接口鉴权和通过注解鉴权接口访问

最新推荐文章于 2024-07-19 17:37:28 发布
最新推荐文章于 2024-07-19 17:37:28 发布
阅读量407 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37967380/article/details/131726974
版权

1、自定义类实现WebMvcConfigurer

@Configuration
public class APIAuthConfig implements WebMvcConfigurer {

    @Bean
    public APIAuthInterceptor authInterceptor() {
        return new APIAuthInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authInterceptor()).addPathPatterns("/**");
    }

}

2.自定义一个组件类,实现HandlerInterceptor

@Component
public class APIAuthInterceptor implements HandlerInterceptor {
    private final static Logger logger = LoggerFactory.getLogger(APIAuthInterceptor.class);

    @Value("${app.x-api-key}")
    private String xApiKey;

    @Autowired
    private LoginService loginService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 如果不是映射到方法直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }

        String servletPath = request.getServletPath();
        logger.info("请求的接口路径==========>{}", servletPath);
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();

        if (!servletPath.contains("/login/initApp")) {
            return authAPI(request, response, method);
        }

        return true;
    }


    public Boolean authAPI(HttpServletRequest request, HttpServletResponse response, Method method) throws IOException {
        String token = request.getHeader("x-token-key");
        logger.info("token:{}", token);

        response.setCharacterEncoding("UTF-8");
        ServletOutputStream os = response.getOutputStream();

        //1.接口参数非空验证
        if (StringUtils.isEmpty(token)) {
            os.write(JSON.toJSONString(new ResponseBean(ResponseBean.ERROR, "接口参数验证未通过")).getBytes());
            return false;
        }

        //2.校验token
        JWT jwt = JWTUtil.parseToken(token);
        boolean verify = jwt.setKey(xApiKey.getBytes()).verify();
        if (!verify) {
            os.write(JSON.toJSONString(new ResponseBean(ResponseBean.ERROR, "接口TOKEN验证未通过")).getBytes());
            return false;
        }

        boolean validate = jwt.validate(0);
        if (!validate) {
            os.write(JSON.toJSONString(new ResponseBean(ResponseBean.ERROR, "接口请求时间验证未通过")).getBytes());
            return false;
        }

        Object userId = jwt.getPayload("USER_ID");
        if (null == userId) {
            os.write(JSON.toJSONString(new ResponseBean(ResponseBean.ERROR, "登录失效,请重新登录")).getBytes());
            return false;
        }

        //3.检查时间戳
        long timestampNow = System.currentTimeMillis();
        long timestamp = (Long) jwt.getPayload("ts");
        //下面这行代码表示做差值,并转换分钟
        long minutesDiff = (timestampNow - timestamp) / (1000 * 60);
        //Math.abs()表示做绝对值,时间间隔为120分钟
        if (Math.abs(minutesDiff) > 120) {
            os.write(JSON.toJSONString(new ResponseBean(ResponseBean.ERROR, "接口时间戳验证未通过")).getBytes());
            return false;
        }


        boolean isAdminUser = loginService.isAdminUser(String.valueOf(userId));
        logger.info("isAdminUser:{}", isAdminUser);

        //如果是管理员角色,直接通过
        if (isAdminUser) {
            return true;
        }
        
        APIAuth apiAuth = method.getAnnotation(APIAuth.class);

        //如果没有注解,直接放行(经办岗不需要注解,面向所有人)
        if (!method.isAnnotationPresent(APIAuth.class)) {
            return true;
        }

        logger.info("adminApi:{}", apiAuth.adminApi());

        //需要管理员角色
        if (apiAuth.adminApi()) {
            os.write(JSON.toJSONString(new ResponseBean(ResponseBean.ERROR, "没有操作权限")).getBytes());
            return false;
        }

        //直接放行
        return true;
    }

}

3.注解类

@Target({ElementType.METHOD, ElementType.ANNOTATION_TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface APIAuth {

    //管理员(所有数据、操作权限)
    boolean adminApi() default false;

