基于springmvc的通用数据权限校验(鉴权)框架——使用示例

最新推荐文章于 2023-08-14 23:27:01 发布
最新推荐文章于 2023-08-14 23:27:01 发布
阅读量1.2k 收藏 6
点赞数
分类专栏: springmvc鉴权框架 文章标签: spring java 后端 安全 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fight_Rain/article/details/104115271
版权

最近在开始写【spring源码深度解析】系列文章,如果有对spring源码感兴趣的同学,欢迎点击左上角我的头像,查看相关文章,该系列文章均是结合我当时学习源码的经历编写完成,不是一上来就堆砌源码,而是从日常使用展开学习,力求让初学者弄懂spring相关模块的实现

基于springmvc的通用数据权限校验框架——使用示例

前言

首先提出一个问题:在后台管理系统中,我们一般会根据当前登录用户查出直属相关的数据做列表展示,列表中有一列都会供用户点击来查看详情或其他信息,比如我是个保险公司的销售员,我要看我签约了哪些客户,然后点击某一个客户的详情看看签的合同细节,大家一般会怎么做?

有些同学可能会这么实现(采用springboot,代码只是基本实现,忽律空指针等异常)

  • 首先是登录:

    代码实现(简单示意)
	//模仿redis存储登录用户token及用户信息
    public static Map<String, Map<String,Object>> redisMap =new HashMap<>(128);
	@Autowired
    private JdbcTemplate jdbcTemplate;
    
    @RequestMapping("/login")
    @ResponseBody
    public WebResult login(String username, String password){
        //密码就不做加解密了
        List<Map<String, Object>> userMapList=jdbcTemplate.queryForList("select * from t_user where name=? and password=?",username,password);
        if (userMapList==null || userMapList.size()==0){
            return WebResult.errorWebResult("用户名或密码错误");
        }
        Map<String,Object> dd=new HashMap<>();
        dd.put("userId",userMapList.get(0).get("id"));
        String token="test-"+ UUID.randomUUID().toString();
        redisMap.put(token,dd);
        return WebResult.successWebResult(token);
    }
  • 当前业务员发展的客户列表

    代码实现
	@Autowired
    private JdbcTemplate jdbcTemplate;

    @RequestMapping("/customerList")
    @ResponseBody
    public WebResult customerList(String token){
    	Integer userId = (Integer) Application.redisMap.get(token).get("userId");
        //根据当前用户查出
        return WebResult.successWebResult(jdbcTemplate.queryForList("select * from t_customer where user_id=?",userId));
    }
  • 点击【合同详情】
    在这里插入图片描述
    代码实现
    (前端使用的layui,这里不重要,只需要知道前端调用详情的接口时传了客户id到后台)
	layui.use('table', function(){
        var table = layui.table;

        table.render({
            elem: '#test'
            ,url:'http://localhost:8080/customer/customerList'
            ,where: {token: sessionStorage.getItem("token")}
            ,cols: [[
                {field:'id', width:80, title: 'ID', sort: true}
                ,{field:'username', width:80, title: '用户名'}
                ,{field:'sex', width:80, title: '性别', sort: true,templet: function(d){
                        return d.sex==1?'男':'女';
                    }}
                ,{field:'city', width:80, title: '城市'}
                ,{field:'sign', width:80, title: '签名'}
                ,{field:'classify', width:120,title: '职业'}
                ,{field:'wealth', title: '更多操作', sort: true,templet: '<div><a href="javascript:showContractInfo({{d.id}})"  class="layui-table-link">合同详情</a></div>'}
            ]]
        });
    });

