牛客网后端项目实战(三十七):权限控制

最新推荐文章于 2022-02-16 19:52:00 发布
最新推荐文章于 2022-02-16 19:52:00 发布
阅读量588 收藏 2
点赞数 1
分类专栏: Java学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42033436/article/details/117399848
版权

文章目录

  • 登录检查
    • 之前采用拦截器实现了登录检查,这是简单的权限管理方案,现在将其废弃
  • 授权配置
    • 对当前系统内包含的所有的请求,分配访问权限(普通用户、版主、管理员)
  • 认证方式
    • 绕过Security认证流程,采用原来的认证方案
  • CSRF配置
    • 防止CSRF攻击的基本原理,以及表单、AJAX相关的配置

1.导包

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>

2.废弃登录拦截器

WebMvcConfig.java

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Autowired
    private AlphaInterceptor alphaInterceptor;

    @Autowired
    private LoginTicketInterceptor loginTicketInterceptor;

//    @Autowired
//    private LoginRequiredInterceptor loginRequiredInterceptor;

    @Autowired
    private MessageInterceptor messageInterceptor;

    @Autowired
    private DataInterceptor dataInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(alphaInterceptor)
                .excludePathPatterns("/**/*.css", "/**/*.js", "/**/*.png", "/**/*.jpg", "/**/*.jpeg")
                .addPathPatterns("/register", "/login");

        registry.addInterceptor(loginTicketInterceptor)
                .excludePathPatterns("/**/*.css", "/**/*.js", "/**/*.png", "/**/*.jpg", "/**/*.jpeg");

//        registry.addInterceptor(loginRequiredInterceptor)
//                .excludePathPatterns("/**/*.css", "/**/*.js", "/**/*.png", "/**/*.jpg", "/**/*.jpeg");

        registry.addInterceptor(messageInterceptor)
                .excludePathPatterns("/**/*.css", "/**/*.js", "/**/*.png", "/**/*.jpg", "/**/*.jpeg");

        registry.addInterceptor(dataInterceptor)
                .excludePathPatterns("/**/*.css", "/**/*.js", "/**/*.png", "/**/*.jpg", "/**/*.jpeg");
    }

}

Security配置类

1、在常量接口中定义权限,以便于使用


    /**
     * 权限: 普通用户
     */
    String AUTHORITY_USER = "user";

    /**
     * 权限: 管理员
     */
    String AUTHORITY_ADMIN = "admin";

    /**
     * 权限: 版主
     */
    String AUTHORITY_MODERATOR = "moderator";

2、配置Security,主要是对授权的配置,因为认证使用原来的认证方案。所以没有登录认证的相关配置;此外,Security底层默认会拦截/logout请求,进行退出处理,为了执行我们自己的退出代码,要覆盖它默认的路径

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter implements CommunityConstant {

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/resources/**");  // 忽略静态资源
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 授权
        http.authorizeRequests()
                .antMatchers( 
                        "/user/setting",
                        "/user/upload",
                        "/discuss/add",
                        "/comment/add/**",
                        "/letter/**",
                        "/notice/**",
                        "/like",
                        "/follow",
                        "/unfollow"
                )
                .hasAnyAuthority(   // 以上路径有以下任意权限都可以访问
                        AUTHORITY_USER,
                        AUTHORITY_ADMIN,
                        AUTHORITY_MODERATOR
                )
                .anyRequest().permitAll() //除了antMatchers里的路径之外,其它任何请求都允许
                //.and().csrf().disable(); // 这是不启用防止CSRF

        // 权限不够时的处理
        http.exceptionHandling()
                .authenticationEntryPoint(new AuthenticationEntryPoint() {
                    // 没有登录
                    @Override
                    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
                        String xRequestedWith = request.getHeader("x-requested-with"); // 获取请求消息头的"x-requested-with"值
                        if ("XMLHttpRequest".equals(xRequestedWith)) {  //如果该值是"XMLHttpRequest",说明是异步请求 
                            response.setContentType("application/plain;charset=utf-8");  // 声明响应返回普通字符串(之后利用工具返回json字符串)
                            PrintWriter writer = response.getWriter(); //获取字符流
                            writer.write(CommunityUtil.getJSONString(403, "你还没有登录哦!"));// 响应应该是json字符串,通过工具去拼
                        } else {  // 否则,重定向
                            response.sendRedirect(request.getContextPath() + "/login");
                        }
                    }
                })
                .accessDeniedHandler(new AccessDeniedHandler() {
                    // 权限不足
                    // 同样分为同步和异步请求
                    @Override
                    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e) throws IOException, ServletException {
                        String xRequestedWith = request.getHeader("x-requested-with");
                        if ("XMLHttpRequest".equals(xRequestedWith)) {
                            response.setContentType("application/plain;charset=utf-8");
                            PrintWriter writer = response.getWriter();
                            writer.write(CommunityUtil.getJSONString(403, "你没有访问此功能的权限!"));
                        } else {
                            response.sendRedirect(request.getContextPath() + "/denied");
                        }
                    }
                });

