Jwt(Json web token)——使用token的权限验证方法 & 用户+角色

于 2024-04-30 00:57:40 发布
阅读量265 收藏 3
点赞数 1
分类专栏: 程序员 文章标签: json 前端 oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79099416/article/details/138330325
版权

在这里插入图片描述

(本系统中: user—》角色(one-to-Many)

在这里插入图片描述

权限表

在这里插入图片描述

在这里插入图片描述

角色表

在这里插入图片描述

在这里插入图片描述

角色-权限关联表

在这里插入图片描述

在这里插入图片描述

用户表

在这里插入图片描述

在这里插入图片描述

查询用户的权限(四表联查)

-- 用户角色-权限模型

SELECT 
user_owner.username,privs_role_tab.role_name,privs_tab.privs_name
FROM user_owner
LEFT JOIN privs_role_tab ON user_owner.user_role = privs_role_tab.role_id
LEFT JOIN privs_relationship_tab ON privs_relationship_tab.rp_role = privs_role_tab.role_id
LEFT JOIN privs_tab ON privs_tab.privs_id=privs_relationship_tab.rp_privs

数据库的视图

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

项目中的应用

https://gitee.com/pet365/springboot-privs-token

在这里插入图片描述

自定义注解

PrivsCheck.java文件

package com.tianju.auth.util;

import java.lang.annotation.\*;

/\*\*
 \* 定义注解
 \*/
@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface PrivsCheck {
    String value() default "";
}

拦截器

在这里插入图片描述

在这里插入图片描述

AuthInterceptor.java文件

package com.tianju.auth.interceptor;

import cn.hutool.json.JSONUtil;
import com.tianju.auth.dto.HttpResp;
import com.tianju.auth.dto.ResultCode;
import com.tianju.auth.util.JwtUtil;
import com.tianju.auth.util.PrivsCheck;
import io.jsonwebtoken.ExpiredJwtException;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.annotation.Annotation;
import java.lang.reflect.Method;
import java.util.Date;

@Component
@Slf4j
public class AuthInterceptor implements HandlerInterceptor {
    /\*\*
 \*
 \* @param request 请求
 \* @param response 响应
 \* @param handler =====>handler====>:class org.springframework.web.method.HandlerMethod
 \* com.tianju.auth.controller.UserController#findAllUsernames()
 \* 类 的 findAllUsernames() 方法
 \* Method method = handlerMethod.getMethod();// controller里面的方法findAllUsernames 对象
 \* Annotation[] annotations = method.getDeclaredAnnotations();// 可以获得该方法上的所有注解
 \* @return 是否拦截
 \* @throws Exception token过期异常
 \*/
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");
        response.setContentType("text/html;charset=utf-8");
        if (token==null){ // 如果没有token,返回false
            response.getWriter().write(
                    JSONUtil.toJsonStr(
                            HttpResp.results(
                                    ResultCode.USER\_NOT\_LOGIN\_ERROR, new Date(),"用户没有登陆异常"
                            )));
            return false;
        }
        // 存在的用户,检验token是否过期

        try {
            // 正常情况
            String username = JwtUtil.getClaim(token, "username");
            String privs = JwtUtil.getClaim(token, "privs");
            // 判断是否能够访问当前的方法
            log.info("用户权限{}",privs);
            // handler:com.tianju.auth.controller.UserController#findAllUsernames()
            log.debug("handler:{}",handler);
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();// controller里面的方法findAllUsernames 对象
            Annotation[] annotations = method.getDeclaredAnnotations();// 可以获得该方法上的所有注解
            /\*\*
 \* @org.springframework.web.bind.annotation.GetMapping(path=[], headers=[], name=, produces=[], params=[], value=[/findAllUsernames], consumes=[])
 \* @io.swagger.annotations.ApiOperation(code=200, notes=, hidden=false, authorizations=[@io.swagger.annotations.Authorization(scopes=[@io.swagger.annotations.AuthorizationScope(scope=, description=)], value=)], httpMethod=, tags=[查询所有用户名], extensions=[@io.swagger.annotations.Extension(name=, properties=[@io.swagger.annotations.ExtensionProperty(parseValue=false, name=, value=)])], responseHeaders=[@io.swagger.annotations.ResponseHeader(name=, responseContainer=, description=, response=class java.lang.Void)], response=class java.lang.Void, responseReference=, responseContainer=, produces=, nickname=, ignoreJsonView=false, position=0, protocols=, consumes=, value=findAllUsernames)
 \* @com.tianju.auth.util.PrivsCheck(value=findAllUsernames)
 \*/
// for (Annotation annotation: annotations) {
// /\*\*
// \* @org.springframework.web.bind.annotation.GetMapping(path=[], headers=[], name=, produces=[], params=[], value=[/findAllUsernames], consumes=[])
// \* @io.swagger.annotations.ApiOperation(code=200, notes=, hidden=false, authorizations=[@io.swagger.annotations.Authorization(scopes=[@io.swagger.annotations.AuthorizationScope(scope=, description=)], value=)], httpMethod=, tags=[查询所有用户名], extensions=[@io.swagger.annotations.Extension(name=, properties=[@io.swagger.annotations.ExtensionProperty(parseValue=false, name=, value=)])], responseHeaders=[@io.swagger.annotations.ResponseHeader(name=, responseContainer=, description=, response=class java.lang.Void)], response=class java.lang.Void, responseReference=, responseContainer=, produces=, nickname=, ignoreJsonView=false, position=0, protocols=, consumes=, value=findAllUsernames)
// \* @com.tianju.auth.util.PrivsCheck(value=findAllUsernames)
// \*/
// }
            PrivsCheck annotation = method.getDeclaredAnnotation(PrivsCheck.class);
            System.out.println(annotation.value());
            if (privs.contains(annotation.value())){ // 有此权限
                return true;
            }else {
                response.getWriter().write(
                        JSONUtil.toJsonStr(
                                HttpResp.results(
                                        ResultCode.USER\_ACCESS\_ERROR, new Date(),"对不起权限不足"
                                )));
                return false;
            }


