接口权限控制(springboot)

最新推荐文章于 2024-04-12 13:23:07 发布
最新推荐文章于 2024-04-12 13:23:07 发布
阅读量6.7k 收藏 17
点赞数 1
分类专栏: Java 文章标签: spring boot redis aop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49721447/article/details/122620425
版权

原理:首先调用登录,会传递一个token给前端,之后的接口都需要用到这个token,需要前端将token放入请求头里面,在调接口的时候传过来,后端获取到了这个token后,将获取的token与数据库中的比对,相同则说明已登录,可以调用接口。

实现解析:

1、首先需要登录,需要生成一个token,并且token要存入数据库,token怎么存?

考虑到这个token基本不会变并且使用频繁,因此存储到redis中是一个不错的选择,后面请求头中token都与redis中的进行比对,想要在redis中找到这个token,因此需要不同的key来标识不同的token,例如token1:"12345",token2:"23456",因此需要定义一个容易找的标识,我使用的是cache_具体的token值这种格式。

2、第二个问题,在每个接口之前都写上一个获取token的方法判断吗?

这种方式肯定是不可取的,接口如果多起来了,会很麻烦,因此我用到了spring的AOP面向切面编程,就是在controller中的每个接口之前建了一个切面,在这个切面统一执行一个方法,去判断token,这样可以统一的管理,不需要去重复写代码判断,在这里我们不要忘记去过滤登录的接口,那个接口不需要token。

3、如果用户长时间未操作,为了安全考虑,token需要自动销毁,如何做呢,定时任务吗?

类似与定时任务,redis可以给里面的数据设置一个存活时间,到了时间会自动删除,但是为了用户的体验,因此需要在每次调接口的时候,刷新一遍存活时间,这样可以优化用户的体验。

主要实现代码如下:

//建立切点
@Pointcut("execution(* com.example.blog.controller.*.*(..))")
    public void controllerMethod(){}

    @Before("controllerMethod()")
    public void LogRequestInfo(JoinPoint joinPoint){
        RequestAttributes requestAttribute = RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = ((ServletRequestAttributes)requestAttribute).getRequest();
        // 打印请求内容
        log.info("----------------------------------------------------------接口调用发起----------------------------------------------------------");
        log.info("接收到请求,请求方式={},请求地址={},请求IP={},请求方法名称={},请求参数={}",request.getMethod(),request.getRequestURL().toString(),
                ToolsUtil.getServerIp(),joinPoint.getSignature().getName(), Arrays.toString(joinPoint.getArgs()));
        //过滤登录接口
        if(!joinPoint.getSignature().getName().equals("userLogin")){
            //接口之前,权限校验
            String key = "cache_token_"+ RequestUtil.getUserId();
            if(ParamUtil.empty(redisUtil.get(key))){
                log.info("接口调用失败:返回结果=" + ResponseCode.NoAuthor.toString());
                log.info("----------------------------------------------------------接口调用结束----------------------------------------------------------");
                throw new CommonException(ResponseCode.NoAuthor.getMessage(),ResponseCode.NoAuthor.getMessage_en(),ResponseCode.NoAuthor.getErrorCode());
            }
            if(!Objects.equals(RequestUtil.getToken(), redisUtil.get(key))){
                log.info("接口调用失败:返回结果=" + ResponseCode.NOPOWER.toString());
                log.info("----------------------------------------------------------接口调用结束----------------------------------------------------------");
                throw new CommonException(ResponseCode.NOPOWER.getMessage(),ResponseCode.NOPOWER.getMessage_en(),ResponseCode.NOPOWER.getErrorCode());
            }
            //刷新token存活时间
            redisUtil.expire(key,4*60*60);
        }
    }

