restful api 权限设计 - 初探一

最新推荐文章于 2023-12-29 01:25:21 发布
最新推荐文章于 2023-12-29 01:25:21 发布
阅读量603 收藏 2
点赞数
分类专栏: 前后端分离实践 文章标签: java restful shiro oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_25235033/article/details/110562684
版权
本文探讨了restful api的权限设计,包括认证和鉴权。认证涉及token-jwt、basic auth等多种方式,鉴权采用RBAC模型,通过用户-角色-资源的关系进行权限分配。文章提到了动态修改权限配置的需求,以及URL路径匹配的重要性,并介绍了面向restful api的轻量级认证鉴权框架Sureness。
摘要由CSDN通过智能技术生成

restful api 权限设计 - 初探一

在现在主流的前后端分离的系统中,或者是专注于提供api服务的系统,如何保护好所提供的后端restful api,使得非常重要。保护api的方面很多,限流,防刷,校验可以说都是保护,今天来谈谈很重要的api的认证鉴权保护,大概的思路。需求两点:首先认证 – 我们可以配置哪些api需要用户认证通过才能访问哪些可以直接访问,还有就是鉴权 – 我们可以配置管理哪些api对于某个用户能调用哪些不能调用。
题外-有些会说页面按钮或者页面显示的权限问题,个人认为按钮,页面这类的显示不显示,是前端的权限管理责任划分,所以这次并不会去讨论它。

认证

主流的认证方式有 token - jwt, basic auth, digest auth等,用户携带认证信息访问restful api,后端会有个前置过滤拦截器(filter,interceptor,aop都可以实现)来拦截请求,获取请求信息里的认证信息,通过算法校验或者和系统内用户数据源(可以来自数据库,文本等)对比判断,校验通过才会让用户请求流程继续下去。
这是个大概的认证流程,还有很多细节需要考虑到,比如有些api不需要认证也要被访问,数据源的设计是怎么样的,用户携带多种认证信息怎么判断等。

鉴权

用户认证流程通过后,就需要对认证后的用户访问此api进行鉴权,判断此用户是否能访问此api。主流易用的权限模型是RBAC - 基于角色的权限模型。我们这里对restful api来说就是, api赋权给角色,用户拥有此角色,用户就能访问此restful api。即 用户

