权限校验—接口检验

已于 2023-08-08 19:54:43 修改
阅读量2.2k 收藏 12
点赞数 1
文章标签: java Spring Security 接口鉴权
于 2023-08-08 19:44:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43319713/article/details/132168826
版权

一、背景介绍

最近项目中要实现根据不同用户去划分不同的角色,而不同角色具备调用不同接口的权限这个功能。用户在调用接口时需要校验用户是否具有权限访问接口,防止外界恶意调用随意篡改


二、思路&方案

为什么要进行接口鉴权?

  1. 接口鉴权可以提供对接口访问的监控和追踪功能。通过记录和审计用户对接口的访问情况,可以及时发现异常行为和安全威胁,并采取相应的措施进行应对。
  2. 通过接口鉴权,可以限制对敏感数据的访问。只有具有相应权限的用户或应用程序才能获取敏感数据,从而保护数据的机密性和完整性。
  3. 接口鉴权可以实现对接口的细粒度访问控制。根据用户的身份、角色、权限等级等,可以控制用户对接口的不同操作和功能的访问权限,确保只有有权用户可以执行相应的操作。

接口鉴权是保证系统安全、数据保护和访问控制的重要机制,防止未经授权的访问、滥用和数据泄露,提高系统的安全性和可靠性。

@PerAuthorizre权限注解

作用:方法前拦截判断是否具备权限,用来控制被注解标记的类或方法是否能够被调用

好处

  1. 安全性增强:只有经过授权的用户才能执行带有 @PerAuthorizr 注解的代码,从而减少了潜在的安全漏洞和攻击风险。

  2. 标记权限:通过使用 @PerAuthorizr 注解,可以明确地标记哪些代码需要特定的权限才能执行。这有助于开发人员更好地了解代码的权限需求,并确保只有具有相应权限的用户或角色可以访问该代码。

底层实现

  1. 底层实现可能会使用 AOP 技术。通过 AOP,可以在代码执行之前或之后,根据注解的参数进行权限验证和授权操作。
  2. 可能会使用拦截器或过滤器来拦截请求,并进行权限验证和授权操作。拦截器或过滤器可以在请求到达目标代码之前对请求进行预处理,包括检查用户的权限和身份验证。
  3. 可能会使用缓存机制。通过缓存用户的权限信息,可以避免频繁地进行权限查询和验证,提高系统的响应速度。

使用

@PreAuthorize("")

调用别名为ss类的hasPermi方法,并传入参数

@ss注解

作用:自定义,定义了权限校验流程

结果:返回true则鉴权成功,false则返回403说明没有权限

使用

@ss.hasPermi('system:role:list')

调用别名为ss类的hasPermi方法,并传入参数

逻辑校验流程

第一步、定义@ss类,并添加hasPermi校验方法

  1.         获取传入用户的信息
  2.         判断用户信息的权限信息集合中是否含有定义的权限

第二步、在要鉴权的接口上添加@PreAuthorizez注解

三、过程

NS图

引入依赖

<!-- spring security 安全认证 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-core</artifactId>
    <version>5.5.8</version>
</dependency>

定义@ss类,并添加hasPermi校验方法

package com.example;

import org.springframework.stereotype.Service;
import org.springframework.util.CollectionUtils;
import java.util.Set;

/**
 * @BelongsPackage: com.example
 * @Description: 自定义权限实现
 * @Version: 1.0
 */
@Service("ss")
public class PermissionService {
    /** 所有权限标识 */
    private static final String ALL_PERMISSION = "*:*:*";


    /**
     * 验证用户是否具备某权限
     *
     * @param permission 权限字符串
     * @return 用户是否具备某权限
     */
    public boolean hasPermi(String permission) throws Exception {
        //判断是否传入权限字符
        if ( StringUtils.isEmpty(permission))
        {
            return false;
        }
        //获取用户信息
        LoginUser loginUser = SecurityUtils.getLoginUser();
        //判断是否有用户信息,或者用户信息中是否包含权限集合
        if ( StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getPermissions()))
        {
            return false;
        }
        //将权限设置到请求头中
        PermissionContextHolder.setContext(permission);
        //判断是否包含权限
        return hasPermissions(loginUser.getPermissions(), permission);
    }

