在线教育平台-day18-用户授权

最新推荐文章于 2021-04-19 20:50:44 发布
最新推荐文章于 2021-04-19 20:50:44 发布
阅读量311 收藏
点赞数
分类专栏: Project 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39530821/article/details/109881171
版权

文章目录

1.用户授权业务流程

在这里插入图片描述
业务流程说明如下:
1、用户认证通过,认证服务向浏览器cookie写入token( 身份令牌)
2、前端携带token请求用户中心服务获取jwt令牌
前端获取到jwt令牌解析,并存储在sessionStorage
3、前端携带cookie中的身份令牌及jwt令牌访问资源服务
前端请求资源服务需要携带两个token,一个是cookie中的身份令牌,一个是http header中的jwt前端请求资源服务前在http header上添加jwt请求资源
4、网关校验token的合法性
用户请求必须携带身份令牌和jwt令牌
网关校验redis中user_token的有效期,已过期则要求用户重新登录
5、资源服务校验jwt的合法性并进行授权
资源服务校验jwt令牌,完成授权,拥有权限的方法正常执行,没有权限的方法将拒绝访问。

2 方法授权

2.1需求分析

方法授权要完成的是资源服务根据jwt令牌完成对方法的授权,具体流程如下:
1、生成Jwt令牌时在令牌中写入用户所拥有的权限
我们给每个权限起个名字,例如某个用户拥有如下权限:
course_find_list:课程查询
course_pic_list:课程图片查询
2、在资源服务方法上添加注解PreAuthorize,并指定此方法所需要的权限
例如下边是课程管理接口方法的授权配置,它就表示要执行这个方法需要拥有course_find_list权限。

@PreAuthorize("hasAuthority('course_find_list')")
@Override
public QueryResult<CourseInfo> findCourseList(@PathVariable("page") int page,@PathVariable("size") int size,CourseListRequest courseListRequest)

3、当请求有权限的方法时正常访问
4、当请求没有权限的方法时则拒绝访问

2.2 jwt令牌包含权限

修改认证服务的UserDetailServiceImpl类,下边的代码中 permissionList列表中存放了用户的权限,
并且将权限标识按照中间使用逗号分隔的语法组成一个字符串,最终提供给Spring security。

//指定用户的权限,这里暂时硬编码
List<String> permissionList = new ArrayList<>();
permissionList.add("course_get_baseinfo");
permissionList.add("course_find_pic");
//将权限串中间以逗号分隔
String permissionString = StringUtils.join(permissionList.toArray(), ",");
//String user_permission_string = "";
UserJwt userDetails = new UserJwt(username,
password,
AuthorityUtils.commaSeparatedStringToAuthorityList(permissionString));

重启认证服务工程,使用postman完成登录,从redis中找到jwt令牌。
使用jwt的测试程序查看 此令牌的内容。
在这里插入图片描述

2.3 方法授权实现

2.3.1资源服务添加授权控制

1、要想在资源服务使用方法授权,首先在资源服务配置授权控制
1)添加spring-cloud-starter-oauth2依赖。
2)拷贝授权配置类ResourceServerConfig。
3)拷贝公钥。

2.3.2方法上添加注解

通常情况下,程序员编写在资源服务的controller方法时会使用注解指定此方法的权限标识。
1、查询课程列表方法
指定查询课程列表方法需要拥有course_find_list权限。

@PreAuthorize("hasAuthority('course_find_list')")
@Override
public QueryResult<CourseInfo> findCourseList(@PathVariable("page") int page,@PathVariable("size") int size,CourseListRequest courseListRequest)

2、查看课程基本信息方法
指定查询课程基本信息方法需要拥有course_get_baseinfo权限。

@PreAuthorize("hasAuthority('course_get_baseinfo')")
@Override
public CourseBase getCourseBaseById(@PathVariable("courseId") String courseId)

3、在资源服务(这里是课程管理)的ResourceServerConfig类上添加注解,激活方法上添加授权注解

//激活方法上的PreAuthorize注解
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)

3 动态查询用户权限

3.1 需求分析

截至目前在测试授权时使用的权限数据是静态数据,正常情况的流程是:
1、管理员给用户分配权限,权限数据写到数据库中。
2、认证服务在进行用户认证时从数据库读取用户的权限数据(动态数据)
本节实现动态权限数据。