最低0.47元/天 解锁文章
2890
关注
专栏目录
oauth2中用户的信息如何动态获取和存储_认证鉴权与API权限控制在微服务架构中的设计与实现...
weixin_39606244的博客
12-18 806
1. 背景最近在做权限相关服务的开发,在系统微服务化后,原有的单体应用是基于session的安全权限方式,不能满足现有的微服务架构的认证与鉴权需求。微服务架构下,一个应用会被拆分成若干个微应用,每个微应用都需要对访问进行鉴权,每个微应用都需要明确当前访问用户以及其权限。尤其当访问来源不只是浏览器,还包括其他服务的调用时,单体应用架构下的鉴权方式就不是特别合适了。在微服务架构下,要考虑外部应用接入的...
SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法
08-26
主要介绍了SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
认证鉴权与API权限控制在微服务架构中的设计与实现(四)
weixin_33958366的博客
10-26 573
引言: 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的完结篇,前面三篇已经将认证鉴权与API权限控制的流程和主要细节讲解完。本文比较长,对这个系列进行收尾,主要内容包括对授权和鉴权流程之外的endpoint以及Spring Security过滤器部分踩坑的经历。欢迎阅读本系列文章。 1. 前文回顾 首先还是照例对前文进行回顾。在第一篇 认证鉴权与API权限控制在微服务架构中的设...
一个Restful Api的访问控制方法
DZT的专栏
03-01 1263
一个Restful Api的访问控制方法 分类: 算法研究 最近在做的两个项目,都需要使用Restful Api,接口的安全性和访问控制便成为一个问题,看了一下别家的API访问控制办法。 新浪的API访问控制使用的是AccessToken,有两种方式来使用该AccessToken: 1、API请求 URL 的后面加上一个AccessToken 2、Http头里面加一个字段
认证鉴权与API权限控制在微服务架构中的设计与实现(三)
Docker的专栏
10-28 3037
引言: 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的第三篇,本文重点讲解token以及API级别的鉴权。本文对涉及到的大部分代码进行了分析,欢迎订阅本系列文章。 1. 前文回顾 在开始讲解这一篇文章之前,先对之前两篇文章进行回忆下。在第一篇《认证鉴权与API权限控制在微服务架构中的设计与实现(一)》介绍了该项目的背景以及技术调研与最后选型。第二
restful api 权限设计 - 快速搭建认证鉴权项目,真的只要10分钟
tomsun28
01-24 2319
restful api 权限设计 - 快速搭建认证鉴权项目 现在很多网站都进行了前后端分离,后端提供rest api,前端调用接口获取数据渲染。这种架构下如何保护好后端所提供的rest api使得更加重视。 认证-请求携带的认证信息是否校验通过,鉴权-认证通过的用户拥有指定api权限才能访问此api。然而不仅于此,什么样的认证策略, jwt, basic,digest,oauth还是多支持, 权限配置是写死代码还是动态配置,云原生越来越火用的框架是quarkus不是spring生态,http实现不是ser
Django Rest 框架初探:快速搭建 API 的基本步骤
Django Rest Framework支持一系列的认证和权限控制方式,使得开发人员能够灵活地定义API的访问权限。同时,它还提供了灵活的序列化器,用于转换数据模型到可供API使用的格式,并提供了强大的视图类,
eapp-corp-quick-start-java_后台_
09-30
这个框架的核心特性包括模块化设计RESTful API支持、数据库操作支持以及安全控制等。 1. **模块化设计**:eapp-corp-quick-start-java采用模块化的设计思想,将系统拆分为多个独立的模块,如用户管理、权限控制、...
JFinal框架初探
# 第一章:JFinal框架简介 ## 1.1 JFinal框架的起源与发展 JFinal框架是基于 Java 语言开发的轻量级、高性能、简洁易用...- **简洁高效**:JFinal框架设计简洁、精巧,学习曲线平缓,使得开发者能够迅速上手并高效开
一个Delphi实现的HttpServer,支持RESTful风格路由
01-09
一个Delphi实现的HttpServer,支持RESTful风格路由
RESTful API 权限管理与访问控制
最新发布
AI天才研究院
12-29 985
1.背景介绍 RESTful API 是一种基于 REST 架构的 Web 服务,它提供了一种简单、灵活、可扩展的方式来访问网络资源。在现代互联网应用中,RESTful API 已经成为主流的通信协议,它广泛应用于各种业务场景,如社交网络、电子商务、智能家居等。 在 RESTful API设计和实现过程中,权限管理与访问控制是一个非常重要的方面。它可以确保 API 的安全性、可靠性和可用性...
转载和积累系列 - API权限设计总结
自娱自乐的代码人
03-05 5720
API权限设计总结: 最近在做API权限设计这一块,做一次权限设计的总结。 1. 假设我们需要访问的API接口是这样的:http://xxxx.com/openapi/v1/get/user/?key=xxxxx&sign=sadasdas&timestamp=2013-03-05 10:14:00&c=c&a=a&d=d 2. 接口调用的控制器:openapi/v1/get/us
REST API权限控制
leledodo的博客
04-18 6730
前言 有人说,每个人都是平等的;也有人说,人生来就是不平等的;在人类社会中,并没有绝对的公平,一件事,并不是所有人都能去做;一样物,并不是所有人都能够拥有。每个人都有自己的角色,每种角色都有对某种资源的一定权利,或许是拥有,或许只能是远观而不可亵玩。把这种人类社会中如此抽象的事实,提取出来,然后写成程序,还原本质的工作,就是我们程序员该做的事了。有了一个这么有范儿的开头,下面便来谈谈基于REST...
RESTful APIRESTful API的身份验证与权限控制
weixin_52553215的博客
11-10 303
RESTful API是一种常用的互联网应用程序接口设计风格。在实际开发中,为了保护API的安全性,我们通常需要对用户进行身份验证。RESTful 服务客户端必须向服务器证明其身份才能确立信任。RESTful Web 服务必须首先对请求进行身份验证,然后才能发送响应。
认证鉴权与API权限控制在微服务架构中的设计与实现
格局决定一切,智恒方远
09-28 415
引言: 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的第一篇,本系列预计四篇文章讲解微服务下的认证鉴权与API权限控制的实现。 1. 背景 最近在做权限相关服务的开发,在系统微服务化后,原有的单体应用是基于session的安全权限方式,不能满足现有的微服务架构的认证与鉴权需求。微服务架构下,一个应用会被拆分成若干个微应用,每个微应用都需要对访问进行鉴权,每个微应用都需要明确...
RESTful API接口之认证和权限
TLuffy的博客
04-14 3346
认证和权限的区别: 认证:对用户登录的身份进行校验. 权限:对登录验证通过的用户,能够访问的api和对api能取得的对应级别数据做限制 认证 可以在这直接复制setting文件 BasicAuthentication 使用HTTP基本身份验证,根据用户的用户名和密码进行签名。基本身份验证通常只适用于测试。 SessionAuthentication 使用Django的默认会话后端进行身份验证。会话身份验证适用于与网站在同一会话上下文中运行的Ajax客户端。 TokenAuthentication
认证鉴权与API权限控制在微服务架构中的设计与实现(一)
竹林幽深
09-15 496
oauth2
认证鉴权与API权限控制在微服务架构中的设计与实现(二)
竹林幽深
09-15 408
oauth2学习
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值