17-细粒度授权-获取当前用户信息

最新推荐文章于 2024-03-17 00:47:44 发布
最新推荐文章于 2024-03-17 00:47:44 发布
阅读量145 收藏
点赞数
分类专栏: day18 用户授权 文章标签: java restful http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/minihuabei/article/details/120066666
版权
该博客介绍了如何在系统中获取当前用户信息,主要涉及JWT令牌的使用。首先,认证服务在用户认证成功后将用户信息,包括公司ID,存储到JWT令牌中。接着,资源服务解析请求头中的JWT令牌,获取用户所属企业ID,以便查询特定用户的课程信息。提供了Oauth2Util和XcOauth2Util工具类用于JWT令牌的解析和用户信息封装。
摘要由CSDN通过智能技术生成

3.4 获取当前用户信息

3.4.1需求分析

要想实现只查询自己的课程信息则需要获取当前用户所属的企业id。
1、认证服务在用户认证通过将用户所属公司id等信息存储到jwt令牌中。
2、用户请求到达资源服务后,资源服务需要取出header中的jwt令牌,并解析出用户信息。

3.4.2 jwt令牌包括企业Id

资源服务在授权时需要用到用户所属企业ID,需要实现认证服务生成的JWT令牌中包括用户所属公司id信息。
查看认证服务UserDetailServiceImpl代码如下:

......
//用户id
userDetails.setId(userext.getId());
//用户名称
userDetails.setName(userext.getName());
//用户头像
userDetails.setUserpic(userext.getUserpic());
//用户类型
userDetails.setUtype(userext.getUtype());
//用户所属企业id
userDetails.setCompanyId(userext.getCompanyId());
return userDetails;
......

在这里插入图片描述

通过上边代码的分析得知,认证服务调用XcUserExt userext = userClient.getUserext(username);获取用户信息,
将userext 中的信息存储到jwt令牌中,在userext 对象中已经包括了companyId公司ID等信息。

如果类继承的BaseController就可以拿到request
在这里插入图片描述
在这里插入图片描述

3.4.3获取当前用户

3.4.3.1 JWT解析工具类

1、在Oauth2Util工具类中,从header中取出JWT令牌,并解析JWT令牌的内容。

public class Oauth2Util {
public static Map<String,String> getJwtClaimsFromHeader(HttpServletRequest request) {
if (request == null) {
return null;
}
//取出头信息
String authorization = request.getHeader("Authorization");
if (StringUtils.isEmpty(authorization) || authorization.indexOf("Bearer") < 0) {
return null;
}
//从Bearer 后边开始取出token
String token = authorization.substring(7);
Map<String,String> map = null;
try {
//解析jwt
Jwt decode = JwtHelper.decode(token);
//得到 jwt中的用户信息
String claims = decode.getClaims();
//将jwt转为Map
map = JSON.parseObject(claims, Map.class);
} catch (Exception e) {
e.printStackTrace();
}
return map;
}
}

