java api 访问控制_java EE技术体系——CLF平台API开发注意事项(3)——API安全访问控制...

最新推荐文章于 2021-11-10 10:45:03 发布
最新推荐文章于 2021-11-10 10:45:03 发布
阅读量174 收藏
点赞数
文章标签: java api 访问控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30476033/article/details/114816576
版权

前言:提离职了,嗯,这么多年了,真到了提离职的时候,心情真的很复杂。好吧,离职阶段需要把一些项目中的情况说明白讲清楚,这篇博客就简单说一下在平台中对API所做的安全处理(后面讲网关还要说,这里主要讲代码结构)

一、宏观概况

第一点:系统是按照Security规范,通过实现OAuth2.0协议安全控制。

关键词理解:

安全协议:OAuth2,参考:理解OAuth 2.0

二、实现说明

2.1,安全访问过滤(重要)

在讲调用流程的时候,必须有必要说自定义的安全访问注解,云图平台的伙伴们,如果要理解系统的安全控制,或者仅是为了读接下来的流程说明,这一步很重要,一定要把这部分弄明白:  (这一段是JAX-RS规范很重要的内容)

首先看我们的自定义注解:

package com.dmsdbj.library.app.security;

import java.lang.annotation.ElementType;

import java.lang.annotation.Retention;

import java.lang.annotation.RetentionPolicy;

import java.lang.annotation.Target;

import javax.ws.rs.NameBinding;

@NameBinding

@Target({ElementType.TYPE, ElementType.METHOD})

@Retention(value = RetentionPolicy.RUNTIME)

public @interface Secured {

String[] value() default {};

}

注意里面的@NameBinding  ,请阅读:Per-JAX-RS

Method Bindings   必须要明白这个@NameBinding注解是用来干嘛的!!!

再看我们的过滤器:

@Priority(Priorities.AUTHENTICATION)

@Provider

@Secured

public class JWTAuthenticationFilter implements ContainerRequestFilter {

@Inject

private Logger log;

@Inject

private TokenProvider tokenProvider;

@Context

private HttpServletRequest request;

@Context

private ResourceInfo resourceInfo;

@Override

public void filter(ContainerRequestContext requestContext) throws IOException {

String jwt = resolveToken();

if (StringUtils.isNotBlank(jwt)) {

try {

if (tokenProvider.validateToken(jwt)) {

UserAuthenticationToken authenticationToken = this.tokenProvider.getAuthentication(jwt);

if (!isAllowed(authenticationToken)) {

requestContext.setProperty("auth-failed", true);

requestContext.abortWith(Response.status(Response.Status.UNAUTHORIZED).build());

}

final SecurityContext securityContext = requestContext.getSecurityContext();

requestContext.setSecurityContext(new SecurityContext() {

@Override

public Principal getUserPrincipal() {

return authenticationToken::getPrincipal;

}

@Override

public boolean isUserInRole(String role) {

return securityContext.isUserInRole(role);

}

@Override

public boolean isSecure() {

return securityContext.isSecure();

}

@Override

public String getAuthenticationScheme() {

return securityContext.getAuthenticationScheme();

}

});

}

} catch (ExpiredJwtException eje) {

log.info("Security exception for user {} - {}", eje.getClaims().getSubject(), eje.getMessage());

requestContext.setProperty("auth-failed", true);

requestContext.abortWith(Response.status(Response.Status.UNAUTHORIZED).build());

}

} else {

log.info("No JWT token found");

requestContext.setProperty("auth-failed", true);

requestContext.abortWith(Response.status(Response.Status.UNAUTHORIZED).build());

}

}

private String resolveToken() {

String bearerToken = request.getHeader(Constants.AUTHORIZATION_HEADER);

if (StringUtils.isNotEmpty(bearerToken) && bearerToken.startsWith("Bearer ")) {

String jwt = bearerToken.substring(7, bearerToken.length());

return jwt;

}

return null;

}

private boolean isAllowed(UserAuthenticationToken authenticationToken) {

Secured secured = resourceInfo.getResourceMethod().getAnnotation(Secured.class);

if (secured == null) {

secured = resourceInfo.getResourceClass().getAnnotation(Secured.class);

}

for (String role : secured.value()) {

if (!authenticationToken.getAuthorities().contains(role)) {

return false;

}

}

return true;

}

}附:1,You can bind a filter or interceptor to a particular annotation and when that custom annotation is applied, the filter or interceptor will automatically be bound to the annotated JAX-RS method.      (文章:Per-JAX-RS

