通过自定义注解或拦截器实现APP调用后接口全局权限验证

最新推荐文章于 2023-02-16 10:01:05 发布
最新推荐文章于 2023-02-16 10:01:05 发布
阅读量3.2k 收藏 2
点赞数 1
分类专栏: Java深入 文章标签: interface
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhaiabc/article/details/78364396
版权

现在就需要在现有代码的基础上添加用户登录和权限验证功能。

关于登录和权限验证方面,参照以前做iOS的开发经验,App端提供用户名和密码换取token,每次通过换取的token请求需要登陆权限的操作。

现在反过来,我就需要考虑下面几个问题:

1.在现有功能的代码上如何比较轻松地满足这些功能的实现,使得现有代码改动不大,并且今后新功能实现权限验证不麻烦

2.如何根据用户名和密码生成token,并且在需要权限的功能上如何区分客户端提供token的正确性

首先面对第一个问题,根据经验,常规解决方案就是过滤器,拦截器,若是在需求安排上登陆和权限验证这些放在前面的话,只要让后期功能的url有一定规律,过滤器或拦截器的使用简直屡试不爽。但是我现在面对的是前期没有任何设计和规范的url,所以使用过滤器或者拦截器是我不愿意面对的。

除了以上常规解决方案,spring AOP正好成了解决这类问题的利器,利用面相切面编程对所有需要权限验证的method做一个前置通知,但是由于url,类名或者方法没有规律,于是我想到了自定义注解(annotation),对所有加上自定义注解的method做权限验证。

1.既然已经想到使用spring aop了,那首先第一步就是在spring配置文件中开启aop以及加AOP相关标签

//开启aop

<aop:aspectj-autoproxy />

//加AOP相关标签

 xmlns:aop="http://www.springframework.org/schema/aop"

xsi:schemaLocation="http://www.springframework.org/schema/aop 
       http://www.springframework.org/schema/aop/spring-aop-3.0.xsd"

以上配置基于项目中倒入spring-aop相关jar包,并且在配置文件头部引入aop的url

2.其次我们先定义一个自定义annotation

package cn.uce.suc.bkg.control.infomon;

import java.lang.annotation.Retention;
import java.lang.annotation.Target;

@Target({java.lang.annotation.ElementType.METHOD, java.lang.annotation.ElementType.TYPE})

@Retention(java.lang.annotation.RetentionPolicy.RUNTIME)
public  @interface UserAccess {

}
3.我们还不能急于做权限验证的功能,因为现在我们的token还没有生成方案。

      在token生成上考虑到单点登录,所以token不能一直固定,否则在任何时候,只要拥有token就可以同时至少两个人使用同一个帐户,这是目前我们业务上不允许的。最终我选择了”username+password+登录时间“做MD5加密作为token(在保证唯一和可变的情况下,有很多方法,比如uuid)。在验证用户名和密码成功的情况下生成token,并将token以“username:token” 和 “token:用户”的键值对形式保存起来(也可以保存进数据库),最后返回token给客户端。以下代码只做一个简单示例:

@Service
 
public class LoginService {
 
/**
 
* 存放“用户名:token”键值对
 
*/
 
public static Map<String,String> tokenMap=new HashMap<String,String>();
 
/**
 
* 存放“token:User”键值对
 
*/
 
public static Map<String,User> loginUserMap=new HashMap<String,User>();
 
  
 
public String login(String name,String password){
 
System.out.println(name+"-----"+password);
 
/**
 
* 判断是否登录成功
 
* 1.登录成功
 
*  1.1.成功生成对应的token并更新
 
*  1.2.失败就抛异常
 
*/
 
String token=tokenMap.get(name);
 
User user=null;
 
if(token==null){
 
user=new User();
 
user.setName(name);
 
user.setPassword(password);
 
System.out.println("新用户登录");
 
}else{
 
user=loginUserMap.get(token);
 
loginUserMap.remove(token);
 
System.out.println("更新用户登录token");
 
}
 
token=MD5Util.MD5(name+password+new Date().getTime());
 
loginUserMap.put(token, user);
 
tokenMap.put(name, token);
 
