SpringBoot使用拦截器实现Restful URL权限拦截

已于 2024-04-12 04:54:06 修改
阅读量3.1k 收藏 12
点赞数 18
分类专栏: 搬砖经验 文章标签: spring boot restful java shiro
于 2021-11-14 02:06:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a272265225/article/details/121312970
版权
本文介绍了如何在SpringMVC中利用内置拦截器实现基于角色的访问控制(RBAC),涉及关键点包括拦截器的使用、正则表达式、权限模型设计以及如何通过用户角色匹配URL权限。适合快速上手的轻量级权限管理方案。
摘要由CSDN通过智能技术生成

前言

RBAC 是基于角色的访问控制(Role-Based Access Control )。权限管理是在任何一个系统里都无法绕过的问题。没有权限控制管理的系统是非常不安全的。
在Spring框架体系中。有非常多的RBAC框架,如Spring Shiro、Spring Security。
而本文介绍的是使用SpringMVC自带的拦截器来实现RBAC权限控制。功能虽然不够全面,但胜在够轻量,能够实现最基本的权限拦截。

实现的关键点:
1.拦截器的使用
2.正则表达式的使用,反向生成权限URL的正则表达式。
3.建立正确的RBAC权限模型

权限数据模型

本文教程使用通用的RBAC权限模型:
用户、角色、权限、用户-角色、角色-权限。如下图所示:
在这里插入图片描述

关于RBAC权限模型的更多资料,推荐几个链接:
权限系统与RBAC模型概述[绝对经典]
http://csrc.nist.gov/groups/SNS/rbac/index.html
https://csrc.nist.gov/projects/role-based-access-control

拦截器的实现

这里记录几个要点:

1.拦截器继承自:HandlerInterceptorAdapter
2.拦截器需要加上@Component注解,为了被Ioc容器扫描到
3.拦截器要对不鉴权的URL进行放行
4.给出的代码并非完整代码,只记录了大概的思路。

方法伪代码:

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import lombok.extern.slf4j.Slf4j;

/**
* @author ljx
*/
@Slf4j
@Component
public class ValidInterceptor extends HandlerInterceptorAdapter {
 	//公开的URL前缀  
    private static final String[] PUBLIC_URL_PREFIXES = new String[]{
            "/upload",
            "/error",
            "/web",
    };
    // 公开的URL前缀中要过滤的接口,即公开前缀中需要鉴权的URL
    private static final String[] PUBLIC_URLS_EXCLUDES = new String[]{};
    private static final String HEADER_AUTHORIZATION = "Authorization";

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    	// 对 Options 方法放行
        if (HttpMethod.OPTIONS.matches(request.getMethod())) {
            return true;
        }
        String method = request.getMethod();
        String uri = request.getRequestURI();
        if (StringKit.isNotBlank(uri)) {
	        // uri的一些处理
            uri = uri.replace("/tomcat", "");
        }
        // 不拦截公开的URL
        if (isPublicUrl(uri)) {
            return true;
        }

        // 从请求中获取访问者信息,通常为用户信息
        // 可以获取Session或者token来识别信息,如果没有用户信息则可以判定为无权限,返回false
        // 用户信息通常保存到一个全局的地方。可以是全局缓存(Redis或者内存缓存中)或者数据库中
        // 代码略

        // RBAC校验
        // 由获取到的用户信息,去查询用户拥有的角色,再根据角色去获取对应的权限信息,
        // 然后对URL和权限列表进行匹配。
        // 这里每一次都会去数据库查询权限数据,好处是可以动态改变权限,不好的地方是会频繁查库。
        // 优化方法:
        // 1.拦截器第一次对某进行拦截时,将该用户的权限信息放到缓存,后面可以从缓存中直接取数据。(无法动态改变权限信息)
        // 2.没想到,读者自行补充(滑稽脸)
        Set<String> userRoles;	// 用户的角色ID
        Set<String> roleItems;	// Set保证权限ID唯一
        List<PermissionEntity> permissions;	// 由权限ID集合获取到所有的权限具体信息(不包含菜单类型的URL)
        // Permission是权限具体信息。必须包含权限的URL,对应的Http方法。
        // hasPermission方法是对Restful URL进行鉴权的关键方法
        if (!hasPermission(uri, method, permissions)) {
            throw new RuntimeException("access.denied");
        }
        return super.preHandle(request, response, handler);
    }

    private boolean hasPermission(String url, String method, List<PermissionEntity> permissions) {
        if (ArrayKit.isNullOrEmpty(permissions)) {
            return false;
        }
        for (PermissionEntity permission : permissions) {
        	// getItem() 返回的是权限URL
            if (StringKit.isBlank(permission.getItem())) {  
                continue;
            }
            // 将Restful风格的url占位符部分改成正则表达式,去匹配url。
            // 例如/users/{uid}/role的正则表达式为:/users/[^/]*/role
            // url和method都匹配成功视为有权限
            String matchRegex = permission.getItem().replaceAll("\\{[^/]*\\}", "[^/]*");
            if (url.matches(matchRegex)) {
                // URL的请求方式为*则视为支持所有请求方式
                if ("*".equals(permission.getMethod()) ||
                        method.toUpperCase(Locale.ROOT).equals(StringKit.toUpperCaseWithSafe(permission.getMethod()))) {
                    return true;
                }
            }
        }
        return false;
    }

