springboot token_跟我学Springboot开发后端管理系统7:MatrxiWeb权限设计

最新推荐文章于 2023-11-11 14:41:05 发布
最新推荐文章于 2023-11-11 14:41:05 发布
阅读量72 收藏
点赞数
文章标签: springboot token springboot 上传图片 springboot 返回图片流 springboot上传图片 springboot使用imageio返回图片 springboot图片上传

Matrxi-Web权限设计

对于一个后端系统来说,权限是基础设施,是安全保障。没有权限,系统可能随时面临各种风险,所以权限设计对后端系统来说至关重要。在Javaweb开发中,有很多权限开发的框架,比如shrio、Spring security,但是都比较重量级。作为一个后端管理系统来说,用这样的权限开发框架会拖慢开发进度。所以在这个项目中,我写了一个更简单的权限控制框架,使用很简单。

权限设计思路

在Matrxi-Web项目中,请求需要携带Token,请求经过Filter的时候(实际项目是使用Spring MVC的HandlerInterceptor),会判断该请求Url是否有Token。如果有Token,解析Token获取用户信息,如果解析Token失败,则进入白名单判断的逻辑,如果解析成功,则请求通过。如果请求不携带Token或者解析Token失败,则判断是否Url白名单里(比如登录接口,swagger文档等接口),如果请求不在url白名单内,则提示无权限访问。

在Filter层初步判断,如果请求通过,则请求进入具体类的方法里,比如Controller的方法。如果类方法加上了自定义的注解@HasPermission,则该类在加载的时候会生成一个aroud类型的切面(即spring的aop),在执行具体类的方法前,会判断该用户是否具有对该方法的调用权限,从而起到权限控制的作用。

5ed104984805dd9310c9e309b4861edf.png

RBAC

在权限控制数据层面,最常用的做法是RBAC(Role-Based Access Control),即基于角色的权限的控制。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。

RBAC  认为授权实际上是Who 、What 、How 三元组之间的关系,也就是Who 对What 进行How 的操作,也就是“主体”对“客体”的操作。

  • Who:是权限的拥有者或主体(如:User,Role)。
  • What:是操作或对象(operation,object)。
  • How:具体的权限(Privilege,正向授权与负向授权)。

在Matrix-Web项目中,也是使用了经典的RBAC,即每个用户拥有一个或多个角色,角色赋予具体的菜单操作权限。Martrix-Web的数据库设计标如下图所示:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ziItvtN3-1590667416151)(https://static.javajike.com/img/2020/05/matrix/matrix-web009.jpg)]

用户Id(user_id)和角色Id(role_id)绑定,角色Id(role_id)和menu_code(菜单编码绑定),所以在创建用户的时候需要录入用户的角色,而角色又需要绑定权限。前端界面录入权限按钮,展示图如下:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4S0rbHyf-1590667416151)(https://static.javajike.com/img/2020/05/matrix/mw010.jpg)]

用户绑定角色,展示图如下:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aRbyW5HT-1590667416152)(https://static.javajike.com/img/2020/05/matrix/mw011.jpg)]

Token设计

在系统设置中,有一个重要的东东是Token,Token代表了用户,几乎所有的请求都需要携带Token。那么Token是怎么来的呢?它是根据用户名生成的。那么什么情况会生产呢?用户登录成功后,生成Token,返回给浏览器,浏览器存储在LocalStorage里面,后续的所有请求必须携带Token。这样根据Token,服务端就能知道每个请求的用户是谁,从而判断该请求的用户是否有权限。

84bef0ce4688f950981683061ba0564c.png

总结

上面的几个小结讲述了Matrix-web整体实现的权限控制的思路。现在来做一下总结:

  • 首先,用户需要登录,填用户名、密码,后端接收到登录请求,进行用户、密码的校验,校验成功后则根据用户名生成Token,并返回给浏览器。
  • 浏览器收到Token后,会存储在本地的LocalStorge里。
  • 后续浏览器发起请求时都携带该Token,请求达到后端后,会在Filter进行判断,首选判断是否为白名单url(比如登录接口url),如果是则放行;否则进入Token验证。如果有Token且解析成功,则放行,否则,返回无权限访问。
  • Filter判断后,请求达到具体的Controller层,如果在Controller层上加上了权限判断的注解,则生成代理类。代理类在执行具体方法前会根据Token判断权限。
    • 取出用户的Token并解析得到该请求的userId,根据userId在从存储层获取用户的权限点。权限控制是RBAC这种方式实现的。
    • 获取到用户权限点后,获取权限判断的注解的权限信息,看用户权限点是否包含权限注解的权限信息,如果包含,则权限校验通过,否则则请求返回无权限。

