【Spring】借Spring MVC实现透明鉴权

已于 2022-07-04 17:43:28 修改
阅读量362 收藏 1
点赞数
分类专栏: Spring 架构 文章标签: spring mvc java
于 2022-07-04 17:37:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenghan_yang/article/details/125561250
版权

1. 前言

1.1. 什么是透明鉴权?

开发业务代码的时候,不用关心请求自己接口的用户是否合法。鉴权的工作交给架构中的公共代码,自己仅专心于业务实现。

@Controller
public class ThreadLocalController {
    
    @Autowired
    BankAccountService service;
    
    @RequestMapping("/bank/account")
    public ModelAndView doSomething(@RequestParam("id") Long id) {
    	// 省略了userService.getUserById() 的鉴权操作,也不用在方法上增加一个userId参数
        service.doSomething();
        return new ModelAndView();
    }
}

1.2. 有什么好处?

践行 “单一职责” 原则。鉴权与授权都应该是安全模块的内容,当单体架构膨胀到一定程度后,考虑重构为微服务时,安全模块可拔插的特点就有优势了。

1.3. 透明鉴权后,还有什么需要考虑的?

  • 细粒度控制依旧在业务层
    EG: 删除客户资源,要取登录人的信息确保是本人删除

  • ThreadLocal 的技术抉择
    EG: ThreadLocal 用来存储上下文中用户实体,避免User参数层层传递,但是在线程池环境下,ThreadLocal很容易出问题。Spring Cloud Hystrix 默认Thread隔离,要修改成Semaphore才能避免 ThreadLocal 污染。

  • 授权与鉴权的兼容
    EG: 用户获得新的权限,旧的token如何处理(强制下线重新登录还是做兼容)

1.4. 本文的重点是什么?

  • 理清Servlet FilterSpring MVC Interceptor 的能力边界
  • 构建一个透明鉴权的模型,可迁移到Spring Cloud GatewaySpring Security的学习中

2. 一个简单的鉴权流程图

在这里插入图片描述

2.1. 基本思想

  • Filter 能有读取header的能力,根据token是否携带、token是否命中缓存(缓存可以是Session/ConcurrentHashMap/Redis) 转发给对应的url,让Spring的DispatcherServlet接管
    • 缺少token => /token/empty => 返回401
    • token失效 => /token/invalid => 返回403
  • 有效的token会正常进入Spring 的 Controller,这样在Controller层就不用校验用户是否合法了

2.2. 不足与思考

后端接口不需要校验请求的合法性,但是需要请求人的信息时怎么办?
—— 在Filter层访问缓存时,提供一个获取user实体的能力

  • 用户登录写入token - user实体
  • 用户带着token访问,用token获取user实体
  • 在Filter层 把user实体放入threadlocal,让 controller后的代码能获取到user实体
  • 用户信息修改,把缓存的token及user实体清除,确保一致性