	function showContractInfo(customerId) {
        var htmls='<form class="layui-form" action="http://localhost:8080/customer/contractModify" lay-filter="example" id="form">' +
            '  <input type="text" name="id" id="id" style="display: none">' +
            '  <div class="layui-form-item">' +
            '    <label class="layui-form-label">合同标题</label>' +
            '    <div class="layui-input-block">' +
            '      <input type="text" name="tile" id="tile" lay-verify="title" autocomplete="off"  class="layui-input">' +
            '    </div>' +
            '  </div>' +
            '  <div class="layui-form-item">' +
            '    <label class="layui-form-label">合同内容</label>' +
            '    <div class="layui-input-block">' +
            '      <input type="text" name="content" id="content"  autocomplete="off" class="layui-input">' +
            '    </div>' +
            '  </div>' +
            '  <div class="layui-form-item">' +
            '    <label class="layui-form-label">保费金额</label>' +
            '    <div class="layui-input-block">' +
            '      <input type="number" name="amount" id="amount"  autocomplete="off" class="layui-input">' +
            '    </div>' +
            '  </div>' +
            '  <div class="layui-form-item">' +
            '    <label class="layui-form-label">签约人</label>' +
            '    <div class="layui-input-block">' +
            '      <input type="text" name="signPerson" id="signPerson"  autocomplete="off" class="layui-input">' +
            '    </div>' +
            '  </div>' +
            '  <div class="layui-form-item">' +
            '    <label class="layui-form-label">身份证号码</label>' +
            '    <div class="layui-input-block">' +
            '      <input type="text" name="identityNo" id="identityNo"  autocomplete="off" class="layui-input">' +
            '    </div>' +
            '  </div>' +
            '  <div class="layui-form-item layui-form-text">' +
            '    <label class="layui-form-label">联系电话</label>' +
            '    <div class="layui-input-block">' +
            '      <input type="text" name="linkmanPhone" id="linkmanPhone"  autocomplete="off" class="layui-input">' +
            '    </div>' +
            '  </div>' +
            '  <div class="layui-form-item">' +
            '    <div class="layui-input-block">' +
            '      <button type="submit" class="layui-btn" lay-submit="" lay-filter="demo1">立即提交</button>' +
            '    </div>' +
            '  </div>' +
            '</form>';
        layer.open({
            type:1,
            content: htmls,
            success: function(layero, index){
                senAjax({
                    url: 'http://localhost:8080/customer/contractInfo',
                    data: {
                        customerId:customerId
                    },
                    dataType: "json",
                    success: function(resp){
                        if (resp.code == 0) {
                            var np=$("#form");
                            $.each(resp.data,function(key,values){
                                np.find("#"+key).val(values);
                            });
                        }
                    }
                })
            }
        })
    }


	//查看合同详情
	@RequestMapping("/contractInfo")
    @ResponseBody
    public WebResult contractInfo(String customerId){
        return WebResult.successWebResult(jdbcTemplate.queryForMap("select * from t_contract where customerId=?",customerId));
    }
    //修改合同
	@RequestMapping("/contractModify")
    public String contractModify(String id,String tile,String content,String signPerson,String identityNo,String linkmanPhone){
        String sql ="update t_contract set tile=?,content=?,signPerson=?,identityNo=?,linkmanPhone=? where id=?";
        jdbcTemplate.update(sql,tile,content,signPerson,identityNo,linkmanPhone,id);
        return "index";
    }

这样的实现看起来并没有什么问题,功能一切正常,但存在安全隐患,contractInfo接口是直接根据客户编号去对应表里查,并没有校验传过来的客户编号是属于当前登录用户的!!!
如果有人这么操作
在这里插入图片描述
在这里插入图片描述
这样别人就可以通过这个接口随便传customerId,最终获取整个系统的客户的合同信息,像这个接口就返回了手机号,身份证号等敏感信息,客户可能会被恶意骚扰或者被一些公司贩卖信息,这是坚决不行的!!!
观察仔细的同学还会发现contractModify接口也存在同样的问题,而且更严重,可以任意修改t_contract表的数据!!!

大家可以暂停下来看看自己负责的项目中有没有类似的问题

如何解决: 以contractInfo接口为例,修改后的逻辑如下

	public WebResult contractInfo(String token, String customerId) {
		//先获取当前登录的用户id,在关联customerId去t_customer中查,如果没有就返回错误
        Integer userId = (Integer) Application.redisMap.get(token).get("userId");
        int count = jdbcTemplate.queryForObject("select count(*) from t_customer where id=? and user_id=?", Integer.class, customerId, userId);
        if (count==0) {
            return WebResult.errorWebResult("查询数据不存在");
        }
        return WebResult.successWebResult(jdbcTemplate.queryForMap("select * from t_contract where customerId=?", customerId));
    }

contractModify接口是先查出customerId,然后和上面的校验逻辑一致
现在接口有了鉴权,消除了安全隐患。但是大点的项目肯定不只这一点接口,可能还有给客户发短信等一系列以客户为主体的接口,和以合同为主体的接口,那么上面鉴权的代码就会复制多份,哪怕封装到service里,也是每个方法都会调用一次;如果来了个新同事,开发一个合同失效的新接口,可能就会忘记调用service的鉴权方法,如果开发时间紧张,老员工也可能会忘记做鉴权。而且鉴权的代码其实在一些修改功能的接口里是多余的 ,这里的意思是割裂了主要业务代码,接口里的代码应当围绕在修改的逻辑。

