Jwt(Json web token)——使用token的权限验证方法 & 用户+角色

最新推荐文章于 2024-05-29 14:58:13 发布
最新推荐文章于 2024-05-29 14:58:13 发布
阅读量1k 收藏 11
点赞数 24
分类专栏: 2024年程序员学习 文章标签: json 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84267735/article/details/137867954
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新软件测试全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip1024b (备注软件测试)
img

正文

在这里插入图片描述

在这里插入图片描述

角色表

在这里插入图片描述

在这里插入图片描述

角色-权限关联表

在这里插入图片描述

在这里插入图片描述

用户表

在这里插入图片描述

在这里插入图片描述

查询用户的权限(四表联查)

– 用户角色-权限模型

SELECT
user_owner.username,privs_role_tab.role_name,privs_tab.privs_name
FROM user_owner
LEFT JOIN privs_role_tab ON user_owner.user_role = privs_role_tab.role_id
LEFT JOIN privs_relationship_tab ON privs_relationship_tab.rp_role = privs_role_tab.role_id
LEFT JOIN privs_tab ON privs_tab.privs_id=privs_relationship_tab.rp_privs

数据库的视图

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

项目中的应用

https://gitee.com/pet365/springboot-privs-token

在这里插入图片描述

自定义注解

PrivsCheck.java文件

package com.tianju.auth.util;

import java.lang.annotation.*;

/**
* 定义注解
*/
@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface PrivsCheck {
String value() default “”;
}

拦截器

在这里插入图片描述

在这里插入图片描述

AuthInterceptor.java文件

package com.tianju.auth.interceptor;

import cn.hutool.json.JSONUtil;
import com.tianju.auth.dto.HttpResp;
import com.tianju.auth.dto.ResultCode;
import com.tianju.auth.util.JwtUtil;
import com.tianju.auth.util.PrivsCheck;
import io.jsonwebtoken.ExpiredJwtException;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.annotation.Annotation;
import java.lang.reflect.Method;
import java.util.Date;

@Component
@Slf4j
public class AuthInterceptor implements HandlerInterceptor {
/**
*
* @param request 请求
* @param response 响应
* @param handler =>handler>:class org.springframework.web.method.HandlerMethod
* com.tianju.auth.controller.UserController#findAllUsernames()
* 类 的 findAllUsernames() 方法
* Method method = handlerMethod.getMethod();// controller里面的方法findAllUsernames 对象
* Annotation[] annotations = method.getDeclaredAnnotations();// 可以获得该方法上的所有注解
* @return 是否拦截
* @throws Exception token过期异常
*/
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String token = request.getHeader(“token”);
response.setContentType(“text/html;charset=utf-8”);
if (token==null){ // 如果没有token,返回false
response.getWriter().write(
JSONUtil.toJsonStr(
HttpResp.results(
ResultCode.USER_NOT_LOGIN_ERROR, new Date(),“用户没有登陆异常”
)));
return false;
}
// 存在的用户,检验token是否过期

