Spring Boot 之 RESRful API 权限控制

最新推荐文章于 2023-09-05 09:46:54 发布
最新推荐文章于 2023-09-05 09:46:54 发布
阅读量413 收藏
点赞数
分类专栏: JAVA springboot 文章标签: java springboot

原文:https://www.bysocket.com/?p=1080

一、为何用RESTful API

1.1 RESTful是什么?

RESTful(Representational State Transfer)架构风格,是一个Web自身的架构风格,底层主要基于HTTP协议(ps:提出者就是HTTP协议的作者),是分布式应用架构的伟大实践理论。RESTful架构是无状态的,表现为请求-响应的形式,有别于基于Bower的SessionId不同。

 

1.2理解REST有五点:

1.资源 

2.资源的表述 

3.状态的转移 

4.统一接口 

5.超文本驱动

需要理解详情,请点[传送门]

 

1.3 什么是REST API?

基于RESTful架构的一套互联网分布式的API设计理论。和上面资源,状态和统一接口有着密切的关系。

为啥分布式互联网架构很常见呢?请看下面两个模式

MVC模式:

 

REST API模式:


 

1.4 权限怎么控制?

RESTful针对资源的方法定义分简单和关联复杂两种。

基本方法定义:

1
2
3
4
5
GET /user # 获取user列表
GET /user/ 3 # 查看序号为 3 的user
POST /user # 新建一个user
PUT /user/ 3   # 更新序号为 3 的user
DELETE /user/ 3 #删除user 3

资源之间的关联方法如下定义:

1
2
GET /admin/ 1 /user/ 10 # 管理员 1 号,查看序号为 3 的user信息
...

那么权限如何控制?

 

二、权限控制

前面说到,RESTful是无状态的,所以每次请求就需要对起进行认证和授权。

2.1 认证

身份认证,即登录验证用户是否拥有相应的身份。简单的说就是一个Web页面点击登录后,服务端进行用户密码的校验。

2.2 权限验证(授权)

也可以说成授权,就是在身份认证后,验证该身份具体拥有某种权限。即针对于某种资源的CRUD,不同用户的操作权限是不同的。

一般简单项目:做个sign(加密加盐参数)+ 针对用户的access_token

复杂的话,加入 SLL ,并使用OAuth2进行对token的安全传输。

自然,技术服务于应用场景。既简单又可以处理应用场景即可。简单,实用即可~

 

三、Access Token权限解决

3.1 AccessToken 拦截器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
/**
  * Access Token拦截器
  * <p/>
  * Created by bysocket on 16/4/18.
  */
@Component
public class AccessTokenVerifyInterceptor extends HandlerInterceptorAdapter {
 
     @Autowired
     ValidationService validationService;
 
     private final static Logger LOG = LoggerFactory.getLogger(AccessTokenVerifyInterceptor. class );
 
     @Override
     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
             throws Exception {
         LOG.info( "AccessToken executing ..." );
         boolean flag = false ;
         // token
         String accessToken = request.getParameter( "token" );
         if (StringUtils.isNotBlank(accessToken)) {
             // 验证
             ValidationModel v = validationService.verifyAccessToken(accessToken);
             // 时间过期
 
             // 用户验证
             if (v != null ) {
                 User user = userService.findById(v.getUid());
                 if (user != null ) {
                     request.setAttribute(CommonConst.PARAM_USER, user);
                     LOG.info( "AccessToken SUCCESS ...  user:" + user.getUserName() + " - " + accessToken);
                     flag = true ;
                 }
             }
         }
 
         if (!flag) {
             response.setStatus(HttpStatus.FORBIDDEN.value());
             response.getWriter().print( "AccessToken ERROR" );
         }
 
         return flag;
     }
}

 

第一步:从request获取token

第二步:根据token获取校验对象信息(也可以加入过期时间校验,简单)

第三步:通过校验信息获取用户信息

3.2 配置拦截

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
/**
  * MVC 设置
  *
  */
@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter {
 
     @Bean
     public AccessTokenVerifyInterceptor tokenVerifyInterceptor() {
         return new AccessTokenVerifyInterceptor();
     }
 
     @Override
     public void addInterceptors(InterceptorRegistry registry) {
         registry.addInterceptor(tokenVerifyInterceptor()).addPathPatterns( "/test" );
         super .addInterceptors(registry);
     }
 
}

 

第一步:将拦截器配置成Bean

第二步:拦截器注册注入该拦截器,并配置拦截的URL

 

token存哪里?

ehcache,redis,db都可以。自然简单的当然是db。

 

