WebMVC+JWT实现API接口鉴权

最新推荐文章于 2024-07-23 22:22:28 发布
最新推荐文章于 2024-07-23 22:22:28 发布
阅读量832 收藏 3
点赞数
分类专栏: Java 文章标签: java 数据安全 接口 api aop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59765702/article/details/118393978
版权

AOP实现接口(API)鉴权

为什么需要接口(API)鉴权

从API接口安全性设计考虑
防止API接口被他人随意调用
保障接口数据安全,通过接口鉴权来限制调用方的操作权限

接口权限范围

管理员鉴权

指具备管理员权限的用户调用接口时不限制操作范围。

一般鉴权

指不具备管理员权限的用户进行接口调用时限制其操作范围。

举例说明

用户信息查询接口:/user/info/{id}
管理员用户调用时允许查看任意人员的信息(管理员鉴权)
非管理员用户仅能查看其自身的信息(一般鉴权)

如何实现接口(API)鉴权

实现方式

通过Jwt Token令牌来实现API接口鉴权

实现原理

给调用方分配账号、密码
调用方通过登录从服务器获取授权Token,返回的Token包含用户ID
客户端保存Token,后续的请求都携带此Token进行访问
接口服务端从请求头中获取授权Token,校验Token是否有效以及验证用户是否具备特定权限

实现步骤

自定义注解@ApiAdminToken,在需要鉴权的API方法上使用该注解并设定用户的权限范围。
通过拦截器(Interceptor)验证授权Token。
AOP切面验证用户接口调用的权限范围。

接口(API)鉴权实现源码(仅供参考)

代码不完整,无法直接使用,仅提供参考。

依赖导入

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-aop</artifactId>
</dependency>
<dependency>
    <groupId>commons-lang</groupId>
    <artifactId>commons-lang</artifactId>
</dependency>
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.0</version>
</dependency>

拦截器

AccessTokenInterceptor

package com.platform.web.interceptor;

import com.alibaba.fastjson.JSON;
import com.platform.common.ResultObject;
import com.platform.common.constant.RequestConstant;
import com.platform.common.jwt.AccessTokenService;
import com.platform.common.jwt.JwtTokenUtil;
import com.platform.web.aop.ApiAdminToken;
import com.platform.web.util.IpUtil;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.lang.Nullable;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 登录Token拦截及自动刷新
 *
 * @author jiangqi
 * @date 2021-5-19
 */
@Component
public class AccessTokenInterceptor extends HandlerInterceptorAdapter {
    private static Logger log = LoggerFactory.getLogger(AccessTokenInterceptor.class);

    @Autowired
    private AccessTokenService accessTokenService;