        // Security底层默认会拦截/logout请求,进行退出处理.
        // 覆盖它默认的逻辑,才能执行我们自己的退出代码.
        http.logout().logoutUrl("/securitylogout");
    }

}

认证方案

Security框架中,会把认证信息封装到token里,token会被一个filter获取到,并存入security context里。之后授权的时候,都是从security context中获取token,根据token判断权限

1、查询某用户的权限
UerSevice.java
其实就是在根据用户userid查询type,type=1是管理员,2是版主, 3是普通用户。返回的是 GrantedAuthority类的集合

    public Collection<? extends GrantedAuthority> getAuthorities(int userId) {
        User user = this.findUserById(userId);

        List<GrantedAuthority> list = new ArrayList<>();
        list.add(new GrantedAuthority() {

            @Override
            public String getAuthority() {
                switch (user.getType()) {
                    case 1:
                        return AUTHORITY_ADMIN;
                    case 2:
                        return AUTHORITY_MODERATOR;
                    default:
                        return AUTHORITY_USER;
                }
            }
        });
        return list;
    }

2、LoginTicket拦截器在请求一开始就会判断凭证,可以在此时对用户进行认证,并构建用户认证的结果,存入SecurityContext,以便于Security进行授权.
LoginTicketInterceptor.java

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 从cookie中获取凭证
        String ticket = CookieUtil.getValue(request, "ticket");

        if (ticket != null) {
            // 查询凭证
            LoginTicket loginTicket = userService.findLoginTicket(ticket);
            // 检查凭证是否有效
            if (loginTicket != null && loginTicket.getStatus() == 0 && loginTicket.getExpired().after(new Date())) {
                // 根据凭证查询用户
                User user = userService.findUserById(loginTicket.getUserId());
                // 在本次请求中持有用户
                hostHolder.setUser(user);
                // 构建用户认证的结果,并存入SecurityContext,以便于Security进行授权.
                Authentication authentication = new UsernamePasswordAuthenticationToken(
                        user, user.getPassword(), userService.getAuthorities(user.getId()));
                SecurityContextHolder.setContext(new SecurityContextImpl(authentication)); //SecurityContext是通过SecurityContextHolder处理
            }
        }

        return true;
    }

	// 请求结束时,把保存的权限清理一下
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        hostHolder.clear();
        SecurityContextHolder.clearContext();
    }

3、退出登录时也清理一下认证

LoginController.java

    @RequestMapping(path = "/logout", method = RequestMethod.GET)
    public String logout(@CookieValue("ticket") String ticket) {
        userService.logout(ticket);
        SecurityContextHolder.clearContext();
        return "redirect:/login";
    }

CSRF

1、CSRF攻击原理:
某网站盗取了你(浏览器)的cookie凭证,模拟你的身份访问服务器,通常利用表单提交数据。
浅谈CSRF攻击方式
2、防止CSRF攻击原理
Security底层
在这里插入图片描述
Security会在每个表单中生成隐藏的token,防止CSRF攻击
在这里插入图片描述

3、异步请求时的处理
发帖异步请求,没有表单

A) 在 index.html 生成CSRF令牌

	<!--访问该页面时,在此处生成CSRF令牌.-->
	<meta name="_csrf" th:content="${_csrf.token}">
	<meta name="_csrf_header" th:content="${_csrf.headerName}">

异步请求由于没有表单,所以通过请求消息头将数据传给服务器
B) 在 index.js 里通过请求消息头将数据传给服务器

$(function(){
	$("#publishBtn").click(publish);
});

function publish() {
	$("#publishModal").modal("hide");

    // 发送AJAX请求之前,将CSRF令牌设置到请求的消息头中.
    // 这样在提交数据时就会带有相应的token
    var token = $("meta[name='_csrf']").attr("content");
    var header = $("meta[name='_csrf_header']").attr("content");
    $(document).ajaxSend(function(e, xhr, options){
        xhr.setRequestHeader(header, token);
    });

