springboot-web层的权限校验

最新推荐文章于 2024-06-30 20:12:32 发布
最新推荐文章于 2024-06-30 20:12:32 发布
阅读量424 收藏
点赞数
分类专栏: springBoot 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012599432/article/details/105455871
版权

我们在controller层写的http接口伴随一些隐性的需求,比如:是否登录、是否有权访问、获得当前访问者信息、单点登录等功能
本项目已在2020-02-27日发布至maven中央仓库,并且增加了新的功能
maven坐标为 其他方式集成:

<dependency>
    <groupId>com.github.liuchengts</groupId>
    <artifactId>spring-boot-auth-starter</artifactId>
    <version>1.0.0</version>
</dependency>

项目源代码地址
项目示例代码地址

一、加密方式
使用 aes 256 加密 再使用 16进制 转换得到加密后的 token
二、token生成规则说明
group:用于将权限写入到一个组中,在这个组里面权限是唯一的,如果不需要可以传空字符串或者将userNo值传入
userNo:用于标记当前权限所属的用户
roles:表示的权限角色,应当自己写一个RolesConstant的接口声明,默认是 com.boot.auth.starter.common.DefaultRolesConstant
parameters:除了userNo和roles之外,还需要放入缓存中的信息,后面会在 Session中获得
综合以上参数按顺序 userNo+group+时间戳+项目域名加密生成一个字符串
三、缓存信息存取
1、token:往当前response中会分别写入 Cookie与Header; 取数据的key值是x-token
2、parameters:当中信息存入redis;取数据的key值是配置的 tokenPrefix + userNo + ,+ group
四、业务接口的使用 com.boot.auth.starter.service.AuthService
1、auth方法,用于授权产生 token,一般在登录时使用

    @Autowired
    AuthService authService;

    @GetMapping("/")
    public String login(HttpServletResponse response,
                        HttpServletRequest request) throws Exception {
        log.info("访问到了 login");
        Map<String, Object> parameters = new HashMap<>();
        parameters.put(AuthConstant.SESSION_NICK_NAME, "我是用户昵称");
        String group = "";
        String userNo = "";
        String roles = RolesConstant.USER_1 + "," + RolesConstant.DEFAULT;
        return authService.auth(group, userNo, roles, parameters, response, request);
    }

2、checkToken方法,用于检测当前token是否有效
3、analysisToken方法,用于token的解析,会将token中加密的内容解密出来以map的形式返回,其中map的key 请参见 com.boot.auth.starter.common.AuthConstant中 token解析 MAP_KEY_*部分。
4、deleteAuth方法,用于删除当前的token,一般用于退出登录或者清理token。
五、注解的使用
1、@Auth是最基本的注解,该注解可以在类或者方法上,表示需要使用权限验证模块,如果没有此注解则不会启用本模块的权限功能,如果只使用@Auth而不增加 roles属性,则会应用默认的权限验证DefaultRolesConstant.DEFAULT;直接的体现就是进行登录验证后马上进行权限验证,通过后即可访问资源。

    @Auth
    @GetMapping("/auth1")
    public Session testAuth1(Session session) {
        log.info("访问到了 auth1");
        return session;
    }

2、@IgnoreLogin是不需要登录的注解,该注解可以在类或者方法上,即在有@Auth的情况下可以忽略@Auth的登录验证及权限设置,没有任何阻拦直接访问对应资源;直接的体现就是仿佛没有启用本模块的功能。

    @IgnoreLogin
    @GetMapping("/auth3")
    public Session testAuth3(Session session) {
       //由于不校验登录,所以session为空
        log.info("访问到了 auth3");
        return session;
    }

3、@NoAuthGetSession是不需要校验权限的注解,该注解可以在类或者方法上,即在有@Auth的情况下只会进行登录验证,忽略@Auth的权限设置,访问对应资源;直接的体现就是在方法上session会自动注入当前登录者的信息

    @NoAuthGetSession
    @GetMapping("/auth2")
    public Session testAuth2(Session session) {
        log.info("访问到了 auth2");
        return session;
    }