源码下载

https://github.com/forezp/matrix-web

往期文章:

跟我学Springboot开发后端管理系统1:概述跟我学Springboot开发后端管理系统2:Mybatis-Plus实战跟我学Springboot开发后端管理系统3:Mybatis-Plus实战2跟我学Springboot开发后端管理系统4:数据库连接池Druid和HikariCP跟我学Springboot开发后端管理系统5:数据库读写分离跟我学Springboot开发后端管理系统6:缓存框架Caffeine
weixin_39853155
关注
基于Springboot和Vue的运动会报名管理系统后端设计源码
04-05
本资源提供了一套基于Springboot和Vue的运动会报名管理系统后端设计源码,包含113个文件,其中包括80个Java源代码文件,14个XML配置文件,6个JPEG图片文件,2个Git忽略文件,2个Markdown文档,1个JAR打包文件,1个...
java Spring Boot整合jwt实现token生成
weixin_45966674的博客
10-07 1199
这里 我是直接不管了 不管他传什么进来 只要是符合我users类格式的 我就算他登录通过 通过getid生成一个token 返回回去。然后 这里 我们加一个属性类 用于用户登录使用 这里 我就搞简单一点 直接 一个id 一个name了。这里需要注意的是 如果你想通过id生成token 那么 你的id必须是个字符串。因为登录接口要用 JwtUtils 所以 最好建在登录接口的类的同目录下。然后 我们接口所在的类 要条件装配好我们用户的属性类 也就是 users。
Springboot集成JWT,用户名,密码生成token
administratop的博客
11-11 2156
基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby,更适用于移动应用: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的。更适用CDN: 可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服。支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通。务端只要提供API即可.
深入了解Token认证的来龙去脉
zyh568879280的博客
02-15 483
转载至:https://blog.csdn.net/niugang0920/article/details/80615137 Token 是在服务端产生的,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。     不久前,我在前后端分离实践中提到了基于 Token 的认证,现在我...
SpringBoot】1、SpringBoot整合JWT实现Token验证
qq_24099547的博客
04-10 8792
单点登录
基于Springboot2.0的后台权限管理系统设计源码
最新发布
04-11
本源码提供了一个基于Springboot2.0的后台权限管理系统设计。项目包含276个文件,其中包括96个Java源文件、75个GIF图片、24个JavaScript文件、15个JPG图片、14个HTML文件、12个JPG图片、9个XML文件、9个PNG图片、7个...
springboot+mybatis班级管理系统后端项目.zip
03-23
本项目"springboot+mybatis班级管理系统后端项目",旨在帮助学生深入理解软件开发程,从需求分析到系统设计,再到编码实现和测试部署,涵盖了软件生命周期的各个环节。下面,我们将详细解析该项目的核心知识点。 ...
基于springboot乒乓球馆预约管理系统毕业设计源码
03-26
《基于SpringBoot的乒乓球馆预约管理系统毕业设计源码解析》 在当今数字化时代,体育场馆预约管理系统已经成为体育设施管理的重要工具。本系统是基于SpringBoot框架实现的乒乓球馆预约管理系统,旨在提供一个高效、...
毕业设计:基于VaadinFlow+SpringBoot的宿舍管理系统.zip
08-06
这个毕业设计项目是一个使用Java技术和现代Web框架VaadinFlow以及SpringBoot构建的宿舍管理系统。VaadinFlow是Vaadin框架的最新版本,它提供了一种声明式的方式来进行用户界面的开发,而SpringBoot则是行的Java...
springboot+redis+token保持登录
08-03
通过redis 设置session过期时间,实现token 登录机制
SpringBoot框架集成token实现登录校验功能
08-25
主要为大家详细介绍了SpringBoot框架集成token实现登录校验功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
【实现方案】Springboot整合token权限管理实现(一)—— 生成并发送 token
weixin_43742184的博客
11-12 2587
前置说明 最近在写一个 Springboot + vue 的后台管理版面,对相关知识点与实现进行记录。 本文记录前端向后端发送登录请求后,后端生成token,并存放在cookie中,返回到前端的过程。 代码示例 一、Maven依赖 <parent> <groupId>org.springframework.boot</groupId> ...