    /**
     * 判断是否包含权限
     *
     * @param permissions 权限列表
     * @param permission 权限字符串
     * @return 用户是否具备某权限
     */
    private boolean hasPermissions(Set<String> permissions, String permission)
    {
        return permissions.contains(ALL_PERMISSION) || permissions.contains(StringUtils.trim(permission));
    }
}

字符串工具类

package com.example;

/**
 * @BelongsPackage: com.example
 * @Description: 字符串工具类
 * @Version: 1.0
 */
public  class StringUtils {
    /** 空字符串 */
    private static final String NULLSTR = "";

    /**
     * * 判断一个对象是否为空
     * @return true:为空 false:非空
     */
    public static boolean isNull(Object object)
    {
        return object == null;
    }

    /**
     * * 判断一个字符串是否为空串
     * @return true:为空 false:非空
     */
    public static boolean isEmpty(String str)
    {
        return isNull(str) || NULLSTR.equals(str.trim());
    }


    /**
     * 去空格
     */
    public static String trim(String str)
    {
        return (str == null ? "" : str.trim());
    }
}

权限信息

package com.example;

import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;

/**
 * @BelongsPackage: com.example
 * @Description: TODO
 * @Version: 1.0
 */
public class PermissionContextHolder {
    private static final String PERMISSION_CONTEXT_ATTRIBUTES = "PERMISSION_CONTEXT";

    public static void setContext(String permission)
    {
        RequestContextHolder.currentRequestAttributes().setAttribute(PERMISSION_CONTEXT_ATTRIBUTES, permission,
                RequestAttributes.SCOPE_REQUEST);
    }

    public static String getContext()
    {
        return Convert.toStr(RequestContextHolder.currentRequestAttributes().getAttribute(PERMISSION_CONTEXT_ATTRIBUTES,
                RequestAttributes.SCOPE_REQUEST));
    }
}

安全服务工具类

package com.example;

import org.springframework.http.HttpStatus;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;

/**
 * @BelongsPackage: com.example
 * @Description: 安全服务工具类
 * @Version: 1.0
 */
public class SecurityUtils {
    /**
     * 获取用户
     **/
    public static LoginUser getLoginUser() throws Exception {
        try
        {
            return (LoginUser) getAuthentication().getPrincipal();
        }
        catch (Exception e)
        {
            throw new Exception("获取用户信息异常");
        }
    }

    /**
     * 获取Authentication
     */
    public static Authentication getAuthentication()
    {
        return SecurityContextHolder.getContext().getAuthentication();
    }
}

登录用户身份权限

package com.example;

import lombok.Data;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import java.util.Collection;
import java.util.Set;

/**
 * @BelongsPackage: com.example
 * @Description: 登录用户身份权限
 * @Version: 1.0
 */
@Data
public class LoginUser implements UserDetails
{
    private static final long serialVersionUID = 1L;

    /**
     * 用户ID
     */
    private Long userId;

    /**
     * 部门ID
     */
    private Long deptId;

    /**
     * 用户唯一标识
     */
    private String token;

    /**
     * 登录时间
     */
    private Long loginTime;

    /**
     * 过期时间
     */
    private Long expireTime;

    /**
     * 登录IP地址
     */
    private String ipaddr;

    /**
     * 登录地点
     */
    private String loginLocation;

    /**
     * 浏览器类型
     */
    private String browser;

    /**
     * 操作系统
     */
    private String os;

    /**
     * 权限列表
     */
    private Set<String> permissions;


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return null;
    }

    @Override
    public String getUsername() {
        return null;
    }

    @Override
    public boolean isAccountNonExpired() {
        return false;
    }

    @Override
    public boolean isAccountNonLocked() {
        return false;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return false;
    }

    @Override
    public boolean isEnabled() {
        return false;
    }
}


四、总结

本文章对@PerAuthorizre注解结合项目具体如何进行鉴权进行了详细分析,我们在项目使用的过程中除了知道怎么用,也要知其所以然。

如果大家想要了解 spring sercurity+token安全机制是如何做的权限认证和授权,关于SpringSecurity如何集成JWT做的认证授权大家可以参考这篇博主的文章:SpringSecurity集成JWT认证框架_jwt spring security_哆木的博客-CSDN博客