try {
// 正常情况
String username = JwtUtil.getClaim(token, “username”);
String privs = JwtUtil.getClaim(token, “privs”);
// 判断是否能够访问当前的方法
log.info(“用户权限{}”,privs);
// handler:com.tianju.auth.controller.UserController#findAllUsernames()
log.debug(“handler:{}”,handler);
HandlerMethod handlerMethod = (HandlerMethod) handler;
Method method = handlerMethod.getMethod();// controller里面的方法findAllUsernames 对象
Annotation[] annotations = method.getDeclaredAnnotations();// 可以获得该方法上的所有注解
/**
* @org.springframework.web.bind.annotation.GetMapping(path=[], headers=[], name=, produces=[], params=[], value=[/findAllUsernames], consumes=[])
* @io.swagger.annotations.ApiOperation(code=200, notes=, hidden=false, authorizations=[@io.swagger.annotations.Authorization(scopes=[@io.swagger.annotations.AuthorizationScope(scope=, description=)], value=)], httpMethod=, tags=[查询所有用户名], extensions=[@io.swagger.annotations.Extension(name=, properties=[@io.swagger.annotations.ExtensionProperty(parseValue=false, name=, value=)])], responseHeaders=[@io.swagger.annotations.ResponseHeader(name=, responseContainer=, description=, response=class java.lang.Void)], response=class java.lang.Void, responseReference=, responseContainer=, produces=, nickname=, ignoreJsonView=false, position=0, protocols=, consumes=, value=findAllUsernames)
* @com.tianju.auth.util.PrivsCheck(value=findAllUsernames)
*/
// for (Annotation annotation: annotations) {
// /**
// * @org.springframework.web.bind.annotation.GetMapping(path=[], headers=[], name=, produces=[], params=[], value=[/findAllUsernames], consumes=[])
// * @io.swagger.annotations.ApiOperation(code=200, notes=, hidden=false, authorizations=[@io.swagger.annotations.Authorization(scopes=[@io.swagger.annotations.AuthorizationScope(scope=, description=)], value=)], httpMethod=, tags=[查询所有用户名], extensions=[@io.swagger.annotations.Extension(name=, properties=[@io.swagger.annotations.ExtensionProperty(parseValue=false, name=, value=)])], responseHeaders=[@io.swagger.annotations.ResponseHeader(name=, responseContainer=, description=, response=class java.lang.Void)], response=class java.lang.Void, responseReference=, responseContainer=, produces=, nickname=, ignoreJsonView=false, position=0, protocols=, consumes=, value=findAllUsernames)
// * @com.tianju.auth.util.PrivsCheck(value=findAllUsernames)
// */
// }
PrivsCheck annotation = method.getDeclaredAnnotation(PrivsCheck.class);
System.out.println(annotation.value());
if (privs.contains(annotation.value())){ // 有此权限
return true;
}else {
response.getWriter().write(
JSONUtil.toJsonStr(
HttpResp.results(
ResultCode.USER_ACCESS_ERROR, new Date(),“对不起权限不足”
)));
return false;
}

}catch (ExpiredJwtException e){
// token过期
response.getWriter().write(
JSONUtil.toJsonStr(
HttpResp.results(
ResultCode.USER_LOGIN_TOKEN_EXPIRED_ERROR, new Date(),“token过期”
)));
return false;

}

}
}

拦截器的配置AuthConfig.java文件

package com.tianju.auth.config;

import com.tianju.auth.interceptor.AuthInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class AuthConfig implements WebMvcConfigurer {

@Autowired
private AuthInterceptor authInterceptor;

@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(authInterceptor)
.addPathPatterns(“/api/**”)
.excludePathPatterns(“/api/user/login”);
}
}

controller层

package com.tianju.auth.controller;

import com.tianju.auth.dto.HttpResp;
import com.tianju.auth.dto.ResultCode;
import com.tianju.auth.entity.UserPrivs;
import com.tianju.auth.service.IUserService;
import com.tianju.auth.util.JwtUtil;
import com.tianju.auth.util.PrivsCheck;
import io.swagger.annotations.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletResponse;
import java.util.Date;
import java.util.List;

@RestController
@RequestMapping(“/api/user”)
@Api(tags = “用户api接口”)
public class UserController {

@Autowired
private IUserService userService;

@ApiOperation(value = “login”,tags = “用户登录接口”)
@ApiImplicitParams({
@ApiImplicitParam(name = “username”,value = “用户名”,required = true),
@ApiImplicitParam(name = “password”,value = “密码”,required = true)

})
@GetMapping(“/login”)
public HttpResp login(String username, String password, HttpServletResponse response){
List users = userService.login(username, password);
StringBuilder privs = new StringBuilder();
users.forEach(userPrivs -> privs.append(userPrivs.getPrivsName()+“,”));
System.out.println(“用户权限:”+privs);
privs.deleteCharAt(privs.length()-1);
String token = JwtUtil.createToken(username, privs.toString(), 1000 * 60);
response.addHeader(“token”, token);
return HttpResp.results(ResultCode.USER_LOGIN_SUCCESS,new Date(),username);
}

