand()
   tokenRegisterTable[token] = user
   console.log('tokenRegisterTable=',tokenRegisterTable)
   return token
}

const rand = () => new Date().getTime()+'-'+Math.floor((Math.random()+1)\*1000)

我们看看用户本地的令牌，这里还存了一个用户名。
在这里插入图片描述

难度升级，我们看看大致过程

下面是这个极简权限认证的核心代码，学委这里只展示重点环节。

展示了登录和令牌生成，但是没有从数据库查加密密码密文或者分布式缓存校验用户回会话。
只是简单的对cookie和session进行加密
只是简单做了一个tokenRegisterTable，令牌注册表
实现了登录/退出/一个受限资源进行核心原理展示。

const express = require('express')
const serveStatic = require('serve-static')


**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注大数据）**
![img](https://img-blog.csdnimg.cn/img_convert/ad5089f5128c59d7cf79e9de3f7b45bc.png)

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注大数据）**
[外链图片转存中...(img-yMkV9K5m-1713412176330)]

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

2301_79099378

关注

3
点赞
踩
8

收藏

觉得还不错? 一键收藏
0
评论
极简权限认证必须掌握【代码+原理+建议收藏】_权限验证代码

在我们代码中，通常都会有一个注册过程，但是不会这个时候发卡给你，因为网站数据发一个永久可以用的卡，会有很大的安全隐患。而且这个卡是有时限性的。第二个请求细节如下，细看下图，这个请求携带了token令牌，访问受限资源，并且是有效果token，所以下面输出了“访问受限资源，当前用户雷学委”。这里我们简单理解一个概念，token就像一个门禁卡一样，我们访问平台的资源的时候都带上这个token，滴一下，资源可以访问。或者每次你进入一个场所，都让你回答一堆私密问题，当答案和系统预先录入的数据完全配置，才让你进去。
复制链接

扫一扫