        }catch (ExpiredJwtException e){
            // token过期
            response.getWriter().write(
                    JSONUtil.toJsonStr(
                            HttpResp.results(
                                    ResultCode.USER\_LOGIN\_TOKEN\_EXPIRED\_ERROR, new Date(),"token过期"
                            )));
            return false;

        }

    }
}

拦截器的配置AuthConfig.java文件

package com.tianju.auth.config;

import com.tianju.auth.interceptor.AuthInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class AuthConfig implements WebMvcConfigurer {

    @Autowired
    private AuthInterceptor authInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authInterceptor)
                .addPathPatterns("/api/\*\*")
                .excludePathPatterns("/api/user/login");
    }
}

controller层

package com.tianju.auth.controller;

import com.tianju.auth.dto.HttpResp;
import com.tianju.auth.dto.ResultCode;
import com.tianju.auth.entity.UserPrivs;
import com.tianju.auth.service.IUserService;
import com.tianju.auth.util.JwtUtil;
import com.tianju.auth.util.PrivsCheck;
import io.swagger.annotations.\*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletResponse;
import java.util.Date;
import java.util.List;

@RestController
@RequestMapping("/api/user")
@Api(tags = "用户api接口")
public class UserController {

    @Autowired
    private IUserService userService;

    @ApiOperation(value = "login",tags = "用户登录接口")
    @ApiImplicitParams({
            @ApiImplicitParam(name = "username",value = "用户名",required = true),
            @ApiImplicitParam(name = "password",value = "密码",required = true)

    })
    @GetMapping("/login")
    public HttpResp login(String username, String password, HttpServletResponse response){
        List<UserPrivs> users = userService.login(username, password);
        StringBuilder privs = new StringBuilder();
        users.forEach(userPrivs -> privs.append(userPrivs.getPrivsName()+","));
        System.out.println("用户权限:"+privs);
        privs.deleteCharAt(privs.length()-1);
        String token = JwtUtil.createToken(username, privs.toString(), 1000 \* 60);
        response.addHeader("token", token);
        return HttpResp.results(ResultCode.USER\_LOGIN\_SUCCESS,new Date(),username);
    }

    @GetMapping("/findAllUsernames")
    @ApiOperation(value = "findAllUsernames",tags = "查询所有用户名")
// @PrivsCheck("findAllUsernames")
    @PrivsCheck("findX") // 设置一个没有的权限
    public HttpResp findAllUsernames(){
        List<String> allUsernames = userService.findAllUsernames();
        return HttpResp.results(ResultCode.USER\_QUERY\_SUCCESS,new Date(),allUsernames);
    }
}

DTO返回给前端

枚举类型的json化

在这里插入图片描述

@JsonFormat(shape = JsonFormat.Shape.OBJECT)

package com.tianju.auth.dto;

import com.fasterxml.jackson.annotation.JsonFormat;
import io.swagger.annotations.ApiModelProperty;
import lombok.Getter;


/\*\*
 \* 枚举类型,http请求的返回值
 \*/
// 枚举类型的json化,需要有get方法
@JsonFormat(shape = JsonFormat.Shape.OBJECT)
@Getter


## 总结

在清楚了各个大厂的面试重点之后,就能很好的提高你刷题以及面试准备的效率,接下来小编也为大家准备了最新的互联网大厂资料。

![在这里插入图片描述](https://img-blog.csdnimg.cn/img_convert/50238530ec8e027a74075641accda20c.webp?x-oss-process=image/format,png)

