spring boot+redis进行接口鉴权

已于 2023-05-25 15:19:55 修改
阅读量338 收藏
点赞数 1
文章标签: spring boot redis java
于 2023-05-25 15:05:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45936359/article/details/130866779
版权

公司老项目,之前是用前端进行资源鉴权,存在很大的风险和问题,最近安全漏洞检测告警好多次,准备对后端接口进行鉴权,于是进行改造。

大致设计:一个用户登录,先把他所有权限信息查出来放进redis,自定义注解、要进行权限控制的接口打上自己的权限注解,如果redis找得到权限信息就放行,找不到则返回无权限状态码:503

1、数据库表设计

  

2、自定义权限注解,方便对需要进行权限判断的接口打上标记

package com.yxkj.common.core.access;

import java.lang.annotation.*;

/**
 * @author xiongxinyan
 * @Description 每个接口方法上的权限控制注解
 * @date 2023/4/17 9:42
 */
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
@Documented     // 在生成javac时显示该注解的信息
@Inherited
public @interface Access {
    /**
     * 用于配置具体接口的权限值
     * 在数据库中添加对应的记录
     * 用户登录时,将用户所有的权限列表放入redis中
     * 用户访问接口时,将对应接口的值和redis中的匹配看是否有访问权限
     * 用户退出登录时,清空redis中对应的权限缓存
     */
    String value() default "";
}

3、自定义拦截器

package com.yxkj.common.core.access;

import com.alibaba.fastjson.JSONObject;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.yxkj.common.core.common.BussinessException;
import com.yxkj.common.core.common.GenericController;
import com.yxkj.common.core.config.RedisService;
import com.yxkj.common.core.config.SpringContextUtils;
import com.yxkj.common.core.entity.role.InterfacePermissionsVo;
import com.yxkj.common.core.entity.sys.SysPara;
import com.yxkj.common.core.mapper.InterfacePermissionsRoleMapper;
import com.yxkj.common.core.service.ISysParaService;
import com.yxkj.common.core.util.common.UserUtils;
import org.springframework.stereotype.Component;
import org.springframework.web.context.WebApplicationContext;
import org.springframework.web.context.support.WebApplicationContextUtils;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.List;
import java.util.Map;


/**
 * @author xiongxinyan
 * @Description 自定义权限拦截器Interceptor
 * @date 2023/4/17 9:49
 */
@Component
public class AccessInterceptor extends HandlerInterceptorAdapter {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response1, Object handler) throws Exception {

        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        Access access = method.getAnnotation(Access.class);
        if (access == null) {
            // 如果注解为null, 说明不需要拦截, 直接放过
            return true;
        }
        RedisService redisService = getBean(RedisService.class, request);
        String userId = UserUtils.getUserID();
        String Access = "access:" + userId;
        // 有注解,验证该用户是否有该接口权限
        // 读取redis中缓存该用户权限进行判
        String s = redisService.get(Access);
        ISysParaService iSysParaService = SpringContextUtils.getBean(ISysParaService.class);
        // Java过期时间
        SysPara systokenTime = iSysParaService.getSysPara("Access_Token_Time");
        if (null == s) {
        // 为空则代表redis内不存在,从数据库获取
            InterfacePermissionsRoleMapper interfacePermissionsRoleMapper = getBean(InterfacePermissionsRoleMapper.class, request);

