【项目经验①之鉴权】

最新推荐文章于 2023-09-25 12:41:21 发布
最新推荐文章于 2023-09-25 12:41:21 发布
阅读量435 收藏
点赞数 1
分类专栏: 项目经验 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50356104/article/details/124295564
版权

项目经验①之鉴权

前言

在项目中,咱们总会遇到各种各样的问题,不管是遇到的bug,或者是自己不会写的,或者是别人的代码比你好,用的方法比你便捷,或者是温故知新,都是学习的动力,值得一记。

一、鉴权是什么?

鉴权有很多种,我们今天不谈那种session-cookie,token那些,讲的仅仅只是从用户登录后,根据不同的角色和权限做对应的操作(想了解其他的可以找一下其他博主得文章,我技术水平有限,仅仅记录自己当前项目遇到的,例如https://blog.csdn.net/sinat_33255495/article/details/103920131),目前我们使用的是安全框架Spring Security下的注解来控制。

二、Spring Security

该部分可以参考其他博主的https://blog.csdn.net/FlyingFish868/article/details/121771605

三、@PreAuthorize

@PreAuthorize这个注解可以用来控制一个方法或类是否能够被调用的,通常都用在controller层,通俗一点来说就是前端调用的时候看看当前登录的用户有没有权利调用被注解的接口方法
示例
里面的参数是用EL表达式来处理的,正常的应该是

  • hasRole,对应 public final boolean hasRole(String role)
    方法,含义为必须含有某角色(非ROLE_开头),如有多个的话,必须同时具有这些角色,才可访问对应资源。
  • hasAnyRole,对应 public final boolean hasAnyRole(String… roles)
    方法,含义为只具有有某一角色(多多个角色的话,具有任意一个即可),即可访问对应资源。
  • hasAuthority,对应 public final boolean hasAuthority(String authority)
    方法,含义同 hasRole,不同点在于这是权限,而不是角色,区别就在于权限往往带有前缀(如默认的ROLE_),而角色只有标识。
  • hasAnyAuthority,对应 public final boolean hasAnyAuthority(String…
    authorities) 方法,含义同hasAnyRole,不同点在于这是权限,而不是角色,区别就在于权限往往带有前缀(如默认的ROLE_),而角色只有标识
  • permitAll,对应 public final boolean permitAll() 方法,含义为允许所有人(可无任何权限)访问。
  • denyAll,对应 public final boolean denyAll() 方法,含义为不允许任何(即使有最大权限)访问。
  • isAnonymous,对应 public final boolean isAnonymous() 方法,含义为可匿名(不登录)访问。
  • isAuthenticated,对应 public final boolean isAuthenticated()
    方法,含义为身份证认证后访问。
  • isRememberMe,对应 public final boolean isRememberMe() 方法,含义为记住我用户操作访问。
  • isFullyAuthenticated,对应 public final boolean isFullyAuthenticated()
    方法,含义为非匿名且非记住我用户允许访问。

不过咱们这里有些不一样,用的是hasPermission

Spring Security为我们定义了hasPermission的两种使用方式,它们分别对应着PermissionEvaluator的两个不同的hasPermission()方法。Spring Security默认处理Web、方法的表达式处理器分别为DefaultWebSecurityExpressionHandler和DefaultMethodSecurityExpressionHandler,它们都继承自AbstractSecurityExpressionHandler,其所持有的PermissionEvaluator是DenyAllPermissionEvaluator,其对于所有的hasPermission表达式都将返回false。所以当我们要使用表达式hasPermission时,我们需要自已手动定义SecurityExpressionHandler对应的bean定义,然后指定其PermissionEvaluator为我们自己实现的PermissionEvaluator,然后通过global-method-security元素或http元素下的expression-handler元素指定使用的SecurityExpressionHandler为我们自己手动定义的那个bean。(别人转载的没找到原文章)

括号里面的参数一个角色比对一个权限比对,因为目前写的是工单派发审核这些,只需要验证登录用户的权限是否与括号内的对应即可,至于检测,目前还在等新同事写完前端在联调测试,如果有误我会及时更新

