#基于session实现认证授权

最新推荐文章于 2022-12-11 10:58:15 发布
最新推荐文章于 2022-12-11 10:58:15 发布
阅读量327 收藏 1
点赞数 1
文章标签: java shiro 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46569883/article/details/118771795
版权

基于session实现认证授权

1.基本概念

1.2 什么是认证

​ 简而言之,系统中的登录即为认证,认证用户的身份是否合法。进行系统认证可以有效的实现保护用户的隐私数据以及资源,用户的身份合法即可访问该资源。

​ 用户认证就是判断一个用户的身份是否合法的过程,系统去访问资源时,系统要求验证用户的身份信息,身份合法即可继续访问,不合法拒绝访问。常见的用户登录方式有:账号密码登录,二维码登录,手机短信登录,指纹认证,刷脸认证等等。

1.3 什么是会话

​ 用户进行认证之后,为了避免用户每次的操作都需要进行认证,会话就是系统为了保持当前用户的登录状态所提供的机制,常见的方式有session,token等。

1.4 什么是授权

​ 授权是通过用户权限来控制用户访问数据的过程,拥有资源的访问权限即可正常访问,没有则拒绝。(先认证后授权)

1.5 授权的数据模型

	进行用户对访问资源的控制首先需要了解授权的数据模型

​ 授权可以简单的理解为who对what(which)进行how操作

WHO: 即主体(subject),主体一般指的是用户,也可以是程序访问系统中的资源

WHAT:即资源(resource),如系统菜单,页面,按钮,代码方法,系统商品信息,系统订单信息等。系统菜单,页面,按钮,代码方法都属于系统功能资源, 对于web系统每个功能资源通常用一个url,系统商品信息,系统订单信息都属于实体资源(数据资源)。实体资源由资源类型以及资源实例组成,比如商品信息为资源类型,商品编号为001的为资源实例。

HOW:权限/许可(Permission),规定了用户对资源的操作许可,权限离开资源没有意义,如用户查询权限,用户添加权限等等,通过权限可知用户对哪些资源拥有操作的许可。

用户 角色 权限 以及关联表(共5张表)

1.6 RBAC

​ 基于角色的访问(role --),需要改代码,显得冗余。

​ 基于权限的访问控制(resource Based Access Controller),只要给角色分配权限,判断用户是否有该权限即可实现该权限。

2.基于session实现认证

更深刻的认识认证会话授权 (基于springBoot 以及 mybaitsPlus实现)

2.1用户登录认证

//controller	
	@GetMapping("/toLogin")
    @ResponseBody
    public ReturnT<String> login(@RequestParam("username")String username, @RequestParam("pwd")String pwd, HttpSession session){
        AuthenticationRequest authenticationRequest = new AuthenticationRequest(username,pwd);
        UserEntity userInfo = authenticationService.getUserInfo(authenticationRequest);
        session.setAttribute(Constant.USER_SESSION_ID, userInfo.getUsername());
        return ReturnT.success(userInfo.getUsername()+"登录成功");
    }

//Service
	@Autowired
    private UserMapper userMapper;
    @Override
    public UserEntity getUserInfo(AuthenticationRequest authenticationRequest) {
        //先判断认证参数是否为空
        if(authenticationRequest == null
            || StringUtils.isEmpty(authenticationRequest.getUsername())
            || StringUtils.isEmpty(authenticationRequest.getPwd())){
            throw new RuntimeException("用户的账号密码信息为空");
        }
        //查询用户相关的信息
        QueryWrapper queryWrapper = new QueryWrapper();
        queryWrapper.eq("username",authenticationRequest.getUsername());
        UserEntity userEntity = userMapper.selectOne(queryWrapper);
        //判断是否存在该用户
        if(userEntity == null){
            throw new RuntimeException("查询不到该用户");
        }
        //判断密码是否正确
        if(!authenticationRequest.getPwd().equals(userEntity.getPwd())){
            throw new RuntimeException("用户名或者密码不正确");
        }
        //认证通过,返回用户信息
        return userEntity;
    }