![在这里插入图片描述](https://img-blog.csdnimg.cn/img_convert/9d0370f293497d0db96813528ac60de8.webp?x-oss-process=image/format,png)

![在这里插入图片描述](https://img-blog.csdnimg.cn/img_convert/73e25957dfaa98f71d8727dfd4375fb7.webp?x-oss-process=image/format,png)

![在这里插入图片描述](https://img-blog.csdnimg.cn/img_convert/78c1e220e5c86b03bcbb2ad792929f62.webp?x-oss-process=image/format,png)

ok.Getter;


/\*\*
 \* 枚举类型,http请求的返回值
 \*/
// 枚举类型的json化,需要有get方法
@JsonFormat(shape = JsonFormat.Shape.OBJECT)
@Getter


## 总结

在清楚了各个大厂的面试重点之后,就能很好的提高你刷题以及面试准备的效率,接下来小编也为大家准备了最新的互联网大厂资料。

[外链图片转存中...(img-iYpWkvIg-1714409842157)]

[外链图片转存中...(img-9ABUtJah-1714409842157)]

[外链图片转存中...(img-fEOpQR3Y-1714409842157)]

[外链图片转存中...(img-RBNibqrs-1714409842157)]

> **本文已被[CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】](https://bbs.csdn.net/topics/618154847)收录**
2301_79099416
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jwt token 附加用户信息_JWTJson Web Token)框架 jjwt 教程
weixin_28769989的博客
01-17 419
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT用户和服务器之间传递安全可靠的信息。和?Cookie-Session 的模式不同,JSON Web Token(JWT)使用 Token 替换了 SessionId 的资源访问和状态的保持。基于 JWTToken 认证的方式有很多优点,本文将介绍 JJWT 的相关用法。jwt 是什么?JWTs 是 J...
jwt token 附加用户信息_ASP.NET Web API 2系列(四):基于JWTtoken身份认证方案
weixin_42322347的博客
12-24 206
1.引言通过前边的系列教程,我们可以掌握WebAPI的初步运用,但是此时的API接口任何人都可以访问,这显然不是我们想要的,这时就需要控制对它的访问,也就是WebAPI的权限验证验证方式非常多,本文就重点介绍一种常用的验证方式:基于JWTtoken身份认证方案。2.前期回顾Web API系列(一):初识API及手动搭建基本框架Web API系列(二):灵活多样的路由配置Web API系列(三)...
基于JWT实现的Token认证方案
最新发布
zzy7075的专栏
04-29 981
服务器的受保护路由将检查授权头中是否存在有效的JWT,如果存在,则允许用户访问受保护的资源。4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。签名用于验证消息在整个过程中没有更改,并且对于使用私钥进行签名的令牌,它还可以验证JWT的发送者是它所说的真实身份。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。请注意:使用签名的TokenToken中包含的所有信息都将向用户或其他方公开,即使他们无法更改它。
Java中高级核心知识全面解析——认证授权(Token-认证)
2401_84048807的博客
04-09 732
JWT 最适合的场景是不需要服务端保存用户状态的场景,比如如果考虑到token 注销和token 续签的场景话,没有特别好的解决方案,大部分解决方案都给 token 加上了状态,这就有点类似Session 认证了。参考资料:《Java中高级核心知识全面解析》获取方式:私信【资料】免费获取还有更多Java PDF学习资料等你来拿!!!自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
利用SpringSecurity和JWT实现mymes认证和授权
zhoubangbang1的博客
01-04 351
SpringBoot整合SpringSecurity和JWT实现mymes认证和授权(一) 本文主要讲解mymes相同通过SpringBoot整合SpringSecurity和JWT来实现后台用户的授权和登录功能,因为这部分比较重要,讲解分3-4次讲完,分别介绍SpringSecurity和JWT,以及动态管理权限。 SpringSecurity简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring
基于SpringBoot,Spring Security,JWT,Vue &amp; Element 的前后端分离权限管理系统
04-15
系统的核心技术包括SpringBoot、Spring Security、JSON Web Token (JWT)、Vue.js(以及Element UI)和Vue3。以下是对这些技术及其在项目中的应用的详细说明: 1. **SpringBoot**: SpringBoot是由Spring框架团队...
SpringBoot,Shiro,JWT,Vue &amp; Ant Design 前后端分离权限管理系统,预览地址.zip
02-22
这是一个基于现代技术栈的前后端分离权限管理系统的实现,整合了SpringBoot、Shiro、JWTJSON Web Token)以及前端的Vue.js和Ant Design。这个系统旨在提供安全、高效的用户认证和授权机制,同时实现了优雅的用户...