总结

以上就是今天要讲的内容,本文仅仅简单介绍了@PreAuthorize的使用,具体的大家还是结合大佬们的文章参考吧,我仅仅是个人记录一下。

曦光君
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Http Digest 鉴权
06-21
“摘要”式认证( Digest authentication)是一个简单的认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要,在RFC2671中描述。其身份验证机制很简单,它采用杂凑式(hash)加密方法,以避免用明文传输用户的...
spring security方法鉴权使用示范项目
03-01
在这个"spring security方法鉴权使用示范项目"中,我们将深入探讨如何利用Spring Security进行方法级别的权限控制。 首先,Spring Security 提供了基于注解的方法安全特性,这允许我们在方法级别定义哪些用户或者...
项目中的鉴权是如何实现的?
田兴的博客
09-17 4829
一、token 验证登录流程 使用基于 Token 的身份验证方法,大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
项目鉴权流程分析
Leon_Jinhai_Sun的博客
05-09 284
鉴权处理 思路分析 1.用户通过访问微服务网关调用微服务,同时携带头文件信息 2.在微服务网关这里进行拦截,拦截后获取用户要访问的路径 3.识别用户访问的路径是否需要登录,如果需要,识别用户的身份是否能访问该路径[这里可以基于数据库设计一套权限] 4.如果需要权限访问,用户已经登录,则放行 5.如果需要权限访问,且用户未登录,则提示用户需要登录 6.用户通过网关访问用户微服务,进行登录验证 7.验证通过后,用户微服务会颁发一个令牌给网关,网关会将用户信息封装到头文件中,并响应用户 8.用户下次访问,
【302期】SpringBoot 项目鉴权的 4 种方式,你了解吗?
Java精选
04-16 219
点击上方“Java精选”,选择“设为星标”别问别人为什么,多问自己凭什么!下方有惊喜,留言必回,有问必答!每一天进步一点点,是成功的开始...文章介绍了spring-boot中实现通用auth的四种方式,包括 传统AOP、拦截器、参数解析器和过滤器,并提供了对应的实例代码,最后简单总结了下他们的执行顺序。前言最近一直被无尽的业务需求淹没,没时间喘息,终于接到一个能让我突破...
登录鉴权项目笔记
weixin_30762087的博客
06-08 207
  用vue做一个简单的登录鉴权功能。 项目目录结构如下: Login 组件   登录成功后做本地存储和store存储,并进行跳转。 Login.vue关键代码: async handleLogin(e) { e.preventDefault(); let parmas = { username: this.mod...
spring boot +Sa-Token优雅的实现项目鉴权
wcj_java的专栏
05-24 1292
Sa-Token是一个轻量级Java权限认证框架。主要解决的问题如下:登录认证权限认证单点登录OAuth2.0分布式Session会话微服务网关鉴权等一系列权限相关问题。Sa-Token框架是一个轻量级的登录、鉴权框架,有利于我们开发。
OneNET平台鉴权token计算工具_物联网_鉴权
09-21
通过理解鉴权token的生成原理以及利用提供的计算工具,开发者可以更好地集成和管理他们的物联网项目,保证数据的安全传输和有效鉴权。在实际应用中,开发者应根据具体需求和安全策略,合理设置token的有效期、更新...
SpringBoot认证鉴权
05-18
在Spring Boot项目中,我们可以使用Shiro来实现认证鉴权。Shiro提供了多种认证机制,包括用户名/密码认证、LDAP认证、OAuth认证等,我们可以根据实际需求选择合适的认证机制。 知识点8:Spring Boot与JWT集成 在...
Onvif编译及开发(带wsse鉴权和digest鉴权)
08-23
- Makefile:用于编译和链接项目的文件。 - 可能还包含测试脚本或示例输入输出,帮助开发者理解和测试代码功能。 总结来说,"Onvif编译及开发(带wsse鉴权和digest鉴权)"涉及使用gSOAP库实现ONVIF标准的多个方面,...