3. 引入ThreadLocal 的流程图

在这里插入图片描述

3.1. 不足与思考

  • ThreadLocal 很容易造成内存泄漏
    使用Spring mvc 的 Interceptor 进行后置处理,remove掉ThreadLocal

4. 引入Interceptor 的流程图

在这里插入图片描述

5. 后记

Ch.yang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringMVC的接口鉴权
大鱼的翅膀
09-02 6552
工作中,我们肯定都会接触到拦截器,但是经常在拦截的过程中出现各种问题,比如拦截之后,静态资源也被拦截,结合AOP的时候起不到作用,或者拦截根本没有生效。用SpringMVC的小伙伴肯定深有感受,接下来,我们一起整理一遍拦截器及AOP。 1.什么是拦截器 在SpringMVC中用于拦截请求的代码。由于SpringMVC的视图解析器的存在,在拦截请求到处理请求再到返回视图中间有两个间隙,inter...
springmvc使用JWT实现鉴权并防止流只能读取一次的ERROR
一个真实、有温度的无名小卒
02-06 2856
为了保证接口的安全性,在restful服务接口中我们常常使用JWT进行登陆鉴权,JWT的原理很简单: 登陆成功后用JWT根据登陆信息生成一个token返回给调用者,调用者下次调用其它接口把登录信息和相关token一起传给服务,使用springmvc拦截器进行拦截验证,看token是否有效,有效则跳转到指定的controller进行处理! 以ssm框架为例 一.pom.xml 导入jwt的包:
springmvc 登录鉴权过滤器
热门推荐
都是浮云
10-12 1万+
package com.common.filter; import java.io.IOException; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.htt
servlet和springmvc用户鉴权
u014397507的博客
03-29 328
servlet 创建filter文件: package com.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.Serv
springmvc+interceptor拦截器及权限控制+第三章
weixin_43026397的博客
05-13 283
拦截器(Interceptor)介绍: 拦截器(Interceptor),主要完成请求参数的解析、将页面表单参数赋给值栈中相应属性、执行功能检验、程序异常调试等工作。 拦截器开发步骤: 1.创个类用Interceptor实现handlerInterceptor接口 实现handlerInterceptor接口中的方法 实现后接口后的图如下,我写了每个方法的作用跟执行时候 2.配置自定义的拦截器对象 <?xml version="1.0" encoding="UTF-8"?> <be
spring security http接口鉴权使用示范项目
03-01
在本项目"spring security http接口鉴权使用示范项目"中,我们将深入探讨如何利用Spring Security来实现HTTP接口的鉴权功能。这个项目旨在提供一个实践示例,帮助开发者理解并掌握Spring Security的核心概念和配置。...
springmvc用于方法鉴权的注解拦截器的解决方案代码
08-28
总的来说,通过创建自定义注解和拦截器,我们可以轻松地在Spring MVC应用中实现方法级别的鉴权。这种方法不仅减少了代码重复,还提高了代码的可读性和可维护性。当然,实际应用中,权限验证逻辑会更复杂,可能需要...
spring boot blog
10-10
Spring Boot中,我们可以使用Spring MVC的Interceptor接口来实现请求拦截。拦截器可以用于日志记录、权限检查、性能监控等场景。定义一个Interceptor类,实现`preHandle()`, `postHandle()`, `afterCompletion()`...
【预习资料】02.Spring Boot 核心组件之Starter1
08-03
2. 服务间的鉴权:我们可以编写一个鉴权 Starter,实现服务间的鉴权功能。 3. 业务相关的 Starter:我们可以编写业务相关的 Starter,例如支付 Starter、消息 Starter 等,实现业务相关的功能。 使用 Starter 的...
spring源码分析(1-10)
03-03
9. **Spring Acegi框架鉴权实现**:Spring Acegi(现已被Spring Security取代)提供了强大的安全框架,支持用户认证、权限控制等功能。Spring通过Acegi的FilterSecurityInterceptor实现Web应用的访问控制。 10. **...
post调用接口(附带身份验证和自带参数的方式)
09-22
post调用接口(附带身份验证和自带参数的方式),自己在百度上搜索了很多都不如意,最后自己整理了一套代码示例
Spring拦截器实现鉴权
weixin_32896095的博客
03-13 1308
某些网站,是需要用户登录才能访问,如果对每一个页面判断用户是否登录,会造成代码冗余,在拦截器中进行鉴权操作可以减少代码的冗余. 图片是慕课网-格鲁老师的流程图 这里面涉及两个知识点:拦截器和ThreadLocal 拦截器 HandlerInterceptor是Spring提供的处理器拦截器接口,以下为源码. public interface HandlerInterceptor { //...
springmvc+shiro+maven 实现登录与权限授权
pengjwhx的博客
09-18 6678
Shiro是Shiro 是一个 Apache 下的一开源项目项目,旨在简化身份验证和授权。1:shiro的配置,通过maven加入shiro相关jar包 [java] view plain copy print?&amp;amp;lt;!–shiro–&amp;amp;gt;&amp;amp;lt;dependency&amp;amp;gt;&amp;amp;lt;groupId&amp;amp;gt;org.apache.shiro&amp;amp
springmvc系】利用RequestBodyAdviceAdapter做接口鉴权
最新发布
run_boy_2022的博客
08-14 1267
RequestBodyAdvice这里类能干什么对进行增强处理,比如所有请求的数据都加密之后放在 body 中,在到达 controller 的方法之前,需要先进行解密,那么就可以通过 RequestBodyAdvice 来进行统一的解密处理,无需在 controller 方法中去做这些通用的操作。
springMVC项目如何绕开拦截器权限验证,进行controller测试
vandet100的博客
07-03 4706
今天突然想写个controller测试类,用于postman测试,首先实现HandlerInterceptor接口,发现还是被拦截器拦截,最后不用代码,直接通过cookie获取权限。 首先要在网页上进行登录,在浏览器中打开调试工具后,获得cookie 最后将这两个复制到postman进行测试 浏览器中可以直接访问,更加直观。。 ...
Spring MVC》 第八章 拦截器实现权限验证、异常处理
Java 技术专栏,从入门到精通,熟悉企业级开发
04-26 633
*** 拦截器} }方法名返回值说明boolean该方法在控制器方法之前执行,其返回值用来表示是否中断后续操作。返回值为 true 时,表示继续向下执行;返回值为 false 时,表示中断后续的操作。void该方法会在控制器方法调用之后,解析视图之前执行。我们可以通过此方法对请求域中的模型(Model)数据和视图做出进一步的修改。void该方法会在整个请求完成后,即视图渲染结束之后执行。我们可以通过该方法实现资源清理、日志记录等工作。
使用 spring 拦截器和自定义注解进行接口鉴权、登录校验
DONGHONGBAI的专栏
03-01 3186
项目中涉及到接口鉴权和登录超时判断等校验,所以研究下强大spring的拦截器功能,如下转载、学习几篇不错博文,在此先谢过原作者的分享。 https://www.jianshu.com/p/97362fdf039e http://www.scienjus.com/restful-token-authorization/ 一、写注解 编写一个自定义注解:用于需要鉴权或者登录校验功能的接口(方法上) ...
SpringMVC接口权限拦截器的实现
weixin_34072159的博客
03-06 549
为什么80%的码农都做不了架构师?>>> ...
java spring mvc jwt 鉴权
05-26
Java Spring MVC中进行JWT鉴权,可以遵循以下步骤: 1. 添加依赖项:首先需要添加以下依赖项到Maven或Gradle项目中: ``` <groupId>io.jsonwebtoken <artifactId>jjwt-api <version>0.10.5 <groupId>io....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值