springboot 加入token安全认证 手把手教程
qq_42017966的博客
08-26 4487
springboot 加入token安全认证 手把手教程
【三】springboot整合token
weixin_56995925的博客
09-03 1万+
springboot整合token
Spring Boot项目之用户登陆-利用用户令牌Token的方式实现
pikcacho_pkq的博客
10-18 2628
用户登陆最主要的目的就是为了完成两件事情:身份验证和登陆状态的保持。一种比较常见的方案时利用Cookie和Session,将用户的信息存放其中,这样就可以通过读取Cookie或者Session中的数据获取用户的登录信息,从而达到验证用户,记录状态的目的。这里就不具体介绍这两种方案。另一种就是通过生成用户令牌Token的形式进行用户验证和状态保持,Token是通过一些无状态的数据生成的字符串并不包含用户信息,所以相对来说更加安全。这里就主要介绍一下该方式实现用户登陆。登陆程大致如下图所示: 由于是一个登陆d
springboot2.0企业中台实战之权限统一管理与应用统一授权 (dubbo分布式系统实战)
12-07
本课程是一门具有很强实践性质的“项目实战”课程,即“企业中台系统实战”,其中主要包含三大块核心内容,如下图所示(右键可以在新标签页中打开图片放大查看): 即主要包含以下三大块内容: ① 企业内部应用系统菜单资源和操作权限的统一管理; ② 分布式应用系统通信时的统一授权,即基于AccessToken的授权与认证; ③ 分布式服务/系统通信时的两大方式(基于dubbo rpc协议和基于http协议的restful api实战)。   值得一提的是,这套中台系统由于讲解了如何统一管理企业内部各大应用系统的“菜单资源列表”、“操作权限”,故而本门课程的“代码实战”是建立在之前debug录制的“企业权限管理平台”这套课程的基础之上的,故而在这里debug建议没有项目开发基础的小伙伴可以先去学习我的那套“企业权限管理平台”的实战课程,之后再来学习我的这套中台系统的实战才不会很吃力(课程链接:)   本课程的课程大纲如下图所示(右键可以在新标签页中打开图片放大查看):   除此之外,这套“中台系统”由于统一管理了企业内部各大应用系统的“菜单资源和操作权限”以及“应用系统之间通信时的统一授权”,故而难免需要涉及到“中台系统”与“中台子系统”、“中台子系统”与“中台子系统”之间的通信(即分布式服务之间的通信),在这里我们是采用“dubbo + zookeeper”的方式加以落地实现的,详情如下图所示(右键可以在新标签页中打开图片放大查看):   而众所周知,作为一款知名以及相当行的分布式服务调度中间件,dubbo现如今已经晋升为Apache顶级的开源项目,未来也仍将成为“分布式系统”开发实战的一大利器,如下图所示为dubbo底层核心系统架构图(右键可以在新标签页中打开图片放大查看): 而在这门“中台系统实战”的课程中,我们也将始终贯彻、落地dubbo的这一核心系统架构图,即如何将中台系统开发的服务注册/发布到注册中心zookeeper,中台子系统如何订阅/消费/调度中台系统发布在zookeeper的接口服务,中台子系统在走http协议调度通信时dubbo如何进行拦截、基于token认证接口的调用者等等,这些内容我们在课程中将一一得到代码层面的实战落地!   下图为本课程中涉及到的分布式系统/服务之间 采用“http协议restfulapi”方式通信时的Token授权、认证的程图(右键可以在新标签页中打开图片放大查看): 而不夸张地说,基于AccessToken的授权、认证方式在现如今微服务、分布式时代系统与系统在通信期间最为常用的“授权方式”了,可想而知,掌握其中的程思想是多么的重要!   以下为本门课程的部分截图(右键可以在新标签页中打开图片放大查看):     核心技术列表: 值得一提的是,由于本门课程是一门真正介绍“中台思想”以及将“中台思想”和“分布式系统开发实战”相结合落地的课程,故而在学完本门课程之后,可以掌握到的核心技术自然是相当多的。主要由SpringBoot2.0、SpringMVC、Mybatis、Dubbo、ZooKeeper、Redis、OkHttp3、Guava-Retrying重试机制、JWT(Json Web Token)、Shiro、分布式集群session共享、Lombok、StreamAPI、Dubbo-Filter以及ServiceBean等等。如下图所示(右键可以在新标签页中打开图片放大查看):
企业API接口设计token、timestamp、sign具体实现
emprere的博客
04-12 582
往期热门文章:1,《往期精选优秀博文都在这里了!》2、Elasticsearch 在互联网公司大量真实的应用案例3、一份来自亚马逊技术专家的Google面试指南,GitHub收获9.8...
SpringBoot(7)在SpringBoot实现基于Token的用户身份验证
热门推荐
WilsonSong1024的博客
05-25 4万+
基于Token的身份验证用来替代传统的cookie+session身份验证方法中的session。
SpringBoot+JWT:实现Token登录权限认证详解
在现代Web应用中,安全性和权限管理是至关重要的。SpringBoot是一个行的Java框架,用于快速开发高效、生产级别的应用。JWT则是一种轻量级的身份验证机制,它允许用户在不暴露敏感信息的情况下在多个服务之间进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值