有没有通用一点的解决方案呢?可以基于注解来做鉴权,本人已经封装成了一个框架,稍加配置即可使用

如何使用

该框架参照 @RequestMapping 的实现方式,使用特定注解标明需要校验的参数名和实现校验逻辑的处理器bean的name,标注在类或方法上,对符合条件的方法进行拦截,若处理器校验通过,则调用链继续,否则抛出特定异常。

  • pom.xml新增依赖(由于jar包未上传到外网maven仓库,需要将项目从github (https://github.com/dingmengyang/ SecurityFramework)拉到本地,install到本地maven仓库,若失败,请参照这篇文章https://blog.csdn.net/gao_zhennan/ article/details/89713407
		<dependency>
            <groupId>org.jason</groupId>
            <artifactId>data-permission-check</artifactId>
            <version>1.0-SNAPSHOT</version>
        </dependency>
  • 修改代码:

【controller】

	//【parameterName表示要拦截的参数名,resolverName表示处理具体鉴权逻辑的bean name】
	@DataPermission(parameterName = "customerId",resolverName = "customerDataPermissionResolver")
    @RequestMapping("/contractInfo")
    @ResponseBody
    public WebResult contractInfo(String token, String customerId) {
        return WebResult.successWebResult(jdbcTemplate.queryForMap("select * from t_contract where customerId=?", customerId));
    }

【配置类】

@Configuration
@ControllerAdvice
public class Config extends WebMvcConfigurerAdapter implements ApplicationContextAware {
	//鉴权框架需要根据@DataPermission的resolverName参数从applicationContext获取对应bean
    private ApplicationContext applicationContext;

	//【处理权限校验异常】也可以通过HandlerExceptionResolver实现
    @ExceptionHandler(value = {DataPermissionException.class})
    @ResponseBody
    public WebResult exceptionHandler(DataPermissionException e){
        return WebResult.exceptionWebResult(Integer.parseInt(e.getCode()),e.getErrorMessage());
    }
	//【添加特定的权限拦截器DataPermissionCheckInterceptor】
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
    	//拦截器构造参数需要传DataPermissionResolverContainer(缓存method与处理器bean的对应关系),框架提供了两个默认实现类
    	//1.InitializingDataPermissionResolverContainer,即在启动的时候就遍历所有controller,把符合条件的method缓存
    	//2.SimpleDataPermissionResolverContainer,启动时不做任何处理,当method被调用时,若符合条件,则会被缓存
        registry.addInterceptor(new DataPermissionCheckInterceptor(new InitializingDataPermissionResolverContainer(applicationContext)));
    }
	//【重点!!!添加鉴权处理器,方法内用到的service或者其他类请通过参数的形式传入,例如这里的JdbcTemplate】
	//即@DataPermission的resolverName所指的bean,这里我把contractInfo接口鉴权的逻辑放在了这
    @Bean
    public DataPermissionResolver customerDataPermissionResolver(@Autowired JdbcTemplate jdbcTemplate){
        return new DataPermissionResolver() {
        	//返回true表示有权限,返回false则会抛出DataPermissionException异常
            @Override
            public boolean hasDataPermission(HttpServletRequest httpServletRequest, Object parameter) {
            	//parameter即@DataPermission的parameterName在前端参数里的值
            	//如果前端没传拦截的参数或者参数为空,返回true,这里可根据具体情况具体处理
                if (parameter==null || StringUtils.isEmpty(parameter.toString())){
                    return true;
                }
                String customerId=parameter.toString();
                String token=httpServletRequest.getParameter("token");
                Integer userId = (Integer) Application.redisMap.get(token).get("userId");
                int count = jdbcTemplate.queryForObject("select count(*) from t_customer where id=? and user_id=?", Integer.class, customerId, userId);
                return count>0;
            }
        };
    }