	// 获取标题和内容
	var title = $("#recipient-name").val();
	var content = $("#message-text").val();
	// 发送异步请求(POST)
	$.post(
	    CONTEXT_PATH + "/discuss/add",
	    {"title":title,"content":content},
	    function(data) {
	        data = $.parseJSON(data);
	        // 在提示框中显示返回消息
	        $("#hintBody").text(data.msg);
	        // 显示提示框
            $("#hintModal").modal("show");
            // 2秒后,自动隐藏提示框
            setTimeout(function(){
                $("#hintModal").modal("hide");
                // 刷新页面
                if(data.code == 0) {
                    window.location.reload();
                }
            }, 2000);
	    }
	);

}

由于启用了防止CSRF攻击后,对每个异步请求都要进行这样的处理,否则服务器得不到该token会认为是被攻击,会禁止访问

附:获取json字符串工具
    public static String getJSONString(int code, String msg, Map<String, Object> map) {
        JSONObject json = new JSONObject();
        json.put("code", code);
        json.put("msg", msg);
        if (map != null) {
            for (String key : map.keySet()) {
                json.put(key, map.get(key));
            }
        }
        return json.toJSONString();
    }

    public static String getJSONString(int code, String msg) {
        return getJSONString(code, msg, null);
    }

    public static String getJSONString(int code) {
        return getJSONString(code, null, null);
    }
小毛同学er
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
牛客网项目——项目开发(九):权限控制,数据统计
平什么阿的博客
06-01 815
文章目录1. 权限控制1.1 pom.xml1.2 废除原有拦截器1.3 授权配置1.4 SecurityConfig1.5 UserService增加用户权限1.6 LoginTicketInterceptor1.6.1 .preHandle1.6.2 afterCompletion1.7 LoginController1.8 CSRF 1. 权限控制 1.1 pom.xml <dependency> <groupId>org.springframework.boot</
(仿牛客社区项目)Java开发笔记7.1:权限控制
weixin_45700663的博客
07-24 539
(仿牛客社区项目)Java开发笔记7.1:权限控制
判断用户是否登录来决定访问权限
simple5960的博客
01-05 554
1.判断用户是否登录的函数 export const isLogin=()=>{ if(localStorage.getItem("token")) return true else return false } 2.如果用户登录就允许访问主要页面,如果没有就重定向 import './App.css'; import {Switch,Route ,Redirect} from 'react-router-dom' import {adminRoute
activiti7实战教程(一)集成用户系统
热门推荐
Good Luck
02-07 9万+
新建SpringBoot项目版本号2.6.3 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.a
Shiro实战教程之shiro中的授权04
helloworld工程师的博客
03-19 187
Shiro实战教程之shiro中的授权04 5.1 授权 授权,即访问控制控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。 5.2 关键对象 授权可简单理解为who对what(which)进行How操作: Who,即主体(Subject),主体需要访问系统中的资源。 What,即资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为t01的商品为资源实例,编号
JAVA后端工程师,牛客网后端项目源码,所有技术均采用全新版本 (不存在被deprecate掉的函数)
09-01
适用于牛客网后端项目学习,JAVA后端工程师项目补充
2022年牛客网-后端开发笔试题目
04-06
InnoDB、TCP、二叉树、线程、抽象类、范型、包装类型、判断比赛山脉、abb型字符、跑路问题、
后端开发框架】全面攻略:从基础到实战-markdown.zip
最新发布
06-21
# 后端开发框架【后端开发框架】全面攻略:从基础到实战 对于渴望在后端开发领域有所建树的你来说,掌握各种开发框架是必经之路。现在,我们为你呈现一份【后端开发框架】全面攻略,带你从基础到实战,全面领略后端...
后端开发入门与实战教程:从0到1打造高效Web应用.zip
