后端如何实现URL权限的校验

最新推荐文章于 2024-05-03 22:59:16 发布
最新推荐文章于 2024-05-03 22:59:16 发布
阅读量171 收藏
点赞数
分类专栏: SpringSecurity 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46130027/article/details/134743540
版权

实际上是基于hasPermission这个方法进行校验的。
在这里插入图片描述
调试可以看到有个校验授权的过程。
在这里插入图片描述
在这里插入图片描述
首先是判断权限是否为空,为空则说明已经有权限,返回true。

在这里插入图片描述
接着尝试获得当前登录的角色。如果为空,说明没有权限。从缓存中获取角色的用户编号。拿到之后还会去过滤一下,拿到只有开启状态的角色。

在这里插入图片描述
接着判断是否是超级管理员,如果是,也是return true。

在这里插入图片描述
第三段逻辑则会遍历每一个权限,判断这个权限对应的菜单,最终在这个用户上有没有角色去满足。

在这里插入图片描述
有的时候不是校验是否有权限,而是判断是否有某个角色,则可以使用hasRole这个方法。

在这里插入图片描述
实现核心是基于Spring Security提供的@PreAuthorize注解,这个注解可以添加在方法上,基于表达式判断,是否有权限。

它的实现原理是基于AOP。生效则需要配置注解@EnableGlobalMethodSecurity(prePostEnabled=true)。
在这里插入图片描述
权限表达式有两种,一种是基于角色标识的校验,一种是基于权限标识的校验。具体表达式如图所示:
在这里插入图片描述
参考资料2.功能权限 - 06、后端如何实现 URL 权限的校验?