Method Bindings )

2,By default, i.e. if no name binding is applied to the filter implementation class, the filter instance is applied globally, however only after the incoming request has been matched to a particular

resource by JAX-RS runtime. If there is a @NameBinding annotation applied to the filter, the filter will also be executed at the post-match request extension point, but only in case the matched resource or sub-resource method is bound to the same name-binding

annotation. (文章:CONTAINER REQUEST FILTER)

简单说来:这个本应该用于所有请求过滤的过滤器,因为加上了@Secure的注解(而@Secure注解又加上了@NameBinding注解),所以,这个过滤器仅被用于有@Secure修饰的特定类、方法!  备注:当前过滤器执行后匹配模式@Provider

2.2,正常访问流程

由上述的过滤器说明,要想请求经过安全限制的API(有@Seured修饰),必须要得到一个可用的token信息(resolveToken方法)。

所以,第一步通过登录获取票据:

服务端:

调用login方法(UserJWTController)

@Timed

@ApiOperation(value = "authenticate the credential")

@ApiResponses(value = {

@ApiResponse(code = 200, message = "OK")

,

@ApiResponse(code = 401, message = "Unauthorized")})

@Path("/authenticate")

@POST

@Consumes({MediaType.APPLICATION_JSON})

@Produces({MediaType.APPLICATION_JSON})

public Response login(@Valid LoginDTO loginDTO) throws ServletException {

UserAuthenticationToken authenticationToken = new UserAuthenticationToken(loginDTO.getUsername(), loginDTO.getPassword());

try {

User user = userService.authenticate(authenticationToken);

boolean rememberMe = (loginDTO.isRememberMe() == null) ? false : loginDTO.isRememberMe();

String jwt = tokenProvider.createToken(user, rememberMe);

return Response.ok(new JWTToken(jwt)).header(Constants.AUTHORIZATION_HEADER, "Bearer " + jwt).build();

} catch (AuthenticationException exception) {

return Response.status(Status.UNAUTHORIZED).header("AuthenticationException", exception.getLocalizedMessage()).build();

}

}

A:调用了userService.authenticate(authenticationToken),根据当前登录用户,查询用户信息及其角色信息;B:调用tokenProvider.createToken(user, rememberMe),为当前用户生成一个访问票据;C:将当前的票据信息存入到响应header。

客户端:

客户端接收到请求login方法后的Response,会从中提取票据token,并存入localStorage。本系统的具体代码位置:qpp/services/quth/auth.jwt.service  附:HTML

5 Web 存储

API请求:

在第一次登录获取完票据后,后续的请求,当请求的API有自定义注解@Secured时,经过过滤器,首先解析JWT判断是否拥有访问权限,再判断是否允许访问!

附:关键类TokenProvider

package com.dmsdbj.library.app.security.jwt;

import com.dmsdbj.library.app.config.SecurityConfig;

import com.dmsdbj.library.app.security.UserAuthenticationToken;

import com.dmsdbj.library.entity.User;

import java.util.*;

import java.util.stream.Collectors;

import javax.annotation.PostConstruct;

import javax.inject.Inject;

import org.slf4j.Logger;

import io.jsonwebtoken.*;

public class TokenProvider {

@Inject

private Logger log;

private static final String AUTHORITIES_KEY = "auth";

private String secretKey;

private long tokenValidityInSeconds;

private long tokenValidityInSecondsForRememberMe;

@Inject

private SecurityConfig securityConfig;

@PostConstruct

public void init() {

this.secretKey

= securityConfig.getSecret();

this.tokenValidityInSeconds

= 1000 * securityConfig.getTokenValidityInSeconds();

this.tokenValidityInSecondsForRememberMe

= 1000 * securityConfig.getTokenValidityInSecondsForRememberMe();

}

public String createToken(User user, Boolean rememberMe) {

String authorities = user.getAuthorities().stream()

.map(authority -> authority.getName())

.collect(Collectors.joining(","));

long now = (new Date()).getTime();

Date validity;

if (rememberMe) {

validity = new Date(now + this.tokenValidityInSecondsForRememberMe);

} else {

validity = new Date(now + this.tokenValidityInSeconds);

}

return Jwts.builder()

.setSubject(user.getLogin())

.claim(AUTHORITIES_KEY, authorities)

.signWith(SignatureAlgorithm.HS512, secretKey)

.setExpiration(validity)

.compact();