    @Override
    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        this.applicationContext=applicationContext;
    }


}

【前端】

function senAjax(data) {
    if (!data.data) {
        data.data={};
    }
    data.data.token=sessionStorage.getItem("token");
    $.ajax({
        url: data.url,
        data:data.data,
        dataType: data.dataType || "json",
        success: function(resp){
        	//DataPermissionException错误码默认9527,ErrorMessage默认是【数据无法访问】,可在异常捕获配置那自行修改,前后端一致即可
            if (resp.code == 9527) {
                layer.closeAll();
                layer.alert(resp.msg);
                return;
            }
            data.success(resp);
        }
    })
}

现在我们再来篡改一下前端页面来试下
在这里插入图片描述
ok!现在系统已经接入了框架,只需要通过注解就能实现鉴权,还有一个contractModify接口相信大家应该知道怎么弄了吧!

流程图

下面结合流程图具体介绍下框架的逻辑

Created with Raphaël 2.2.0 http请求 DataPermissionCheckInterceptor#preHandle 1.Method或者其Class上 有DataPermission注解? 2.注解的forceCheck属性值为true或者 parameterName属性值 在Method的参数列表里? 注解的resolverName属性值 的bean#hasDataPermission 调用链继续 抛出DataPermissionException yes no yes no

重点说下第三步:

  1. @DataPermission可标注在类和方法上,都有时以方法上的注解为准
  2. @DataPermission的forceCheck属性默认为false;为false需要判断注解方法的参数数组里是否有parameterName同名参数,有才获取对应resolver并调用hasDataPermission方法,像这种拦截的参数名是id,而方法没有id这个参数,这种情况框架不会做鉴权
	@DataPermission(parameterName = "id",resolverName = "customerDataPermissionResolver")
    @RequestMapping("/contractInfo")
    @ResponseBody
    public WebResult contractInfo(String token, String customerId) {
    	...
    }

为true则跳过判断,适合当校验参数在封装类中时使用,比如

	//forceCheck = true则一定会鉴权
	@DataPermission(parameterName = "customerId",resolverName = "customerDataPermissionResolver",forceCheck = true)
    @RequestMapping("/contractInfo1")
    @ResponseBody
    public WebResult contractInfo1(QueryDto dto) {
        return WebResult.successWebResult(jdbcTemplate.queryForMap("select * from t_contract where customerId=?", dto.getCustomerId()));
    }

public class QueryDto {

    private String token;
    private String customerId;
}

使用该框架的好处

  1. 方法里的代码更简洁,逻辑更清晰
  2. 一般controller都是以某个业务主体为纬度命名,比如CustomerController,里面的方法也基本上都是和Customer相关的,都会有一个customerId名称的参数,所以只需在类加上 @DataPermission(parameterName = “customerId”,resolverName = “xxDataPermissionResolver”)即可,后面新写的接口只需按约定把方法的一个参数命名为customerId即可,如果命名为了customerNo,那么这个接口就不在框架作用范围内了,可以在该方法上使用@DataPermission(parameterName = “customerNo”,resolverName = “xxDataPermissionResolver”)

附录

  • 项目地址

示例项目地址
鉴权框架项目地址

  • spring项目如何使用

xml配置:

	<!--注册拦截器-->
 	<bean name="dataPermissionCheckInterceptor" class="org.jason.datapermissioncheck.DataPermissionCheckInterceptor">
        <constructor-arg name="dataPermissionResolverContainer" ref="dataPermissionResolverContainer"/>
    </bean>

    <bean name="dataPermissionResolverContainer" class="com.example.web.base.MyDataPermissionResolverContainer"/>

直接在xml里注册框架现有的DataPermissionResolverContainer实现类需要给构造参数传ApplicationContext,总不能重新弄个ApplicationContext,所以后面通过封装类来实现

public class MyDataPermissionResolverContainer implements DataPermissionResolverContainer, ApplicationContextAware {

    private DataPermissionResolverContainer delegate;

    @Override
    public void addResolver(String s, DataPermissionResolver dataPermissionResolver) {
        delegate.addResolver(s,dataPermissionResolver);
    }

    @Override
    public void removeResolver(String s) {
        delegate.removeResolver(s);
    }

    @Override
    public DataPermissionResolver getResolver(Method method, Class<?> aClass) {
        return delegate.getResolver(method,aClass);
    }