3.2 权限数据模型

3.2.1 数据模型结构

打开xc_user数据库,找到下边的表:
在这里插入图片描述
xc_user:用户表,存储了系统用户信息,用户类型包括:学生、老师、管理员等
xc_role:角色表,存储了系统的角色信息,学生、老师、教学管理员、系统管理员等。
xc_user_role:用户角色表,一个用户可拥有多个角色,一个角色可被多个用户所拥有
xc_menu:模块表,记录了菜单及菜单下的权限
xc_permission:角色权限表,一个角色可拥有多个权限,一个权限可被多个角色所拥有

3.2.2 数据模型的使用 略

3.3 用户中心查询用户权限 略

tobebetter9527
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
支付宝小程序获取用户授权并进行认证登录流程(前端)
m0_44981797的博客
07-01 1万+
  支付宝小程序获取用户授权并进行认证登录流程(前端)
HDU 3031 ToBe Or Not To Be(模拟)
只玩三国的程序猿的专栏
03-09 983
题意: 给你一堆牌,再给你5种操作牌,两个人轮流抓操作牌,并且按照操作来执行,最后谁手里的牌多谁就赢。 明明是左偏树的题目,但是我用priority_queue水过去了。。。 代码:#include <queue> #include <math.h> #include <stdio.h> #include <string.h> #include <algorithm> #include <
YouTube-8M: A Large-Scale Video Classification Benchmark
热门推荐
人工智能
06-26 72万+
Abstract Many recent advancements in Computer Vision are attributed to large datasets. Open-source software packages for Machine Learning and inexpensive commodity hardware have reduced the barrier
项目:YouToBe
onway_goahead的博客
12-13 6847
三、项目 原始数据youtube在此下载:https://pan.baidu.com/s/1we1KPA2IIEAGIJczyr2dMQ 3.1、数据结构 3.1.1、视频表  3.1.2、用户表  3.2 原始数据存放地 HDFS 目录: 视频数据集:/youtube/video/2008 用户数据集:/youtube/users/2008 3.3、技术选型 Hadoop...
2021年Github项目Top100
YunWisdom
04-19 7423
2021年Github项目Top100 1. freeCodeCamp/freeCodeCamp 323k JavaScript freeCodeCamp.org’s open source codebase and curriculum. Learn to code for free. curriculum react nodejs javascript d3 teachers community education programming math freecodecamp learn-to-code
学成在线-day1.zip
09-10
1. **用户认证与授权**:OAuth2、JWT等技术用于用户登录验证和权限控制。 2. **课程管理**:包括课程创建、分类、上下架等功能,可能涉及数据库设计和后台管理系统。 3. **视频流处理**:支持视频上传、转码、分发,...
catch-of-the-day
05-14
在这个"catch-of-the-day"应用中,用户可以使用OAuth进行身份验证,这通常涉及与第三方服务(如Google或Facebook)的集成,以便安全地进行登录和下单。 项目的后端可能采用了某种服务器技术和数据库来处理数据交互...
sistema-carteirinhas-dayan:从 code.google.compsistema-carteirinhas-dayan 自动导出
06-09
在设计Sistema-Carteirinhas-Dayan时,开发者可能采用了MVC(模型-视图-控制器)架构模式,这是一种常见的软件设计模式,用于分离应用程序的数据层、用户界面和业务逻辑。模型负责处理数据和业务规则,视图则展示...
[HeyJava][传智播客]BBS-day002-001.rar
07-14
这可能包括Servlet、JSP、MVC架构、数据库连接、用户认证与授权等方面的知识。此外,课程可能还会涉及版本控制工具(如Git)、集成开发环境(IDE,如Eclipse或IntelliJ IDEA)的使用,以及单元测试和调试技巧等实用...
web-attack
08-04
