个人代码地址
https://github.com/pshdhx/servlet-security.git
什么是认证?
简单来说:就是输入账号和密码获取系统合法身份进而登录系统的过程就包含了认证。认证就是一个系统判断用户的身份是否合法的过程,身份合法方可登录系统,身份不合法系统会拒绝访问。常见的认证方法:用户名密码登录,二维码登录,手机短信登录。人脸登录或者是指纹登录等方式。
为什么要认证?
认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问系统的资源。
什么是会话?
用户认证通过后,为了避免用户的每次操作都进行认证,所以将用户的身份信息保存在会话中。会话就是系统为了保护当前用户的登录方式所提供的机制,常见的有基于session的方式基于token的方式等。
Session的认证流程总结
- 用户认证成功后,在服务器端生成用户相关的数据保存在了session中;
- 服务器发送给客户端的sessionId保存在了客户端的cookie中;
- 客户端每次请求时带上sessionId就可以验证服务器上有没有session数据,以此校验用户的合法性。
用户退出或者是session过期,客户端的sessionId就失效了
Token的人生方式总结
- 用户认证成功后,服务器生成一个token发送给客户端,客户端可以存放到cookie或者是localstorage中。
- 客户端每次请求时带上token,服务器端收到请求时验证token是否合法。
两种方式的总结
基于sesison的认证方式由Servlet规范定制,服务器端需要将用户的信息存储到session中,客户端也必须要支持cookie;
基于token的方式浏览器不需要存储token,并且不限制客户端的存储方式。
如今移动端较为流行,需要更多类型的客户端接入到系统,系统多采用的是前后端分离的架构进行实现,所以基于token的方式更为适合。
什么是授权?
认证是为了保护用户身份的合法性,授权则是为了更细粒度的对隐私数据的划分。授权是在用户认证成功之后进行的,为了控制不同的用户访问不同的资源权限。
资源类型可以理解为:
功能资源:系统的菜单,页面,按钮,代码的方法;
数据资源:系统的商品信息,系统的订单信息。
一般来说认证和授权至少需要5张表。
基于角色的控制访问
RBAC(role-based-access-control)是按照角色进行授权的。
if(主体.hasRole("总经理角色id")){
查询工资
}
如果某项资源的权限发生改变的话,就需要修改代码。
if(主体.hasRole("总经理角色id") || 主体.hasRole("部门经理角色id")){
查询工资
}
基于资源的访问控制
RBAC基于资源的访问控制(Resource-Based Access Control)是按资源(或权限)进行授权,比如:用户必须
具有查询工资权限才可以查询员工工资信息等,访问控制流程如下:
if(主体.hasPermission("查询工资权限标识")){
查询工资
}
优点:系统设计时定义好查询工资的权限标识,即使查询工资所需要的角色变化为总经理和部门经理也不需要修改
授权代码,系统可扩展性强。
基于session的认证方式
基于session的认证机制由servlet规范定制,servlet容器已实现,用户通过HttpSession的操作方法可以实现,如下是HttpSession的相关操作API;
方法 | 作用 |
HttpSession getSession(Boolean create) | 获取当前的Http的Session对象 |
Void setAttribute(String name,Object value) | 向session中存放对象 |
Object getAttribute(String name) | 从session中获取对象 |
Void removeAttribute(String name) | 移除session中的对象 |
Void invalidate() | 使得HttpSession对象失效 |
个人总结:
用户认证没有什么好说的,就是验证用户的账号和密码,登录成功建立session会话,用户退出,清空session。
用户授权:
1、首先定义限制资源访问的路径
//拦截用户的请求
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(simpleAuthenticationInterceptor).addPathPatterns("/r/**");
}
2、根据用户输入的url,是否进行拦截;拦截之后,判断用户是否登录,若用户登录判断是否有权限,有权限返回true,就跳转到接口地址。
/**
* 实现授权拦截器【判断用户的权限】
*/
@Component
public class SimpleAuthenticationInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//读取会话信息
Object object = request.getSession().getAttribute(UserDto.SESSION_USER_KEY);
if(object == null){
writeContent(response,"qing denglu --请登录");
}
UserDto user = (UserDto) object;
//请求的url
String requestURI = request.getRequestURI();
if(user.getAuthorities().contains("p1") && requestURI.contains("/r1")){
return true;
}
if(user.getAuthorities().contains("p2") && requestURI.contains("/r2")){
return true;
}
writeContent(response,"权限不足,拒绝访问");
return false;
}
//响应输出
private void writeContent(HttpServletResponse response, String msg) throws IOException {
response.setContentType("application/json;charset=gbk"); //utf-8是乱码,所以设置了gbk
PrintWriter writer = response.getWriter();
writer.print(msg);
writer.close();
response.resetBuffer();
}
}