    /**
     * 拦截器预处理
     * Response响应仅在此方法中修改才会生效
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 验证请求头中是否携带Access_Token,未携带视为未登录
        String userId = request.get
最低0.47元/天 解锁文章
m0_59765702
关注
专栏目录
laravel  JWTAuth实现api接口鉴权(基础篇)
aftermetyou的博客
04-27 784
laravel JWTAuth实现api接口鉴权(基础篇) 官网:https://jwt-auth.readthedocs.io 参考:https://learnku.com/articles/10885/full-use-of-jwt#99529f 1、token是什么 token 翻译为令牌,就是鉴别身份的凭据,类似于身份证; token 本质就是一大串字符串,最常用的场景就是接口对接的鉴权。...
SSM(Spring+Springmvc+MyBatis)+ajax+JWT实现登录JWT(token)认证获取权限
qq_50617892的博客
05-18 632
本人最近钻研SpringMVC,都是学习感悟与个人看法,接受任何提问与建议,希望大家提出自己独特的见解,谢谢。
MVC 统一验证Token demo
weixin_30414245的博客
07-31 920
/// <summary> /// 获取token /// </summary> /// <param name="staffId"></param> /// <returns></returns> public JsonR...
WebApi验证JWT爬坑记录
最新发布
yqsy123123的博客
07-23 429
环境是VS2022,JWT验证。
MVC WebApi 实现Token验证
a632632的博客
09-20 1648
基于令牌的认证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。 WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等。 Step 1:安装所需的NuGet...
asp.net mvc web api Token验证
08-07 690
一、基于Owin的 OAuth 在nuget中安装以下工具包 Install-Package Microsoft.AspNet.WebApi.Owin -Version 5.1.2 Install-Package Microsoft.Owin.Host.SystemWeb -Version 2.1.0 Install-Package Microsoft.AspNet.Iden...
如何在 Net6.0 中对 WebAPI 进行 JWT 认证和授权
xxxzzzqqq_的博客
03-11 1751
好了,今天就写到这里了,现在总结一下,如果想要给WebAPI或者MinimalAPI实现授权和鉴权,总体步骤是差不多的,第一步,都要启用连个中间件,就是授权和鉴权中间件(app.UseAuthorization()、app.UseAuthentication()),然后要配置鉴权的配置逻辑,差别就在授权方面,普通WebAPI直接通过 AuthorizeAttribute 特性标注在需要授权的方法或者 Controller 类型上就可以。不忘初心,继续努力,老天不会辜负努力的人。有了准备,我们就可以开始了。
springmvc使用JWT实现鉴权并防止流只能读取一次的ERROR
一个真实、有温度的无名小卒
02-06 2884
为了保证接口的安全性,在restful服务接口中我们常常使用JWT进行登陆鉴权JWT的原理很简单: 登陆成功后用JWT根据登陆信息生成一个token返回给调用者,调用者下次调用其它接口把登录信息和相关token一起传给服务,使用springmvc拦截器进行拦截验证,看token是否有效,有效则跳转到指定的controller进行处理! 以ssm框架为例 一.pom.xml 导入jwt的包:
JWT + ASP.NET MVC时间戳防止重放攻击详解
10-18
主要给大家介绍了关于JWT + ASP.NET MVC时间戳防止重放攻击发的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT(JsonWebToken)+SpringMVC项目demo
09-21
JSON Web Token(JWT)是一个非常轻巧的规范。现在免费给大家分享一个JWT(JsonWebToken)+SpringMVC项目的demo!
具有jwt身份验证的mvc用户管理API,使用mysql和javascript制作.zip
11-02
具有jwt身份验证的mvc用户管理API,使用mysql和javascript制作.zip
ASP.NET MVC WebApi接口授权验证
weixin_30367945的博客
04-07 543
对于很任何多开发者来说,不管是使用任何一种框架,或者是使用任何一种语言,都要使用面向接口编程。使用面向接口编程的时候,那么就会有很多的权限验证,用户验证等等。 特别是对于一些系统来说,别人想要对接你的系统,同步系统数据,那么就必须要提供对外访问接口。当然,这对外接口也不是随随便便就提供的,对于一些机密数据,那么对于别人想要使用你的数据,那么必须按照一个标准来。我系统对外提供接口,想要用...
ASP.NET MVC WebApi接口授权验证
耀的专栏
07-10 1553
ASP.NET MVC WebApi接口授权验证 对于很多开发者来说,不管是使用任何一种框架,或者是使用任何一种语言,都要使用面向接口编程。使用面向接口编程的时候,就会有很多的权限验证,用户验证等等。 特别是对于一些系统来说,别人想要对接你的系统,同步系统数据,那么就必须要提供对外访问接口。当然,这对外接口也不是随便就提供的,对于一些机密数据,那么对于别人想要使用你的数据,就必须按照一个标准来。我系统对外提供接口,想要用这个接口必须要通过身份认证才行。举个例子:你想去我家,你必须经过我的同意和我给你的钥
.net6 Web Api使用JWT-从后端到前端全部过程
故里2130
01-13 4054
然后在具体的方法上面,增加角色,也就是只有admin才能访问这个方法,其他用户不能访问,就是200,其他用户访问就是401,当然这是在postman里面操作的。也可以把Token的值放在Headers中,增加Authorization,还需要加bearer,后面加空格。当我们把字符串复制到JWT官网,就可以是明文的,所以千万不要写账号和密码,如果要写,就再加密一层。7.关键时刻,此时建立一个User类,再建立一个Login方法增加,并且增加[Authorize]。实际项目肯定不能直接写死。
webapi使用JWT进行授权认证
积跬步,至千里
02-27 5104
1,在asp.net mvc 中常用的是 Cooke+Session 或者 form 认证(实际也是Cooke)的方式,当然都是mvc中在 webapi中也是可以使用的,那么上面的两种方式这里就不多写了,后面有时间写,今天最主要是 JWT的认证方式 2,简单说明一下,JWT是什么。JWT 全称 JSON Web Tokens ,是一种规范化的 token。是对 token 这一技术提出一套规范...
.net mvc 身份验证_ASP.NET Core 身份验证及鉴权
weixin_39542340的博客
11-27 1501
(给DotNet加星标,提升.Net技能)转自:Antcnblogs.com/wiseant/p/10515842.html环境VS 2017ASP.NET Core 2.2目标以相对简单优雅的方式实现用户身份验证和鉴权,解决以下两个问题:无状态的身份验证服务,使用请求头附加访问令牌,几乎适用于手机、网页、桌面应用等所有客户端基于功能点的权限访问控制,可以将任意功能点权限集合授予用户或角...
MVC进行jwt认证
RainyLin-SunnyLin的专栏
10-26 1249
1、JWT 1.1 基于 Token 的身份验证方法 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求,然后去验证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值