}

4.控制器的请求方法上加上注解

@APIAuth(adminApi = true)
@GetMapping("/getList")
public ResponseBean getList() {
	***;
}
云南吴小黑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springmvc用于方法鉴权注解拦截器的解决方案代码
08-28
总的来说,通过创建自定义注解和拦截器,我们可以轻松地在Spring MVC应用中实现方法级别的鉴权。这种方法不仅减少了代码重复,还提高了代码的可读性和可维护性。当然,实际应用中,权限验证逻辑会更复杂,可能需要...
spring security http接口鉴权使用示范项目
03-01
3. **权限分配**:Spring Security通过`hasRole`或`hasAuthority`注解来定义访问控制。例如,`@PreAuthorize("hasRole('ADMIN')"`将确保只有拥有"ADMIN"角色的用户才能访问该方法。 4. **自定义过滤器**:如果标准...
SpringBoot注解实现认证鉴权
骑个小蜗牛的博客
09-01 3414
自定义拦截器 HandlerInterceptorAdapter、HandlerInterceptor HandlerInterceptorAdapter需要继承,HandlerInterceptor需要实现 可以作为日志记录和登录校验来使用 建议使用HandlerInterceptorAdapter,因为可以按需进行方法的覆盖。 主要为3种方法: preHandle:拦截于请求刚进入时,进行判断,需要boolean返回值,如果返回true将继续执行,如果返回false,将不进行执行。一般用于登录校
注解实现接口鉴权和防刷限制
weixin_42202992的博客
12-26 509
注解实现接口鉴权和防刷限制
对接第三方接口鉴权(Spring Boot+Aop+注解实现Api接口签名验证)
刘皇叔说Java的博客
01-02 4198
一个web系统,从接口的使用范围也可以分为对内和对外两种,对内的接口主要限于一些我们内部系统的调用,多是通过内网进行调用,往往不用考虑太复杂的鉴权操作。但是,对于对外的接口,我们就不得不重视这个问题,外部接口没有做鉴权的操作就直接发布到互联网,而这不仅有暴露数据的风险,同时还有数据被篡改的风险,严重的甚至是影响到系统的正常运转方案一:Spring Boot+Aop+注解实现Api接口签名验证方案二:在已有接口上,拦截器拦截,接口路径,白名单匹配。
WebMvcConfigurer详解
qq_52430577的博客
02-17 2939
配置类其实是Spring内部的一种配置方式,采用JavaBean的形式来代替传统的xml配置文件形式进行针对框架个性化定制,可以自定义一些Handler,Interceptor,ViewResolver,MessageConverter。基于java-based方式的spring mvc配置,需要创建一个配置类并实现WebMvcConfigurer接口;在Spring Boot 1.5版本都是靠重写的方法来添加自定义拦截器,消息转换器等。
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
08-19
通过以上步骤,我们就完成了Spring Boot应用中基于JWT的登录和鉴权功能的实现。这种方法允许我们创建安全、高效且易于扩展的身份验证系统,适应现代Web应用的需求。不过,实际应用中还需要考虑其他因素,例如JWT的...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
4. **处理登录和会话管理**:创建一个登录接口,用户可以通过这个接口提交凭证并获取JWT token。这个token将在后续的请求中携带,以证明用户的身份。同时,需要处理session管理和token的刷新,确保用户会话的安全性...
security鉴权.zip
12-16
例如,可以使用@PreAuthorize或@PostAuthorize注解在方法级别设定权限检查,或者通过配置XML或Java配置来定义访问控制规则。 在security-demo01项目中,可能会包含以下组件和概念: 1. **Filter Security ...
Java内存模型
最新发布
weixin_44267758的博客
07-19 333
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
day04:Redis和店铺营业状态设置
m0_69266818的博客
07-15 870
介绍了Redis命令和用java操作redis还有营业额状态接口的书写
JVM-垃圾回收与内存分配
m0_50846237的博客
07-19 632
JVM-垃圾回收与内存分配
Java算法】前缀和 下
2302_79806056的博客
07-18 918
这段代码实现了一个寻找数组中具有相等数量的0和1的最长子数组长度的算法。具体来说,它使用了前缀和(prefix sum)的概念以及哈希映射(HashMap)来优化查找过程。初始化哈希映射:计算前缀和:检查相等数量的0和1:更新哈希映射:返回结果:这种方法的时间复杂度为O(n),因为我们只遍历数组一次,并且对每个元素执行常数时间的操作。空间复杂度也是O(n),最坏情况下需要存储n个前缀和值。 初始化阶段:开始遍历数组:继续
JAVA】相关程序组件
qq_44077764的博客
07-15 173
JAVA】相关程序组件
Java 中有哪几种基本数据类型?请分别列出它们并简述每种数据类型的特点及其在内存中的占用空间?
liangzai215的专栏
07-15 512
Java的世界里,数据是构建应用程序的基石。为了高效地处理这些数据,Java设计了一系列基础数据类型,它们直接映射到计算机硬件上,因此在性能和内存使用上更为高效。我们常说的Java八大基本数据类型,涵盖了整数、浮点数、字符和布尔值,下面我将一一介绍它们的特点以及在内存中的占用空间,并通过简单的代码实例来加深理解。
构建自动化的精粹:Gradle任务依赖性与执行顺序控制
liuxin33445566的博客
07-15 592
本文以"构建自动化的精粹:Gradle任务依赖性与执行顺序控制"为题,详细介绍了任务依赖性的重要性、基本配置、多个任务的依赖性、条件依赖性、错误处理、高级用法、多项目构建中的任务依赖性。随着Gradle的不断发展,我们可以预见到更多关于任务依赖性和构建自动化的高级特性的出现,这将进一步扩展Gradle的构建能力,满足更复杂的项目构建需求。任务依赖性定义了任务之间的执行关系,确保了在构建过程中,任务能够按照预期的顺序执行。任务是一个特殊的任务,它默认依赖于所有没有显式排除的任务。方法来指定任务的依赖性。
maven项目容器化运行之1-基于1Panel软件将docker镜像构建能力分享给局域网
qq_37372909的博客
07-15 533
docker核心功能包括镜像的构建和容器的运行,它可以开放端口将镜像构建的能力暴露。docker daeson就是docker的守护进程,开放能力是通过指定docker守护进程监听端口来实现的。后面开发人员就可以通过maven中docker插件来远程调用docker镜像构建能力了。
Java实验2
qq_64727229的博客
07-16 523
类的封装、继承、多态和接口(1)有理数四则运算(2)最终得分
springboot aop接口鉴权
09-27
Spring Boot是一个开发Java...通过这种方式,当用户访问需要进行鉴权操作的接口时,切面类中的鉴权方法将被调用,并根据用户的身份或权限判断是否允许访问接口。如果鉴权失败,则可以抛出异常或返回相应的错误信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值