甜瓜瓜哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网页用户登录权限校验的两种实现方式
LZQDYY的博客
09-24 1万+
网页登录界面进行登录后,如果不进行登录校验,则在其它页面无法知道该用户是否进行了登录。故需要对用户的登录进行校验,这里将介绍两种登录校验的方式。分别为利用自定义行为过滤器进行登录校验,另外一种是构建控制器基类的校验实现子类的登录校验
SpringBoot 集成 Shiro 实现动态uri权限
04-22
在动态URI权限的场景下,Java后端需要接收前端传来的URI信息,进行权限校验和刷新。 集成流程通常如下: 1. **配置Shiro**: 在SpringBoot项目中引入Shiro依赖,并配置Shiro的Realm,用于处理认证和授权。 Realm是...
springboot拦截器实现拦截器 权限校验,登录demo
11-14
不知道为啥不能设置0。这个是demo,有时间博主吧git整理下 链接发出来
直接获取页面url的前缀,请求时用
大熊猫ζ的博客
06-18 2611
//说明:在页面中进行请求的时候进行拼接,底下的方法是用来获取ip地址加端口号加项目名(在进行ajax请求的时候,url是底下的值加后端给的接口) function basePath() { //获取当前网址,如: http://localhost:80/jflow-web/index.jsp var curPath=window.document.location.href; console.log(curPath); //获取主机地址之后的目录,如: jflow-w
2024年网络安全最新极简权限认证必须掌握【代码+原理+建议收藏】_权限验证代码(1)
最新发布
2401_84301948的博客
05-03 682
在我们代码中,通常都会有一个注册过程,但是不会这个时候发卡给你,因为网站数据发一个永久可以用的卡,会有很大的安全隐患。而且这个卡是有时限性的。第二个请求细节如下,细看下图,这个请求携带了token令牌,访问受限资源,并且是有效果token,所以下面输出了“访问受限资源,当前用户雷学委”。这里我们简单理解一个概念,token就像一个门禁卡一样,我们访问平台的资源的时候都带上这个token,滴一下,资源可以访问。或者每次你进入一个场所,都让你回答一堆私密问题,当答案和系统预先录入的数据完全配置,才让你进去。
Shiro的使用(一)
yankun01的博客
10-18 1857
shiro第一天 基于url权限管理 shiro基础     1       课程目标: 1、了解基于资源权限管理方式 2、掌握权限数据模型 3、掌握基于url权限管理(不使用shiro实现权限管理) 4、shiro实现用户认证 5、shiro实现用户授权 6、shiro与企业web项目整合开发的方法   2       课程安排 整个课程是系统架构设计相关的课程。
基于URL权限管理
gltncx11的博客
11-09 1662
基于URL权限管理 什么是权限管理 只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源权限管理包括用户认证和授权两部分。 用户认证 1.用户认证,用户去访问系统,系统要验证用户身份的合法性。最常用的用户身份验证的方法:1、用户名密码方式、2、指纹打卡机、3、基于证书验证方法。。系统验证用户身份合法,用户...
酒浓码浓 - 如何获取url前缀,绝对/相对路径
酒浓码浓
01-31 1560
如何设置不同环境的代码,不同环境的url 一般开发环境有 好几个, 线上环境的代码,写成绝对路径,也就是www.xxxxxxx.com 开发环境的代码,写成相对路径,也就是localhost:8000 / 127.0.0.1 (本地hosts配置的) 为什么这么写呢,因为绝对路径访问速度快,我们想做出个好产品,那各个细节就都要想到处理。 这样一来 开发环境 和 线上环境 很多文件的...
ssm实现权限系统
12-27
在实际操作中,开发者需要配置Spring的bean定义,声明Shiro的安全管理器,设置Redis连接,并编写相应的控制器、服务类和DAO类来处理用户登录、权限校验等业务逻辑。同时,还需要创建数据库表并设计数据模型,以便...
Spring Boot+Vue.js权限管理系统后端.zip
03-03
通过自定义过滤器链,我们可以对不同的URL进行权限校验,确保只有具备相应权限的用户才能访问特定资源。 三、JWT(JSON Web Token):无状态的身份验证 为了实现无状态的API,本系统采用了JWT进行身份验证。JWT是...
Springboot+Vue+shiro实现后端分离、权限控制的示例代码
08-18
在Springboot中集成Shiro,可以创建Filter进行登录验证权限校验: ```java @Configuration @EnableWebSecurity public class ShiroConfig extends WebSecurityConfigurerAdapter { @Autowired private ...
权限管理最佳实践:二,URL权限控制
开源权限管理中间件Ralasafe
09-02 526
-------------------------------------------- 总大纲 --------------------------------- Ralasafe开源有段时间了,大约有2个月了。根据社区的反馈,我打算围绕Ralasafe最佳实践,书写一系列BLOG。   大体内容有: 1, 登录控制: 哪些页面需要登录后才能访问,登录用户名、密码验证,登录转向页...