2.2 实现用户会话功能

用户登录成功之后将用户信息添加到session中,当用户访问页面的时候携带session才能实现对资源的访问,退出登录访问资源失败。

后台相关实现代码如下所示

/**
 * @author daiguojun
 * @date 2021-07-13 22:29
 * 登录控制层
 */
@Controller
@RequestMapping("system")
@Slf4j
public class LoginController {

    @Autowired
    private AuthenticationService authenticationService;

    @GetMapping("/toLogin")
    @ResponseBody
    public ReturnT<String> login(@RequestParam("username")String username, @RequestParam("pwd")String pwd, HttpSession session){
        AuthenticationRequest authenticationRequest = new AuthenticationRequest(username,pwd);
        UserEntity userInfo = authenticationService.getUserInfo(authenticationRequest);
        session.setAttribute(Constant.USER_SESSION_ID, userInfo.getUsername());
        return ReturnT.success(userInfo.getUsername()+"登录成功");
    }

    @GetMapping("login")
    public String toLogin(){
        return "login";
    }

    @GetMapping("/loginOut")
    @ResponseBody
    public ReturnT<String> loginOut(HttpSession session){
        session.removeAttribute(Constant.USER_SESSION_ID);
        return ReturnT.success("退出登录成功");
    }

    @GetMapping("/testSession")
    @ResponseBody
    public ReturnT<String> testSession(HttpSession session){
        String fullName = null;
        Object attribute = session.getAttribute(Constant.USER_SESSION_ID);
        if(attribute == null){
            fullName = "匿名";
            return ReturnT.failed(fullName);
        }else{
            return ReturnT.success("可以访问资源"+attribute);
        }
    }
}

2.3 用户对资源的访问实现

  1. 创建角色表,资源表,以及中间关联表,根据用户登录信息获取到用户的相对应权限
List<ResourceEntity> resourceEntityList = userMapper.getResourceList(userEntity.getId());
UserForm userForm = new UserForm();
BeanUtils.copyProperties(userEntity,userForm);
userForm.setResourceEntityList(resourceEntityList);
  1. 添加拦截器
/**
 * @author daiguojun
 * @date 2021-07-13 22:29
 * 登录拦截器
 */
@Component
public class LoginInterceptor implements HandlerInterceptor {

    /**
     * 调用方法前执行,根据用户身份对访问资源进行校验
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //从session中取出用户的信息

        Object attribute = request.getSession().getAttribute(Constant.USER_SESSION_ID);
        if(attribute == null){
            //相应未登陆信息给前端
            getResponseMsg(response,"请登陆");
        }
        //session中有信息说明用户以登陆,获取用户相对应的资源
        UserForm userForm = (UserForm)attribute;
        // 将用户访问的url 与 用户权限比较,如果url中包含用户权限,则可以访问
        String url = request.getRequestURI();
        List<ResourceEntity> resourceList = userForm.getResourceEntityList();
        for (ResourceEntity resourceEntity:resourceList){
            if(url.contains(resourceEntity.getResource())){
                return true;
            }
        }
        getResponseMsg(response,"没有权限,拒绝访问");
        return false;
    }

    private void getResponseMsg(HttpServletResponse response, String message) throws IOException {
        PrintWriter writer = response.getWriter();
        writer.print(message);
        writer.close();
        response.resetBuffer();
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

/**
 * @author daiguojun
 * @date 2021-07-13 22:29
 * 配置文件使得拦截器生效
 */
@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private LoginInterceptor loginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //配置只拦截某一个controller
        registry.addInterceptor(loginInterceptor).addPathPatterns("/user/**");
    }
}