04-04
这份"后端开发入门与实战教程:从0到1打造高效Web应用"的资源包,将引领初学者步入这一领域的殿堂,通过系统的学习和实践,使你能够构建出高效且稳定的Web应用。 首先,后端开发的基础知识主要包括编程语言、框架和...
微信小程序后端demo:仿微信:基于node(源代码+截图)
06-19
微信小程序后端demo:仿微信:基于node(源代码+截图)微信小程序后端demo:仿微信:基于node(源代码+截图)微信小程序后端demo:仿微信:基于node(源代码+截图)微信小程序后端demo:仿微信:基于node(源代码+截图)微信...
【Windows】牛客网赛工具(包括录屏and哈希)
04-23
牛客网赛工具(包括录屏and哈希)
安全认证之SecurityContextHolder
花&败
11-28 2万+
简介 1)SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 2) SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL...
RBAC权限字符串的比较
osillto的博客
07-13 1409
权限字符串用于校验当前用户访问的路径是否属于他的权限范围。 权限字符串的比较本质就是字符串的比较,这里想到了两种解决方法,一种是通过切割成为数组进行比较,另一种是组合成字符串使用kmp算法进行比较。 第一种:数组比较 因为读取数据库的权限字符串的顺序是固定的,所以每个权限字符串放入数组中存储时就会生成有序数组,这里需要注意一点,因为每个权限对应的访问路径可能有很多个,所以这就要在存储数据时使用符号分割开每个路径,在读取是将它们进行切割在存储。这样就会将长字符串比较简化为一个数组的比较,这种方式在数据读
RABC:权限模型
m0_56410670的博客
02-16 1011
Rabc:权限模型(每一个后台管理项目所必备的技能) 即:我们要做一个后台管理项目,比如***管理系统,通过这个系统,比如一个用户登录,有后多菜单,你要用那个就点开那个菜单,权限的意思是,有些菜单你看不到,比如说选课这个菜单老师用不到,所以老师看不到,但是学生可以看到,即用户谁登陆了显示相对应的菜单 后台管理,比如: 用户表 角色表 菜单 拿用户表举例: 先创建一张表放在数据库里,等到真的有用户时,就给他存进去,他就能登录了。 打开navicat,找到你创建的数据库,...
在spring security手动 自定义 用户认证 SecurityContextHolder
lemonzone2010的专栏
05-23 2万+
manually set an authenticated user in Spring Security 在spring security手动 自定义 用户认证 SecurityContextHolder //存放authentication到SecurityContextHolder SecurityContextHolder.getContext().setAuthentication(authentication); HttpSession session = request.getSession
SecurityContextHolder.getContext().setAuthentication(auth)重新设值
july_young的博客
11-09 1万+
String role = roleMapper.findByUserIdAndOrgId(AuthenticationUtils.getUserId(),po.getId()); SimpleGrantedAuthority grantedAuthority = new SimpleGrantedAuthority(role) ; List&lt;SimpleGrantedAuthorit...
权限管理 --- RBAC简单实现
qq_15832329的博客
12-04 713
1、RBAC模型 RBAC模型(Role-Based Access Control:基于角色的访问控制) 就是用户通过角色与权限进行关联 简单的说,一个用户拥有若干角色,每个角色拥有若干权限 这样,就构成了**“用户-角色-权限”**的授权模型 在这种模型中,用户与角色之间,角色与权限之间,一般都是多对多关系 2、表设计 from django.db import models from django.contrib.auth.models import AbstractUser from utils
权限设计——状态模式
10-31 1354
前一段公司准备开发一个二期项目,打算在原来的基础上新增一些功能模块,并且能够适合更多种用户使用。这样就面临一个问题,权限的设计问题。原来只是简单的分了几个角色,根据不同角色,分配不同的功能模块。这个让我想起了以前在学校做项目的时候,简单的分用户类型。没有想到来公司做项目后,还是使用这种,写死的东西,根本没法重用。         后来我提出了一个假设,如果我要新增加一个角色,要重新给他分配功能(
简单权限验证的方法
weixin_33862041的博客
06-01 202
权限验证一直是各类大大小小的系统中核心的问题。如果一个系统权限验证都只有是否两类情况,不存在多值的情况,可以考虑用一个整数保存权限。1。定义好各个功能在权限串中的位置,如 10001 的意义是新增文章权限 1修改文章权限 0删除文章权限 0搜索文章权限 0发送短信权限 1这里有一个限制,只能加,不能减少功能点,也就是在做设计时,必须仔细分析系统对应的功能点,并尽量细化,达到最小颗粒的状态。2。以论...
python Flask后端开发教程-介绍了框架使用方法,权限验证,orm操作数据库案例
04-10
本教程是关于Python Flask后端开发的全面指南,适合初学者和有一定经验的开发者。Flask是一个轻量级且易于使用的Web框架,特别强调灵活性和快速原型开发能力。在本教程中,你将学到: 1. Flask简介:Flask提供了一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值