项目登录功能实现权限校验
songy小白的博客
10-25 225
java对于登录鉴权的优雅代码。
企业微信 之 网页鉴权
玄鱼殇
04-11 3180
企业微信 之 网页鉴权
基于URL权限管理方法
weixin_30294021的博客
03-23 375
一、权限管理 1.1什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2认证 关键对象 Subje...
浏览器工作原理:从 URL 输入到页面展现到底发生了什么?
weixin_39307273的博客
03-01 2418
浏览器的地址栏输入URL并按下回车。 浏览器查找当前URL的DNS缓存记录。 没有缓存记录,DNS解析URL对应的IP。 查看浏览器缓存 没有数据缓存,根据IP建立TCP连接,发送HTTP请求并响应。 渲染页面,构建DOM树。 URL是什么 URL(Uniform Resource Locator),统一资源定位符,用于定位互联网上的资源,实际上就是网站网址。url的格式一...
极简权限认证必须掌握【代码+原理+建议收藏】
持续学习持续开发,我是雷学委!
07-18 1322
小白最近没有来问学委问题,不过前几天,有朋友问到如何进行访问控制,资源控制的,学委特地写了一篇。 这其实就是权限认证,理解并掌握其核心思想很重要,而且每个系统都避不开!下面一起看吧。 通常情况下,我们访问所有API都需要进行用户访问权限鉴定。比如判断当前访问的用户是什么人,什么角色。 下面基于商业办公楼安保系统来陈述。 今天去上班但是忘记带员工卡了 做为一个上班族,你去一个大型办公楼某一层楼办公/上班,想要进入不同楼层,商场物业会进行鉴定。 然后进入电梯打开按某一楼层。然后进入办公室之前还需要打开,这个滴
基于URL实现权限控制
热门推荐
GetStudyMessages的专栏
10-30 1万+
最近一直在做毕业设计的后台管理模块。很早以前就想写一篇关于权限控制的文章,苦于一直不理解如何用URL实现。以至于当初设计数据库和编写页面实现的时候都没有将权限URL考虑进去,当时只想直接匹配权限的名称就可以了。直到前几天在JavaEye论坛上看到了一篇题为《一个简易实用的web权限管理模块的应用与实现》的文章才对基于URL权限控制有了较深的认识。加上之前一直在用另一种方法来实现相同功能,所以这
监听器(Listener,先实现接口)URL前缀,设置绝对路径
樂小伍
09-17 738
监听器(Listener,先实现接口)URL前缀,设置绝对路径 协议:地址:端口/项目名/ 资源名 因为前面的 。协议:地址:端口/项目名 。 是重复的,都相同的,所以可以设置为统一的一个${变量名} 的变量,如果要改变地址,只用改一次变量存的值就可以。 由于网络资源的访问,需要通过URL地址进行访问,若使用相对路径,则在目录层级结构比较复杂时,编码麻烦,且容易出错.所以一般,我们在访问网络资源时...
前端怎么隐藏后端的接口
09-09
### 回答1: 前端无法直接隐藏后端的接口,但是可以通过在前端代码中不直接使用后端接口的 URL 来间接地隐藏后端接口。 有几种方法可以做到这一点: 1. 使用代理服务器:前端代码中使用代理服务器的 URL,而不是后端接口的 URL。例如,前端代码中可以使用 `http://proxy.example.com/api` 来访问后端接口,而不是直接使用 `http://api.example.com`。这样就可以隐藏后端接口的真实地址。 2. 封装后端接口:在前端代码中创建一个封装了后端接口调用的函数,例如 `getData()`,然后在函数内部使用后端接口的 URL。这样,前端代码中就无需使用后端接口的 URL,也就隐藏了后端接口的真实地址。 3. 使用 CORS:使用跨域资源共享 (CORS) 机制可以让前端代码从跨域的后端接口中获取数据。这样,前端代码中就不需要使用后端接口的 URL,也就隐藏了后端接口的真实地址。 以上三种方法都可以在一定程度上帮助你隐藏后端接口的真实地址。但是,无论使用哪种方法,都不能完全隐藏后端接口,因为后端接口的真 ### 回答2: 前端可以采取以下几种方法来隐藏后端的接口: 1. 接口权限控制:在后端服务器上设置接口的权限控制规则,只允许特定的用户或角色访问特定的接口。前端在发起接口请求时,需要提供有效的身份验证信息或访问令牌,后端根据验证信息判断是否有权限访问接口。 2. 接口加密:将后端接口的请求参数进行加密操作,使得外部无法直接解析参数内容,需要在前端对参数进行解密后才能进行正确的接口请求。可以使用对称加密算法或非对称加密算法进行参数加密,并在后端进行解密处理。 3. 接口混淆:将后端接口的名称、路径或参数进行混淆处理,使得外部难以直接猜测到接口的真实含义。可以采用重命名、路径映射等方式将接口进行混淆,增加黑客获取接口信息的难度。 4. IP白名单:在后端服务器上设置IP白名单,只允许特定的IP地址或IP地址范围进行接口请求。前端在发起接口请求时,需要在网络环境中处于允许访问的IP地址范围内,否则无法正常访问后端接口。 5. 接口地址校验:在前端代码中通过一定的算法或校验规则对后端接口地址进行校验,如果不符合预期的规则,则拒绝发起该接口请求。这种方法可以有效防止非法篡改或恶意构造接口地址进行非法访问。 综上所述,在前端隐藏后端的接口需要结合多种手段,包括接口权限控制、接口加密、接口混淆、IP白名单和接口地址校验等方法,以增强后端接口的安全性和保护用户数据的机密性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值