System.out.println("目前有"+tokenMap.size()+"个用户");
 
for(User u:loginUserMap.values()){
 
System.out.println(u.getName()+":"+u.getPassword());
 
}
 
return token;
 
} 
 
}
4.于此同时,我们的客户端登陆后也就获得了token,只要在所有需要权限的请求中携带token即可成功获取响应(建议:为方便app编码,token可携带在请求头中,现有代码就无需大改动,并且今后都不需要关心token的问题)。我随便找了个method做实验: 
@Controller
 
@RequestMapping("/login")
 
public class LoginController {
 
@Autowired
 
private LoginService loginService;
 
  
 
@UserAccess
 
@RequestMapping(value="/loginin",method=RequestMethod.GET)
 
public @ResponseBody String login(HttpServletRequest request){
 
String name=request.getParameter("name");
 
String password=request.getParameter("password");
 
String token=loginService.login(name, password);
 
return token;
 
}
 
}
注意加粗部分就是自定义annotation,登陆功能的请求参数是不可能有token的,所以不管验证多少次,都不可能通过,只是做个示例。@UserAccess添加在需要权限验证的功能上才起作用

5.现在自定义annotation就是一个很好的切入点

@Component
 
@Aspect
 
public class PermissionAspect {
 
  
 
 //设置以自定义annotation作为切入点
 
@Before("@annotation(com.example.chap01.annotation.UserAccess)")
 
public void checkPermission(JoinPoint joinPoint) throws Exception{
 
System.out.println("前置通知");
 
//获取拦截的请求参数
 
Object[] args = joinPoint.getArgs();
 
HttpServletRequest request=(HttpServletRequest)args[0];
 
String token=request.getParameter("token");
 
System.out.println("前置通知 token:"+token);
 
User user=LoginService.loginUserMap.get(token);
 
if(user==null){
 
System.out.println("验证不通过!");
 
throw new Exception("没有权限");
 
