【权限管理】使用cookie,session实现权限管理

已于 2022-04-11 19:20:55 修改
阅读量2.1k 收藏 7
点赞数 2
分类专栏: 微服务 文章标签: java intercepter spring cookie/session 权限管理
于 2022-04-11 19:20:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42798851/article/details/124106834
版权

【权限管理】使用cookie,session实现权限管理

其他文章可以通过菜单查看:【BookCase 菜单】

1、前言

是时候给小项目加上权限系统了,初步使用SSO(Single Sign On)单点登录。

什么是单点登录? 所谓单点登录就是在多个系统中,用户只需一次登录,各个系统即可感知该用户已经登录。

例如一开始我们有OA系统,有进销存系统,有CRM系统,各个系统都有自己的用户管理,登录起来太麻烦了,假如我们做到账户一次登录全部使用,SSO的作用就是这个。

我们一步步来,这里先通过session模拟登录功能并控制权限管理。

2、使用

说到SSO,就不得不提Cookie和Session,当用户在浏览器访问数据的时候,就会产生会话Session。 会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。

2.1、Cookie

Cookie 由于Http协议是无状态的,什么是无状态?就是当我们使用浏览器访问的时候,所有的Http请求都是相同的,并且无法感知到用户的信息。 这个时候就需要一种技术来识别是那个用户在操作,Cookie 就是来确认用户信息而产生的技术。

Cookie 协议是一种标准,在java中有相应的实现,具体在Servlet中。 示例:


@RestController
@RequestMapping(value = "/test")
public class TestController {

    @RequestMapping("/setCookie")
    public String setCookie(HttpServletRequest request, HttpServletResponse response) {
        Cookie cookie = new Cookie("username", "password");
        cookie.setMaxAge(10);
        cookie.setPath("/");
        // 只允许http 协议传输
        cookie.setHttpOnly(true);
        // 设置域名
//        cookie.setDomain("");
        // 只允许https
        cookie.setSecure(false);
        // 注释
        cookie.setComment("");
        // cookie 协议版本 默认 0 netspace 版本 1 RFC 2109 版本
        cookie.setVersion(0);
        response.addCookie(cookie);
        return "username";
    }

    @RequestMapping("/getCookie")
    public String getCookie(HttpServletRequest request) {
        Cookie[] cookies = request.getCookies();
        for (Cookie cookie : cookies) {
            System.out.println(cookie.getName());
            System.out.println(cookie.getValue());
            return "获取cookie成功,执行业务!";
        }
        return "获取cookie失败!重新获取";
    }
}

示例中只是模拟Cookie 的使用,没有使用最原始的Servlet写法。 通过先访问 /setCookie,再访问 /getCookie 如果浏览器没有禁用Cookie,可以看到控制台打印Cookie中的内容。

通过这种方式可以确认用户的登录,用户的访问等信息。

  • Cookie的特点

如上述代码所示:

Cookie 可以设置过期时间 setMaxAge,单位s,默认-1不过期。

为了保证安全,可以设置只允许Http协议访问 cookie.setHttpOnly(true);

设置只允许Https协议访问 cookie.setSecure(true);

设置域名,必须以 . 开始, cookie.setDomain(“.baidu.com”);

设置作用路径,必须以/结尾, setPath(“/a/”)

还有一些其他设置等。Cookie无法被修改和删除,假如设置同样的Cookie会发送覆盖,覆盖内容是value和maxAge。 其他的设置必须相同。

  • Cookie的缺点

Cookie允许被js等拦截解析,不安全。 如果浏览器禁用Cookie,那么Cookie将无法被使用。 Cookie可以保持文本文件和二进制文件,其他信息无法被保存。

2.2、Session

Session 是与Cookie协同工作产生。Cookie是用户信息存储在浏览器中,而Session的信息是存储在服务器端。

Session代表就是一次会话,当浏览器打开访问会话产生,浏览器关闭会话结束。 也就是说我们访问一个网站,假如在打开之后,进行购物,加入购物车,结账都是一次会话产生的内容。

示例:


@RestController
@RequestMapping(value = "/test")
public class TestController {
    @RequestMapping("/setSession")
    public String setSession(HttpServletRequest request, HttpServletResponse response) {
        HttpSession session = request.getSession();
        session.setAttribute("username", "password");
        session.setMaxInactiveInterval(10);
// 获取创建时间,毫秒数
        long creationTime = session.getCreationTime();
        return session.getId();
    }