2、在XcOauth2Util工具类中,将解析的JWT内容封装成UserJwt对象返回。

public class XcOauth2Util {
public UserJwt getUserJwtFromHeader(HttpServletRequest request){
Map<String, String> jwtClaims = Oauth2Util.getJwtClaimsFromHeader(request);
if(jwtClaims == null || StringUtils.isEmpty(jwtClaims.get("id"))){
return null;
}
UserJwt userJwt = new UserJwt();
userJwt.setId(jwtClaims.get("id"));
userJwt.setName(jwtClaims.get("name"));
userJwt.setCompanyId(jwtClaims.get("companyId"));
userJwt.setUtype(jwtClaims.get("utype"));
userJwt.setUserpic(jwtClaims.get("userpic"));
return userJwt;
}
@Data
public class UserJwt{
private String id;
private String name;
private String userpic;
private String utype;
private String companyId;
}
}
feng_fly_28
关注
专栏目录
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
Claims如何获取里面的信息
DadiaoMan的博客
06-24 6129
Claims怎么获取里面的信息
15-细粒度授权-我的课程细粒度授权-实现
minihuabei的博客
09-02 98
3.3.2 Api 定义我的课程查询接口如下: public QueryResponseResult<CourseInfo> findCourseList(int page, int size, CourseListRequest courseListRequest); 3.3.3 Dao 修改 CourseMapper.xml的查询课程列表,添加companyId条件。 <select id="findCourseListP
Java的新项目学成在线笔记-day18(九)
beiqiang1641的博客
08-15 112
3.4 获取当前用户信息 3.4.1需求分析 要想实现只查询自己的课程信息则需要获取当前用户所属的企业id。1、认证服务在用户认证通过将用户所属公司id等信息存储到jwt令牌中。 2、用户请求到达资源服务后,资源服务需要取出header中的jwt令牌,并解析出用户信息。3.4.2 jwt令牌包括企业Id 资源服务在授权时需要用到用户所属企业ID,需要实现认证服务生成的JWT令牌中包括用户所属公司i...
26.OpenIdConnect获取用户信息的两种方式
weixin_30828379的博客
06-06 224
openId在OAuth基础之上,在下面这红框内拿到Authorization Code之后还可以返回IdToken。 IdToken和AccessToken一起返回。IdToken就会包括了用户的信息Claims 。通过我们的ProfileService返回回去。 也就是这里 设置为True了 ,就会把新用户的信息都包含在IdToken里面返回给用户,第三方拿到I...
管理系统权限篇
每天都要努力学习哦~~
08-17 1080
登录:当用户填写完账号和密码后向服务端验证是否正确,验证通过之后,服务端会返回一个token,拿到token之后(我会将这个token存贮到cookie中,保证刷新页面后能记住用户登录状态),前端会根据token再去拉取一个user_info的接口来获取用户的详细信息(如用户权限,用户名等等信息)。权限验证:通过token获取用户对应的role,动态根据用户的 role 算出其对应有权限的路由,通过动态挂载这些路由。......
管理系统系列--使用SpringBoot与shiro实现基于数据库的细粒度动态权限管理系统实例.zip
02-24
在前端,我们可以使用Ajax请求来获取当前用户的权限信息,并据此控制菜单和按钮的显示。同时,需要确保所有的敏感操作都通过POST请求进行,以防止CSRF攻击。 测试是必不可少的环节,我们应该编写单元测试和集成测试...
基于区块链的多关键字细粒度可搜索加密方案.pdf
08-15
当前的密文策略下基于属性的关键字搜索(CP-ABKS)技术,虽然能实现加密数据的细粒度控制和检索,但存在一些不足。例如,很少有方案考虑到云服务器可能存在的恶意行为,以及搜索过程的公平支付问题,而且大多数只...
快速实现细粒度的身份权限管理
Authing的博客
01-29 765
授权的含义 在 通用领域内,授权是领导者通过为员工和下属提供更多的自主权,以达到组织目标的过程。 在 计算机领域内,授权是由信息系统指定批准机构授予某实体处理、存储或传送信息的权力。 而在 身份认证领域内,授权是指当客户端经过身份认证后,能够有限的访问服务端资源的一种机制。 为什么要进行「授权」? 在已经构建起的用户系统中,当你的 API 需要判断当前访问用户是否能访问当前资源时,就需要你构建自己的权限系统了。授权是权限系统中一个很重要的概念,是指判断用户具备哪些权限的过程,这与认证完全不同。 对于企业来说
【Spring Boot安全加固】:实现细粒度授权的Spring Security整合术
[【Spring Boot安全加固】:实现细粒度授权的Spring Security整合术](https://docs.spring.io/spring-security/reference/5.8/_images/servlet/authorization/filtersecurityinterceptor.png) # 1. Spring Boot安全...
java细粒度权限和shiro权限校验 ssh
11-22
java细粒度权限和shiro权限校验 Spring + Struts + hibernate
shiro 方法级别细粒度权限控制_第四章:Shiro的身份认证(Authentication)——深入浅出学Shiro细粒度权限开发框架——私塾在线原创...
weixin_30141959的博客
01-14 131
nStep3:SubjectManager 接收token 以及简单地委托给内部的Authenticator 实例通过调用authenticator.authenticate(token)。这通常是一个ModularRealmAuthenticator 实例,支持在身份验证中协调一个或多个Realm 实例。nnStep 4:如果应用程序中配置了一个以上的Realm,ModularRealmAuth...
sa-token在多体系用户系统中最佳实践
最新发布
weixin_43994234的博客
03-17 1492
Sa-Token框架多系统用户登录最佳实践
java细粒度权限控制,数据采集系统第八天角色授权用户授权权限的粗粒度控制权限的细粒度控制详解...
weixin_42526415的博客
03-22 502
一、角色管理单击导航栏上的"角色管理"超链接,跳转到角色管理界面,在该界面上显示所有角色,并提供角色的增加和删除、修改超链接。1.增加新角色(角色授权)流程:单击增加新角色超链接->Action查询出所有的权限保存到值栈并转到添加新角色页面->填写表单并提交->Action保存表单->重定向到角色管理Action技术点:表单提交的权限列表时一个整型数组,需要在Action中...
授权实现的流程,粗粒度和细粒度权限
91奔跑的蜗牛
05-28 2842
(1)、什么是粗颗粒和细颗粒权限? 对资源类型的管理称为粗颗粒度权限控制,即只控制到菜单、按钮、方法,粗粒度的例子比如:用户具有用 户管理的权限,具有导出订单明细的权限。对资源实例的控制称为细颗粒度权限管理,即控制到数据级别的权限, 比如:用户只允许修改本部门的员工信息,用户只允许导出自己创建的订单明细。 总结: 粗颗粒权限:针对 url 链接的控制。 细颗粒权限:针对数据级别的控制。 比如:查询...
java细粒度权限控制,《玩转细粒度权限管理》 三,用户角色权限RBCA
weixin_42309785的博客
03-22 434
第三章用户角色权限RBCA第一章介绍了专业细粒度权限管理软件Metadmin的安装。第二章讲解了对于WEB页面的控制。哪些页面需要登录才能访问,哪些页面不需要登录就能访问。需要登录的页面,又如何页面访问权限呢?即具有什么样角色的人才能访问。本章详细讲解用户角色权限关系。这也就是RBCA(Role Based Access Control,基于角色的访问控制)。功能级权限控制到本章为...
Spring Boot中使用Sa-Token实现轻量级登录与鉴权
Timeguys的专栏
02-23 3103
token、springboot
细粒度移动数据安全:保护模型与标签控制
"一种细粒度的移动数据安全保护模型,由杨育斌和程丽明在2014年提出,旨在通过智能终端和移动接入网关/服务器上的数据及应用标记,实现移动数据的精细化安全管理。该模型包括移动数据管理模块和标签控制管理模块,以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值