}
 
}
 
}





格色情调1984
关注
专栏目录
RuoYi-Vue-Plus (时间统计拦截器、获取用户信息、全局异常处理)
javaxueba的博客
04-15 403
类位置:com.ruoyi.framework.web.exception.GlobalExceptionHandler。类位置:com.ruoyi.web.controller.system.SysLoginController。类位置:com.ruoyi.web.controller.system.SysLoginController。标注在方法上,当我们在系统中抛出 NotPermissionException异常,就会被标注的方法拦截。的功能,通常用于定义全局的异常处理程序和响应结果处理程序。
前后端分离的项目,采用ssm后端接口权限校验
qq_38089964的博客
11-28 3283
前后端分离的项目中,服务端对于每个请求都是一模一样的,对于每个用户的请求识别就需要用到一个统一的方式(jwt),然后在访问每个接口的时候先对这个jwt进行识别,查出这个用户的权限级别,检查是否拥有访问这个接口权限,如果没有,那么将直接返回一个错误信息,表示权限不足,反之放过,继续往下执行。 jwt就是一个包含用户信息的加密字符串:参考:JWT的生成及验证过程 因为对于每个接口需要进行权...
后端接口权限验证
热门推荐
bleuesprit的专栏
01-08 1万+
接口验证有两种,一种是基于人的验证,比如需要调用者提供人员信息.第二种则是基于接口本身.接口本身的验证是因为很多调用者并不是一个人,可能仅仅是一个定时启动的脚本,无法采用用户名密码的形式来进行验证. 接口本身的验证基本方法就是在调用的时候在请求后方添加一个密钥,作为验证身份的令牌. # 基于简单密码 双方约定密码,密码正确验证通过 # 参数签名方式 步骤通常如下:
接口调用时使用Spring拦截器注入运行时数据
夕下奕林的专栏
05-06 2819
开发背景使用CXF暴露与调用接口,为了方便追踪错误,所以想要在接口调用时将一些运行时数据记录起来,所以就想到了拦截器。CXF自带拦截器,但是据我初步了解,自带的拦截器都是经过封装,用来打印日志什么的,好像没有提供给开发者定制功能的方式(没有深入了解,如果有说错请方便斧正)流程其实Spring的拦截器使用挺方便的,实现org.aopalliance.intercept.MethodIntercept
判断和检查app应用是否具有某个权限
saiwaishitou的博客
12-27 1384
判断应用是否具有某个权限 一.判断应用是否具有某个权限 PackageManager pm = getPackageManager(); boolean permission = (PackageManager.PERMISSION_GRANTED == pm.checkPermission(“android.permission.RECORD_AUDIO”, “packageName”
Spring MVC拦截器初步使用及拦截器方法的调用顺序
XCMercy
07-06 658
拦截器的使用 在WEB项目中,要使用Spring MVC 拦截器的步骤如下: 1. 写一个类实现org.springframework.web.servlet.HandlerInterceptor接口,实际应用中,一般继承自org.springframework.web.servlet.handler.HandlerInterceptorAdapter抽象类(其本质上也是实现了org.spri...
实战系列之《自定义注解实现登录拦截功能》
qq_38965140的博客
01-27 429
前言:实际项目里面,对于一些只有登陆之后的才能访问的接口,我是如何进行登录校验的! 本人在项目里,实现登录校验是采用 拦截器+自定义注解的方式! 框架使用spring-boot 。版本 :2.3.4 逻辑流程: 1.用户在登陆成功之后,后台会生成一个token并返回给客户端,客户端需要保存token。在调用其他请求时,携带此token,到请求头中或者参数里。 2.后台通过拦截器拦截到请求后,判断请求的方法或方法所属类 中是否存在 我们 标注的 登录校验注解,如果存在,表示当前请求需要校...
feign调用走不走网关全局拦截_服务之间调用需要鉴权?
weixin_39631316的博客
01-14 1102
一、com.cn/tag/%e8%83%8c%e6%99%af" target="_blank">背景一般在微服务架构中我们都会使用spring security oauth2来进行权限控制,我们将资源服务全部放在内网环境中,将API网关暴露在公网上,公网如果想要访问我们的资源必须经过API网关进行鉴权,鉴权通过后再访问我们的资源2 D ^ Z @ t d Q服务。我们根据如下图片来分析一...
vue 调用 RESTful风格接口操作
11-19
3. 提供请求和响应拦截器。 4. 支持请求和响应的数据转换。 5. 可以取消请求。 6. 自动转换JSON数据。 7. 防御XSRF攻击。 安装Axios: ``` npm i axios --save ``` 在Vue项目中,我们可以全局引入并挂载到Vue实例...
feign调用走不走网关全局拦截_GitHub - zspdaodao/SpringCloudDemo: 商品微服务Demo,包括注册中心Euraka、通信Feign、网关Zuul、熔断器Hystri...
weixin_36027600的博客
12-24 232
SpringCloudDemo商品微服务Eureka 服务注册与发现Eureka Server 注册中心pomorg.springframework.cloudspring-cloud-starter-netflix-eureka-serverApplication加注解@EnableEurekaServerapplication.yml## spring配置spring:application...