}

public UserAuthenticationToken getAuthentication(String token) {

Claims claims = Jwts.parser()

.setSigningKey(secretKey)

.parseClaimsJws(token)

.getBody();

Set authorities

= Arrays.asList(claims.get(AUTHORITIES_KEY).toString().split(",")).stream()

.collect(Collectors.toSet());

return new UserAuthenticationToken(claims.getSubject(), "", authorities);

}

public boolean validateToken(String authToken) {

try {

Jwts.parser().setSigningKey(secretKey).parseClaimsJws(authToken);

return true;

} catch (SignatureException e) {

log.info("Invalid JWT signature: " + e.getMessage());

return false;

}

}

}

三、总结

关于本平台的基本安全访问控制,大概就这些内容。其实挺简单的,就是模拟了一个票据生成中心,然后使用了JWT省去了读取服务器端session的步骤,仅通过解析JWT票据进行授权。    嗯,尽可能的在说明白,如果还是不明白的话,小伙伴们及时找我交流(先做任务,不然扛把子该......)

在本项目中涉及到的类:

681e5ac37a8ccfa74b35eae5f9208f37.png 

1954fbf0bb31d879139153f298b7e0af.png

步六孤陆
关注
java EE技术体系——CLF平台API开发注意事项(3)——API安全访问控制
该怎么解释?我懒得解释
09-04 1080
前言:提离职了,嗯,这么多年了,真到了提离职的时候,心情真的很复杂。好吧,离职阶段需要把一些项目中的情况说明白讲清楚,这篇博客就简单说一下在平台中对API所做的安全处理(后面讲网关还要说,这里主要讲代码结构) 一、宏观概况 第一点:系统是按照Security规范,通过实现OAuth2.0协议安全控制。 关键词理解: JWT:JWT,JWT 在前后端分离中的应用与实践 规范:Securit
java访问控制权限和API
qq_55171059的博客
02-12 511
2021.02.12 第七次记录。今天是春节,大年初一,听了几节课,代码没怎么写。 课堂笔记: /* 访问控制权限 1.1访问控制权限有哪些? 共4个。 public 公开的 protected 受保护的 默认 private 私有的 1.2以上四个访问控制权限,控制的范围是什么? public 表示公开的,在任何位置都可以访问 protected 表示受保护的,只能在本类、同包、子类中访问 “默认”只能在本类,以及同包下访问 private,表示私有的,只能在本类中访问 访问控制修饰符 本类
关于Nacos1.3.2版本权限控制问题
hjjoe1213123的专栏
10-14 2546
Nacos1.3.2已经完美的解决了权限问题,通过添加username和password来处理登录用户名和密码,但是存在一个问题,那就是用户名和密码存在特殊字符的时候会出现403,unknown user问题 username: nacos password: nacos NacosAuthManager.java具体代码位置如下: private String resolveToken(HttpServletRequest request) throws AccessException { .
UsernamePasswordAuthenticationToken
gangsijay888的博客
08-09 2万+
UsernamePasswordAuthenticationToken继承AbstractAuthenticationToken实现Authentication 所以当在页面中输入用户名和密码之后首先会进入到UsernamePasswordAuthenticationToken验证(Authentication), 然后生成的Authentication会被交由AuthenticationMana...
spring-oauth2原理及使用
yueguanyun的专栏
08-04 7018
spring-oauth2原理及使用 转自:http://patrick002.iteye.com/blog/2207795 spring-oauth2 (bearer)是基于spring-security的验证机制,对于第三方访问受限资源时通过token机制来验证 验证steps:  通过时序图来看一下,验证方式:   发送username, password, clie
Python.CLF.rar
07-07
Python.CLF是一个专门为Source Insight(一款强大的源代码分析和阅读工具)设计的配置文件,它使得Source Insight能够更好地支持Python编程语言。Source Insight以其强大的代码浏览、搜索和导航功能深受程序员喜爱,...
Python.CLF 用于source insight 加载python的文件
01-15
3. **导入CLF文件**:启动Source Insight,进入“Tools”(工具)菜单,选择“Configure Languages...”(配置语言...),在弹出的对话框中点击“Import...”(导入...)按钮,然后找到并选择下载的Python.CLF 文件...
java调用科大讯飞在线语音合成API -完整代码
最新发布
05-23