四、小结

1. REST API

2. Spring Boot 拦截器

L_小乌鸦
关注
专栏目录
Spring Boot + SpringSecurity + JWT 实现简单的 restful Api 权限控制
congge
05-12 1万+
对于前后端分离的项目,后端对于接口访问的权限控制是必须要做的,也就是需要根据用户的权限进行控制,这样才能对我们的接口资源进行一定程度的保护,在一个web项目中,我们的通常做法是,允许登录后的用户进行接口资源的访问,否则就需要进行拦截,比较成熟也比较流行的做法如下图所示, 我们大致梳理一下这个认证的流程如下, 1、用户访问后端某个接口,或者是需要操作web页面某个功能,如果没有认证,需要进行页面跳...
Spring Boot通过AOP实现权限控制
wzy18210825916的博客
07-18 5958
目录 前言 拦截器弊端 AOP+注解实现权限控制 1、定义权限控制的注解 2、定义AOP切面 3、在控制层使用注解进行拦截 4、运行结果 总结 前言 相信很多人做过的系统中,都有权限分配的需求,我们根据业务规则去指定哪些人可以进行哪些操作,特别是在一些网站的后台管理系统中更为常见。 实现权限拦截、管理的方式有多种,拦截器、过滤器、AOP、AOP+注解,甚至最low的在每...
Spring boot+Spring security+JJWT 实现restful风格的权限验证
weixin_34265814的博客
01-04 617
1. 引入相关依赖 &lt;!-- JJWT --&gt; &lt;dependency&gt; &lt;groupId&gt;io.jsonwebtoken&lt;/groupId&gt; &lt;artifactId&gt;jjwt&lt;/artifactId&gt; &lt;version&gt;0.6
SpringBoot系列-集成JWT实现接口权限认证
零度的博客专栏
06-27 1万+
原文出处:http://ju.outofmemory.cn/entry/341269RESTful API认证方式 一般来讲,对于RESTful API都会有认证(Authentication)和授权(Authorization)过程,保证API的安全性。 Authentication vs. Authorization Authentication指的是确定这个用户的身份,Autho...
SpringBoot + JWT 定制 API权限
LiuZihao97的博客
04-21 261
总体思路 一、设置token: 1、前端向后端传入账号和密码,后端验证成功后制作一个token返回给前端 2、前端存储这个token 二、使用token: 1、访问后端的特定API时,在request头部加入token 2、后端对访问特定API的请求进行拦截,验证request头部的token,验证通过则允许使用这个特定的API,否则返回一个提示信息提醒用户需要登录 SpringBoot与JWT的...
Springboot权限管理
zkk的博客
09-05 2066
现在鉴权模块已经非常成熟,以上仅为个人心得和实践,还有很多改进的地方欢迎评论,后续还会补充通过Shiro框架实现的鉴权这一模块。
基于Spring Boot框架的API开放调用平台.zip
最新发布
09-06
项目采用Spring Boot、Dubbo、Spring Cloud Alibaba、MyBatis Plus、Redis、React等技术栈,实现了接口的统一管理、调用权限控制、接口调用统计等功能。 适用人群 企业开发者需要统一管理和开放内部API接口。 ...
基于Spring Boot+Spring Cloud+OAuth2的RBAC权限管理系统.zip
05-02
基于 Spring Cloud Hoxton 、Spring Boot 2.2、 OAuth2 的RBAC权限管理系统 基于数据驱动视图的理念封装 Ant Design Vue,即使没有 vue 的使用经验也能快速上手 提供 lambda 、stream api 、webflux 的生产实践 ...
Spring Boot+Spring Security+JWT实现给RestApi增加认证控制
05-23
新一代基于Spring BootSpring Security、Oauth2等实现的权限控制和认证服务、支持第三方oauth授权和获取资源信息功能等;Spring Boot+Spring Security+JWT实现给RestApi增加认证控制
Spring Boot实现简单的用户权限管理(超详细版)
Veggie的博客
08-06 6万+
为了避免浪费时间进行不必要的阅读,这里先对项目进行简单的介绍。在实际应用场景中,每个用户都有对应的角色,而每个角色又有对应的一些角色。因为一个用户可以有多个角色,一个角色也可以被多个用户所拥有,角色和权限的关系也同理,这里主要利用多对多的映射关系将他们联系起来,对他们进行管理。 ...
SpringBoot+SpringSecurity+JWT实RESTfulAPI权限控制
林老师带你学编程
10-26 4万+
关于什么是jwt(json web token),还有jwt的工作流程我这边就不多介绍,主要给大家介绍一下SpringBoot中如何整合Security然后在添加jwt的支持。 想学习分布式、微服务、JVM、多线程、架构、java、python的童鞋,千万不要扫码,否则后果自负~ 通过SpringBoot+Security+JWT来实现token校验的过程。在生产环境中,对发布API增加授...
RESTful
给你更好的
10-14 3万+
一、RESTful RESTful,一种通用的前后台交互方式 RESTful一般是指这种格式: (1)使用HTTP POST(或GET)进行数据交互 (2)请求数据和应答数据均为JSON格式(或XML) 二、RESTful接口的实现 RESTful的前端实现 前端:在发送请求时,把请求转成JSON字符串 $.ajax({ type:"POST", /*请求类...
Spring Boot API 版本权限控制
515445681的专栏
07-09 1万+
Spring Boot API 版本权限控制 之前有文章讲述在Spring MVC 中扩展 RequestMappingHandlerMapping 实现对版本的控制。 但是在真正使用过程中不是很理想化,因为其需要替换掉WebMvcConfigurationSupport,替换后后,会将其提供的一系列默认组件全部移除。如我们注册拦截器使用的(RequestMappingHandlerAdapt
Springboot+Spring-Security+JWT+Redis实现restful Api权限管理以及token管理(超详细用爱发电版)
热门推荐
ech13an的博客
06-24 7万+
前言 其实挺早就想写一篇关于jwt的博文去好好总结一下之前踩过的坑了,但是事情有点太多了,一直没抽出时间来写,刚好现在有点时间可以好好静下来写一遍(可能)有点质量的博文吧,毕竟一直都是看别人的博文去学习,我也好好写一遍吧哈哈。既然如果偶然搜到这篇文章的话,我相信大家应该都了解了什么是jwt,比较想知道怎么使用springboot+spring-security去实现,当然也可以使用shiro,其...
springboot权限设计思路(精确到按钮级别)
大海无量的博客
08-18 2万+
参考:https://www.cnblogs.com/zhaojiatao/p/8482998.html 参考(精确到按钮级别):https://blog.csdn.net/chen42955/article/details/47423501
Spring Boot 2.0.6中文API文档免费下载指南
资源摘要信息:"本压缩包中包含的文件,为Spring Boot框架2.0.6版本的API文档,以及相关依赖和源代码。Spring BootSpring的一个模块,主要用于简化Spring应用的初始搭建以及开发过程。它使用了特定的方式来进行配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值