API安全机制之授权

最新推荐文章于 2023-09-22 10:25:53 发布
最新推荐文章于 2023-09-22 10:25:53 发布
阅读量784 收藏
点赞数
分类专栏: 微服务安全实战 文章标签: spring java filter interceptor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013449046/article/details/104519799
版权

授权

API安全机制之认证

如果请求是被授权的,则将请求交给API业务处理,如果请求时未被授权的,则将请求立刻转给http 403状态码

访问控制

ACL:Access Control Lists

简单易用,实现容易,无法满足复杂的业务需求,不易管理

RBAC:Role Based Access Control

引入角色概念,简化管理。开发起来相对于ACL复杂

根据ACL实现简易授权,给每个用户赋予应有的权限

主要代码

用户表增加字段permissions权限字段,并给每个用户赋值,r–读,w—写

添加一个拦截器,之前流控、认证都是用的filter,审计日志用的拦截器,授权在审计之后执行所以不能使用filter

@Component
public class ACLInterceptor extends HandlerInterceptorAdapter {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("4");
        User user= (User) request.getAttribute("user");
        boolean result=true;
        if(user==null){
            response.setContentType("text/plain");
            response.getWriter().write("need authentication");
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            result=false;
        }else{
            String method=request.getMethod();
            if(!user.hasPermissions(method)){
                response.setContentType("text/plain");
                response.getWriter().write("forbidden");
                response.setStatus(HttpStatus.FORBIDDEN.value());
                result=false;
            }
        }

        return result;

    }
}

public boolean hasPermissions(String method) {
    boolean result=false;
    if(StringUtils.equalsAnyIgnoreCase("get",method)){
        result=StringUtils.contains(permissions,"r");
    }
    else{
        result=StringUtils.contains(permissions,"w");
    }
    return result;
}