4 种 SpringBoot 项目鉴权方式
java_atguigu的博客
04-07 3692
传统 AOP 对于这种需求,首先想到的当然是 Spring-boot 提供的 AOP 接口,只需要在 Controller 方法前添加切点,然后再对切点进行处理即可。 实现 其使用步骤如下: 使用 @Aspect 声明一下切面类 WhitelistAspect; 在切面类内添加一个切点 whitelistPointcut(),为了实现此切点灵活可装配的能力,这里不使用 execution 全部拦截,而是添加一个注解 @Whitelist,被注解的方法才会校验白名单。 在切面类中使用 spring
【有料】一口气说出前后端 10 种鉴权方案~
最新发布
daobuxinzi的博客
09-25 424
最经典的莫过于 APP 内嵌 H5 的使用场景,当用户从 APP 进入内嵌的 H5 时,我们希望 APP 内已登录的用户能够访问到 H5 内受限的资源,而未登录的用户则需要登录后访问。短信验证码的作用就是证明当前操作页面的用户与输入手机号的用户为相同的人,那么实际上只要我们能够获取到当前手机使用的手机卡号,直接使用这个号码进行登录,不需要额外的操作,这就是。对于两个网站 A 和 B,在登录 A 网站的时候用 B 网站的帐号密码,就是联合登录,或者登录 B 网站的时候使用 A 网站的帐号密码,也是联合登录。
在SpringBoot中实现通用Auth认证,有哪几种方式?
Java笔记虾
05-10 511
来源:https://zhenbianshu.github.io文章介绍了spring-boot中实现通用auth的四种方式,包括传统AOP、拦截器、参数解析器和过滤器,并提供了对应的实例...
Spring Boot 项目鉴权的 4 种方式
WantFlyDaCheng的博客
01-25 2344
转自:枕边书链接:https://zhenbianshu.github.io/文章介绍了spring-boot中实现通用auth的四种方式,包括 传统AOP、拦截器、参数解析器和过滤器,并...
SpringBoot 项目鉴权的 4 种方式
民工哥的博客
07-12 673
点击下方“Java编程鸭”关注并标星更多精彩 第一时间直达文章介绍了spring-boot中实现通用auth的四种方式,包括 传统AOP、拦截器、参数解析器和过滤器,并提供了对应的实例代码,最后简单总结了下他们的执行顺序。前言最近一直被无尽的业务需求淹没,没时间喘息,终于接到一个能让我突破代码舒适区的活儿,解决它的过程非常曲折,一度让我怀疑人生,不过收获也很大,代码方面不...
SpringBoot项目的 4 种鉴权方案
程序员闪充宝
10-22 3063
大家好,我是宝哥!‍最近在重构公司以前产品的前端代码,摈弃了以前的session-cookie鉴权方式,采用token鉴权,忙里偷闲觉得有必要对几种常见的鉴权方式整理一下。目前我们常用的鉴权有四种:HTTP Basic Authenticationsession-cookieToken 验证OAuth(开放授权)一.HTTP Basic Authentication这种授权方式是浏览器遵守http...
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 1879
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
项目中遇到的授权和鉴权问题解决方案
比我NB的人,仍然在努力
02-13 2598
目录 一、固定token方案 二、Session认证方案 三、客户端token方案(项目中采用的是此方案) 四、第三方授权方案 五、API请求签名 下面主要介绍工作中遇到的授权和鉴权问题,采用的五种方案。 一、固定token方案      这是一种“懒人”的方案,在发送请求时,在cookie中带入固定值,在nginx中判断cookie中的值是否正确,如果正确则允许访问 服务...
springcloud项目搭建登录认证鉴权
09-08
为了搭建Spring Cloud项目的登录认证和鉴权功能,你可以按照以下步骤进行操作: 1. 创建认证服务:首先,你需要创建一个单独的认证服务(如使用Spring Security或者OAuth2),该服务将负责用户的身份验证和授权管理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值