基于JWT与Redis的权限控制

最新推荐文章于 2024-05-27 13:56:04 发布
最新推荐文章于 2024-05-27 13:56:04 发布
阅读量697 收藏 1
点赞数 1
文章标签: 数据库 c# php
原文链接:http://www.cnblogs.com/flysdream/p/11435524.html
版权

最近处理的一个需求,让在管理平台上做一个权限控制,原本打算使用shiro完成,基于项目架构最后选择使用拦截器 配合jwt以及redis完成;

JWT:

  jwt呢,这里简单说一下,项目里主要用到的就是token传递验证身份,这里的话,不多介绍jwt使用方法,列几个网址可以了解一下;

  https://www.cnblogs.com/cjsblog/p/9277677.html

       https://www.cnblogs.com/lyzg/p/6028341.html

 

Demo目录:(没法传图片,手写一下)

  controller -> LoginController     filter -> FilterConfiguration,LoginFilter      util ->jwt,redis    jwt->JwtUtil  redis->redisUtil,redisConfig      util ->CommonUtil,Constants,StringUtil

  

LoginController   (登录接口)

@RequestMapping(value = "/fly/login")   
 public Map<String,Object> login(@RequestBody Map<String,Object> params) {
        //根据params判断用户是否存在(可以利用第三方)
        //代码省略

        String userName = params.get("userName").toString();

        //定义返回map
        Map<String,Object> returnMap = new HashMap<>();
        //定义请求路径(这一块会有很多逻辑操作,这里简化成简单的从数据库查询结果,具体使用自行封装)
        List<String> urls = new ArrayList<>();
        urls = service.gainUrlFromDB(userName);     //(这里做法是将数据库里对应到用户的权限全部查出来)
    


        //使用JWT生成token 放入返回Map内(这一块是验证身份信息以及token过期时间用到的)
        Map<String, Object> map = Maps.newHashMap();
        map.put("username", userName);
        returnMap.put("token", JwtUtil.createToken(map));



        //将用户数据,权限放入redis(过期时间2小时)
        Map<String,Object> userRedisMsg = new HashMap<>();
        userRedisMsg.put("url",urls);
        userRedisMsg.put("timeout",System.currentTimeMillis() + 2*60*60*1000);
        redisUtil.set(userName, userRedisMsg,2*60*60*1000L, TimeUnit.MILLISECONDS);       
     //保存用户名信息
     request.getSession().setAttribute("userName", userName);

      return returnMap; 
}

JwtUtil

public class JwtUtil {
    private static final byte[] SECRET = Constants.TOKEN_SECRET.getBytes();

    private static final JWSHeader HEADER = new JWSHeader(
            JWSAlgorithm.HS256, JOSEObjectType.JWT, null, null, null, null,
            null, null, null, null, null, null, null);

    /**
     * 生成token,该方法只在用户登录成功后调用
     * @param payload Map集合,可以存储用户id,token生成时间,token过期时间等自定义字段
     * @return token字符串,若失败则返回null
     */
    public static String createToken(Map<String, Object> payload) {
        String tokenString = null;
        // 创建一个JWS Object(第二部分)
        JWSObject jwsObject = new JWSObject(HEADER, new Payload(new JSONObject(payload)));
        try {
            // 将jwsObject进行HMAC签名,相当于加密(第三部分)
            jwsObject.sign(new MACSigner(SECRET));
            tokenString = jwsObject.serialize();
        } catch (JOSEException e) {
            log.error("签名失败: {}", e.getMessage());
            e.printStackTrace();
        }
        return tokenString;
    }

    /**
     * 校验token是否合法,返回Map集合,集合中主要包含
     * code状态码
     * data鉴权成功后从token中提取的数据
     * 该方法在过滤器中调用,每次请求API时都校验
     * @param token token
     * @return Map<String, Object>
     */
    public static Map<String, Object> checkToken(String token,String url) {
        Map<String, Object> resultMap = Maps.newHashMap();
        try {
            JWSObject jwsObject = JWSObject.parse(token);
            // palload就是JWT构成的第二部分不过这里自定义的是私有声明(标准中注册的声明, 公共的声明)
            Payload payload = jwsObject.getPayload();
            JWSVerifier verifier = new MACVerifier(SECRET);
       //token校验
            if(jwsObject.verify(verifier)) {
                JSONObject jsonObject = payload.toJSONObject();
                // token检验成功(此时没有检验是否过期)
                resultMap.put("username", jsonObject.get("username"));
                RedisUtil redisUtil  = (RedisUtil) SpringContextUtil.getBean("redisUtil");
                long time = System.currentTimeMillis();
                HashMap<String, Object> userMap = (HashMap)redisUtil.get(resultMap.get("username"));
                if(time > (long)userMap.get("timeout")){
                    resultMap.put("msg", "token过期");
                }else if(!((Set)userMap.get("url")).contains(url)) {
                    resultMap.put("msg", "用户权限不足");
                }else {
                    //这里就是权限通过,需要重置redis过期时间
                    resultMap.put("msg", "具有权限");
                    Map<String,Object> mp = new HashMap<>();
                    mp.put("url", userMap.get("url"));
                    mp.put("timeout", System.currentTimeMillis() + 2*60*60*1000);
                    redisUtil.set( resultMap.get("username"), mp, 2*60*60*1000, TimeUnit.MILLISECONDS);
                }