|——|——|——java |——|——|——wordToaudio |——|——|——|——xunfei: 讯飞语音合成的工具包 |——|——|——|——ConvertUtils: 音频文件转换格式工具 |——|——|——|——Test: 测试main |——|...
Python_clf.zip
12-28
总的来说,Python_clf.zip提供的插件是Source Insight用户增强Python开发体验的重要工具,特别是对于那些习惯于Source Insight强大功能但又需要用到Python的开发者来说,它将两者完美结合,提高了开发效率和代码质量...
lua.clf.xclf.zip
12-28
《Source Insight与Lua语言的融合:lua.clf.xclf.zip插件详解》 在软件开发领域,高效的代码编辑器和分析工具对于程序员来说至关重要。Source Insight作为一款强大的源代码查看和编辑器,以其丰富的功能和对多种...
RequestContext详解
csdn_ccr的博客
11-13 1万+
RequestContext 字面意思就是请求上下文,结合他的功能可以更好理解一些,查了一些资料加上个人理解认为 它在web项目中传参时使用,涉及后端获取前端参数 这好像是公司在spring框架上封装的一个类,有保存session键值对的功能。 ...
Spring Security + JWT 实现认证和授权
修理男爵的博客
11-10 1983
数据库表 Spring Security JWT JwtToken @Data public class JwtToken { private String token; private String username; private Long expireTime; } JwtTokenProvider @Slf4j @Component public class JwtTokenProvider { public JwtToken cre..
@javax.ws.rs Webservice注解
weixin_33806300的博客
04-12 538
用于webservice。 1.路径 @javax.ws.rs.Path 标识要请求的资源类或资源方法的uri路径。 例,@Path("animal"),表示下一层路径是animal时要处理的事务。 @Path("{species}")这种带大括号的表示方法,表示下一层路径会被参数化,配合@PathParam("species")使用可以赋值给函数的参...
API权限控制
jhkj_5154的博客
02-28 1万+
API不存在用户登录这样的概念,我们是通过令牌来管理用户身份的。在传统网站用户登录的概念,转换成用户获取令牌,这个令牌,是代表用户身份的 。虽然都是类似用户输入账号密码的东西,但是理解和概念上时不一样的。API是用户拿到令牌,这个令牌具有用户的身份,而且这个身份是分级别的。有些级别是管理员级别,有些级别是普通用户级别。用户在每一次调用接口的时候,都需要携带他所获取的令牌,如果令牌合法,那我们认为...
Spring Security OAuth2实现多用户类型认证、刷新Token
Ying的博客
03-17 1万+
需求 用OAuth2想实现一个认证服务器能够认证多种用户类型,如前台普通用户、后台管理员用户(分了不同的表了),而OAuth2默认提供的UserDetailsService只允许传入一个参数,这样就区分不了用户类型了… public interface UserDetailsService { UserDetails loadUserByUsername(String var1) thro...
Sprint Boot使用OAuth和JWT实现身份认证【二】
清雨小竹
02-28 1831
上一篇文章已经实现了自定义获取token方法和自定义过滤器,本篇文章对自定义类进行封装:文件结构:依赖:dependencies { compile('com.github.wenhao:jpa-spec:3.1.1') compile('io.springfox:springfox-swagger2:2.2.2') compile('io.springfox:sp...
springboot + spring security验证token进行用户认证
热门推荐
孟林洁的博客
11-23 6万+
核心组件 SecurityContextHolder SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder中。SecurityContextHolder默认是使用ThreadLoc...
passwd:Authentication token问题处理
weixin_33862041的博客
08-09 3345
今天在整理服务器的时候突然有程序员给我说他的ftp的账号连接不上,于是就连上服务器找了一圈都正常啊,奇怪是不是账号密码错了于是就用程序员的账号在自己的电脑上试了下,哎呀我去530Loginincorrect这个错误不是就是账号密码错误嘛,于是也去上网看了下,网上说各种修改ftp的方法,看了下和我的都一样啊没错啊,不管啦就去重置密码结果在用passwd命令的时候报错了p...
lr_clf.coef_
07-27
回答: lr_clf.coef_是用来查看逻辑回归模型的权重的。在这个例子中,逻辑回归模型拟合了一个二维数据集,所以权重是一个二维矩阵。具体的权重数值可以通过打印lr_clf.coef_来查看。 #### 引用[.reference_title] - *1* *3* [机器学习算法(一): 基于逻辑回归的分类预测](https://blog.csdn.net/handsomeandge/article/details/111565397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [机器学习算法(一):基于逻辑回归的分类预测](https://blog.csdn.net/qq_46235858/article/details/112993733)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值