    @RequestMapping("/getSession")
    public String getSession(HttpServletRequest request, HttpServletResponse response) {
        HttpSession session = request.getSession();
        Object username = session.getAttribute("username");
        // 获取创建时间,毫秒数
        long creationTime = session.getCreationTime();
        // 获取所有session keys
        Enumeration<String> attributeNames = session.getAttributeNames();
        while (attributeNames.hasMoreElements()) {
            System.out.println(attributeNames.nextElement());
        }
        // 是否新创建
        boolean aNew = session.isNew();
        // 立即过期
//        session.invalidate();
        return String.valueOf(username);
    }
}
  • Session的特点

session 可以执行set get放入session 内容,例如用户信息等。
用户在访问服务器时候创建session,但是只有访问jsp或者servlet才会有。并会生成一个唯一的id,可以通过getCreationTime获取创建时间,通过getId获取唯一id。

session 默认过期时间是30分钟。可以通过setMaxInactiveInterval设置过期时间,单位秒。
session 可以执行删除操作,也就是立即过期invalidate。由于可以设置过期时间,也就可以产生登录延时操作。

session 和 Cookie 是协同工作的,生成sesson 之后会返回给浏览器sessionId。

如果浏览器cookie 被禁用,那么sessionId如何进行传输?这个时候可以通过重定向进行传输sessionId。

Cookie 和 Session 参考博客:https://www.cnblogs.com/l199616j/p/11195667.html

2.3、模拟登录验证

@RestController
@Api(value = "用户登录", tags = "用户登录")
@RequestMapping("/login")
@Slf4j
public class LoginController {


    static Map<String, String> usersMap = new HashMap<>();

    static {
        usersMap.put("user1", "123456");
    }

    @GetMapping("")
    @ApiOperation(value = "用户登录", notes = "用户登录")
    @ApiImplicitParams({
            @ApiImplicitParam(name = "username", value = "用户名"),
            @ApiImplicitParam(name = "password", value = "密码"),
    })
    public Result<String> login(HttpServletRequest request,
                                @RequestParam(name = "username",required = false) String username,
                                @RequestParam(name = "password",required = false) String password) {
        if(StringUtils.isEmpty(username)|| StringUtils.isEmpty(password)){
            return Result.fail("用户名或账号密码未填写,请正确输入");
        }
        // 判断登录
        if (!usersMap.containsKey(username) || !usersMap.get(username).equals(password)) {
            return Result.fail("用户名或账号密码不正确,请重新登录");
        }

        HttpSession session = request.getSession();
        session.setAttribute("loginUser", username);

        return Result.success("登录成功!");
    }

    @GetMapping("/logOut")
    @ApiOperation(value = "用户登出", notes = "用户登出")
    public Result<String> logOut(HttpServletRequest request) {
        request.getSession().invalidate();
        log.info("" + request.getSession().getMaxInactiveInterval());
        return Result.success("登出成功!");
    }

    @GetMapping("/islogin")
    @ApiOperation(value = "判断是否登录", notes = "判断是否登录")
    public Result<String> islogin(HttpServletRequest request) {

        HttpSession session = request.getSession();
        Object loginUser = session.getAttribute("loginUser");

        if (Objects.isNull(loginUser)) {
            return Result.fail("账号未登录,请重新登录!");
        }

        return Result.success("账号已登录!");
    }
}

这里不能调用接口验证是否登录,添加拦截器,这里应该重定向到登录页面,没有页面,所以直接返回了验证结果未登录
示例:

@Component
@Slf4j
public class PermissionIntercept extends HandlerInterceptorAdapter {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        log.debug("preHandle ...");

        HttpSession session = request.getSession();

        Object loginUser = session.getAttribute("loginUser");
        
        if (Objects.isNull(loginUser)) {
            // 重定向到登录页,这里没有设置前端,重定向到验证返回错误
            response.setStatus(302);
            response.setHeader("location", request.getContextPath()+"/login/islogin");
            return false;
        }
        
        return super.preHandle(request, response, handler);
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        log.debug("postHandle ...");
        super.postHandle(request, response, handler, modelAndView);
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
         log.debug("afterCompletion ...");
    }
}

并添加到拦截器排除登录URL:


@Component
public class WebConfig implements WebMvcConfigurer {

    @Resource
    private PermissionIntercept permissionIntercept;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(permissionIntercept).excludePathPatterns("/login/**","/doc.html");
        WebMvcConfigurer.super.addInterceptors(registry);
    }
}

以上Result为统一返回结构对象:

@Data
@ApiModel(value = "统一响应消息报文")
public class Result<T> implements Serializable {

    private static final long serialVersionUID = 1L;

    @ApiModelProperty(value = "状态码", required = true)
    private int code;

    @ApiModelProperty(value = "消息内容", required = true)
    private String msg;

    @ApiModelProperty(value = "时间戳", required = true)
    private long time;

    @ApiModelProperty(value = "业务数据")