                resultMap.put("data", jsonObject);
            } else {
                // 检验失败
                resultMap.put("msg","验证失败");
            }
        } catch (Exception e) {
            e.printStackTrace();
            // token格式不合法导致的异常
            resultMap.clear();
            resultMap.put("msg", "token格式不合法");
        }
        return resultMap;
    }

}

FilterConfiguration(拦截器)

@Configuration
public class FilterConfiguration {


    @Bean
    public FilterRegistrationBean loginFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setName("loginFilter");
        registration.setFilter(new LoginFilter());
        registration.addUrlPatterns("/study/*");
        registration.setOrder(Integer.MAX_VALUE);
        return registration;
    }
}

LoginFilter(自定义拦截器)     (代码里的很多文字内容  例如msg字段对应的应该做成一个常量类来封装,此处写法只为易懂)

public class LoginFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        try {
            String path = request.getRequestURI();
            String reqUrl = path.substring(path.indexOf("/", 0));
            //过滤部分请求
            if (!StringUtil.matches(reqUrl, "/study/fly/login")) {
                String token = request.getHeader("Authorization");
                Map<String, Object> resultMap = JwtUtil.validToken(token, path);

                String msg = CommonUtil.toString(resultMap.get("msg"));
                switch (msg) {
                    case "具有权限":
                        // 取出payload中数据,放到request作用域中
                        request.setAttribute("jwt", resultMap.get("data"));
                        break;
                    case "用户权限不足":
                        request.setAttribute("msg", "您的权限不足");
                        response.sendError(HttpServletResponse.SC_METHOD_NOT_ALLOWED, "权限不足");
                        return;
                    case "token格式不合法":
                    case "token过期":
                        request.setAttribute("msg", "您的token不合法或者过期了,请重新登陆");
                        response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "token不合法或者过期了");
                        return;
                    default:
                        break;
                }
            }
        } catch (Exception e) {
            log.error(e.getMessage());
            e.printStackTrace();
        }
        filterChain.doFilter(request, response);
    }
}

 

 

redis的代码就不贴出来了,写demo只简单封装了下,防止误导;可以自行度娘一下,需要注意序列化;

数据库表,需要一个 菜单权限表(table_menu)角色信息表(table_role)   用户角色关联表(table_user_role)    角色权限关联表(table_role_menu)

当权限细致到接口级别(按钮级)菜单权限表需要将菜单 Id 与  请求url关联起来,也就是说,table_menu表中需要一个请求url的字段

这里对这部分代码解释一下:

首先呢,在用户登陆的时候,进行一个用户登录校验,这一块可以自己写一套验证,也可以借助第三方完成;然后,根据用户id去数据库查出当前用户所具有的角色权限(超级管理员,普通用户),然后再根据角色权限去 菜单权限表取出对应的url,将这些url以及redis过期时间一并打包放到redis里,每次用户发送接口请求,自定义拦截器会拦截请求并 依次做

token 校验、token过期校验、权限校验、redis过期时间更新操作;当完成校验,拦截器就会根据response是否抛出异常信息来判断是否具有调用接口的权限;

 

 

    

 

          

 

 

