AOP实现接口(API)鉴权
为什么需要接口(API)鉴权
从API接口安全性设计考虑
防止API接口被他人随意调用
保障接口数据安全,通过接口鉴权来限制调用方的操作权限
接口权限范围
管理员鉴权
指具备管理员权限的用户调用接口时不限制操作范围。
一般鉴权
指不具备管理员权限的用户进行接口调用时限制其操作范围。
举例说明
用户信息查询接口:/user/info/{id}
管理员用户调用时允许查看任意人员的信息(管理员鉴权)
非管理员用户仅能查看其自身的信息(一般鉴权)
如何实现接口(API)鉴权
实现方式
通过Jwt Token令牌来实现API接口鉴权
实现原理
给调用方分配账号、密码
调用方通过登录从服务器获取授权Token,返回的Token包含用户ID
客户端保存Token,后续的请求都携带此Token进行访问
接口服务端从请求头中获取授权Token,校验Token是否有效以及验证用户是否具备特定权限
实现步骤
自定义注解@ApiAdminToken,在需要鉴权的API方法上使用该注解并设定用户的权限范围。
通过拦截器(Interceptor)验证授权Token。
AOP切面验证用户接口调用的权限范围。
接口(API)鉴权实现源码(仅供参考)
代码不完整,无法直接使用,仅提供参考。
依赖导入
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-aop</artifactId>
</dependency>
<dependency>
<groupId>commons-lang</groupId>
<artifactId>commons-lang</artifactId>
</dependency>
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.10.0</version>
</dependency>
拦截器
AccessTokenInterceptor
package com.platform.web.interceptor;
import com.alibaba.fastjson.JSON;
import com.platform.common.ResultObject;
import com.platform.common.constant.RequestConstant;
import com.platform.common.jwt.AccessTokenService;
import com.platform.common.jwt.JwtTokenUtil;
import com.platform.web.aop.ApiAdminToken;
import com.platform.web.util.IpUtil;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.lang.Nullable;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
* 登录Token拦截及自动刷新
*
* @author jiangqi
* @date 2021-5-19
*/
@Component
public class AccessTokenInterceptor extends HandlerInterceptorAdapter {
private static Logger log = LoggerFactory.getLogger(AccessTokenInterceptor.class);
@Autowired
private AccessTokenService accessTokenService;
/**
* 拦截器预处理
* Response响应仅在此方法中修改才会生效
*/
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 验证请求头中是否携带Access_Token,未携带视为未登录
String userId = request.get