    @JsonInclude(JsonInclude.Include.NON_NULL)
    private T data;

    private Result() {
        this.time = System.currentTimeMillis();
    }

    private Result(ResultCode resultCode) {
        this(resultCode, null, resultCode.getMessage());
    }

    private Result(ResultCode resultCode, String msg) {
        this(resultCode, null, msg);
    }

    private Result(ResultCode resultCode, T data) {
        this(resultCode, data, resultCode.getMessage());
    }

    private Result(ResultCode resultCode, T data, String msg) {
        this(resultCode.getCode(), data, msg);
    }

    private Result(int code, T data, String msg) {
        this.code = code;
        this.data = data;
        this.msg = msg;
        this.time = System.currentTimeMillis();
    }

    public static <T> Result<T> success(String msg) {
        return new Result<>(ResultCode.SUCCESS, msg);
    }

    public static <T> Result<T> data(T data) {
        return data(ResultCode.SUCCESS.getCode(), data, ResultCode.SUCCESS.getMessage());
    }

    public static <T> Result<T> data(int code, T data, String msg) {
        return new Result<>(code, data, data == null ? "返回数据为空" : msg);
    }

    public static <T> Result<T> fail() {
        return new Result<>(ResultCode.FAILURE, ResultCode.FAILURE.getMessage());
    }

    public static <T> Result<T> fail(String msg) {
        return new Result<>(ResultCode.FAILURE, msg);
    }

    public static <T> Result<T> fail(int code, String msg) {
        return new Result<>(code, null, msg);
    }
}

错误码枚举对象:

@Getter
public enum ResultCode {
    /**
     * 操作成功
     */
    SUCCESS(200, "操作成功"),
    /**
     * 业务异常
     */
    FAILURE(400, "业务异常"),
    ;

    private int code;
    private String message;

    ResultCode(int code,String message){
        this.code = code;
        this.message = message;
    }
}
  • 测试

直接访问获取数据:

在这里插入图片描述

点击登录后测试获取数据:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZntShBTL-1649675753211)(img_4.png)]