@GetMapping(“/findAllUsernames”)
@ApiOperation(value = “findAllUsernames”,tags = “查询所有用户名”)
// @PrivsCheck(“findAllUsernames”)
@PrivsCheck(“findX”) // 设置一个没有的权限
public HttpResp findAllUsernames(){
List allUsernames = userService.findAllUsernames();
return HttpResp.results(ResultCode.USER_QUERY_SUCCESS,new Date(),allUsernames);
}
}

DTO返回给前端

枚举类型的json化

在这里插入图片描述

@JsonFormat(shape = JsonFormat.Shape.OBJECT)

package com.tianju.auth.dto;

import com.fasterxml.jackson.annotation.JsonFormat;
import io.swagger.annotations.ApiModelProperty;
import lombok.Getter;

/**
* 枚举类型,http请求的返回值
*/
// 枚举类型的json化,需要有get方法
@JsonFormat(shape = JsonFormat.Shape.OBJECT)
@Getter
public enum ResultCode {
BOOK_RUSH_SUCCESS(20010,“图书抢购成功”),
BOOK_RUSH_ERROR(3001,“图书抢购失败”),
LUA_SCRIPT_ERROR(3002,“Lua脚本操作失败”),
USER_FIND_ERROR(40010,“非法请求,布隆过滤器不通过”),
USER_FIND_SUCCESS(20010,“查询用户名成功”),
USER_QUERY_SUCCESS(25010,“查询所有用户名成功”),
USER_LOGIN_ERROR(40030,“用户登陆失败”),
USER_NOT_LOGIN_ERROR(40040,“用户没有登陆异常”),
USER_LOGIN_TOKEN_EXPIRED_ERROR(42040,“token已过期异常”),
USER_ACCESS_ERROR(45040,“用户权限异常”),
USER_LOGIN_SUCCESS(20020,“用户登陆成功”),
;

@ApiModelProperty(“状态码”)
private Integer code;

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注软件测试)
img

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
"),
USER_ACCESS_ERROR(45040,“用户权限异常”),
USER_LOGIN_SUCCESS(20020,“用户登陆成功”),
;

@ApiModelProperty(“状态码”)
private Integer code;

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注软件测试)
[外链图片转存中…(img-s8NXiQmU-1713327958675)]