    @Override
    public void clear() {
        delegate.clear();
    }

    @Override
    public DataPermission getDataPermission(Method method, Class<?> aClass) {
        return delegate.getDataPermission(method,aClass);
    }

    @Override
    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        this.delegate=new InitializingDataPermissionResolverContainer(applicationContext);
    }
}
Fight_Rain
关注
专栏目录
SpringMVC的接口鉴权
大鱼的翅膀
09-02 6578
工作中,我们肯定都会接触到拦截器,但是经常在拦截的过程中出现各种问题,比如拦截之后,静态资源也被拦截,结合AOP的时候起不到作用,或者拦截根本没有生效。用SpringMVC的小伙伴肯定深有感受,接下来,我们一起整理一遍拦截器及AOP。 1.什么是拦截器 在SpringMVC中用于拦截请求的代码。由于SpringMVC的视图解析器的存在,在拦截请求到处理请求再到返回视图中间有两个间隙,inter...
Spring】借Spring MVC实现透明鉴权
chenghan_yang的博客
07-04 375
开发业务代码的时候,不用关心请求自己接口的用户是否合法。鉴权的工作交给架构中的公共代码,自己仅专心于业务实现。 1.2. 有什么好处? 践行 “单一职责” 原则。鉴权与授权都应该是安全模块的内容,当单体架构膨胀到一定程度后,考虑重构为微服务时,安全模块可拔插的特点就有优势了。细粒度控制依旧在业务层 EG: 删除客户资源,要取登录人的信息确保是本人删除 的技术抉择 EG: 用来存储上下文中用户实体,避免User参数层层传递,但是在线程池环境下,很容易出问题。 默认隔离,要修改成才能避免 污染。授权与鉴权
java springmvc权限校验_SpringMVC 实现注解式权限验证 1
weixin_42350506的博客
02-26 155
一.首先介绍一下action拦截器:HandlerInterceptor是Spring MVC为我们提供的拦截器接口,来让我们实现自己的处理逻辑,HandlerInterceptor 的内容如下:public interfaceHandlerInterceptor {booleanpreHandle(HttpServletRequest request, HttpServletResponse r...
SOA中springmvc中restful服务的数据权限加密方式分享
chuyiyou7095的博客
11-07 150
restful中数据权限加密方式有很多种,特别是针对于request json的方式加密,这里详细介绍了SOA中针对于get、post数据加密方式,保证数据传输中的安全性: Java代码 @Component("dataSignInterceptor") publ...
springmvc集成jwt鉴权
HeliosJ的博客
11-15 818
1.引入jjwt maven pom.xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependenc...
快速上手Shiro—Java认证和授权框架
03-19 6511
文章以官方指南为基础,包括快速上手,Shiro的架构以及如何使用Springboot整合Shiro实现简单登录认证Shiro的架构 快速入门 环境搭建 QuickStrat.java Springboot整合Shiro 两种方式引入Shiro依赖 Shiro登录原理 Shiro核心配置类 自定义Realm类 ShiroConfig类
JAVA面试基础 自整理
weixin_60721479的博客
01-11 672
Object类方法: clone() 创建并返回此对象的一个副体 equals(object) 比较两个对象是否相等 finalize() 当垃圾回收器确定不存在对该对象的更多引用时,由该对象的垃圾回收器调用此方法 getClass() 返回一个class对象,经常用于java反射机制 toString() 返回该对象的字符串表示 hashCode() 获取对象的哈希值 notify() 唤醒在此对象监视器上等待的单个线程 ...
整理面试题
weixin_52491177的博客
12-09 1475
一、基础篇 Java 基础 1.面向对象的特征 可以说是三大特征,也可以说是四大特征 ①第一个是抽象:就是把有共同特征的一类事物,构造成类,只关注它的属性和行为,而不关注这些行为的细节 ②第二个是封装:就是把数据和操作数据的方法绑定起来,私有化,对外只提供一个最简单的方法 ③第三个是继承:子类继承父类的属性,比如说有多个类定义了共性的内容时,为了提高代码的复用性,就把这些类中的共性内容抽取出来,定义在一个独立的类中,然后再使用其他类去继承这个类中的共性部分,实现了复用,这就是继承 ④第四个是多态:顾名思义就
Java面试题
qq_32362489的博客
