REST API 基于ACCESS TOKEN 的权限解决方案

最新推荐文章于 2021-06-25 22:35:51 发布
最新推荐文章于 2021-06-25 22:35:51 发布
阅读量190 收藏
点赞数
文章标签: java 测试 前端 ViewUI
原文链接:http://www.cnblogs.com/onetwo/p/6727578.html
版权

 

REST 设计原则是statelessness的,而且但客户端是APP时,从APP发起的请求,不是基于bowers,无法带相同的sessionid,所以比较好的方案是每次请求都带一个accesstoken进行验证。然后后台是根据token 找到用户,然后找到用户资源

但总不能每个方法都去调用token验证的方法,也不能每次验证都需要查询数据库吧!

解决办法:

  • 为了业务层只关注业务,所以需要把token验证的方法在进入controller前集中处理,用 Interceptor实现

  • 由于根据token获得用户,只需要用到 用户ID,用户登录名等 不会改变的信息,用缓存实现,需要支持过期失效,ConcurrentHashMap没有过期失效的功能,自己懒得实现就用ehcache

集中处理token

interceptor实现:

/**
 * 验证token有效性
 */
@Component
public class AccessTokenVerifyInterceptor extends HandlerInterceptorAdapter { @Resource UserService userService; private final static Logger LOG = LoggerFactory.getLogger(AccessTokenVerifyInterceptor.class); @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { LOG.debug("AccessTokenVerifyInterceptor executing......."); boolean flag = false; //accesstoken 参数 String accessToken = request.getParameter("accesstoken"); if(StringUtils.notEmpty(accessToken)) { //验证accessToken //verifyAccessToken 已做缓存处理 User user = userService.verifyAccessToken(accessToken); if(user!=null){ flag = true; //塞到request中去,供controller里面调用 request.setAttribute(SystemConstants.SESSION_NAME_USER,user); } } if(!flag){ response.setStatus(HttpStatus.FORBIDDEN.value()); response.getWriter().print("wrong access token"); } return flag; } }

然后到spring配置文件中加上这个拦截器:

<!--过滤器-->
<mvc:interceptors>
    <!--API ACCESS TOKEN INTERCEPTOR--> <mvc:interceptor> <mvc:mapping path="/api/**"/> <mvc:exclude-mapping path="/**/api/user/**" /> <mvc:exclude-mapping path="/**/api/accesstoken" /> <bean class="cn.ifengkou.athena.controller.interceptor.AccessTokenVerifyInterceptor"></bean> </mvc:interceptor> <!--other interceptor --> </mvc:interceptors>

缓存处理

pom.xml中加入ehcache包:(spring集成ehcache ,需要spring-context和spring-context-support)

        <dependency>
            <groupId>net.sf.ehcache</groupId> <artifactId>ehcache</artifactId> <version>2.10.0</version> </dependency>

加入ehcache.xml,大部分都是默认,参考springside里面说的,改了updateCheck="false",

<ehcache updateCheck="false" monitoring="autodetect" dynamicConfig="true"> <diskStore path="java.io.tmpdir" /> <cache name="accessTokenUser" maxEntriesLocalHeap="10000" maxEntriesLocalDisk="1000" eternal="false" diskSpoolBufferSizeMB="20" timeToIdleSeconds="300" timeToLiveSeconds="600" memoryStoreEvictionPolicy="LFU" transactionalMode="off"> <persistence strategy="localTempSwap" /> </cache> </ehcache>

开启缓存,在spring配置文件中加入:

<!-- 缓存配置 -->
<!-- 启用缓存注解功能(请将其配置在Spring主配置文件中) -->
<cache:annotation-driven cache-manager="cacheManager" /> <!-- Spring自己的基于java.util.concurrent.ConcurrentHashMap实现的缓存管理器(该功能是从Spring3.1开始提供的) --> <!-- <bean id="cacheManager" class="org.springframework.cache.support.SimpleCacheManager"> <property name="caches"> <set> <bean name="myCache" class="org.springframework.cache.concurrent.ConcurrentMapCacheFactoryBean"/> </set> </property> </bean> --> <!-- 若只想使用Spring自身提供的缓存器,则注释掉下面的两个关于Ehcache配置的bean,并启用上面的SimpleCacheManager即可 --> <!-- Spring提供的基于的Ehcache实现的缓存管理器 --> <bean id="cacheManagerFactory" class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean"> <property name="configLocation" value="classpath:ehcache.xml" /> </bean> <bean id="cacheManager" class="org.springframework.cache.ehcache.EhCacheCacheManager"> <property name="cacheManager" ref="cacheManagerFactory" /> </bean>

对verifyAccessToken 方法做缓存处理,也就是在原有方法上加Cacheable注解:

@Cacheable(value = "accessTokenUser",key = "#accessToken")
@Override
public User verifyAccessToken(String accessToken) { LOG.debug("verifyAccessToken executing......"); List<User> users = userDao.getUserByAccessToken(accessToken); if(users.size()!=1){ if(users.size()>1){ LOG.error("accessToken 出现了重复,bug!请检查!"); } return null; } return users.get(0); }