3、总结

通过cookie 和 session 来控制权限系统是servlet最原生的权限管理,也是最基础的权限管理。

特点简单易用,功能齐全。

后续会继续结合RBAC权限模型修改session登录,并逐步替换成Spring Security + JWT 进行权限管理。

感谢观看。

燃尽余火
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET LayUI权限管理系统源码
06-07
一、源码描述 1、前后端分离(没有sessioncookie,只有token),方便微信,APP端等二次开发。每个角色可以控制在多个模块或者混合模块(如XX模块的新增,OO模块的更新) 2、预览地址:http://121.42.8.166:8888 二、功能特点 1、token具有绝对时间性,过期必定失效,而且到一定时间自动更新成新token,过渡旧token。 2、经典三层架构,BLL层负责各类逻辑判断(包括获取参数,手机浏览器和PC端,外带try异常捕捉)。 3、数据库操作采用ADO.NET 模式(codefirst已放弃,后期很麻烦,还难调试)。 4、该权限系统精确控制到每一条命令,并且采用缓存机制减少多余的数据库权限验证操作。 三、初次运行说明 在文件夹里有说明文档。 四、注意事项 1、同一个账号同时多个浏览器(包括手机浏览器)登陆,后者挤掉前者。 2、如果要进行微信、App开发只需要拓展出接口即可。 五、各类版本 LayUI :2.5.6 MVC5 :5.2.6.0 开发工具
session存储、登录认证、权限认证解决方案
S_duxiu的博客
08-25 1507
8-25 session存储、登录认证、权限认证解决方案初步学习 本章节将围绕登录功能的实现,来搭建 sessin存储方案 登录认证方案 权限验证方案 一、整体思路分析 1.1 登录思路 登录的目的: 生成token令牌:在登录之后,当访问那些需要登录才能访问的接口时,放置令牌在请求中是证明我们登录过的手段 存储session到数据库:session是什么,为什么要存储session,后面会介绍到 整体思路分析 效验数据:验证账号密码是否正确 写session:提供我们在项目的任何地方 .
Java网络开发(Session)—— 从http请求 到 cookiesession & 用 session控制 删改数据的权限
Perley620的博客,专注后端领域
06-10 1036
1.http请求是无状态的,因此出现了cookie; 2.cookie不安全,里面的值可以被随便改; 3.用cookie里的JESSIONID值对应服务的session存储空间; 4.在服务器的这个空间里保存信息,记录登陆成功的user; 5.在删改时,每次浏览器请求,cookie也会发给服务器,服务器用cookie里的JESSIONID找到对应的session区域,然后再找到这个session中的用户信息,就能控制删改权限
springsecurity oauth2.0 基于session的认证授权(intercepter拦截器)2
健康平安的活着的专栏
07-31 2003
一 基于session的认证流程 1.1 认证流程 基于session的认证流程为: 用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发 给客户端的 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户退出系统或session过期销毁时,客户端的session_id也就无效了。 流程如下: 基于Session的认证机制由Servlet规范定制.
Java-Web】利用Session和Filter进行权限管理
m0_65679465的博客
11-28 1075
使用浏览器的时候,浏览器如何保存我们的个人信息呢?有两种方法,一个是Cookie,一个是Session,区别在于,前者是在客户端保存,即我们的电脑或手机等设备上本地保存;后者是在服务器端保存,不需要占用我们本地的空间。
功能:Session与Vue:登录获取权限,并完成session存储
qq_43548684的博客
12-14 6944
有问题的话,或者有更优解,请各位大佬指出来哇哇哇~~~
实现Vue登录和权限控制及注意事项
weixin_45239190的博客
03-10 1869
实现登录页面以及不同权限下显示对应菜单
Java Web项目登录session管理的简单实现
wangpei930228的博客
10-22 1087
使用场景: 管理员修改用户权限信息后,需要将用户强制下线,重新登陆以获取最新权限。 由于并不需要记录用户的其他信息,所以我使用了一个静态对象来管理用户相关的session. 处理逻辑 1.用户登录时记录用户session信息到一个静态对象中。 @RequestMapping(value = "/success")@ResponseBodypublic Result<List<String>> success(HttpServletRequest request, Http
Session权限验证实战
m0_63926154的博客
09-08 486
不是所有用户都会展示所有数据,假如只有管理员可以查看所有用户信息,而可能有人不从登录页进入,而是直接进入展示用户页面,这个时候就需要权限验证了,验证用户是否登录,使用session来验证,因为它的存储域更加广是在一次会话有效,而转发只能是一次请求有效。
ASP.NET权限管理系统源码
05-29
1、前后端分离(没有sessioncookie,只有token),方便微信,APP端等二次开发。每个角色可以控制在多个模块或者混合模块(如XX模块的新增,OO模块的更新) 2、预览地址:http://121.42.8.166:8888 二、功能特点 ...
使用PHP会话(Session)实现用户登陆功能
01-20
对比起 CookieSession 是存储在服务器端的会话,相对安全,并且不像 Cookie 那样有存储长度限制,本文简单介绍 Session使用。由于 Session 是以文本文件形式存储在服务器端的,所以不怕客户端修改 Session 内容...
Nodejs中的JWT和Session使用
01-20
最近的项目需要在node服务端做一个用户登录的校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWT和Session 使用JWT JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,...
在Django的session使用User对象的方法
12-24
Django 用户认证系统处理用户帐号,组,权限以及基于cookie的用户会话。 这个系统一般被称为 auth/auth (认证与授权)系统。 这个系统的名称同时也表明了用户常见的两步处理。 我们需要 验证 (认证) 用户是否是他所...
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 416
都是符合我们的预期的。
java方法重写(重点讲),方法重载
最新发布
weixin_46281068的博客
04-27 490
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1510
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 671
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
Lambda表达式特点
weixin_57763462的博客
04-24 632
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
第5 章 Consul服务注册与发现
a13763926743的博客
04-22 786
consul官网地址。
addroutes实现权限路由
05-24
addroutes 是一个 gin 框架中的方法,用于为路由添加权限控制。实现权限路由需要以下步骤: 1. 定义一个中间件,用于验证用户权限。该中间件可以通过检查用户的 token 或 session 信息来确定用户是否有权限访问该路由。 2. 在路由中使用该中间件,以确保只有具有相应权限的用户可以访问该路由。 例如,假设我们有一个 /admin 路由,只有具有 admin 权限的用户才能访问该路由。可以按照以下步骤实现: 1. 定义一个名为 AuthMiddleware 的中间件,用于验证用户权限。 ```go func AuthMiddleware() gin.HandlerFunc { return func(c *gin.Context) { // 检查用户权限,例如检查用户 token 或 session 信息 // 如果用户没有权限,返回错误响应或重定向到登录页面 // 否则,继续处理请求 c.Next() } } ``` 2. 在路由中使用 AuthMiddleware 中间件,以确保只有具有 admin 权限的用户才能访问该路由。 ```go router := gin.Default() adminGroup := router.Group("/admin") adminGroup.Use(AuthMiddleware()) { adminGroup.GET("/", func(c *gin.Context) { // 处理请求 }) } ``` 在这个例子中,只有具有 admin 权限的用户才能访问 /admin 路由。如果用户没有权限,AuthMiddleware 中间件会拦截请求,并返回错误响应或重定向到登录页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值