Web攻击是指针对Web应用程序或服务器的恶意活动,其目的是窃取敏感...对于企业而言,构建全面的Web安全防护体系,包括防火墙、入侵检测系统、Web应用防火墙(WAF)以及备份和恢复策略,是保障在线服务安全的重要步骤。
求救!!mybatis Expected one result (or null) to be returned by selectOne(), but found:18
12-14
我想使用resultMap 一对多查询 可是提示 Expected one result (or null) to be returned by selectOne(), but found:18 下面展示一些 mapper.xml。 SELECT st.title as titlest ,st.info_text as info_text , sbt.title as titlesbt,sbt.icon as icon, sbx.text as text FROM `services_title` AS st
一篇文章看懂如何让用户授权
人人都是产品经理
04-04 5872
作者:一点优秀全文共 7233 字 12 图,阅读需要 17 分钟———— / BEGIN / ————授权机制,是手机操作系统安全机制中的一部分,在开发应用时需要用到各种各样的手机系统权限。那在我们的APP中,它的授权该如何设计,才能让用户同意授权,或者不反感授权呢?一、认识授权1.1 什么是授权授权机制,是手机操作系统安全机制中的一部分,在开发应用时需要用到各种各样的手机系统权限。一般来说,在
一、授权(公众号授权给第三方/用户授权给公众号)
D_cat_1217的博客
10-10 1万+
目录 1.公众号授权给第三方 2.用户授权 1.公众号授权给第三方 第三方平台获取预授权码(pre_auth_code) 引导用户进入授权页(授权注册页面扫码授权,点击移动连接快速授权) 用户确认并同意登录授权给第三方平台授权后回调URL,得到授权码(authorization_code)和过期时间 利用授权码调用公众号或者小程序的相关API 2.用户授权 如果用户在微信...
微信授权登录基本流程(网站应用)
RainSorrow的博客
06-20 4万+
微信授权登录基本流程微信oauth2.0授权登录流程说明让微信用户使用微信身份安全登录第三方应用或网站,在微信用户授权登录已接入微信OAuth2.0的第三方应用后,第三方可以获取到用户的接口调用凭证(access_token),通过access_token可以进行微信开放平台授权关系接口调用,从而可实现获取微信用户基本开放信息和帮助用户实现基础开放功能等。微信OAuth2.0授权登录目前支持auth
小程序总结和用户授权
记录美好生活
03-15 5196
1:小程序中没有DOM和BOM对象,固然也就没有jquery和zeipto;2: 小程序中元素在模拟编辑器上可以用length属性,但是手机上不可用length;length属性用for in 循环解决3:全局变量的问题,存储全局变量直接app.globalData=“”即可,也可以存储在storage中,防止异步调用获取不到的问题,所以存取建议都用同步的,加后缀Sync;4:封装方法体,需要写到...
用户角色权限分析
HPP19的博客
08-27 1845
·认证:系统提供用于识别用户身份的功能,通常登陆功能就是认证功能--让系统知道你是谁。 ·授权:系统授予用户可以访问哪些功能的许可--让系统知道你在做什么。 ·常见的权限控制方式:     --URL拦截权限控制(基于拦截器/过滤器实现,创建并实现拦截器/过滤器的功能)     左侧的菜单|           |----->>请求  -->(设置拦截器)   -->Ac
权限管理流程图
球球之家
01-13 1万+
以下是认证(检查一个在Sesion中是否有usre),验证(是否具有某个资源的访问的权限:) 登录过程: 显示菜单的过程:
尚硅谷在线教育项目权限管理模块中bug的解决
qq_45441466的博客
03-02 1825
这次的问题有这几点: 树型表格不能加载:想用树型表格来加载权限列表但是死活不能展开也找不到按钮, 确认了api已经返回了正确的Json数据. 复选框全选与单选的对应效果不匹配:用户角色分配功能区, 在为用户分配角色的时候发现勾选全选复选框之后剩下的复选框没有被选中的效果; 反之, 其余复选框全部勾选后,全选复选框没有选中效果. 用户登录系统选左侧菜单重复加载: 动态路由. 用户使用非超级管理员身份登录不能显示左侧菜单:确认是api返回数据中"data"属性为空. ...
day--和--day区别
最新发布
04-18
"day--"和"day"是两种不同的操作符,它们在编程中有着不同的含义和用法。 1. "day--"是一个后缀自减操作符,用于将变量的值减1,并返回减1之前的值。例如,如果有一个变量day的值为5,执行day--操作后,day的值将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值