restful项目的权限控制实现技巧

最新推荐文章于 2022-10-08 09:12:55 发布
最新推荐文章于 2022-10-08 09:12:55 发布
阅读量9.3k 收藏 4
点赞数 3
分类专栏: java web(设计思想) 成功日记 学习新技术之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fe123rarwa14235pp/article/details/71601107
版权

前言

最近的项目在用restful风格在写,果然url都有了意义,功能都可以从url中推测出来,restful的url和非restful的url最大的一个感官区别就是,rest的url可能存在一些变量,比如下面这样:/check/api/user/12345/history,这个url解释起来就是:查看账号为12345的用户的历史资料,而非rest的url是:/check/api/user/history。那么,现在问题就来了,权限控制的核心是判断url,rest的url中却有变量,那么,rest风格的项目如何实现权限控制呢?

实现

其实在我我写这篇文章之前,我的思路是把url的变量去掉,然后存权限表中,然后判断的时候就把访问的url按照相同的规则处理,再在数据库中查,如果查到了代表有权限,反之没有。但事实证明,这种思路只有在变量在url的结尾时才可行。

首先我贴一下权限表的结构,这个是权限控制的核心表。

-- Create table
create table STAFF_POWER
(
  stp_id      NUMBER not null,
  stp_name    VARCHAR2(40),
  create_time TIMESTAMP(6),
  stp_url     VARCHAR2(100),
  stp_method  VARCHAR2(10)
)
tablespace CHECK_ZS
  pctfree 10
  initrans 1
  maxtrans 255
  storage
  (
    initial 64K
    next 1M
    minextents 1
    maxextents unlimited
  );
-- Create/Recreate primary, unique and foreign key constraints 
alter table STAFF_POWER
  add constraint STP_PK primary key (STP_ID)
  using index 
  tablespace CHECK_ZS
  pctfree 10
  initrans 2
  maxtrans 255
  storage
  (
    initial 64K
    next 1M
    minextents 1
    maxextents unlimited
  );
alter table STAFF_POWER
  add constraint STP_UN unique (STP_URL, STP_METHOD)
  using index 
  tablespace CHECK_ZS
  pctfree 10
  initrans 2
  maxtrans 255
  storage
  (
    initial 64K
    next 1M
    minextents 1
    maxextents unlimited
  );
每个字段的意思我解释一下,id是主键,name是这条权限的名字,time是创建时间,由系统自动生成,url是url,method是访问方式。

然后比较关键的一点就来了,url存的时候将变量全部换成%,为什么这样呢,先看下我判断权限的sql:

<select id="selectByUrlAndMethod" resultMap="BaseResultMap" parameterType="java.lang.String">
    select *
    from STAFF_POWER
    <where>
    	and STP_METHOD = #{method}
   		and #{url} like STP_URL 
    </where>
  </select>
我用的mybatis。

权限拦截器的核心代码如下:

StaffPower power=powerSer.selectByUrlAndMethod(url, method);
		if (power!=null) {
			boolean isPass=role.getPowers()!=null && (","+role.getPowers()+",").contains(","+power.getStpId()+",");
			if (isPass==false) {
				Result<String> result=new Result<String>(BaseRestController.ERROR, Code.ROLE_NO_PERMISSION, "您没有权限,请联系管理员");
				PrintWriter pw=resp.getWriter();
				pw.print(gson.toJson(result));
				pw.flush();
				pw.close();
				return false;
			}
			return isPass;
		}else{
			log.error("没有这个权限   "+url+"  "+method);
			Result<String> result=new Result<String>(BaseRestController.ERROR, Code.PERMISSION_NO_EXIST, "该模块还没有设计权限,暂时不能操作");
			PrintWriter pw=resp.getWriter();
			pw.print(gson.toJson(result));
			pw.flush();
			pw.close();
			return false;
		}


现在数据库中有这样一条权限:


我现在想看历史,于是访问 /check/api/sourceTp/3803140612558/history,然后sql是怎么执行的呢,下面是执行的结果:


[2017-05-11 10:09:54.400] - [DEBUG] [http-nio-8080-exec-9  :17561] ==>  Preparing: select * from STAFF_POWER WHERE STP_METHOD = ? and ? like STP_URL 
[2017-05-11 10:09:54.400] - [DEBUG] [http-nio-8080-exec-9  :17561] ==> Parameters: GET(String), /check/api/sourceTp/3803140612558/history(String)
[2017-05-11 10:09:54.403] - [DEBUG] [http-nio-8080-exec-9  :17564] <==      Total: 1