开始run出现 java.io.NotSerializableException: cn.ifengkou.athena.model.User

User 实现序列化,再试:

前端请求三次的日志,可以看到verifyAccessToken只执行了一次

2015-12-04 15:25:56,531 INFO [cn.ifengkou.athena.controller.interceptor.AccessTokenVerifyInterceptor] - <AccessTokenVerifyInterceptor executing.......> 2015-12-04 15:25:56,628 INFO [cn.ifengkou.athena.service.impl.UserServiceImpl] - <verifyAccessToken executing......> 2015-12-04 15:26:21,838 INFO [cn.ifengkou.athena.controller.interceptor.AccessTokenVerifyInterceptor] - <AccessTokenVerifyInterceptor executing.......> 2015-12-04 15:26:29,184 INFO [cn.ifengkou.athena.controller.interceptor.AccessTokenVerifyInterceptor] - <AccessTokenVerifyInterceptor executing.......>

如有token无效,查出来User为null,cache 把null也缓存起来了

keywords:

REST,accesstoken,权限,spring,ehcache,interceptor

备注:

转载请附带原文路径:http://www.cnblogs.com/sloong/p/5157654.html

转载于:https://www.cnblogs.com/onetwo/p/6727578.html

aibiba0894
关注
rest api请求时token的注入
cengjch2011的专栏
10-28 6053
申明:本文主要以neutronclient为例进行说明 在请求neutronserver时,需要先创建neutronclient,再通过neutronclient访问neutron server。例如:dash board访问neutron server 时,需要在horirzon/openstack_dashboard/api/neutron.py文件中创建neutronclient. 例如
使用JWT Token进行RestFul API权限验证
a1203177935的博客
07-01 6295
问题 后端提供的RestFul API一般都需要进行权限验证,而Web框架一般采用Cookies+Session来进行认证。但RestFul API属于无状态协议,而在后台使用Session的话,由于Session本身需要服务端进行维持,这样就破坏了Rest的无状态性。 解决方案 抛弃Cookie+Session的认证架构,选用Token作为认证手段。在登录验证时,后台收集账号信息、IP、访...
API 接口设计中 Token 类型的分类与设计
weixin_30950887的博客
08-14 553
在实际的网站设计中我们经常会遇到用户数据的验证和加密的问题,如果实现单点,如果保证数据准确,如何放着重放,如何防止CSRF等等 其中,在所有的服务设计中,都不可避免的涉及到Token的设计。 目前,基于Token的生成方,我们把Token生成分为两种类型。 1、基于用户/网站,可见的加密请求方式 2、基于服务器间通讯的不可见加密请求方式(APIToken) ...
PHP接收云之家审批结果,首页云之家开放平台文档
weixin_39750854的博客
04-15 468
1. 云之家OAuth2.0授权协议云之家对外开放的接口都需要通过云之家OAuth2.0授权协议获取到accessToken进行授权后才能访问,目前云之家接口资源授权级别可分为三大类,分别为app,team,resGroupSecret。1.1. 接口调用流程示意图开发者轻应用开发注意事项:云之家开放平台接口面向的是服务端调用,如果直接通过HTML端JS请求:会有ajax跨域问题;如果把相关密钥信...
如何从REST API返回错误详细信息
danpu0978的博客
04-22 403
HTTP协议使用状态码返回错误信息。 这种功能虽然非常有用,但对于许多用例来说还是太有限了。 那么我们如何返回更详细的信息? 我们基本上可以采用两种方法: 使用包含错误详细信息的专用媒体类型 在使用的媒体类型中包含错误详细信息 专用错误媒体类型 这个空间至少有两个候选人: HTTP API的问题详细信息是我们在某些API中使用的IETF草案,效果良好。 它将问题...
Rest API的认证模式
二牛的博客
05-04 4259
Rest API的认证模式Rest API的认证模式AppKeyAppKey + SecretJWTOAuth Rest API的认证模式 微服务系统中,很多团队采用了API驱动设计开发,服务之间的调用都通过API来实现的。为了统一管理API,一般都会在前面部署一个API Gateway,然后由API Gateway对API的调用者进行权限认证。 常见的认证方式有下面几种: AppKey Ap...
Shopify developers(RESTAPI接口整理)
weixin_44281696的博客
04-30 6644
Shopify developers 作用: 解决了许多最困难的商业问题,但每个企业都有其独特的需求。 REST reference(REST参数) Shopify Payments Balance(余额): 帐户的当期余额。这个数额包括任何交易尚未包括在支出. 检查账户的余额 Dispute(纠纷): 当买方对其金融机构的一项指控的合法性提出质疑 争议财产属性(id,or...
api-java:uma REST API comSpring构建
02-16
