API安全机制之授权

授权

API安全机制之认证

如果请求是被授权的,则将请求交给API业务处理,如果请求时未被授权的,则将请求立刻转给http 403状态码

访问控制

ACL:Access Control Lists

简单易用,实现容易,无法满足复杂的业务需求,不易管理

RBAC:Role Based Access Control

引入角色概念,简化管理。开发起来相对于ACL复杂

根据ACL实现简易授权,给每个用户赋予应有的权限

主要代码

用户表增加字段permissions权限字段,并给每个用户赋值,r–读,w—写

添加一个拦截器,之前流控、认证都是用的filter,审计日志用的拦截器,授权在审计之后执行所以不能使用filter

@Component
public class ACLInterceptor extends HandlerInterceptorAdapter {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("4");
        User user= (User) request.getAttribute("user");
        boolean result=true;
        if(user==null){
            response.setContentType("text/plain");
            response.getWriter().write("need authentication");
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            result=false;
        }else{
            String method=request.getMethod();
            if(!user.hasPermissions(method)){
                response.setContentType("text/plain");
                response.getWriter().write("forbidden");
                response.setStatus(HttpStatus.FORBIDDEN.value());
                result=false;
            }
        }

        return result;

    }
}
public boolean hasPermissions(String method) {
    boolean result=false;
    if(StringUtils.equalsAnyIgnoreCase("get",method)){
        result=StringUtils.contains(permissions,"r");
    }
    else{
        result=StringUtils.contains(permissions,"w");
    }
    return result;
}

注:根据请求,如果get方法是只有只读权限,其他方法为写权限

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值