session存储、登录认证、权限认证解决方案

最新推荐文章于 2024-01-02 21:53:13 发布
原创 最新推荐文章于 2024-01-02 21:53:13 发布 · 1.9k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

这篇博客详细介绍了在Java环境下实现登录认证、session存储和权限验证的整体思路与具体方案,包括登录验证、session存储到数据库、token验证、权限注解及拦截器处理等关键步骤,旨在提供一套完整的解决方案。

8-25 session存储、登录认证、权限认证解决方案初步学习
本章节将围绕登录功能的实现,来搭建

  • sessin存储方案
  • 登录认证方案
  • 权限验证方案

一、整体思路分析

1.1 登录思路

登录的目的:

  1. 验证登录信息是否正确
  2. 生成token令牌:在登录之后,当访问那些需要登录才能访问的接口时,放置令牌在请求中是证明我们登录过的手段
  3. 存储session到数据库:session是什么,为什么要存储session,后面会介绍到

整体思路分析

  1. 效验数据:验证账号密码是否正确
  2. 写session:提供我们在项目的任何地方
  3. 生成并设置token:创建令牌
  4. 存储session到数据库
  5. 获取role:获取当前用户的role
  6. 封装sessionWrapper

1.2 session存储方案

  1. 将session信息在登录的时候整理,存储在数据库中
  2. 在登录之后,每次请求进行拦截处理之后,通过token从数据库中查询session信息,将session信息维护到上下文中,利用ThreadLocal进行 全局 线程变量管理,并将上下文信息放入ThreadLocal中,也就是内存中缓存起来,这样可以提高我们对热点数据(频繁操作的数据)进行高速访问:内存速度是磁盘速度的500-1000倍。

1.3 权限验证方案

  • 小型项目:在后台,超级管理员可以设置权限组作为一种角色,当其他管理员被创建的时候可以选择某一种角色。
  • 大型项目(套餐):在平台的后台,平台超级管理员可以创建权限套餐,店铺超级管理员可以在店铺后台通过套餐范围内的权限分配给其他账号。

我们这里采取小型项目的解决思路来进行设计。

  1. 设置权限类型枚举
  2. 设置权限注解,作用在方法或类上
  3. 在拦截器登录认证之后进行权限验证处理

1.4 登录认证

  1. 设置登录的用户类型枚举
  2. 设置session注解,作用在方法或类上
  3. 在拦截器中进行登录认证处理

二、Session存储方案:上下文Context

  • Session是包含token信息和adminId的,用于做
  1. 登录验证
  2. 包装Context

2.1 session体系

AdminSession

当前用户的AdminSession存放着重要的用于包装Context的信息


    private Long id;
	// 用于获取admin
    private Long adminId;
	// 用于存储token
    private String token;
	// 用于记录当前登录时间
    private Long signinAt;
	// 用于记录token过期时间
    private Long expireAt;

当然,AdminSession这些属性并不能满足我们的需求,因此,我们需要对该类进行扩展。
这里,我们使用Wrapper类对其进行包装扩展
AdminSessionWrapper

	// AdminSession信息
	private AdminSession adminSession;
	// Admin信息
    private Admin admin;
    // Role信息
    private Role role;

SessionWrapper

SessionWrapper作为该体系最上层抽象接口,实现了不同SessionWrapper(比如AdminSessionWrapper)的统一管理。

2.2 Context体系

Context是用来在登录之后,对当前线程的session信息进行管理,并放置在全局中,这样我们可以在任何地方访问这些信息。因为Context包含了当前用户的登录信息和个人信息等基本信息,因此当我们在修改个人信息、查询个人信息等等操作变得非常简单。

Context

Context内部维护了一个SessionWrapper。

Contexts

Contexts是Context的管理类,内部维护了一个SessionThreadLocal。我们要想理解这个类,首先要理解ThreadLocal。

SessionThreadLocal

SessionThreadLocal继承了ThreadLocal,并把自己作为一个单例维护在类中,因此我们可以将该类理解为ThreadLocal。

ThreadLocal

ThreadLocal是对线程变量全局管理的一种实现。

通过查看源码可以看到,其内部维护了一个ThreadLocalMap
在这里插入图片描述
ThreadLocalMap是ThreadLocal的内部类,其实他内部维护了一个Entry数组,用来存储线程变量,并把线程作为key,变量作为value进行全局管理。
在这里插入图片描述
当我们调用set方法时候
·
在这里插入图片描述