Spring框架是Java领域中广泛使用的开源框架,它为构建企业级应用提供了全面的解决方案,包括Web服务、数据访问、事务管理等。 首先,让我们深入理解REST API的基础知识。REST API设计的核心原则是资源导向,通过URI...
记录一次SpringBoot跨域的踩坑经历——SpringSecurity跨域解决方案(/oauth/token 401)
Harrison
04-23 2715
项目场景: 目前在重构一个导购后端系统,我负责用户的模块和登录鉴权的整个业务的架构设计和代码编写 利用SpringBoot + SpringSecurity + Oauth2完成了简单的登录和鉴权 登录功能:首先需要调用/oauth/token接口,根据用户名密码获取toke,拿到token后将token放入请求头Header中再去请求其它接口。 接口开发完成并使用Postman测试通过,再由前端去画页面联调接口。 问题描述: 问题就出现在了前端接口联调这里,前端是用Vue完成的,安装好Node
用户权限控制(Token登录)
qq_38977566的博客
06-25 2203
1.用户权限控制 1.1 用户登录 1.1.1 流程分析 1) 用户登录界面,需要输入手机号密码 2) 登录组件 login.vue 登录按钮 type="primary" :loading="loading" @click="submit('login-form')">{{ loading ? 'Loading...' : '登录' }} 提交表的方法 //提交登录表单submit(ref) { //校验...
使用Azure Rest API获得Access Token介绍
anjiaochuan4433的博客
11-23 639
1.前言 本文主要描述了以java应用为客户端,使用Azure Rest接口的认证过程,帮助快速完成使用Azure Rest接口的第一步。 2.读者 本文适合开发人员、IT运维人员阅读。 3.方案架构说明 在我负责的某大型国企客户提出的混合云战略是:不仅要建立一个私有云,还要积极引入多家公有云,为下属各子公司提供多种方式的上云选择,支持企业互联网+转型的业务发展目标。 ...
基于AccessToken方式实现API设计
chengyu1769的博客
07-03 1124
基于AccessToken方式实现API设计 说明:这实际类似于Oauth2.0的简化模式 一、举例说明: 需求:   A、B机构需要调用X服务器的接口,那么X服务器就需要提供开放的外网访问接口。 分析:   1...
用 Grails 的 Spring Security REST 插件实现REST API 的用户登录、权限控制功能
杨波的专栏
04-15 845
介绍了如何用grails的spring-security-rest插件实现用户登录、访问控制功能。
Shiro的使用(一)
yankun01的博客
10-18 1879
shiro第一天 基于url权限管理 shiro基础     1       课程目标: 1、了解基于资源的权限管理方式 2、掌握权限数据模型 3、掌握基于url的权限管理(不使用shiro实现权限管理) 4、shiro实现用户认证 5、shiro实现用户授权 6、shiro与企业web项目整合开发的方法   2       课程安排 整个课程是系统架构设计相关的课程。
HttpClient4.x进行Get/Post请求并使用ResponseHandler处理响应
尤卡里的专栏
12-21 574
HTTPClient4之后,基本重写了3的所有代码,使得API用起来更显简单有力,最简单的例子体现在get/post请求以及请求响应结果的处理上。3的时候,需要自己处理响应流,无论是网页编码识别还是代码处理等各方面,非常不便,4之后使用ResponseHandler可以非常方便和简洁地处理上述问题。 如下代码演示了如何使用响应处理器(ResponseHandler)来处理HTTP响应。这是执行HT
SpringBoot+SpringSecurity+JWT实RESTfulAPI权限控制
热门推荐
林老师带你学编程
10-26 4万+
关于什么是jwt(json web token),还有jwt的工作流程我这边就不多介绍,主要给大家介绍一下SpringBoot中如何整合Security然后在添加jwt的支持。 想学习分布式、微服务、JVM、多线程、架构、java、python的童鞋,千万不要扫码,否则后果自负~ 通过SpringBoot+Security+JWT来实现token校验的过程。在生产环境中,对发布API增加授...
Shiro + JWT + SpringBoot + MySQL + Redis(Jedis)实现无状态鉴权机制(Restful风格API)(解决无法直接返回401错误)
你究竟是想一辈子卖糖水,还是希望获得改变世界的机会?
10-08 2650
序言 目录:https://blog.csdn.net/wang926454/article/details/82971291 首先感谢SmithCruise提供的思路,文章地址:https://www.jianshu.com/p/f37f8c295057 根据SmithCruise的项目进行后续更新 将其改为数据库形式(MySQL) 实现Shiro的Cache(Redis)功能 解决无法直...
shiro controller进行用户验证
写博客只为学习
01-10 2095
[code="java"] @RequestMapping(value = "/checkUser",method= RequestMethod.POST) public @ResponseBody CommResult checkUser(HttpServletRequest request, HttpServletResponse response, ModelMap ...
Spring Security OAuth2 权限隔离实践与解决方案
文中通过具体的示例代码,展示了在遇到权限验证问题时的解决方案,特别是针对低版本OAuth2权限隔离的问题。文章内容包括对问题的分析、解决方案的提出以及代码实现的详细说明。" 在Spring Security OAuth2中,权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值