以上就实现了一个简单的基于session的登录认证授权功能。不同的用户登录之后只能访问到自己相对应权限的接口

文中只有部分关键代码,完整代码以提交到gitee:https://gitee.com/dai_guojun/springboot-security.git

对你偏爱u
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ASP.NET Core学习之使用JWT认证授权详解
12-16
认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, 系统...
SpringSecurity-基于Session认证方式
ginger_mr的博客
11-15 1485
文章目录基于Session认证方式1. 认证流程2.创建工程1.创建maven工程2. Spring 容器配置3. servletContext配置4. 加载Spring容器 基于Session认证方式 1. 认证流程 基于Session认证方式的流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发 给客户端的 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户
session登录认证方案--登陆状态的服务端存储(附上node原生开发代码)
qq_45189315的博客
04-08 312
1.原理: session登录认证方案:用户从客户端传递用户名、密码等信息,服务端认证后将信息存储在session中,将session_id放到cookie中。 以后访问其他页面,自动从cookie中取到session_id,再从session中取认证信息。相较于客户端cookie登陆认证方案,服务端存储登陆状态的话,可以提升数据的安全性, 也能够存储更多的内容. 2.如何通过Session来存储登录状态 2.1给每一个用户分配一个无关紧要的值session_id作为为一个标识放到cookie中 2.2在服
登录权限验证session
weixin_34290631的博客
12-15 263
原理 登录成功后,保存登录信息到文件/数据库种,同时保存创建时间和过期时间,下次验证的时候取出来做验证使用express-session中间件来进行session的操作 安装express-session npm install express-session 配置expess-session中间件 //使用express-session...
Session实战权限认证
可小辉的博客
11-08 353
1
基于Session认证授权实践
Java_zhujia的博客
12-11 511
基于 session认证方式如下图:​基于 Session认证机制由 Servlet 规范定制,Servlet 容器已实现,用户通过 HttpSession 的操作方法即可实现,如下是 HttpSession 相关的操作API。本项目使用 maven 搭建,使用 SpringMVC、Servlet3.0 实现。创建maven工程导入依赖 Servlet Context配置本案例采用 Servlet3.0 无 web.xml 方式,在 config 包下定义 WebConfig.java,它对应于
Spring Security技术栈开发企业级认证授权.zip
06-05
集成 spring securit, spring security oauth 和 spring social,实现 用户名密码登录,手机验证码登录,社交账号登录,基于jwt的sso,集群session管理等功能。
在Django的session中使用User对象的方法
12-24
Django 用户认证系统处理用户帐号,组,权限以及基于cookie的用户会话。 这个系统一般被称为 auth/auth (认证授权)系统。 这个系统的名称同时也表明了用户常见的两步处理。 我们需要 验证 (认证) 用户是否是他所...
Django的session中对于用户验证的支持
12-23
这个系统一般被称为 auth/auth (认证授权)系统。 这个系统的名称同时也表明了用户常见的两步处理。 我们需要  验证 (认证) 用户是否是他所宣称的用户(一般通过查询数据库验证其用户名和密码)  验证用户是
微信OAuth2.0网页授权接口
01-08
在AuthAction中的初始化函数_initialize中进行了OAuth2.0受权,所有基于AuthAction的控制器都将进行受权过程(除了微信API认证过程wechatInitAuth)。 对于同一用户在受权过期时间内多次打开此控制器的页面,将不会...
Servlet实战——利用Session管理员权限验证
何义竏
01-03 714
Session管理员实战权限验证Session管理员实战权限验证一、创建管理员表二、 登录页面三、Dao层Dao层接口Dao层Impl实现类四、entity实体类五、service业务方法实现类service接口serviceImpl实现类六、servletControllerJSP Session管理员实战权限验证 一、创建管理员表 create table manager( username varchar(20) primary key, password varchar(20) not nul
