用户登录权限校验和跨域处理问题

最新推荐文章于 2022-11-06 10:38:32 发布
最新推荐文章于 2022-11-06 10:38:32 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/osp2010/article/details/103828473
版权

以下内容主要是:使用注解+session+拦截器+跨域处理

一 新增注解@UserLoginToken

	@Retention(RetentionPolicy.RUNTIME)
	public @interface UserLoginToken {
    	boolean required() default true;
	}

二 增加拦截器

    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
        // 如果不是映射到方法直接通过
        if (!(object instanceof HandlerMethod)) {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) object;
        Method method = handlerMethod.getMethod();
        //检查有没有需要用户权限的注解
        if (method.isAnnotationPresent(UserLoginToken.class)) {
            UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class);
            if (userLoginToken.required()) {
                HttpSession session = httpServletRequest.getSession();
                if (session.getAttribute(session.getId()) != null) {
                    User user = (User) session.getAttribute(session.getId());
                    //判断用户是否冻结,如果冻结限制登陆
                    if (user != null) {
                        if(request.getSession().getAttribute("user_login") == null){
                                response.setContentType("application/json;charset=utf-8");
                                PrintWriter out = response.getWriter();
                                out.write(JSON.toJSONString(ResultBean.E401));
                                return false;
                        }
                    }
                    return true;
                }
                throw new RuntimeException("PLEASELOGIN");
            }
        }
        return true;
    }
    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
    }
    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
    }
}

三:将拦截器注入容器中

public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**");    // 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录
    }
    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }

四:登录接口登录后增加session

    public Object login(@RequestBody UserInfo userInfo, HttpServletRequest request) {
        // 业务逻辑
        request.getSession().setAttribute(request.getSession().getId(), userInfo);
    }

五:在需要登录后才能访问的api接口添加注解@UserLoginToken 如:

    @PostMapping("/transfer")
    public MessageVO addAgent(){
        // 业务逻辑
    }

六:后端增加跨域处理

public class CorsConfig {
    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurer() {
            @Override
            //重写父类提供的跨域请求处理的接口
            public void addCorsMappings(CorsRegistry registry) {
                //添加映射路径
                registry.addMapping("/**")
                        //放行哪些原始域
                        .allowedOrigins("*")
                        //是否发送Cookie信息
                        .allowCredentials(true)
                        //放行哪些原始域(请求方式)
                        .allowedMethods("GET", "POST", "PUT", "DELETE")
                        //放行哪些原始域(头部信息)
                        .allowedHeaders("*")
                        //暴露哪些头部信息(因为跨域访问默认不能获取全部头部信息)
                        .exposedHeaders("token");
            }
        };
    }
}

七:前端ajax 请求时需要添加:

xhrFields: {withCredentials: true},
crossDomain: true,

以上步骤可以实现单个服务器下用户对接口访问的权限校验和跨域问题的解决

image

喜欢的朋友可以关注下哦~

Nginx跨域漏洞修复处理过程(验证通过)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
03-14 2135
## 背景 安全漏扫发现某业务网站存在Origin源不严格,从而造成跨域问题,如下测试结果 ## 跨域 跨域是指使用一个域(网站)下的文档或脚本可去请求获取到另一个域(网站)下的资源的可能风险。 ## 处理 ...
SpringBoot整合jwt
luochengcs000的博客
08-05 422
简介 对于一些需要使用权限才能访问的接口,我们可以使用jwt签名生成相应的token,客户端在请求数据的时候传递token,然后jwt校验用户是否有权限访问我们的资源;极大的简化了我们的开发,也避免自己编写的加密算法不严谨的问题。 操作步骤 1、pom.xml引入jwt依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifact
跨域实现用户鉴权
06-13
(需要BASS和console)
前.后端分离权限系统
qq_55682798的博客
08-08 204
权限系统:1.前端使用: vue + elementui + axios + css + html2.后端使用: springboot+mybatis-plus +mybatis+druid+shiro+swagger2+redis。
同源策略与通过跨域资源共享实现ajax跨域访问
枣面包的博客
06-23 677
但凡是业务中遇到ajax跨域请求的,都需要了解什么是同源策略,什么是跨域资源共享以及如何通过跨域资源共享实现ajax跨域请求 同源策略 即Same origin policy,可以这么说,web就是建立在同源策略之上的,浏览器只是针对同源策略的一种实现,它是浏览器最核心也最基本的安全功能。——百度 那么,什么是同源呢? 同源即相同的协议,相同的主机(域名),相同的端口,缺...
Token验证登录用户
RX1125的博客
11-06 1721
token登陆验证方案
令牌登录方式流程(token)
三少
08-10 6261
用户登录 登录需求分析 1:获取账号跟密码 2:通过账号密码查询数据库获取用户对象user 3:如果用户存在,表示登录成功 4:使用UUID创建出随机的唯一的token值 String token = .... 5:以token'为key,user为value 缓存到redis中 6:将token跟用户对象使用json格式放回浏览器 浏览器: 接受到返回值,解析出token跟用户信息,并缓存 前端发起请求是,获取浏览器缓存的token值,通过请求头的方式携带到后端服务器 接口2:
Springboot解决ajax+自定义headers的跨域请求问题
10-16
- 如果你的接口需要权限校验,比如需要在header中携带token,浏览器的预检请求会导致500错误。在这种情况下,你需要在Spring Boot的全局配置中允许这些自定义headers,同时处理OPTIONS请求。在上面的`CorsConfig`...
基于Gin+Vue的前后端分离文章管理系统,整合JWT鉴权、CORS跨域、Validator校验和GORM Gen数据库操作
最新发布
10-28
标题:基于Gin+Vue的前后端分离文章管理系统,整合JWT鉴权、CORS跨域、Validator校验和GORM Gen数据库操作 前端来自黑马教程 一、内容概要 本文主要介绍了如何构建一个基于Gin+Vue的前后端分离文章管理系统。项目...
Web服务与微服务跨域权限认证设计
11-27
Web服务与微服务架构的跨域权限认证设计涉及多种技术的结合应用,确保在分布式系统中安全且高效地处理用户的认证与授权。以下将详细解析在标题和描述中提到的各个知识点。 首先,设计开始于客户端对Web服务器的登录...
java的细粒度权限和shiro权限校验 ssh
11-22
Shiro是Apache组织提供的一款强大且易用的Java安全框架,它提供了身份认证、授权、会话管理和加密等功能,非常适合在Spring+Struts+Hibernate(SSH)这样的经典企业级开发框架中实现权限校验。 细粒度权限管理的...
跨域】什么是Authentication、Authorization、Credentials
Milk~每天分享一点点,技术进步一点点
08-16 1107
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源的权限 你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限) 你在访问微信小程序时,当登
java SpringBoot登录验证token拦截器
前方的路在刚开始
07-05 8022
springBoot拦截器定义,以及token获取,单点登录设定,全局异常定义。
uniapp + springboot实现token身份认证
lianzhang861的博客
07-02 6680
app端或者前后端分离的项目,保持用户登录认证最普遍的方法是token认证。 后端一般使用JWT进行token发放和认证,前端登录时拿到token,并在每次请求时都带上token,后端收到请求拿到token就可以认证用户信息和用户登录有效时间。 前台后台都需要设置拦截器。前台封装request方法,自动填入token和解析认证情况,后台根据配置判断token是否能通过认证 关于过期或者失效问题:我觉得应该让后台来控制认证问题,如果认证过期,返回过期即可;如果是前台主动下线(清除token),由于无状态
java token生成和验证_SpringBoot集成JWT生成token及校验方法过程解析
weixin_42576410的博客
02-16 1036
GitHub源码地址:https://github.com/zeng-xian-guo/springboot_jwt_token.git封装JTW生成token和校验方法public class JwtTokenUtil {//公用密钥-保存在服务端,客户端是不会知道密钥的,以防被攻击public static String SECRET = "ThisIsASecret";//生成Trokepu...
实现用户登陆认证(token
qq_41966668的博客
05-03 8530
1、JWT定义及其组成 JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 载荷(Payload) 我们先将用户认证的操作描述成一个JSON对象。其中添加了一些其他的信息,帮助今后收到这个JWT的服务器理解这个JWT。 { “sub”: ...
handler instanceof HandlerMethod 一直是false
qq_34578253的博客
10-09 9656
在spring-mvc文件中添加  class="org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping" /> class="org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandler
SpringBoot整合token实现登录认证
热门推荐
baidu_41881054的博客
06-14 5万+
最近在做登录认证的时候,遇到了验证的问题,如何用token验证困扰了许久,所有在网上查询了许多博客,总结了一下,希望能帮助到大家,好了,废话不多说,直接上代码
Vue Router与Vuex协同:实现用户权限JWT验证
用户登录成功后,前端通过Vue Router和Vuex管理用户状态。在Vue组件中,当用户访问受保护的页面时,可以通过axios等HTTP客户端库发送带有JWT的请求到服务器。在路由守卫(如`beforeEach`钩子)中,前端会解析请求头...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值