欢迎关注我的个人公众号

安静的夜灬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot-web的demo
LLcwh的博客
03-28 1167
admin 静态资源导入: 页面: 如果想要使用 thymeleaf 就一定要在 templates 目录下。 创建 Controller 类,访问到登录页面 @Controller public class IndexController { @GetMapping(value = {"/","login"}) public String loginPage(){ return "login"; } } 如果不定义,默认会走到 resources 的 static
SpringBoot-Web项目实例
ccccrj博客
07-05 1113
文章目录SpringBoot-Web项目实例1 项目结构2 [国际化]语言切换配置通过按钮切换信息3 登陆&拦截器登陆重定向&拦截器4 CRUD-员工列表4.1 RestfulCRUD4.2 访问员工列表thymeleaf公共页面抽取链接高亮修改表格内容,增加按钮4.3 添加员工页面页面表单4.4 员工修改4.5 员工删除5 错误处理5.1 错误处理原理5.2 自定义错误页面 SpringBoot-Web项目实例 1 项目结构 加入Dao,和实体对象 加入静态资源css、img、js进
自定义@NoAuth注解跳过登录验证
最新发布
m0_62074940的博客
06-30 322
自定义@NoAuth注解跳过登录验证
黑马SpringBoot --基础篇
D_boj的博客
03-12 968
SpringBoot是由Pivotal团队提供的全新框架,其设计目的是用来简化Spring应用的初始搭建以及开发过程Spring程序缺点依赖设置繁琐配置繁琐SpringBoot程序优点起步依赖(简化依赖配置)自动配置(简化常用工程相关配置)辅助功能(内置服务器,……)
springboot---整合jwt实现权限校验
yangchuanan的博客
09-18 2712
参考:1、https://blog.csdn.net/qq_37636695/article/details/79265711            2、https://blog.csdn.net/sun_t89/article/details/51923017 1.什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(...
springboot--web开发
skqpp1314的博客
12-08 876
springboot--web开发
SpringBoot-3】切面AOP实现权限校验:实例演示与注解全解
2401_85117868的博客
06-24 1081
这样,代码冗余和可维护性的问题得到了解决,但每个业务方法中依然要依次手动调用这些公共方法,也是略显繁琐。:处理,包括处理时机和处理内容。在我们的程序中,经常存在一些系统性的需求,比如权限校验、日志记录、统计等,这些代码会散落穿插在各个业务逻辑中,非常冗余且不利于维护。包名:表示需要拦截的包名,后面的两个句点表示当前包和当前包的所有子包,在本例中指 com.mutest.controller包、子包下所有类的方法。):这个星号表示方法名,* 表示所有的方法,后面括弧里面表示方法的参数,两个句点表示任何参数。
SpringBoot-Shiro的使用
qq_42861526的博客
12-15 2154
一、什么是Shiro 权限体系在现代软件应用中有着非常重要的地位。一个应用如果没有权限体系都会显着这个系统“特别不安全”,无论是传统的MIS系统还是互联网项目出于对业务数据和应用自身的安全,都会设置自己的安全策略。 目前市场上专门的Java权限框架有Apache Shiro 和 Spring Security。相较于Spring Security 来说 Shiro更加老牌。学习好Shiro对于以后市场上在出现新型权限框架的学习能带来很大便利。因为权限的概念是不变的,变得是框架的实现方式。当然了,对于第一次学
springboot+shiro实现权限校验及shiro讲解
baoaibao的博客
05-12 1127
背景 笔者在学习了张开涛老师讲解的shiro课程后,对其述内容做了自己的总结。由于张开涛–跟我学shiro一文中利用shiro配置文件简单的写了一个小Demo,所以笔者结合自己的理解采用springboot+mybatis+shiro的框写了一个单系统下、前后端分离的Demo。如有理解错误的地方,欢迎大家指正。 shiro简介 shiro是Apache旗下提供的一套JAVA安全框架,主要用于权限校验。其实spring也提供了一套权限架构即:Spring Security。在实际开发项目中,shiro所提供的
springboot---配置文件
lipviolet的博客
03-02 4922