转载于:https://www.cnblogs.com/flysdream/p/11435524.html

weixin_30747253
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
SpringBoot集成Shiro、JwtRedis
10-24
通过以上步骤,我们可以构建一个完整的RBAC系统,其中Shiro处理权限控制Jwt实现无状态认证,Redis提供高效的会话管理,而MyBatisPlus则简化了数据库操作。这样的系统不仅安全可靠,而且具有良好的扩展性和可维护性...
JWT权限校验小案例SpringBoot+JWT+Redis(轮子拿来用就行)
qq_37805943的博客
01-28 249
登录流程图 校验流程图 工具类太多了,可去码云上直接cv下来,防止重复造轮子 码云地址:https://gitee.com/ther661/jwt yml配置和启动类 server: port: 8080 spring: redis: host: ------------- port: 6379 password: --------- main: allow-bean-definition-overriding: true @SpringBootApplic
Shiro+Jwt+Redis
最新发布
qq_43907296的博客
05-27 695
​ 而JWT(全称:Json Web Token)是一种特殊的Token,它采用了JSON格式来对Token进行编码和解码,并携带了更多的信息,例如用户ID、角色、权限等。它包含了三部分:头部(Header)、数据(Payload)和签名(Signature)。其中,头部和数据都是经过Base64编码的JSON字符串,而签名是对头部和数据进行签名后得到的字符串。
mall大型企业项目:4,权限验证加redis缓存(上)。security+jwt+redis
ljs13168734665的博客
10-11 580
security+jwt+redis代码部分1,pom.xml新增部分2,完整版pom.xml3,application.yml新增部分4,application.yml完整版5,dao6,dao.xml7,mapper8,mapper.xml9,model10,exception SpringSecurity SpringSecurity是一个强大的可高度定制的认证和授权框架,对于Spring应用来说它是一套Web安全标准。SpringSecurity注重于为Java应用提供认证和授权功能,像所有的Spr
JWT过滤器
m0_74795259的博客
12-13 578
过滤器
120.JWT(二):springboot整合jwt实例
鹏哥哥Aaa
06-12 1089
springboot整合jwt实例
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
实现对用户访问资源的控制,可以通过将权限与角色进行关联。 系统实现主要包括用户登录、权限验证、角色管理、权限管理、资源管理等功能。当用户尝试登录时,系统会通过核实其用户名和密码来确认其身份。权限验证时...
springsecurity jwt mybatis redis
08-01
SpringSecurity负责整体的安全控制JWT提供无状态的身份验证,MyBatis处理数据库交互,而Redis则作为中间件提升系统性能并协助管理用户会话。这样的架构特别适合大型、分布式项目,既保证了安全性,又优化了性能。...
springboot2.0+shiro+jwt+redis+swagger+layui+thymeleaf
11-02
基于spring boot 2.1.6、shiro、jwtredis、swagger2、mybatis 、thymeleaf、layui 后台管理系统, 权限控制的方式为 RBAC。代码通熟易懂 、JWT(无状态token)过期自动刷新,数据全程 ajax 获取,封装 ajax 工具类...
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定.zip
03-10
微信小程序是腾讯公司基于微信平台推出的一种轻量级应用形态,它无需用户下载安装即可在微信内直接使用。自2017年正式上线以来,小程序凭借其便捷性、易获取性和出色的用户体验迅速获得市场认可,并成为连接线上线下...
laravel-jwtredis:该软件包允许通过JWT身份验证的用户使用其角色,权限,状态以及您想要的任何内容在Redis中进行存储和管理
04-14
laravel-jwtredis 该软件包允许将经过JWT身份验证的用户及其角色,权限,状态以及您想要的任何内容存储和管理在Redis中。 此外,该软件包还具有一个观察程序,用于在Redis上侦听和更新您的用户模型。 when you assign roles & permissions to user, or update and delete to your user模型when you assign roles & permissions to user, or update and delete to your user触发此观察器。 要求 该软件包与和软件包一起使用。 Make sure to install and configure these dependencies. You must publish, migrate etc. all packages. 如果您
.Net-Core-Web-Api-With-Jwt-Redis
03-14
该项目是一个示例.net核心Web api项目。 您可以将项目安装在自己的计算机上,并使用文件docker-compose.yml运行docker。
jwt token 实现
07-27
本例子教你如何在你的项目中搭建jwt token授权登录,代码清晰易懂。
压测对比JWT解析与Redis取值
帷幄庸者的博客
03-09 1886
压测对比JWT解析与Redis取值 压测心得: 压测下会产生错误java.net.SocketException: Connection reset 首先配置线程组,然后是Http,然后结果分析监听器(主要是Summary Report) 压测的同时可以打开jconsole监控jvm变化 测试前先做一次GC,避免GC对结果产生影响 JWT解析压测 100线程 500线程 1000线程...
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
jwt token 过期刷新_PHP后端是如何实现JWT认证的
weixin_39589557的博客
11-27 455
简介JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON方式安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。直白的讲jwt就是一种用户认证(区别于session、cookie)的解决方案。出现的背景众所周知,在jwt...
为什么用jwt还要用redis呢,redis里存的什么呢
大连赵哥的博客
03-05 968
为什么用jwt还要用redis呢,redis里存的什么呢
Springboot使用JWT+Redis实现一个简单的登录鉴权
rgrhiea的博客
08-07 5650
这是一个JWT+Redis实现登录鉴权的简单demo,通过它包括了springboot、jwtRedisTemplate的简单使用
jwtredis存储token对比
03-16
Redis存储Token的优点是它可以在服务器上存储Token,因此可以更好地控制Token的生命周期和访问权限。 总的来说,JWTRedis存储Token都有各自的优点和缺点,具体使用哪种方式取决于应用程序的需求和设计。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值