Java的新项目学成在线笔记-day18(一)

最新推荐文章于 2022-07-01 11:01:03 发布
最新推荐文章于 2022-07-01 11:01:03 发布
阅读量175 收藏
点赞数
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/czbkzmj/article/details/96322384
版权

1 用户授权业务流程 
用户授权的业务流程如下:
 
业务流程说明如下:
1、用户认证通过,认证服务向浏览器cookie写入token( 身份令牌)
2、前端携带token请求用户中心服务获取jwt令牌

前端获取到jwt令牌解析,并存储在sessionStorage 
3、前端携带cookie中的身份令牌及jwt令牌访问资源服务

前端请求资源服务需要携带两个token,一个是cookie中的身份令牌,一个是http header中的jwt
  前端请求资源服务前在http header上添加jwt请求资源
4、网关校验token的合法性

用户请求必须携带身份令牌和jwt令牌
  网关校验redis中user_token的有效期,已过期则要求用户重新登录
5、资源服务校验jwt的合法性并进行授权
  资源服务校验jwt令牌,完成授权,拥有权限的方法正常执行,没有权限的方法将拒绝访问。

2 方法授权 2.1需求分析 
方法授权要完成的是资源服务根据jwt令牌完成对方法的授权,具体流程如下: 
1、生成Jwt令牌时在令牌中写入用户所拥有的权限
我们给每个权限起个名字,例如某个用户拥有如下权限:
course_find_list:课程查询 course_pic_list:课程图片查询
  2、在资源服务方法上添加注解PreAuthorize,并指定此方法所需要的权限 例如下边是课程管理接口方法的授权配置,它就表示要执行这个方法需要拥有course_find_list权限。
 

[AppleScript] 纯文本查看 复制代码

?

1

2

3

@PreAuthorize("hasAuthority('course_find_list')") @Override public QueryResult<CourseInfo> findCourseList(@PathVariable("page") int page,           

                                   @PathVariable("size") int size,             

                                 CourseListRequest courseListRequest)


3、当请求有权限的方法时正常访问 
4、当请求没有权限的方法时则拒绝访问  
2.2 jwt令牌包含权限 
修改认证服务的UserDetailServiceImpl类,下边的代码中 permissionList列表中存放了用户的权限,
并且将权限标识按照中间使用逗号分隔的语法组成一个字符串,最终提供给Spring security。
 

[AppleScript] 纯文本查看 复制代码

?

01

02

03

04

05

06

07

08

09

10

11

12

13

......  

    //指定用户的权限,这里暂时硬编码    

    List<String> permissionList = new ArrayList<>();   

     permissionList.add("course_get_baseinfo");   

     permissionList.add("course_find_pic");  

      //将权限串中间以逗号分隔      

  String permissionString = StringUtils.join(permissionList.toArray(), ",")

      //String user_permission_string = "";   

     UserJwt userDetails = new UserJwt(username,     

           password,       

         AuthorityUtils.commaSeparatedStringToAuthorityList(permissionString));   

     //用户名称

        userDetails.setName(userext.getName());

 

[AppleScript] 纯文本查看 复制代码

?

1

2

3

//用户头像    

    userDetails.setUserpic(userext.getUserpic())

       ......


重启认证服务工程,使用postman完成登录,从redis中找到jwt令牌。
使用jwt的测试程序查看 此令牌的内容。
 

[AppleScript] 纯文本查看 复制代码

?

1

{"companyId":null,"userpic":null,"user_name":"mrt","scope":["app"],"name":"教学管理 员","utype":"101002","id":"49","exp":1527202013,"authorities": ["course_find_pic","course_get_baseinfo"],"jti":"9360fa85‐c1b4‐428a‐80ecb2e705a02827","client_id":"XcWebApp"}