☆叙
关注
  • 1
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
微服务-API网关-权限控制
炮哥技术分享
08-18 6208
API网关-权限控制 权限控制介绍 权限控制是一个古老的话题,你可能会想有没有什么权限设计方案可以满足所有的应用场景呢? 答案是没有,就像几乎所有问题一样,没有一种系统可以解决所有情况的,我们需要根据不同的场景和需求来设计不同的系统。 权限控制主要设计用户、角色、组、对象、操作、权限等对象。下面我先对这些对象做些解释,让大家先有个概念。然后我们再说说业界有哪些比较优秀的权限控制设计方案。 名词解释 用户 发起操作的主体。 角色 对于用户的抽象概念,类似于用户的属性,比如管理员就是一个角色。 组 可以是用户组
hjr-微服务(四):接口级别的权限控制
hjr的博客
12-31 1548
实现步骤 我们想要对每个接口权限控制 先给整个系统所有左侧菜单做一个动态配置功能,前端所有访问后端接口的操作按钮多做为一个子项目新增一条记录,设置一个全局唯一的key 每个角色和菜单权限记录关联起来,建一个多对多的表 后端每个接口和上文的全局唯一的key对应上加一个注解 @PreAuthorize("hasAuthority('全局唯一的key')") 在获取jwt token的时候 根据登录用户id,查找角色,根据角色查找对应菜单权限的全局唯一的key,把key的list添加到 在文件
springboot权限系统
ABC_efg123456的博客
03-02 2902
springboot权限管理系统详细思路
SpringBoot整合系列】SpringBoot整合Shiro——权限控制
最新发布
低调做人,低调编码,神码都是浮云
04-12 1138
SpringBoot整合Shiro权限控制
SpringBoot AOP切面实现权限校验,实例演示与注解全解
qq_50523945的博客
05-30 2686
面向切面思想,是Spring的三大核心思想之一(两外两个:IOC-控制反转、DI-依赖注入)。那么AOP为何那么重要呢?在我们的程序中,经常存在一些系统性的需求,比如权限校验、日志记录、统计等,这些代码会散落穿插在各个业务逻辑中,非常冗余且不利于维护。例如下面这个示意图:有多少业务操作,就要写多少重复的校验和日志记录代码,这显然是无法接受的。
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
总的来说,这个项目为学习者提供了一个实际的、完整的SpringBoot集成Spring Security的示例,通过它,你可以了解如何配置和使用Spring Security进行权限控制,同时掌握如何将数据库集成到Spring Boot应用中。...
springBoot权限模块
05-12
综上所述,SpringBoot权限模块涉及了用户认证、权限授权、会话管理、异常处理等多个方面,通过灵活的配置和扩展,可以满足各种复杂的权限控制需求。在实际项目中,我们需要根据业务场景选择合适的策略和组件,构建...
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
前后端都加以控制,做到按钮/接口级别的权限 DEMO admin/123456 管理员身份登录,可以新增用户,角色. 角色可以分配权限 控制菜单是否显示,新增/删除按钮是否显示 更新记录 v2.0.0 2021.05.09 支持一个用户多个角色 ...
springboot_shiro_thymeleaf权限控制
12-21
本项目“springboot_shiro_thymeleaf权限控制”利用Spring Boot、Apache Shiro和Thymeleaf三大技术栈,实现了一个直观且易于理解的权限管理系统。下面将详细解释这三个核心技术及其在权限控制中的作用。 **Spring ...
SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法
08-26
主要介绍了SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
自定义接口并设置权限验证
qq_53480941的博客
10-29 4705
我们可以通过形如@PreAuthorize("@ss.hasPermi('system:xxx:xxx')")的格式授予前端访问的权限;我们可以通过在学生系统里边自定义一个权限验证的按钮;首先打开菜单管理里边的学生信息管理系统里添加一个按钮plain>权限验证debugTestalert("验证成功!");},后端在MystudentsController里边添加");}此时打开学生信息管理系统 里边多了一个权限验证按钮点击权限验证按钮。
大家心心念念的权限管理功能,这次安排上了!
macrozheng的专栏
02-18 6652
mall项目的权限管理功能发布啦!权限管理作为后台管理系统的必要功能,mall项目之前的权限管理并不完善。最近我对原先的权限管理进行了重新设计,打造了一套切实可用的权限管理功能。功能清单...
SpringBoot系列】最详细demo--集成JWT实现接口权限认证
wufaqidong1的博客
07-15 3337
为了实现我自己能够手动抛出异常,我自己写了一个123456789}}}
API权限控制
jhkj_5154的博客
02-28 1万+
在API不存在用户登录这样的概念,我们是通过令牌来管理用户身份的。在传统网站用户登录的概念,转换成用户获取令牌,这个令牌,是代表用户身份的 。虽然都是类似用户输入账号密码的东西,但是理解和概念上时不一样的。API是用户拿到令牌,这个令牌具有用户的身份,而且这个身份是分级别的。有些级别是管理员级别,有些级别是普通用户级别。用户在每一次调用接口的时候,都需要携带他所获取的令牌,如果令牌合法,那我们认为...
springBoot 的jwt实现权限认证
qq_45515347的博客
08-27 2901
jwt原理以及使用springboot实现一个简单实例
Spring Boot API 版本权限控制
热门推荐
515445681的专栏
07-09 1万+
Spring Boot API 版本权限控制 之前有文章讲述在Spring MVC 中扩展 RequestMappingHandlerMapping 实现对版本的控制。 但是在真正使用过程中不是很理想化,因为其需要替换掉WebMvcConfigurationSupport,替换后后,会将其提供的一系列默认组件全部移除。如我们注册拦截器使用的(RequestMappingHandlerAdapt
SpringBoot 集成 Shiro 权限控制 开发 Restful API
weixin_38408945的博客
03-03 5949
shiro
springboot权限控制
03-27
Spring Boot提供了多种方式实现权限控制,以下是其中几种常用的方式: 1. 基于注解的权限控制 通过在Controller方法上添加注解,可以限制用户访问该方法的权限。常用的注解包括: - @PreAuthorize:在方法执行前进行权限验证; - @PostAuthorize:在方法执行后进行权限验证; - @Secured:限制用户必须具有指定的角色才能访问该方法。 例如: ``` @PreAuthorize("hasRole('ROLE_ADMIN')") @RequestMapping("/admin") public String adminPage() { return "admin"; } ``` 2. 基于Filter的权限控制 通过自定义Filter来实现权限控制,可以在请求到达Controller之前进行权限验证,从而提高系统安全性。可以通过继承AbstractAuthenticationProcessingFilter类或实现Filter接口来实现自定义Filter。 例如: ``` public class MyFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; // 获取用户信息 String token = httpRequest.getHeader("Authorization"); if (token == null || !token.startsWith("Bearer ")) { httpResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized"); return; } String username = getUsernameFromToken(token.substring(7)); // 验证用户是否有权限访问该资源 if (!hasPermission(username, httpRequest.getRequestURI())) { httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Forbidden"); return; } chain.doFilter(request, response); } // 判断用户是否有权限访问该资源 private boolean hasPermission(String username, String uri) { // 根据用户名和URI从数据库中获取用户权限信息 // 判断用户是否有权限访问该资源 return true; } } ``` 3. 基于Spring Security的权限控制 Spring Security是一个基于Spring的安全框架,提供了一些基本的安全功能,如用户认证、授权、会话管理等。通过配置Spring Security,可以实现基于角色的访问控制、基于URL的访问控制、CSRF攻击防护等。 例如: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("USER", "ADMIN") .anyRequest().authenticated() .and() .formLogin().loginPage("/login").permitAll() .and() .logout().permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 以上是三种常用的Spring Boot权限控制方式,根据实际需求选择合适的方式来实现权限控制

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

☆叙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值