看到这里,它的原理应该就很清楚了,权限控制核心是url+method的判断,而rest的url比较特别从而导致无法像原来那样判断,于是我把所有的变量替换为%,而%是sql模糊查询的符号,所以就刚好可以借用sql的模糊查询来完成判断(中间不做任何处理)。

总结

判断的核心是url+method,但最最核心(而且好多人都没想到这种方法)的是使用%,%代表任意。



你好小C
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
SpringSecurity 实战项目(三)——动态管理Restful风格权限+JWT
weixin_38927257的博客
12-04 1272
文章目录源码地址:security认证过程:security授权过程:重要一、分析配置拦截器JWTAuthenticationFilterJWTAuthorizationFilter配置SpringSecurityJWT工具类二、 修改1. 修改permission表2. 实现 GrantedAuthority 接口3.修改 MyAccessDecisionManager 的decide 方法4....
restful接口权限控制及其灵活授权
csdn_meng的博客
06-14 2万+
- 由于restful风格接口路径中带有变量,使得权限控制成为一大难题,官方的各种权限框架比较复杂,一时间可能难以用的得心应手,给一些中小型项目转前后端分离带来一定的难度。 - 日常业务中,权限一般都需要能动态配置,本篇博客采用RBAC设计原则对系统的的权限进行设计。 - 核心思想是控制controller中方法的访问权限,将【类名】.【方法名】映射为一个资源,对该资源进行动态授权。 - 授...
SpringBoot+SpringSecurity+JWT实RESTfulAPI权限控制
林老师带你学编程
10-26 4万+
关于什么是jwt(json web token),还有jwt的工作流程我这边就不多介绍,主要给大家介绍一下SpringBoot中如何整合Security然后在添加jwt的支持。 想学习分布式、微服务、JVM、多线程、架构、java、python的童鞋,千万不要扫码,否则后果自负~ 通过SpringBoot+Security+JWT来实现token校验的过程。在生产环境中,对发布API增加授...
django restful权限认证方式
m0_62520968的博客
04-24 667
1.session认证: # # 全局所有页面都有权限认证 # REST_FRAMEWORK = { # 'DEFAULT_AUTHENTICATION_CLASSES': ( # 'rest_framework.authentication.BasicAuthentication', # 'rest_framework.authentication.SessionAuthentication', # ), .
springBoot+springSecurity 动态管理Restful风格权限(三)
热门推荐
哎幽的成长
02-15 5万+
上一篇博客 springBoot+springSecurity 数据库动态管理用户、角色、权限(二) 只是实现了用户、角色、权限的动态管理,但是其权限管理是有缺陷的,他不支持restful风格的接口权限管理,因为他无法区分客户端的请求方式。本片博客是为了弥补此缺陷的,本篇博客将在 springBoot+springSecurity 数据库动态管理用户、角色、权限(二) 的基础上进行修改使其
SpringSecurityOAuth2(4)根据请求URI动态权限判断
08-01 2268
GitHub地址 码云地址 一般我们通过@PreAuthorize("hasRole('ROLE_USER')") 注解,以及在HttpSecurity配置权限需求等来控制权限。在这里,我们基于请求的URI来控制访问权限,并且可以使用注解来控制权限访问。 新建一个资源项目,配置资源服务。 首先...
最新ssm项目图书管理系统设计与实现+vue.zip
04-10
7. **安全性考虑**:项目应包含用户认证和授权机制,例如使用Spring Security进行身份验证和权限控制,防止未授权访问。 8. **远程协助**:标签中的“远程协助”可能意味着该项目提供技术支持,帮助学生或开发者...
基于JavaScript MySQL实现社区住户管理系统【优质毕业设计、课程设计项目】.zip
06-10
权限控制可能通过角色或权限实现,限制不同用户访问特定资源。 6. **页面布局与交互**:前端界面设计应考虑用户体验,可能采用了响应式布局,适应不同设备的显示。JavaScript库如jQuery或现代框架如React、Vue.js...
SSM项目花卉养殖知识平台.zip
04-13
6. **安全性和可扩展性**:系统在用户认证、权限控制等方面进行了严格的设计,以确保数据的安全。同时,系统的模块化设计和遵循的编码标准也便于未来的升级和维护。 总的来说,SSM项目花卉养殖知识平台是一个高效、...
基于JavaScript实现医院病房管理系统【优质毕业设计、课程设计项目】.zip
05-28
项目是一个基于JavaScript实现的医院病房管理系统,适合用于毕业设计或课程设计的实践项目。它包含程序源代码、数据库和配置环境说明,确保系统能够顺利运行。以下将详细阐述该系统涉及的关键技术、功能模块以及...