可以看到authorities属性中为用户的权限。 

用户位置授权
hangGe0111的博客
07-18 1114
1.在微信小程序中很多场景都需要用户授权,例如用户相册权限,位置权限...,当需要将海报保存在相册就会用到相册权限(海报参考),在城市定位,店家列表由远及近排序就会用到位置权限,这里主要考虑位置权限使用场景。 2.主体思路,进页面立马弹出微信授权位置弹窗,提示用户授权位置,授权成功则会获取用户地理经纬度坐标,根据经纬度信息请求接口,获取城市名称。如果用户拒绝授权,则拿不到用户位置,展示未知(当然...
Java项目学成在线笔记-day1(二)
czbkzmj的博客
12-17 466
3 CMS需求分析 3.1 什么是CMS  1、CMS是什么 ? CMS (Content Management System)即内容管理系统,不同的项目对CMS的定位不同,比如:一个在线教育网 站,有些公司认为CMS系统是对所有的课程资源进行管理,而在早期网站刚开始盛行时很多公司的业务是网站制 作,当时对CMS的定位是创建网站,即对网站的页面、图片等静态资源进行管理。 2、CMS有哪些类型? 上...
授权获取用户信息流程
LuckXinXin的博客
08-21 769
session_key 有有效期,有效期并没有被告知开发者,只知道用户越频繁使用小程序,session_key 有效期越长 在调用 wx.login 时会直接更 session_key,导致旧 session_key 失效 小程序内先调用 wx.checkSession 检查登录态,并保证没有过期的 session_key 不会被更,再调用 wx.login 获取 code。接着用户授权小程序获取用户信息,小程序拿到加密后的用户数据,把加密数据和 code 传给后端服务。后端通过 code 拿到 s..
用户的认证和授权
qq_44322555的博客
04-12 9155
今天简单来介绍一下项目中的用户认证和授权是怎么做的,也是我之前作过的项目中所经历过的一个模块;今天来整理一下,分享一下经验共同来探讨改进这一部分; 先来介绍一下用户的认证和授权所用到的技术点都有那些;这些是我做这个认证和授权时用到的技术点,可能有所欠缺 springSecurity+Oauth2、JWT、BCryptPasswordEncoder 1、概念说明: 什么是用户认证 用户身份认证就是用......
用户认证与授权(三):用户授权
Ithao2的博客
05-24 2637
1 用户授权业务流程 用户授权的业务流程如下: 业务流程说明如下:1、用户认证通过,认证服务向浏览器cookie写入token( 身份令牌) 2、前端携带token请求用户中心服务获取jwt令牌 前端获取到jwt令牌解析,并存储在sessionStorage3、前端携带cookie中的身份令牌及jwt令牌访问资源服务 前端请求资源服务需要携带两个token,一个是cookie中的身份令牌,一个是http header中的jwt 前端请求资源服务前在http header上添加jwt请求资源4、网关校验
实现用户三方账号多端统一,通用授权登录流程图
质疑那些理所当然,才是理所当然!
12-08 3210
如果应用程序存在多个端。 比如一个应用同时存在 微信小程序端 ,APP端,抖音小程序端,公众号H5端 这种多端共存时。 每个基于auth2.0授权模式的 第三方平台都会开放登录授权SDK方便接入用户一键授权登录功能 。 在这种情况下如果需要多端统一账号(比如一个账号可以同时绑定微信公众号授权,微信小程序授权,微信APP授权)就必须避免多端授权自动登录注册时生成多个账号的情况 我的做法是将 “手机号” 作为多端统一的 “唯...
Java项目学成在线笔记-day18(七)
czbkzmj的博客
07-30 166
3 细粒度授权 3.1 需求分析 什么是细粒度授权? 细粒度授权也叫数据范围授权,即不同的用户所拥有的操作权限相同,但是能够操作的数据范围是不一样的。一个 例子:用户A和用户B都是教学机构,他们都拥有“我的课程”权限,但是两个用户所查询到的数据是不一样的。 本项目有哪些细粒度授权? 比如: 我的课程,教学机构只允许查询本教学机构下的课程信息。 我的选课,学生只允许查询自己所选课。 如何实现...
Java项目学成在线笔记-day11(一)
czbkzmj的博客
05-21 276
学成在线-第11天-讲义-搜索服务 1 课程搜索需求分析 1.1 需求分析 1、根据分类搜索课程信息。 2、根据关键字搜索课程信息,搜索方式为全文检索,关键字需要匹配课程的名称、 课程内容。 3、根据难度等级搜索课程。 4、搜索结点分页显示。 1.2 搜索流程 1、课程管理服务将数据写到MySQL数据库 2、使用Logstash将MySQL数据库中的数据写到ES的索引库。 3、用户在前端搜索...
Java项目学成在线笔记-day16(一)
czbkzmj的博客
06-25 360
学成在线-第16天-讲义- Spring Security Oauth2 JWT 1 用户认证需求分析 1.1 用户认证与授权 截至目前,项目已经完成了在线学习功能,用户通过在线学习页面点播视频进行学习。如何去记录学生的学习过程 呢?要想掌握学生的学习情况就需要知道用户的身份信息,记录哪个用户在什么时间学习什么课程;如果用户要购 买课程也需要知道用户的身份信息。所以,去管理学生的学习过程最基本的...
Java项目学成在线笔记-day7(一)
czbkzmj的博客
03-05 358