注:根据请求,如果get方法是只有只读权限,其他方法为写权限

大军465
关注
专栏目录
API安全机制之登录
大军的博客
02-26 729
API安全机制之登录
api 安全
北漂猿
01-31 897
摘自: https://www.cnblogs.com/xingxia/p/api_secrute.html APP、前后端分离项目都采用API接口形式与服务器进行数据通信,传输的数据被偷窥、被抓包、被伪造时有发生,那么如何设计一套比较安全API接口方案呢? 一般的解决方案如下: 1、Token授权认证,防止未授权用户获取数据; 2、时间戳超时机制; 3、URL签名,防止请求参数被篡改; 4、防重放,防止接口被第二次请求,防采集; 5、采用HTTPS通信协议,防止数据明文传输; 一、Token授权认证
使用JWT来实现对API授权访问
weixin_34268753的博客
09-11 309
目录 什么是JWT JWT的结构 Header Payload Signature 解码后的JWT JWT是怎样工作的 在JAVA里使用JWT 引入依赖 JWT Service ...
一种基于签名算法且简单安全API授权机制
吴就业
03-02 340
如果改掉请求头传递的时间戳,那么授权方系统生成的签名就与请求头传递的签名不一样了,请求一样无效。为发挥这种授权方式的安全性,首先是生成签名的规则必须够复杂,然后是签名的加密算法要不可逆,千万不要使用Base64这种算法,最后是密钥要足够长足够复杂,以确保即便在知道签名生成规则的情况下,也不可能通过暴力破解出密钥。2.在项目中拦截需要验证签名的接口,从请求头获取时间戳和身份标识,根据密钥和签名算法生成签名,将生成的签名与从请求头获取到的签名比较,如果相同则继续步骤3,否则拒绝请求;一是为签名添加时效性。
API权限控制与安全管理
weixin_34326179的博客
05-15 1370
   摘自网上 一、API权限控制范围 1、首先验证web端请求参数: (1)web请求参数:渠道、ServiceName、版本、Airline、时间戳(yyyyMMddhhmmssSSS)、reqXML、Language、签名        (2)请求不能为空,并且格式是否符合要求 2、验证渠道+IP是否在白名单中:     (1)API项目启动时,将API_CHANNEL_INF...
API 授权与验证
D0126_的博客
10-14 746
API
java api安全机制
yushan125的博客
03-23 992
java api安全机制
API安全机制之审计日志
大军的博客
02-26 1489
API安全机制之审计日志
亿级流量开放平台API授权安全机制设计 1
08-30
亿级流量开放平台API授权安全机制设计_1
亿级流量开放平台API授权安全机制设计 2
08-30
亿级流量开放平台API授权安全机制设计_2
亿级流量开放平台API授权安全机制设计 3
08-30
亿级流量开放平台API授权安全机制设计_3
api授权与鉴权
Forevermark的博客
08-27 1539
架构图 时序图 appkey与appsercret appkey与appsercret由服务提供方提供,接入方使用 appkey:随机数或指定 appsercret:随机数或指定 授权服务 授权服务主要提供令牌生成与发放,使用AES对称加密token,该令牌可存储{appname+8位随机数+ip地址+8位随机数},可通过扩展token,来扩展其它能力, 授权服务需要请求方提供appkey与appsercre,对其进行校验(检验可包括但不限制于ip),检验后产生令牌返回给调用方,格式如下: token
关于Web api授权的问题
xiao5的博客
04-29 1987
最近在做Web api接口,因为之前没做过也没用过,所以前期遇到了很多问题,尤其是授权这块,因此写下这篇文档记录一下。 好了不多说,直接开始 首先要先 继承using System.Web.Http webapi授权的时候要重写AuthorizeAttribute里的OnAuthorization方法 [AttributeUsageAttribute(AttributeTargets
细说API – 认证、授权和凭证
qq_35789269的博客
08-23 1205
认证、授权和凭证
细说API - 认证、授权和凭证
最新发布
Jernnifer_mao的博客
09-22 472
在一些互联网公司的面试中,面试官往往会问这样一个问题:“如果禁用浏览器 cookie,如何实现用户追踪和认证?遗憾的是依然有大量候选人答非所问,无法搞清楚 cookie 和 session 之间的区别。而在工作中也有让人惊讶的真实案例:把 user ID 存储到 local storage 中当做 token 使用,原因是他们声称弃用了 cookie 这种落后的东西;一个移动端项目,服务器给出的 API 中需要客户端模拟一个 cookie,从而像浏览器中 ajax 那样消费 API
android调用第三方api实现用户数授权登录机制详解
qq_26267277的博客
03-26 1246
 今天,怀揣着可以不用自己希望做一个自己喜欢的扇贝客户端的想法,花了一天的时间研究了一下扇贝的开放api,这应该也是自己第一次尝试使用第三方api进行开发,说句话还得感谢扇贝,让我下决心面对那些自己不想做的繁杂的申请步骤,去申请他的api接口。应该说这一次的收获还是蛮大的,不仅熟悉了第三方申请授权的全过程,同时又对http的get以及post方法有了更深的了解。今天这次博客就主要谈谈通过第三
SpringCloud微服务安全(二)API安全 2-7 授权
喜欢历史的码农
05-20 207
1. 授权 访问控制: 1. ACL :Access Control Lists,直接给每个用户授权,他能访问什么。开发简单,但是用户多的话,给每个用户授权比较麻烦。 2. RBAC:Role Based Access Control。给角色授权,给用户赋予角色。授权简单,开发麻烦。 2.ACL来实现简单的权限控制 方式:在用户表里加入permission字段标识权限。 2.1 创建 AclInterceptor 权限拦截 package com.imooc.security.filte
安全概述-授权机制-加密算法-MD5-数字证书
diexingtao9618的博客
09-10 731
安全概述-授权机制-加密算法-MD5-数字证书 防范手段整体分两部分:技术方面和法规方法(如规章制度和社会工程学方面)。在技术层 面,可以根据从以下框架着手: 1.1 Linux资深知识整体思维框架如下 /安全、稳定 /可用性-网络(协议) / \易用、易维护 ...
数据和安全之访问授权与鉴权方式
hhbbeijing的专栏
11-08 4788
访问授权(Authorization) 最灵活的保护你应用数据安全的方式是通过访问控制列表(Access Control List),通常简称为「ACL 机制」。ACL 背后的机制是将每个操作授权给一部分 用户(User)或者 角色(Role),只允许这些用户或角色执行这些操作。例如,一个用户必须拥有读权限(或者属于一个拥有读权限的角色)才可以获取一个对象的数据,同时,一个用户需要拥有写权限(或...
现代应用安全API安全深度解析
"API安全"是确保这些接口免受恶意攻击、数据泄露和未经授权访问的关键领域。 API安全主要关注以下几点: 1. 认证与授权:确保只有经过身份验证和授权的用户或系统可以访问API。这通常涉及使用API密钥、OAuth、JWT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值