    /**
     * 是否公开的URL
     *
     * @param url 链接地址
     * @return 是否公开
     */
    private boolean isPublicUrl(String url) {
        for (String publicUrl : PUBLIC_URL_PREFIXES) {
            if (url.startsWith(publicUrl)) {
                for (String publicUrlExclude : PUBLIC_URLS_EXCLUDES) {
                    if (url.contains(publicUrlExclude)) {
                        return false;
                    }
                }
                return true;
            }
        }
        return false;
    }
}

总结:

1.要有一个设计良好的RBAC权限模型
2.对于Restful风格的URL权限一定要描述其URL和Method才能够准确鉴权(因为Restful风格的方法存在URL相同,Method不同的情况)。
3.框架的拦截器设计思想。
4.正则表达式的运用,反向生成权限URL的正则表达式。
5.URL放行的匹配可以利用Ant路径表达式来实现(待改进)

以上是工作时的经验所得。如有不正确的地方,还请各位读者指正。

csdn-CODER!
关注
专栏目录
SpringBoot学习笔记10-SpringBoot 使用拦截器(配置特定的url请求会进入拦截器
pin-csdn的博客
05-23 3583
SpringBoot 使用拦截器步骤为: 1、按照Spring mvc的方式编写一个拦截器类; 创建一个interceptor包 LoginInterceptor: package com.springboot.web.interceptor; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import javax.servle
SpringBoot学习篇4[RESTful介绍、Controller编写、视图解析器、拦截器、参数转换器]
yky的博客
12-16 903
目录1.1 RESTful风格接口介绍1.2 编写Controller1.3 前端提交数据给后端1.3.1 获取单个值1.3.2 表单提交数据到对象1.3.3 获取PathValue1.3.4 获取前端提交的JSON数据到对象1.3.5 数据校验器1.3.6 Controller支持的内部对象1.3.7 小结1.4 后端传递数据给前端界面1.4.1 利用Model对象传递数据1.4.2 利用Map...
SpringBootURL拦截器
代码改变世界
12-31 2912
1、数据验证拦截器类 package com.yt.interceptor; import lombok.extern.log4j.Log4j2; import org.springframework.http.MediaType; import org.springframework.lang.Nullable; import org.springframework.stereotype.Component; import org.springframework.web.servlet.ModelAnd
SpringBoot使用拦截器
最新发布
Annaday的博客
08-17 951
Interceptor(拦截器)是一种面向对象编程(OOP)和软件开发中广泛使用的设计模式,特别是基于请求-响应的应用程序中,如Web应用、RestfulAPI等。
springboot使用拦截器Interceptor拦截指定url,进行对应操作
热门推荐
逆水行舟
06-14 1万+
拦截器拦截url import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpSe
Spring/SpringBoot 拦截器
一生编程,快乐编程
02-18 711
还可以通过 addPathPatterns 匹配请求的url,excludePathPatterns 排除特定的 url。配置拦截器,需要实现 WebMvcConfigurer 接口,通过 addInterceptor 添加拦截器Spring拦截器,需要实现 HandlerInterceptor 接口。可以多次调用 addInterceptor,支持添加多个拦截器拦截器,可以进行请求过滤、权限管理、打印日志、数据校验等。拦截器,可以在请求前、请求后进行处理。
springboot 拦截Restful服务三种方式(filter、interceptor、aspect)
lzf2284466的博客
07-05 964
1、将过滤器加入项目的方式: (1)采用@Component 注解,实现过滤器bean注入 (2)针对第三方过滤器,即无@Component 注解,需要在@Configuration配置文件进行注册: package com.mall.config; import java.util.ArrayList; import java.util.List; import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.
Springboot拦截器+http的4中请求小demo
07-30
Spring Boot整合了Spring MVC,因此我们可以利用Spring MVC的拦截器实现各种功能,如权限验证、日志记录、性能监控等。本文将详细介绍如何在Spring Boot中设置拦截器,并通过四个基本的HTTP请求方法(PUT、DELETE...