Springboot中配置文件配置大全 转载于:https://blog.csdn.net/zhuzhezhuzhe1/article/details/80560306 配置 ############################################################# # mvc ############################################################# spring.mvc.async.request-timeout=
Springboot整合token进行权限校验代码实战
qq_43097201的博客
07-16 1117
在pom.xml文件中导入maven依赖 <!-- jjwt --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version> </dependency> 创建token的案例 package com.example.
springboot-web.rar
02-13
5. **拦截器**:SpringBoot 中的拦截器是基于 Spring MVC 的,可以实现类似于 Filter 的功能,但更具有针对性,通常用于处理业务逻辑之前和之后的操作,如权限校验、日志记录等。 6. **MyBatis 集成**:MyBatis 是...
SpringBoot-Shiro整合权限管理源码
04-24
通过分析这个源码,你可以理解如何在SpringBoot项目中构建一套完整的权限管理系统,包括用户的登录、权限校验以及对不同资源的访问控制。这不仅可以应用于简单的入门项目,也可以作为实际项目的基础框架,根据需求...
springboot-layui-master_springboot_
10-03
【标题】"springboot-layui-master_springboot_" 指的是一个基于Spring Boot框架与LayUI前端UI库的项目模板。这个项目已经包含了基本的功能实现,比如用户登录,为开发人员提供了一个快速搭建后台管理系统的起点。 ...
springboot-08-shiro.rar
03-31
我们需要创建一个自定义的Realm,实现AuthenticationInfo、AuthorizationInfo接口,并与数据库进行交互,完成用户登录验证和权限校验。 三、Shiro核心组件 1. Subject:Shiro的主体,代表了当前操作的用户,可以是...
springboot-07-shiro.zip
08-12
2. 授权:基于角色的访问控制(RBAC),通过@RequiresRoles、@RequiresPermissions注解进行权限校验。 3. 会话管理:Shiro提供了一套完整的会话管理机制,包括会话创建、读取、更新、删除和超时处理。 4. 加密:...
使用kotlin集成springboot开发
u012599432的博客
04-11 5953
目前大多数都在使用java集成 springboot进行开发,本文演示仅仅将 java换成 kotlin,其他不变的情况下进行开发。 一、安装支持插件 在 idea中安装 kotlin插件(大多数情况下会默认安装了) 二、maven配置 注意 kotlin目前不支持 lombok所以不能使用或引用 lombok相关的插件或依赖包,下面是一个排除示例,同时也不支持 maven-enforcer-...
springboot中使用kotlin的一些问题
u012599432的博客
04-11 2521
spring很早就支持kotlin,实际项目中大多数情况下都是java和kotlin混合编写,本文是一篇指引如何在springboot中使用kotlin与java混合开发,并且遇到的一些问题及解决方案。 本教程只演示maven下对kotlin的集成使用 1、声明要使用的kotlin的信息 <properties> <project.build.sourceEnco...
实现一个java远程调用
u012599432的博客
06-30 2298
java的远程调用核心在于解决rpc序列化和反序列化,但是要完成一个远程调用,最花力气的并不是rpc的问题,rpc的方案已经有非常多的方案可以完成了,主要的问题在于通讯机制、负载、选举策略、服务治理等方向,这些方向与本篇文章越扯越远,我在这里只分享如何实现一个java的远程调用。 为了快速方便,项目是基于springboot开发的,2年前的项目了,写这个项目是当时我对springcloud与du...
使用SpringBoot与Shiro构建权限管理系统教程
- 编写登录与权限校验逻辑:Shiro提供了一系列API,用于处理用户的登录验证、权限检查等操作。 - 拦截器配置:在SpringBoot的配置中,配置Shiro的拦截器,对特定的URL进行权限控制。 - Shiro与SpringBoot的集成:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值