实际上,就是把当前线程作为key,存入的值作为value进行存储的。调用get方法的时候,其实就是获取当前线程的变量。

我们完成了上下文的体系分析,那么我们来总结一下。

  • SessionThreadLocal实际上是一个ThreadLocal,对线程变量进行全局管理。
  • Contexts:用于管理SessionThreadLocal
  • Context:内部维护了SessionWrapper信息,我们将一些需要的信息存入其中,再作为线程变量,通过Contexts set进入SessionThreadLocal中。

三、登录功能

  1. 效验数据:验证账号密码是否正确
  2. 写session:提供我们在项目的任何地方
  3. 生成并设置token:创建令牌
  4. 存储session到数据库
  5. 获取role:获取当前用户的role
  6. 封装sessionWrapper

3.1 效验数据

略过。。。

3.2 写Session

		//利用下面这个方法生成一个64位token
		String token = StringUtils.randomAlphanumeric(64);
        Long curTime = System.
最低0.47元/天 解锁文章
Session登陆实践
goat的博客
03-09 1751
假如我们的服务端是分布式的,也就是有多台服务器同时提供服务,假如在用户登陆请求发送到服务器A,服务器A保存了;突然服务器A宕机,接下来当前用户的所有请求将要发送到服务器B,但此时服务器B中没有当前保存当前用户的登陆态,显然单机Session登陆不太适合分布式下的用户登陆。单机模式下,不同的Session对象都被保存在同一个服务器中,服务器根据保存在用户浏览器Cookie中的SessionId查找Session对象。对象,并将其与请求关联。关注一手等待后续更新更多干货🚀。
基于Session共享的方式解决单点登录问题
wangpf2011的博客
06-20 1519
本文主要讲述集群环境下解决Session共享的问题,从而实现集群环境下的单点登录Session共享问题已经有很多解决方案,这里主要讲述常用四种方法。 Session Sticky Session Sticky(粘性) 保证同一个会话的请求都在同一个Web服务器上处理,这样就完全不需要考虑到会话问题了。比如负载均衡算法中哈希算法就是一个典型的Session Sticky实现手段。 这种实现方...
微信小程序坑点杂谈(三)一分钟解决登录状态session的问题!
01-03
微信小程序坑点杂谈(三)一分钟解决登录状态session的问题! 一、写在开头 本人只是一枚小小的新手开发者,所提的问题和解答很难超过个人水平,如果对你有帮助,那就太好了! 二、发现问题 我们之前讲到过,404有大概三种情况,其它两种比较常见也容易规避,我们来看看比较复杂的第三种session登录状态问题。常出现在url和参数完全正确却报了一些莫名其妙的错误。 三、解决问题 wx.request({ url: '后端给你的url地址', data:{ //写想要传递给后端的数据 }, method:POST, header:
登录权限验证session
weixin_34290631的博客
12-15 323
原理 登录成功后,保存登录信息到文件/数据库种,同时保存创建时间和过期时间,下次验证的时候取出来做验证使用express-session中间件来进行session的操作 安装express-session npm install express-session 配置expess-session中间件 //使用express-session...
Session实战权限认证
可小辉的博客
11-08 465
1
开源、免费、轻量级 Java 权限认证框架,让鉴权变得简单、优雅!- 登录认证权限认证、分布式Session会话、微服务网关鉴权、SSO 单点登录、OAuth2.0 统一认证
最新发布
10-07
这个开源框架以其轻量级的设计、丰富的功能以及对现代Web应用开发需求的深刻理解,为Java开发者提供了一套全面而高效的权限认证解决方案。无论是简单的企业应用还是复杂的分布式系统,这个框架都能提供强大而灵活的...
Restful安全认证权限解决方案.docx
10-26
综上所述,Restful安全认证解决方案多样化,可以根据具体需求选择合适的方法。JWT由于其诸多优点,如无状态、可复用、安全等,成为了许多现代Web服务的首选认证机制。在实际应用中,应结合Redis等缓存工具进行...
sa-token-dev.zip:简化Java权限认证的框架解决方案
sa-token是专为Java Web应用设计的轻量级权限认证框架,它提供了统一的认证和鉴权解决方案,旨在简化登录认证权限认证流程,同时支持分布式Session会话管理,微服务网关鉴权,单点登录和OAuth2.0授权机制。...
跟着燕青学Spring Security认证授权04--Servlet3.0 SpringMVC实现Session认证方式
传智燕青
10-09 687