1.1需求分析 课程添加完成后可通过我的课程进入课程修改页面,此页面显示我的课程列表,如下图所示,可分页查询。 注意:由于课程图片服务器没有搭建,这里在测试时图片暂时无法显示。 上边的查询要实现分页、会存在多表关联查询,所以建议使用mybatis实现我的课程查询。 1.2 PageHelper 1.2.1 PageHelper介绍 PageHelper是mybatis的通用分页插件,通...
求救!!mybatis Expected one result (or null) to be returned by selectOne(), but found:18
12-14
我想使用resultMap 一对多查询 可是提示 Expected one result (or null) to be returned by selectOne(), but found:18 下面展示一些 mapper.xml。 SELECT st.title as titlest ,st.info_text as info_text , sbt.title as titlesbt,sbt.icon as icon, sbx.text as text FROM `services_title` AS st
学成在线--day18 用户授权
zgz102928的博客
03-21 397
laravel在线教育开发__权限分派
qq_44796093的博客
09-06 236
在线教育开发之权限分派 为了更好地管理 ,对管理员实现使用RBAC权限管理。RBAC:Role-Based Access Control,基于角色的访问控制。是一个比较完善的权限访问控制机制。目前有2套权限控制方案:基于用户的权限控制、基于角色的权限控制。 a. rbac在后期权限维护上是很方便的; b. rbac权限方式在项目开发的初始阶段就已经有了一个成型标准; 所以在目前很多大的项目后台,其权限方式都是使用的rbac权限控制方式。 a: b: 1.查询出所有父级权限和子权限,循环输出在视图层;
YouTube-8M: A Large-Scale Video Classification Benchmark
热门推荐
人工智能
06-26 95万+
Abstract Many recent advancements in Computer Vision are attributed to large datasets. Open-source software packages for Machine Learning and inexpensive commodity hardware have reduced the barrier
项目:YouToBe
onway_goahead的博客
12-13 7052
三、项目 原始数据youtube在此下载:https://pan.baidu.com/s/1we1KPA2IIEAGIJczyr2dMQ 3.1、数据结构 3.1.1、视频表  3.1.2、用户表  3.2 原始数据存放地 HDFS 目录: 视频数据集:/youtube/video/2008 用户数据集:/youtube/users/2008 3.3、技术选型 Hadoop...
支付宝小程序获取用户授权并进行认证登录流程(前端)
m0_44981797的博客
07-01 1万+
  支付宝小程序获取用户授权并进行认证登录流程(前端)
HDU 3031 ToBe Or Not To Be(模拟)
只玩三国的程序猿的专栏
03-09 1022
题意: 给你一堆牌,再给你5种操作牌,两个人轮流抓操作牌,并且按照操作来执行,最后谁手里的牌多谁就赢。 明明是左偏树的题目,但是我用priority_queue水过去了。。。 代码:#include <queue> #include <math.h> #include <stdio.h> #include <string.h> #include <algorithm> #include <
2021年Github项目Top100
YunWisdom
04-19 8086
2021年Github项目Top100 1. freeCodeCamp/freeCodeCamp 323k JavaScript freeCodeCamp.org’s open source codebase and curriculum. Learn to code for free. curriculum react nodejs javascript d3 teachers community education programming math freecodecamp learn-to-code
一篇文章看懂如何让用户授权
人人都是产品经理
04-04 5939
作者:一点优秀全文共 7233 字 12 图,阅读需要 17 分钟———— / BEGIN / ————授权机制,是手机操作系统安全机制中的一部分,在开发应用时需要用到各种各样的手机系统权限。那在我们的APP中,它的授权该如何设计,才能让用户同意授权,或者不反感授权呢?一、认识授权1.1 什么是授权授权机制,是手机操作系统安全机制中的一部分,在开发应用时需要用到各种各样的手机系统权限。一般来说,在
Java学习笔记:Day03-条件结构 switch-case
"一起学Java——Day03.md" 在Java编程中,条件结构是控制程序流程的重要组成部分,它根据特定条件来决定程序的执行路径。本节主要探讨了两种常用的条件控制结构:switch-case和if的多种分支结构。让我们深入了解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值