认证授权——session和cookie
peanut的博客
07-28 168
文章目录一、session和cookie的由来(HTTP的无状态性)二、什么是session会话?三、什么是cookie?四、 session工作原理 一、session和cookie的由来(HTTP的无状态性) 1、很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP请求, 不用记住是谁刚刚发了HTTP请求,每个请求对我来说都是全新的。 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就
session存储、登录认证、权限认证解决方案
S_duxiu的博客
08-25 1534
8-25 session存储、登录认证、权限认证解决方案初步学习 本章节将围绕登录功能的实现,来搭建 sessin存储方案 登录认证方案 权限验证方案 一、整体思路分析 1.1 登录思路 登录的目的: 生成token令牌:在登录之后,当访问那些需要登录才能访问的接口时,放置令牌在请求中是证明我们登录过的手段 存储session数据库session是什么,为什么要存储session,后面会介绍到 整体思路分析 效验数据:验证账号密码是否正确 写session:提供我们在项目的任何地方 .
认证授权之Cookie、Session、Token、JWT
Herishwater的博客
12-06 546
在互联网应用开发中,主要通过下面几种方式实现授权Session、Cookie和Token,本文将详细介绍三者间的区别,以及比较火热的JWT是怎么一回事。
使用cookie和session实现用户的认证授权(原生方式,不使用安全框架)
weixin_43266529的博客
03-24 7174
在学习springsecurity和shiro等安全框架之前可以使用原生的方式,基于cookie和session实现原生的认证,有利于加强对框架学习的理解,也有助于清晰的理解认证授权的流程,也有助于对cookie和session作用的理解。 对cookie和session的概念不清楚的可以参考:cookie和session 一般的管理系统都是基于RABC授权,也即基于角色授权,RABC授权模式最简单的就是利用5张表:用户表,角色表,权限表,用户角色中间表,角色权限中间表,这里就基于这5张表进行讲解。 案例
什么是用户认证授权(二)
梁老师教你编程序
10-25 428
服务器创建session出来后,会把session的id号,以cookie的形式回写给客户机,这样,只要客户机的浏览器不关,再去访问服务器时,都会带着session的id号去,服务器发现客户机浏览器带session id过来了,就会使用内存中与之对应的session为之服务。用户B,再开一个浏览器的时候,访问到web服务器,此时,web服务器也会创建一个session,这个session对象与用户A的是不同的对象。每个用户经过认证之后,我们的应用都要在服务端做一次记录,以便识别该用户的请求,而通常来说,
关于C#应用的授权认证
weixin_33881050的博客
04-12 621
1、加壳,不然很容易反编译绕过认证 2、获取机器码,通常是获取CPU,MAC,网卡和UUID等信息加密而成,但是针对虚拟机来说并不好判断,尤其是虚拟机迁移等操作。有针对虚拟机授权的朋友可以指点 3、针对上面的特征码做不可逆的加密计算(网上很多),加密结果放多应用程序目录 4、应用程序每次启动根据本机的机器码做第3步的加密再和本地存储的特征码比对 扩展:也有根据程序模块来授权的,这就需...
C 实现 授权 设定授权时间限制 AES算法
Hilaph的博客
09-25 2184
一、软件授权的思路主要分为以下步骤 1、获得被授权计算机的唯一标识,例如CPU编码、硬盘编码、MAC地址等。 2、将标志内容编码为不可被识别的加密数值——注册码。 3、授权方将注册码解码。 4、在注册码中添加时间限制以及其它携带信息并编码为不可被识别的加密数值——序列号。 5、被授权电脑上获得序列号后,将其解码判断标志内容和日期是否符合,并将序列号保存以备以后启动时判断。 二、这个步骤中有几个知识点:1、获取唯一标识;2、编码算法;3、将时间等信息添加入注册码中。 1和3的解决办法有很多,而2
springboot授权认证
最新发布
05-30
1.基于Session认证:用户在登录时,服务端会在Session中记录用户信息,之后的每次请求都需要携带Session ID来验证用户身份。Spring Boot提供了`spring-session`库,可以方便地进行Session管理。 2.基于JWT的认证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

对你偏爱u

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值