1 认证流程 基于Session认证方式的流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发给客户端的 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户退出系统或session过期销毁时,客户端的session_id也就无效了。下图是...
session会话_登录认证模块之session会话认证
weixin_39803977的博客
01-30 622
session会话认证定义:Session是应用系统对浏览器客户端身份认证的属性标识。Session中的用户信息会存放在应用系统服务器中。当浏览器客户端使用自身的 Session标识访问服务器时,服务器会根据 Session标识来查找对应的用户身份信息。危害:当系统使用 Session会话授权认证机制配置存在缺陷时,会导致攻击者利用配置缺陷风险进行对用户会话权限的盗取、操控等操作。Ses...
使用session判断用户登录用户权限(超简单)
10-27
本篇文章是对session判断用户登录用户权限进行了详细的分析介绍,需要的朋友参考下
利用Session验证是否用户登录
08-14
利用Session验证用户登录,及Session的一些常见用法
Servlet实战——利用Session管理员权限验证
何义竏
01-03 985
Session管理员实战权限验证Session管理员实战权限验证一、创建管理员表二、 登录页面三、Dao层Dao层接口Dao层Impl实现类四、entity实体类五、service业务方法实现类service接口serviceImpl实现类六、servletControllerJSP Session管理员实战权限验证 一、创建管理员表 create table manager( username varchar(20) primary key, password varchar(20) not nul
session共享_基于Session共享的方式解决单点登录问题
weixin_39862847的博客
12-03 250
本文主要讲述集群环境下解决Session共享的问题,从而实现集群环境下的单点登录Session共享问题已经有很多解决方案,这里主要讲述常用四种方法。Session StickySession Sticky(粘性) 保证同一个会话的请求都在同一个Web服务器上处理,这样就完全不需要考虑到会话问题了。比如负载均衡算法中哈希算法就是一个典型的Session Sticky实现手段。这种实现方式存在问题:...
实现登录功能,解决分布式Session问题
wang_xiao_xuan的博客
03-22 445
Springboot+mybatis-plus+Redis实现登录功能,解决分布式Session问题 声明:代码是项目开始的一部分,想要后续的持续关注哦,或者留言你遇到的问题 使用mybatis-plus的代码生成生成相关代码 建立vo包建立登录功能所传递的登录参数 package com.wangxiaoxuan.seckill.vo; import lombok.Data; /** * @author 王小轩 * @version 1.0 * 登录参数 */ @Data public c
Session跨域及单点登录解决方案
tengxvincent的博客
09-14 8439
cookie机制 关于cookie和seesion的联系 cookie中会包含那些信息 名字,值,过期时间,路径,域 cookie会带到http请求头中发送给服务端 如果cookie没有设置过期时间的话,那么cookie的默认生命周期是浏览器的会话 session机制 1,session是容器对象,客户端在请求服务端的时候,服务端会根据客户端的请求判断是否包含了jsession...
Session认证机制
weixin_45650502的博客
03-28 5603
不同开发模式下的身份认证: (1)服务端渲染推荐使用Session认证机制; (2)前后端分离推荐使用JWT认证机制。
Session 认证和Token 认证
abc_138的博客
01-02 1534
概念:JWT 全称 JSON Web Token,是一种基于 Token 的认证授权机制。可以生成 token,也可以解析验证 token。官网地址先看看官网上 JWT 的具体样式基于 session 和基于 Token 认证方式,本质上没有什么区别,都是对用户身份的认证机制,只是在使用过程中校验的方式不同,各有优缺点,不能说哪个好哪个不好,要根据实际需求选择响应的方式,后续会有文章实现基于 token 的方式去实现用户登录访问控制。改变你能改变的,接受你不能改变的,关注我,一起成长,共同进步。
登入时session的处理方式
weixin_33918114的博客
12-23 200
暂时理解不够彻底 有空在详细介绍,先记录代码 1:创建一个工具类 存取当前登录用户 1 package com.liveyc.eloan.util; 2 3 import javax.servlet.http.HttpSession; 4 5 import org.springframework.web.context.request.RequestContext...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值