简单的实现现在流行的权限验证(jwt+登入验证+角色权限验证)

最新推荐文章于 2022-11-05 17:22:10 发布
最新推荐文章于 2022-11-05 17:22:10 发布
阅读量1.8k 收藏 11
点赞数 6
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43157543/article/details/109444682
版权

简介

简单的先介绍一下这个小案例用到的功能或者实现的技术:

  • 首先这是前后端分离式
  • 使用jwt加密作为token
  • 实现登入验证
  • 实现角色验证

先看一下,测试过程图

  • 测试登入,获取token
    在这里插入图片描述
  • 测试登入成功:将token加入头部信息
    在这里插入图片描述
  • 测试登入失败
    1. token为空
    2. token被篡改
    3. token过期

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

  • 测试游客功能:
    刚刚获取的token里面包含角色信息,该角色等级为2(游客)
    在这里插入图片描述

  • 测试管理员功能
    管理员角色等级有1,游客是没有权限访问的
    在这里插入图片描述

详细

先看一下文件目录
在这里插入图片描述

这次采用的是jpa来做的,说实在的,我觉得还不如mybatis

repository层

在这里插入图片描述

servic层

  • 说明一点,这次测试登入没有密码,只要有用户名即可

@Service
public class UserService {
    @Autowired
    private UserRepository userRepository;

    public String login(String username){

        String token = null;
        User user = userRepository.fineByName(username);

        if (user != null){
            try {
                Map map = new HashMap();
                map.put("username",user.getUsername());
                map.put("role",user.getRole());
                token = JwtUtils.createJWT(UUID.randomUUID().toString(), "com.zzs",map);
            } catch (Exception e) {
                e.printStackTrace();
            }
        }

        return token;
    }
}

配置类

/***
 * mvc配置
 * 包括拦截器加载
 */
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new Myterceptor())
                .addPathPatterns("/democase/**")
                .excludePathPatterns("/**/login");

    }
}

注解类

/***
 * 角色等级
 */
@Target({ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface Role {
    int value();
}

拦截器:

  • 拦截器的功能才是重中之重
  • 登入验证和角色验证的逻辑都在这里实现


/***
 * 全局拦截配置
 * @author zzs
 */
public class Myterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws IOException {

//        // 如果不是映射到方法直接通过
//        if (!(handler instanceof HandlerMethod)) {
//            return true;
//        }

        //登入验证
        String token = request.getHeader("Authorization");
        System.out.println("请求token为:"+token);
        Claims claims = null;
        try {
             claims = JwtUtils.parseJWT(token);
        } catch (Exception e) {
          //  e.printStackTrace();
            return  ResponseUtils.returnFalse(response,500,e.getMessage());
        }


        // 判断该方法的访问权限,该角色权限等级是否能访问
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        Role role = method.getAnnotation(Role.class);
        if (role != null){
            Integer roleRange = (Integer) claims.get("role");
            //role等级越小,权限越高
            if (roleRange<=role.value()){
                return true;
            }
            else {
                return  ResponseUtils.returnFalse(response,500,"该用户权限过低,无法访问该接口");
            }
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }
}

controller层

  • 说明:省去了swagger的注解
@RestController
@RequestMapping("/democase/user")
public class UserController {

    @Autowired
    private UserService userService;


    @RequestMapping("/login")
    public ResultUtils login(@ApiParam(value = "username")String username) throws Exception {
       return new ResultUtils(userService.login(username),"OK",200);
    }

    @ApiOperation(value = "主页",httpMethod = "POST",response = Result.class)
    @ApiImplicitParams({
            @ApiImplicitParam(value = "Authorization",name = "Authorization",paramType  = "header", dataType = "String"),
    })
    @RequestMapping("/index")
    public ResultUtils index(){
        return new ResultUtils("index","OK",200);

    }

    @Role(2)
    @RequestMapping("/visitor")
    public ResultUtils visitor(){

        return new ResultUtils("游客可以使用的功能","OK",200);
    }

    @Role(1)
    @RequestMapping("/admin")
    public ResultUtils admin(){

        return new ResultUtils("管理员可以使用的功能","OK",200);
    }



}

最后补上 :