管理系统系列--SpringBoot,Shiro,JWT,Vue &amp; Ant Design 前后端分离权限管.zip
02-25
3. **JWTJSON Web Token)**:JWT是一种安全的身份验证机制,用于在客户端和服务器之间传输信息。在前后端分离的架构中,JWT通常用于生成和验证用户令牌,使得用户在登录后可以在一定时间内无须再次认证即可访问受...
(RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue &amp; 2Ele.zip
02-22
3. **JWT**(JSON Web Token):JWT是一种轻量级的身份验证机制,用于在不同域之间安全地传递信息。在Spring Security中,JWT通常用于生成和验证用户身份令牌,这样用户在每次请求时无需发送用户名和密码,只需携带...
基于SpringBoot,Spring Security,JWT,Vue &amp; Element 的前后端分离的.zip
02-04
3. **JSON Web Token (JWT)**: JWT是一种轻量级的身份验证标准,用于在客户端和服务器之间安全地传递信息。在前后端分离的应用中,当用户成功登录后,服务器会返回一个JWT,客户端将其存储在本地(通常是Cookie或...
jwt简介
花&败
11-28 631
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 一、跨域认证的问题  HTTP协议是无状态的,也就是说,如果我们已经认证了一个用户,那么他下一次请求的时候,服务器不知道我是谁,我们必须再次认证。  互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(s
jwt token 过期刷新_ASP.NET Core 应用JWT进行用户认证及Token的刷新
weixin_39785970的博客
12-01 1929
(给DotNet加星标,提升.Net技能)转自:FlyLolocnblogs.com/FlyLolo/p/ASPNETCore2_26.html本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token的刷新方案(ASP.NET Core 系列目录)一、什么是JWTJWT(json web token)基于开放标准(RFC 7519),是一种无状态的...
jwt jar包_从入门到运用,Jwt其实并不难!
weixin_39908616的博客
11-26 2548
小Hub领读:2018年写的一篇文章,哈哈哈,体验一下我当时的写作风格咧~一般情况下,web项目都是通过session进行认证,每次请求数据时,都会把jsessionid放在cookie中,以便与服务端保持会话。前后端分离项目中,通过token进行认证(登录时,生成唯一的token凭证),每次请求数据时,都会把token放在header中,服务端解析token,并确定用户身份及用户权限,...
jwt判断token是否过期_一文讲解JWT用户认证全流程
weixin_39600319的博客
11-12 4581
一、什么是JWT(what)JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,以JSON对象的形式在各方之间安全地传输信息。JWT是一个数字签名,生成的信息是可以验证并被信任的。使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对JWT进行签名。JWT是目前最流行的跨域认证解决方案1.1 JWT令牌结构SON Web令牌以紧凑的...
jwt token 附加用户信息_利用 jwt 可以获取用户的额外信息?
weixin_39854867的博客
12-24 848
List authorityList = AuthorityUtils.createAuthorityList(authSet.toArray( newString[ 0]));returnnewSecurityUser(sysUser.getId,sysUser.getMobile,sysUser.getUsername,sysUser.getPassword,authorityList);}3...
Jwt添加用户角色
世界既不黑也不白,而是一道精致的灰。
08-23 1024
Jwt添加用户角色 1.打开authoricate控制器 2.找到登陆api,接下来会将身份角色加入到claim中 一.claim解析 2.api的权限就是根据claim要求 //1.确定你是不是你也就是登陆,是有航空公司决定的,确定你后,发放登机牌 //2.确定你能坐什么舱是机组人员的来决定的 //3.登陆和授权严格区分 1.这样登陆和授权分开,就不用再验证发生改变后,也改变授权了 2.claim是对于所有身份验证体系而言,jwt只是其中一个应用 二.角色使用 var cl
聊一聊JWTJSON WEB TOKEN)鉴权
crossroads10的博客
08-31 580
JWT 定义: Json web token 是一个开发标准,它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为json对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。可以使用密钥(HMAC算法)或使用RSA的公/私钥对JWT进行签名。 了解下定义的一些概念: 紧凑:由于其大小,它可以通过url,post参数或Http表头发送。另外,由于其内存空间较小,其传输速度很快。 自包含:有效负载包含有关用户的所有必须信息,以避免多次查询数据库或者查询相关缓存带来的相关性...
通过JWT+SpringSecurity实现用户登录
qq_45266399的博客
08-19 496
通过JWT+SpringSecurity实现用户登录
jwt怎么获取当前登录用户_获取jwt(json web token)中存储的用户信息
05-12
在上面的示例中,使用 `jwt.decode()` 方法解析 JWT,并将第二个参数 `verify` 设置为 `False`,表示不进行签名验证。然后从 payload 中获取用户信息。 需要注意的是,JWT 只是一种存储用户信息的方式,具体实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值