Springboot自定义注解类实现拦截用户登录以及权限判断
阿休要努力
11-22 1551
项目权限管理实现 用户权限管理常通过拦截器拦截指定url实现,本项目中使用restful风格,可根据url拦截,但仍然不太方便。项目中的实现是,自定义一个注解,将它用在需要登录/某种权限的方法中,然后在拦截器中判断要访问的方法是否有我们自定义的注解,如果有就判断当前用户是否登录了(判断是否携带了登录之后获取到的token),从而决定是否拦截。 1. 定义用户角色枚举类 UserRole.java...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
例如,使用Spring Boot拦截器配置允许所有源的跨域请求: ```java @Component public class CommonInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest ...
SpringBoot2.0 + Oauth2 实现RESTful API身份验证
wangsdsdfds的博客
05-22 2339
REST全称是Representational State Transfer; REST指的是一组架构约束条件和原则。有兴趣了解的朋友参考RESTful 架构详解; OAuth2 网页翻译后截图 配置授权服务oauth @EnableAuthorizationServer: 用于激活OAuth 2.0授权服务器。 主要配置: 客户端信息, 管理令牌, 授权类型。 实现接...
Spring Boot 定制URL匹配规则的方法
weixin_34095889的博客
07-10 1930
事情的起源:有人问我,说编写了一个/hello访问路径,但是吧,不管是输入/hello还是/hello.html,还是/hello.xxx都能进行访问。当时我还以为他对代码进行处理了,后来发现不是,后来发现这是Spring Boot路由规则。好了,有废话了下,那么看看我们解决上面这个导致的问题。 构建web应用程序时,并不是所有的URL请求都遵循默认的规则。有时,我们希望RESTful URL匹...
SpringBoot使用拦截器Interceptor拦截指定url,进行对应操作
Knight
01-09 1386
现在有个需求,我只想要带有 /api/{path}的才能访问,并且path传的参必须在数据库中里面存在。原因是因为拦截器的加载在springcontext之前,所以自动注入的mapper是null。在添加拦截器之前用@bean注解将拦截器注入工厂,接着添加拦截器。必须要传/api/get才能访问,传其他的不行。urlMapper为空。
springBoot开发技术】拦截过滤器,Restful服务详细介绍
a23452的博客
06-28 1045
SpringBootSpringBoot开发技术 — 过滤器、拦截器SpringBoot事件实际开发中:比如统计在线的用户,敏感词过滤或者基于URL进行访问控制;这些需求的共同点就是—每个接口请求的时候都会进行该类操作SpringBoot使用过滤器就实现Filter接口即可,重写doFilter接口【和Servlet时代相同】服务发现机制: SpringBoot要能够发现,使用主类的注解:@ServletComponentScan主类过滤器其实就是之前的Servlet规范中的概念,具体的功能实现是Tom
Spring Boot框架中使用拦截器实现URL限制
canduecho的专栏
08-02 1677
通过调用`addInterceptor`方法将其添加到`InterceptorRegistry`中,并使用`addPathPatterns`方法指定要拦截URL模式(在此示例中,拦截所有URL)。在`preHandle`方法中,您可以读取限制URL列表的JSON文件,并在请求到达时进行匹配检查。在您的配置类(通常是一个继承自`WebMvcConfigurerAdapter`的类)中,重写`addInterceptors`方法,并添加您的拦截器。限制URL列表的JSON格式可以根据您的需求进行定义。
Spring boot Restful 拦截
qq_30436011的博客
05-01 231
1、过程 如图filter(过滤器) -> interceptor(拦截器)->ControllerAdvice(自定义异常处理机制)->Aspect(切面)->Controoler(控制器) 2、过滤器 public void doFilter(ServletRequest request, ServletResponse response, FilterC...
# SpringBoot 配置全局的URL拦截器(登录判断)
不积跬步,无以至千里;不积小流,无以成江海
08-17 2728
SpringBoot 配置全局的URL拦截器(登录判断) 定义拦截器实现HandlerInterceptor类,重写三个方法 我通过session中的用户信息去判断是否已经登录,当没有登录的时候,抛出NoLoginException自定义异常,然后到全局 的异常处理类中,捕获这个异常,对它进行处理。全局异常类就不说了,之前的全局异常处理那篇博客说了。 public class UrllInterceptor extends BaseController implements HandlerInterc
Restful 拦截
寂寞日记本
01-30 231
过滤器 1. 实现 javax.servlet.Filter 2. 声明为@Component 3. 添加第三方过滤器配置到上下文环境中 @Configuration 定义一个配置类 @Configuration public class WebConfig{ FilterRegistrationBean registrationBean = new FilterRegistration...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值