工具类

赵成默
关注
  • 6
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringSecurity+JWT项目实战之Java权限管理实战(四)--角色权限判断
daimeijin的博客
07-24 537
前言 本文是参考尚学堂SpringSecurity精讲,仅作为学习记录使用。 这个系列设计到的技术点如下: SpringSecurity Oauth2 SpringSecurity + Oauth2 SpringSecurity +JWT SpringSecurity + Oauth2 SpringSecurity + Oauth2 + JWT 背景 除了之前讲解的内置权限控制。Spring Security 中还支持很多其他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否具有特定的要求。
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
bobozai86的博客
05-23 1988
一、概念 1、什么是JWT Json Web Token (JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519) 该token被设计为紧凑且安全的 特别适用于分布式站点的单点登录(SSO)场景 随着JWT的出现 使得校验方式更加简单便捷化 JWT实际上就是一个字符串 它由三部分组成:头部 载荷和签名 用[.]分隔这三个部分 最终的格式类似于:xxxx.xxxx.xxxx 在服务器直接根据token取出保存的用户信息 即可对token的可用性进行校验 使得单点登
JWT验证登陆
weixin_43469563的博客
08-19 350
1.什么是jwt 双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。 2.Jwt在javaweb项目中的简单使用 第一步:引入maven依赖 &l..
Jwt添加用户角色
世界既不黑也不白,而是一道精致的灰。
08-23 1023
Jwt添加用户角色 1.打开authoricate控制器 2.找到登陆api,接下来会将身份角色加入到claim中 一.claim解析 2.api的权限就是根据claim要求 //1.确定你是不是你也就是登陆,是有航空公司决定的,确定你后,发放登机牌 //2.确定你能坐什么舱是机组人员的来决定的 //3.登陆和授权严格区分 1.这样登陆和授权分开,就不用再验证发生改变后,也改变授权了 2.claim是对于所有身份验证体系而言,jwt只是其中一个应用 二.角色的使用 var cl
聊一聊JWT
默默不代表沉默
11-18 1102
前言 看客们对于JWT,我估计大部分都是很熟悉的了。 但是不乏也存在初学者刚接触JWT,那么咱们走个流程,我先简单的在前言里介绍下JWT,因为该篇文章目的不是做JWT的使用介绍。 简单了解JWT 简单来讲,可以把JWT当作是一个写好的生成token令牌(字符串)的方法,使用JWT,就会生成 一个token 字符串。 说白了,就是一个签名的生成规则算法。 JWT生成的token示例: eyJhbGciOiJIUzUxMiJ9.eyJ1c2VySWQiOiIxMDAxIiwiaXNzI..
jwt 权限校验分配
噗嗤
04-25 518
springboot整合jwt实现token验证(入门) 简述 看这一篇文章需要结合我上一篇文章来看,这里代码实现我不会再全部粘上,这一篇没有的上一篇都有。这一篇是上一篇功能的升级版。 实现流程 定义角色分配的参数(role),存放到数据库中。 登录的时候,从数据库中取出定义的权限参数,生成到token当中。 从token中解析出role字段值。用于区分权限。(在这里我自定义了个注解) 解析token中的role和我注解分配的值比对。 代码实现 1、自定义注解 @Target({ElementT
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
通过Spring Boot的便捷性,Spring Security的安全性,JWT的无状态认证,MyBatis-Plus的高效数据操作,以及MySQL的稳定存储,实现了用户登录、角色分配、权限验证等功能,为开发人员提供了一个可参考的权限管理解决...
vue+egg+jwt实现登录验证的示例代码
10-16
主要介绍了vue+egg+jwt实现登录验证的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于SpringBoot+JWT+Vue的权限管理系统.zip
06-22
基于SpringBoot+JWT+Vue的权限管理系统源码,基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot...
springboot + VUE实现后台管理系统(集成JWT接口权限验证) #资源达人分享计划#
08-07
在本项目中,"springboot + VUE实现后台管理系统(集成JWT接口权限验证)"是一个典型的企业级应用开发实例,它结合了Spring Boot后端框架与Vue.js前端框架,旨在为开发者提供一个完整的、具备接口权限验证功能的后台...
JWT学习
开心就好的专栏
03-15 396
基本概念 jwt: JSON Web Token, 原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户, 比如生成这样的结构: { "userName": "test", "role": "Admin", "expire": 1584271948 } 之后,当用户与服务器通信时,客户在每次请求时都要带上这个JSON对象。服务器仅依赖于这个JSON对象来标识...
从零开始,构建前后端分离的博客系统三(jwt认证协议与RBAC用户角色权限的实践)
ykersimple的博客
01-24 854
因为期末考试加上种种原因,没有及时更新博客,趁着假期时间,将欠下的债补上。 在之前的博客系统代码中前端路由控制是通过登陆请求,成功返回uuid给前端,然后前端通过验证是否有uuid来实现前端路由的权限控制。在之后设计中,我意识到两个重要的问题 问题一: 当api获取方式只有我一个人知道的时候,这种api访问无控制问题或许无关紧要,但是当有其他人知道,并借此来攻击我的服务器,那么我的服务器就只能...
JWT权限验证教程详解 代码实例
半亩方糖
12-01 2710
JWT介绍JWT代码实例 JWT介绍 JWT(JSON Web Token)是目前比较流行权限验证方案。其实它更像是一种规范。 平时基于session的验证方式 用户登录 服务器在当前会话(session)里面储存登录的信息比如用户名和id 服务器向用户返回一个session_id,写入用户的cookie(下一次用用户再次请求的时候的验证) 用户再次请求的时候带上cookie(session_id) ,服务器session_id查询之前储存的数据,得知用户身份. 但是session验证又2个问.
jwt加入权限认证,权限认证完成以后才能操作对应的接口
fanqingdi092298的博客
06-16 244
实体entity package com.lucun.student.db.entity; public class User { /** * id */ private Long id; /** * 账号 */ private String username; /** * 密码 */ private String password; /** * 权限 */ pr
.NET Core 3.0 一个 jwt 的轻量角色/用户、单个API控制的授权认证库
hailang2ll的专栏
10-27 811
作者:痴者工良(朋友合作原创)来源:https://www.cnblogs.com/whuanle/p/11743406.html目录说明一、定义角色、API、用户二、添...
Spring Security整合JWT实现权限认证和授权
weixin_45818966的博客
11-05 4151
关于spring security整合jwt实现前后端权限认证和授权管理
Furion JWTHandler 获取角色Role 和 用户ID 的方法
05-10 1410
/// <summary> /// 获取系统描述 /// </summary> /// <returns></returns> [Authorize(Roles ="Admin,GetSystemInfo")]//多角色可访问用","分割 public string GetDescription() { return _systemS...
初步理解JWT并实践使用
热门推荐
小山半白的博客
01-12 11万+
  JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因...
jwt + casbin 实现rbac权限管理
最新发布
10-31
JWT是一种基于JSON的标准的...JWT用于验证用户身份并在请求中携带令牌,Casbin用于基于角色权限控制。这样可以有效管理系统中的角色权限关系,保证用户只能访问其拥有权限的资源,从而提高系统的安全性和可维护性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值