java拦截器处理用户登录信息,以及app接口校验
07-13
拦截器统一处理用户的请求信息,包含网站的用户登录验证以及app接口规范。
转转统一权限系统的设计与实现(后端实现篇)
zhuanzhuantech的博客
06-17 1324
如图所示,权限系统主要解决两个问题:为了解决这两个问题,必然需要引入一些配套内容,其中重要的功能点如下:后面会一一介绍用户管理、权限管理、后端鉴权sdk的实现权限系统支持转转、转转精神、发条爱客、自注册四种来源的用户数据,支持用户在一个系统登录在其他系统保持登录状态功能(统一登录),支持员工入职自动加入权限系统(员工同步),这里重点介绍统一登录。先从接入权限的域名都是*.zhuanspirit.com说起,统一登录利用浏览器携带Cookie特点:不同二级域名可以携带一级域名的Cookie。统一登录系统为接
SpringBoot系列-集成JWT实现接口权限认证
03-15 476
原文出处:http://ju.outofmemory.cn/entry/341269 RESTful API认证方式 一般来讲,对于RESTful API都会有认证(Authentication)和授权(Authorization)过程,保证API的安全性。 Authentication vs. Authorization Authentication指的是确定这个用户的身份,Author...
SpringSecurity+SpringBoot前后端分离的权限验证和管理的实现方法
qq_29586495的博客
12-10 4195
SpringSecurity+SpringBoot+前后端分离的权限验证和管理的实现方法 0.本文目标 使用SpringSecurity框架进行访问用户的身份验证权限鉴定,而且做成前后端分离的模式,即后端数据库没有界面,只返回Json作为处理结果。 1.SpringSecurity的作用 SpringSecurity提供了一个权限验证管理的快速搭建工具。 以Web开发为例,使用SpringSecurity框架后, 可以对前端发来的url请求进行拦截,从而验证用户的权限是否允许该用户进行此请求。 提供了
【咕笛说项目 | 前端权限设计从入门到上手】之三:按钮和功能级权限(ACL)
关注老赵不迷路,老赵带你上高速
11-30 657
按钮级权限在中型及以下的项目中一般不会涉及,但往往在一些比较复杂的项目中还是需要特别考虑的,这一节我们来一起讨论下按钮级权限在VUE项目中如何去落地。 一般在后台的权限表中,按钮级权限与页面级权限是同在一张表里的,只是用不同的type进行区别。我们一般获取权限的时机是在登录的时候,后台会通过api将当前登录的token信息和权限列表一同返回,我们就是对这个权限列表进行二次加工处理的。 以我司的项目为例,后台是一次性将一个整个的权限列表返回,前端需要将这个列表拆成三个部分:菜单权限、页面权限和按钮权限(菜
大型API网关(四)—— 接口权限
xinzhongtianxia的博客
03-05 3139
想象一下,我们的API网关对外开放了好多个接口,有的接口是通用的,大家都可以访问,有的接口是定制的,只对特定用户开放,比如付费用户、合作伙伴等,这就涉及到接口权限控制的问题。 权限功能的示意图如下: 接口权限是一个网关系统最基本的需求,实现方式也有很多。我们这里只讨论最简单的一种。 ACL这个英文缩写,大家都不陌生,全拼是Access Control Lists 访问控制列表。 举个例子,我们有service1,service2,service3三个接口,有userA, userB, userC三个用户.
AutoNet-Ios 网络框架(简单且强大, 增加了拦截器新用法)
小稀革
09-26 456
AutoNet-Ios(网络框架) AutoNet代理Alamofire并使用HandyJSON处理了Json数据。 用户直接拿到实体类, 是Ios开发网络应用更加简单 Git地址 1. Ios版本: https://github.com/xiaoxige/AutoNet-Ios 2. Android版本: https://github.com/xiaoxige/AutoNet 特色 * 使...
彻底了解前后端所有鉴权方案,让你不再迷惘
最新发布
油墨香^-^的博客
02-16 473
认证(Identification)是指根据声明者所特有的识别信息,确认声明者的身份。你需要用身份证证明你自己是你自己。比如我们常见的认证技术:身份证用户名和密码用户手机:手机短信、手机二维码扫描、手势密码用户的电子邮箱用户的生物学特征:指纹、语音、眼睛虹膜用户的大数据识别等等授权(Authorization):在信息安全领域是指资源所有者委派执行者,赋予执行者指定范围的资源操作权限,以便对资源的相关操作。
APP接口版本兼容问题
weixin_30873847的博客
05-31 579
标记一下,不知道我们目前的处理方式,后续问问: 转载:大河 http://www.cnblogs.com/dahe007/p/6255401.html APP接口版本兼容的问题 现在基本每个公司都做APP,所以大家都面临 APP接口版本兼容的问题。 iOS和android 要不断开发新版本,很多服务端开发都是在以前接口的逻辑上进行修改。新的APP接口开发后,接口如何兼容老...
SpringBoot自定义注解实现权限拦截教程
通过创建自定义注解拦截器,我们可以对特定的控制器或方法进行权限验证,确保只有具有相应权限的用户才能访问。" 在SpringBoot框架中,权限拦截是保证系统安全的重要手段之一。自定义注解的使用可以让权限管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值