            List<InterfacePermissionsVo> interfacePermissionsVos = interfacePermissionsRoleMapper.selectInterfaceRole(userId);
            if (interfacePermissionsVos.size() == 0) {
        // 数据库不存在则塞一个默认值
                redisService.put(Access, "0",(int) (Double.parseDouble(systokenTime.getParaValue()) * 60));
                GenericController.getResponse().setStatus(503);
                HttpServletResponse response = GenericController.getResponse();
                response.setStatus(503);
                throw new BussinessException(BussinessException.Code.E503);
            } else {
        // 若存在则判断是否存在该权限
                StringBuilder accessAll = new StringBuilder();
                for (InterfacePermissionsVo interfacePermissionsVo : interfacePermissionsVos) {
                    accessAll.append(interfacePermissionsVo.getInterfaceUrl()).append(":").append(interfacePermissionsVo.getInterfaceRequest()).append(",");
                }
                redisService.put(Access, accessAll.toString(),(int) (Double.parseDouble(systokenTime.getParaValue()) * 60));
                //redis没有则读数据库存到redis中
                // 返回是否存在的Boolean值
                return accessAll.toString().contains(access.value());
            }
        }
        // 不存在则返回503无权限状态码
        if (!s.contains(access.value())) {
            GenericController.getResponse().setStatus(503);
            HttpServletResponse response = GenericController.getResponse();
            response.setStatus(503);
            throw new BussinessException(BussinessException.Code.E503);
        }
        return s.contains(access.value());
    }

    public <T> T getBean(Class<T> clazz, HttpServletRequest request) {
        WebApplicationContext applicationContext = WebApplicationContextUtils.getRequiredWebApplicationContext(request.getServletContext());
        return applicationContext.getBean(clazz);
    }
}

4、注册拦截器

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new AccessInterceptor()).addPathPatterns("/**");
    }

5、修改权限过后清除redis缓存,解决缓存不一致问题

    /**
     * 删除redis下用户接口权限缓存
     */
    private void deleteRedis() {
        // 获取Redis中特定前缀
        Set<String> keys = redisTemplate.keys("access:" + "*");
        // 删除
        redisTemplate.delete(keys);
    }

6、对需要鉴权的接口加上注解

7、在数据库添加用户信息和接口权限即可

8、具体有无权限会出现如下页面

有权限:

 

无权限:

熊鑫焱
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springboot接口鉴权简单方式
qq_29998003的博客
12-28 8163
Springboot接口鉴权简单方式 今天遇到需要给springboot单独的模块需要做接口鉴权的机制,因为我们是多模块开发的项目。为了接口安全,实现方式为: 对称加密 白名单 这种方式就从软件和网络二个方面进行了安全保障。 拦截器 类似于jwt那种方式,header中添加对称加密之后的sign,客户端请求中,需携带这个请求接口。服务器端拦截器中,获取该sign,如果解密成功,说明合法请求。 pu...
SpringBoot使用token简单鉴权的具体实现方法
08-25
主要介绍了SpringBoot使用token简单鉴权的具体实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于Spring Boot 3 + Spring Security6 + JWT + Redis实现接口资源鉴权
程序员雅痞的博客
03-29 1113
紧接上一篇文章,基于Spring Boot 3 + Spring Security6 + JWT + Redis实现接口资源鉴权
springboot集成shiro+redis做认证和授权
qq_37600469的博客
09-09 864
springboot+shiro+redis做认证和授权
使用springbootredis实现redis权限认证
weixin_30618985的博客
07-06 212
一、引言 登录权限控制是很多系统具备的功能,实现这一功能的方式有很多,其中使用token是现在用的比较多的 好处:可以防止CSRF攻击 二、功能实现: 用户登录成功后,后台生成一个token并存在redis中,同时给此用户的token设置时限,返回一个token给调用者,同时自定义一个@AuthToken注解,被该注解标注的API请求都需要进行token效验,效验通过才可以正常访问,实现接口级的鉴...
[小黄书后台]redis鉴权
天地会珠海分舵
02-17 1861
上一章我们通过引入mongodb实现了基本的用户管理,已经实现了异常处理的基本框架。今天我们会开始实现小红书后台的鉴权功能。 鉴权的主要目的就是为了: 让授权的用户访问相应的api资源,而禁止没有授权的用户去访问不属于它的资源。 现在比较流行的方案就是基于Token的鉴权方式, 请看知乎上的描述: https://zhuanlan.zhihu.com/p/19920223?columnSlug...
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
youlai-boot: Spring Boot 3 + Spring Security + Vue3 权限管理系统
05-04
youlai-boot 是【有来开源组织】基于Spring Boot 3 + Spring Security 6 + JWT + Mybatis-Plus + Redis + XXL-Job + Vue3 等主流技术栈搭建的前后端分离权限管理系统。 在线预览地址:http://vue3.youlai.tech 后端...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
3. **定制Filter**:在Spring Cloud Gateway中,我们可以自定义WebFlux Filter,利用Spring Security提供的API进行认证和鉴权。这通常涉及到`@PreAuthorize`和`@Secured`等注解的使用,以控制对特定路由的访问权限。...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
ShiroJwt:API SpringBoot + Shiro + Java-Jwt + Redis(Jedis)
02-04
ShiroJwt 前端地址: : ...实现Shiro的Cache(Redis)功能: : 项目介绍 RESTful API Maven集成Mybatis Generator(逆向工程) Shiro + Java-JWT实现无状态鉴权机制(令牌) 密码加密(采用AES-128 + Base6
SpringBoot整合Shiro+Redis框架权限管理
李长渊的博客
03-28 495
Shiro整合Redis注解版本
基于Spring Boot以及Redis使用Aop来实现Api接口签名验证
qq_37897077的博客
03-11 1449
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。 Api接口签名验证主要防御措施为以下几个: 请求发起时间得在限制范围内 请求的用户是否真实存在 是否存在重复请求 请求参数是否被篡改 实现思路: 我们按照主要防御措施先后顺序来实现,首先已知我们得到以下四个参数: // 供应商的id,验证用户的真实性 String appid = request...
SpringSecurity+JWT+Redis进行用户鉴权接口权限的控制
weixin_52938172的博客
02-27 959
SpringSecurity框架就会对账号密码进行一系列的过滤器进行验证和授权等,其中最重要的两个过滤器就是UsernamePasswordAuthenticationFilter负责登录验证,FilterSecurityInterceptor负责权限授权。
设计接口时,为其添加签名鉴权---详细教程
weixin_45889291的博客
01-23 1519
设计接口时,为其添加鉴权---详细教程,包含签名概念、签名规则、签名设计、代码等详细信息,适合刚接触该领域开发人员
API接口鉴权
最新发布
06-18 441
鉴权(authentication),鉴权是指对于一个声明者所声明的身份权利,对其所声明的真实性进行鉴别确认的过程。鉴权主要是对声明者所声明的真实性进行校验。若从授权出发,则会更加容易理解鉴权。授权和鉴权是两个上下游相匹配的关系,先授权,后鉴权。授权和鉴权两个词中的“权”,是同一个概念,就是所委派的权利,在实现上即为授信媒介的表达形式。因此,鉴权的实现方式是和授权方式有一一对应关系。对授权所颁发授信媒介进行解析,确认其真实性。
express 接口进行鉴权,自定义鉴权中间件,并可携带参数
好巧的博客
06-18 1775
当然,如果你觉得文章有什么让你觉得不合理、或者有更简单的实现方法又或者有理解不来的地方,希望你在看到之后能够在评论里指出来,我会在看到之后尽快的回复你。解释:res.send() 或 res.json() 这类客户端返回的方法一个请求只能返回一次,如果多次返回就会出现这个错误。express.js中的中间件是一种处理应用程序中常见功能的强大,优雅的方法。例如接口在响应之前,对接口进行鉴权,调用 next() 函数通过鉴权。如果本篇文章对你有帮助的话,很高兴能够帮助上你。
JavaWeb项目对接第三方接口鉴权
weixin_44506280的博客
08-06 1831
在为第三方系统提供接口的时候,肯定是要考虑接口数据安全问题比如接口中数据是否有篡改,如果有大佬在你的接口数据中增加或者修改数据,那岂不是对业务系统造成不可避免的损失请求是否已经超时。请求是否重复提交等问题。如何使做到统一校验使用spring web 拦截器使用spring aop本次就使用spring web 拦截器进行统一校验。
springboot整合shiro+jwt+redis实现权限校验,项目实战,有开源项目
Think_and_work的博客
02-13 3229
本文介绍了springboot整合shiro实现基本权限管理功能,是一个权限管理的实战项目,又开源项目地址,希望能够帮助到你
SpringBoot认证鉴权
05-18
也可以看笔记:https://note.youdao.com/s/9DYCV1vO

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值