03-10 4371
目录 1... JAVA系列... 10 1.1 常用容器... 10 1.2 ArrayList 和 linkedlist 区别。ArrayList 是否会越界... 12 1.3 ArrayList 和 hashset 的区别。hashset 存的数是否有序。... 12 1.4 HashMap与HashTable的区别... 13 1.5...
Java面试考核题
weixin_47089371的博客
05-28 545
1.1Java基础 1.集合有哪些?数据结构?初始长度?扩容机制?哪些是线程安全的? hashmap的底层原理? 集合类型主要有3种:set(集)、list(列表)和map(映射)。 1、List(有序、可重复) List里存放的对象是有序的,同时也是可以重复的,List关注的是索引,拥有一系列和索引相关的方法,查询速度快。因为往list集合里插入或删除数据时,会伴随着后面数据的移动,所有插入删除数据速度慢。 2、Set(无序、不能重复) Set里存放的对象是无序,不能重复的,集合中的对象.
springmvc用于方法鉴权的注解拦截器的解决方案代码
08-28
主要介绍了springmvc用于方法鉴权的注解拦截器的解决方案代码,具有一定借鉴价值,需要的朋友可以参考下。
ssm(spring+springMVC+mybatis)权限管理系统源码附加数据
10-28
ssm(spring+springMVC+mybatis)权限管理系统源码附加数据库.最完整的权限管理系统五个表。完整源码,mysql数据库。
【项目实战】SpringMVC拦截器实战 - 自定义拦截器对Token鉴权
本本本添哥
02-28 526
项目中,需要实现对Token进行鉴权,符合鉴权方法的请求才放行,否则就拦截,因为Token字段一般都是在Header中的,因此需要使用拦截器来实现这个拦截。
servlet和springmvc用户鉴权
u014397507的博客
03-29 332
servlet 创建filter文件: package com.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.Serv
springMvc+nginx文件鉴权校验权限)服务器
小菜bill的博客
12-03 3282
一、环境 springmvc开发的javaweb系统。 二、需求 需要鉴权后才能访问上传的文件(指定文件夹中的文件)。 三、原来访问文件的方式 1、使用tomcat做文件服务器,通过tomcat的server.xml配置文件的访问路径。 2、特点:不需要鉴权就能访问文件 3、访问路径:http:localhost:8080/download/test.png 注意:http:l...
springmvc系】利用RequestBodyAdviceAdapter做接口鉴权
最新发布
run_boy_2022的博客
08-14 1396
RequestBodyAdvice这里类能干什么对进行增强处理,比如所有请求的数据都加密之后放在 body 中,在到达 controller 的方法之前,需要先进行解密,那么就可以通过 RequestBodyAdvice 来进行统一的解密处理,无需在 controller 方法中去做这些通用的操作。
springmvc 登录鉴权过滤器
热门推荐
都是浮云
10-12 1万+
package com.common.filter; import java.io.IOException; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.htt
TinyPermission,一个超轻量级的spring boot权限验证模块
伟仔的博客
10-10 314
TinyPermission,一个超轻量级的spring boot权限验证模块 具备和shiro一样的注解过滤权限的功能。 可实现动态权限的过滤。 超少代码实现且提供示例demo。 关键代码块 @TinyPermission(value = "admin") @RequestMapping(value = "/admin") public String admin(@RequestHeader(name = "token")String token){ return "admin..."; }
springmvc使用JWT实现鉴权并防止流只能读取一次的ERROR
一个真实、有温度的无名小卒
02-06 2878
为了保证接口的安全性,在restful服务接口中我们常常使用JWT进行登陆鉴权,JWT的原理很简单: 登陆成功后用JWT根据登陆信息生成一个token返回给调用者,调用者下次调用其它接口把登录信息和相关token一起传给服务,使用springmvc拦截器进行拦截验证,看token是否有效,有效则跳转到指定的controller进行处理! 以ssm框架为例 一.pom.xml 导入jwt的包:
SpringMVC3.0数据校验框架详解与实战
通过使用Spring的`DataBinder`,可以自动调用校验框架进行数据验证。在Spring MVC中,数据校验通常是通过注解驱动的方式来实现的,这样可以极大地简化代码并提高可读性。 例如,在控制器类中,可以使用`@Valid`注解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值