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84267735
关注
  • 24
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot基于aop redis token实现token验证权限验证
woshicainiaogiao的博客
07-29 968
springboot 基于token,拦截器,aop自定义注解,reds来实现登录验证权限验证
SpringBoot,Shiro,JWT,Vue & Ant Design 前后端分离权限管理系统,预览地址.zip
02-22
这是一个基于现代技术栈的前后端分离权限管理系统的实现,整合了SpringBoot、Shiro、JWTJSON Web Token)以及前端的Vue.js和Ant Design。这个系统旨在提供安全、高效的用户认证和授权机制,同时实现了优雅的用户...
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 7937
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证
Token验证流程、代码示例、优缺点和安全策略,一文告诉你。
最新发布
贝格前端工场的博客
05-29 1341
Token是一种用于身份验证和授权的令牌,通常用于在客户端和服务器之间进行安全的通信。在Web开发中,Token通常指的是JSON Web TokenJWT),它是一种开放标准(RFC 7519),定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。JWT通常由三部分组成,通过句点(.)分隔开来:1包含了Token的类型和使用的加密算法等信息。2.包含了要传输的信息,例如用户的身份信息、权限等。
使用token实现接口权限验证
dhny25701的博客
05-29 1938
在前后端分离的情况下,前端请求接口,容易被劫持,需要对接口实现验证: 方式: a: 接口超时验证 前端传输一个由 时间戳 加密而成的token值 传递给接口判断 (防止同一个接口多次调用) b: 接口权限认证前端传输一个由 服务端生成的token 重新返回接口做认证 【服务端生成的token 也可以是前后端用同一套加密方式生成的密钥做比较】 ...
token结合路由完成权限验证
xiangxiang的博客
03-25 301
token结合路由完成权限验证
jsonwebtoken鉴权
桃树林
09-20 1193
jsonwebtoken.json(payload, secretOrPrivateKey, [options, callback]); payload 必须是一个object, buffer或者string,用来保存一些信息。 secretOrPrivateKey 是包含HMAC算法的密钥或RSA和ECDSA的PEM编码私钥的string或buffer。 options包括以下...
基于SpringBoot,Spring Security,JWT,Vue & Element 的前后端分离权限管理系统
04-15
系统的核心技术包括SpringBoot、Spring Security、JSON Web Token (JWT)、Vue.js(以及Element UI)和Vue3。以下是对这些技术及其在项目中的应用的详细说明: 1. **SpringBoot**: SpringBoot是由Spring框架团队...
管理系统系列--SpringBoot,Shiro,JWT,Vue & Ant Design 前后端分离权限管.zip
02-25
3. **JWTJSON Web Token)**:JWT是一种安全的身份验证机制,用于在客户端和服务器之间传输信息。在前后端分离的架构中,JWT通常用于生成和验证用户令牌,使得用户在登录后可以在一定时间内无须再次认证即可访问受...
(RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue & 2Ele.zip
02-22
3. **JWT**(JSON Web Token):JWT是一种轻量级的身份验证机制,用于在不同域之间安全地传递信息。在Spring Security中,JWT通常用于生成和验证用户身份令牌,这样用户在每次请求时无需发送用户名和密码,只需携带...
基于SpringBoot,Spring Security,JWT,Vue & Element 的前后端分离的.zip
02-04
3. **JSON Web Token (JWT)**: JWT是一种轻量级的身份验证标准,用于在客户端和服务器之间安全地传递信息。在前后端分离的应用中,当用户成功登录后,服务器会返回一个JWT,客户端将其存储在本地(通常是Cookie或...
JWT微服务下的用户登录权限校验
qq_41593903的博客
07-04 3908
1、单机和分布式应用的登录    简介:单机和分布式应用下登录校验,session共享,分布式缓存使用        1、单机tomcat应用登录检验(方案一 tomcat开启session 共享)            sesssion保存在浏览器和应用服务器会话之间            用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId,           ...
node.js(第八章)登录鉴权方式二 JSON Web Token (JWT)
微光无限的博客
08-03 633
node.js(第八章)登录鉴权 JSON Web Token (JWT)
JWTJson Web Token)的使用
weixin_42679286的博客
07-23 717
1.简洁:JWT Token数据量小,传输速度也很快。2.因为JWT Token是以JSON加密形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。3.不需要在服务端保存会话信息,也就是说不依赖于cookie和session,所以没有了传统session认证的弊端,特别适用于分布式微服务。4.单点登录友好:使用Session进行身份认证的话,由于cookie无法跨域,难以实现单点登录。
php是如何实现JWT(json web token)鉴权的呢? 看实例详解
yang_ldgd的博客
03-10 464
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { "alg": "HS256", "typ": "JWT" } 对应base64UrlEncode编码为:eyJhbGciOiJIUzI
json web token前端鉴权流程(超容易理解)
张先生的前端日志
02-01 587
一文熟悉json web token前端鉴权
用户登录权限校验 JWT【详解】
朝阳39的博客
10-26 1708
JWTjson web token)是当前最流行的用户登录权限校验(用户认证鉴权)方案。
node+koa+jsonwebtoken鉴权jwt实战
Suk__的博客
11-12 1072
涉及到的库: 如果对jwt不熟悉的话可以去了解一下前置知识:node实现jwt 主要是依靠jsonwebtoken的两个api: 生成token: sign() 校验token: verify() 这是我封装后的jwtUtils: import jwt from 'jsonwebtoken'; import { sha256 } from "./cryptoUtils"; import { Context } from "koa"; import logger from './lo..
JWT Token实现与用户登录验证详解
在现代Web应用程序中,后台用户登录-Token模块是一个关键的安全组件,用于实现基于JSON Web Token (JWT) 的用户身份验证JWT 是一种轻量级的身份凭证,它被设计为在客户端和服务端之间传输,允许用户在不暴露敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值