SpringBoot项目篮球论坛系统.zip
最新发布
04-15
8. 安全与权限控制:确保用户数据的安全性,并对不同级别的用户提供不同的访问权限。 本系统采用前后端分离的开发模式,前端可能使用React、Angular或Vue.js等现代JavaScript框架来构建用户界面,后端则利用Spring ...
08-搭建Rest服务 - 04权限管理
Tong_Rui的博客
03-13 3370
Using JWT RBAC jwt和RBAC 相信大家都已经有理解,本章就直接看一下Quarkus框架下如何使用JWT 实现权限校验。 本章目标 创建项目 实现一个简单的角色校验 如何生成和校验 Jwt Token 自定义校验 1 创建项目 本章只以简单的Rest 服务来验证权限校验,不涉及数据库操作。 1.1 加入如下依赖: <dependency> <groupId>io.quarkus</groupId> <artifactId&gt
Spring Cloud实战 | 第十一篇:Spring Cloud Gateway统一鉴权下针对RESTful接口的RBAC权限设计方案,附Vue按钮权限控制
竹林幽深
10-08 1726
https://blog.51cto.com/u_12386660/4903616
restful api 权限设计 - 初探一
tomsun28
12-03 586
restful api 权限设计 - 初探一 在现在主流的前后端分离的系统中,或者是专注于提供api服务的系统,如何保护好所提供的后端restful api,使得非常重要。保护api的方面很多,限流,防刷,校验可以说都是保护,今天来谈谈很重要的api的认证鉴权保护,大概的思路。需求两点:首先认证 – 我们可以配置哪些api需要用户认证通过才能访问哪些可以直接访问,还有就是鉴权 – 我们可以配置管理哪些api对于某个用户能调用哪些不能调用。 题外-有些会说页面按钮或者页面显示的权限问题,个人认为按钮,页面这类
权限Permissions
weixin_40226313的博客
06-28 2638
权限Permissions权限控制可以限制用户对于视图的访问和对于具体数据对象的访问。在执行视图的dispatch()方法前,会先进行视图访问权限的判断在通过get_object()获取具体对象时,会进行对象访问权限的判断使用可以在配置文件中设置默认的权限管理类,如REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': ( 'res...
基于RESTful API 怎么设计用户权限控制
Golden_lion的博客
06-22 1万+
有人说,每个人都是平等的;也有人说,人生来就是不平等的;在人类社会中,并没有绝对的公平,一件事,并不是所有人都能去做;一样物,并不是所有人都能够拥有。每个人都有自己的角色,每种角色都有对某种资源的一定权利,或许是拥有,或许只能是远观而不可亵玩。把这种人类社会中如此抽象的事实,提取出来,然后写成程序,还原本质的工作,就是我们程序员该做的事了。有了一个这么有范儿的开头,下面便来谈谈基于RESTful
访问权限_RESTful访问权限管理实现思路
weixin_36027600的博客
12-31 311
点击上方☝SpringForAll社区轻松关注!及时获取有趣有料的技术文章本文来源:http://rrd.me/gBbrN我们经常在写程序时需要对路径进行匹配,比如说:资源的拦截与加载、RESTful访问控制、审计日志采集、等,伟大的SpringMVC在匹配Controller路径时是如何实现的?全都归功于ant匹配规则。Spring源码之AntPathMatcher,这个工具类匹配很...
REST API权限控制
leledodo的博客
04-18 6695
前言 有人说,每个人都是平等的;也有人说,人生来就是不平等的;在人类社会中,并没有绝对的公平,一件事,并不是所有人都能去做;一样物,并不是所有人都能够拥有。每个人都有自己的角色,每种角色都有对某种资源的一定权利,或许是拥有,或许只能是远观而不可亵玩。把这种人类社会中如此抽象的事实,提取出来,然后写成程序,还原本质的工作,就是我们程序员该做的事了。有了一个这么有范儿的开头,下面便来谈谈基于REST...
利用插件管理Maven项目版本
嗜鞋瘾君子
07-25 448
实现思想 使用自定义注解@Permission标注类或者方法,在SpringMvc定义拦截器用于处理该对该注解的解析,判断请求的用户(一般使用AccessToken作为用户标识进行请求)是否有该请求的权限,如果有,则放行,反之,则抛出错误。 实现算法 简单的与或算法 说明 实现方式为纯Java代码实现,其实并不受限于任何框架, 也就是说,任何框架都可以使用这套代码实现接口的权...
RESTful风格的控制
07-13
以下是几个常见的RESTful风格的控制器示例: 1. 获取资源列表: - URL:/resources - HTTP方法:GET - 动作:获取所有资源的列表 2. 创建新资源: - URL:/resources - HTTP方法:POST - 动作:创建一个新的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值