小乔努力变强
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
vue路由权限校验功能的实现代码
10-15
主要介绍了vue路由权限校验功能的实现代码,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring AOP实现功能权限校验功能的示例代码
08-28
本篇文章主要介绍了Spring AOP实现功能权限校验功能的示例代码,小编觉得挺不错的,现在分享给大家,也给大家个参考。一起跟随小编过来看看吧
优雅的实现SpringBoot动态权限校验,可以这样
竹林幽深
01-17 72
关注公众号:woniuxgg,在公众号中回复:笔记 就可以获得蜗牛为你精心准备的java实战语雀笔记,回复面试、开发手册、有超赞的粉丝福利!
自定义接口并设置权限验证
qq_53480941的博客
10-29 4663
我们可以通过形如@PreAuthorize("@ss.hasPermi('system:xxx:xxx')")的格式授予前端访问的权限;我们可以通过在学生系统里边自定义一个权限验证的按钮;首先打开菜单管理里边的学生信息管理系统里添加一个按钮plain>权限验证debugTestalert("验证成功!");},后端在MystudentsController里边添加");}此时打开学生信息管理系统 里边多了一个权限验证按钮点击权限验证按钮。
Springboot通过注解+切面实现接口权限校验
最新发布
修行者Java的博客
03-19 550
先获取到注解@HasPermission 的内容,从redis中拿到当前用户的所有权限,如果当前用户不是超级管理员并且权限中不包含要请求的接口权限,就返回未授权。用户在登录时会查询数据库将所有权限存入redis,如果对该用户权限修改时,同步修改redis,这样每次请求接口时,都能从redis中拿到最新的权限。1.首先创建注解 @HasPermission ,跟普通注解创建方式基本一致。另外,还有一种权限校验的方式,可以参考若依的开源,类似这种。2.创建一个切面,用来请求接口前置校验
人脸识别web端.rar
06-08
1.只了张张嘴 2.传给后端的是第一张是被出来的人脸firstfaceImg 3.控制人脸识别框展示不展示的是.app-container增加或删除active类 if (navigator.mediaDevices) { console.log('当前设备可调用摄像头') $('.app-container').addClass('active') } else if (navigator.getUserMedia) { console.log('当前设备可调用摄像头') $('.app-container').addClass('active') } else { $('.app-container').removeClass('active') alert("当前设备不支持打开摄像头或无此权限!"); } 4.后端所有处理逻辑在sendImg()接口回调中 $.post('/sendImg',{ imgSrc: base64Img },(result)=>{ // TODO // 这里根据后端校验返回结果不同的处理结果 if(result.code == '100'){ // 验证不通过 $('#tipTxt').html('验证不通过'); this.resetFun() } }) 5.运行 全局安装 http-server 或 live-server cmd命令行中运行http-server 或 live-server
软件测试 接口测试 接口鉴权 token鉴权 Mock Server 接口加解密 接口签名sign
百晓生说测试的博客
05-17 2293
接口签名就是使用appid,appsecret,nonce(流水号),timestamp(时间戳),以及其他的各种参数按照一定的规则(一般是ASCII排序)组成用来识别你的账号有没有访问api接口权限的字符串,组成之后再进行加密,这个经过加密的字符串就是sign签名。流水号(nonce)是一串10位以上的随机一组数字或者随机的一组字符串。数字+字符串(guid)。timestamp一般10分钟之内有效。
记录一下若依权限的使用
热门推荐
个人博客 https://pnkx.top
05-21 3万+
封装了一个指令权限,能简单快速的实现按钮级别的权限判断。v-permission(opens new window) 使用权限字符串 v-hasPermi // 单个 <el-button v-hasPermi="['system:user:add']">存在权限字符串才能看到</el-button> // 多个 <el-button v-hasPermi="['sy...
http(三)接口动态鉴权
w_t_y_y的博客
05-26 7045
一、问题说明:接口如果是被同一个项目的前端项目调用,一般都是加了各种鉴权的,比如springsercurity+token安全机制,shiro 等框架都可以控制接口访问权限。但是如果接口是提供给外部调用,肯定是不需要登录的,所以需要在自身的权限控制中放开 该接口的token校验,这样就会造成安全问题,我们一般采取拦截器的方式,和第三方鉴权; 二、鉴权方法: 鉴权采用固定参数同样存在安全问题,容易被抓包获取到。所以一般带入动态的时间戳来鉴权,常用的鉴权逻辑是:...
vue自定义权限标签
succeedcow的博客
10-05 1万+
vue vuex 自定义权限标签
Web API接口鉴权方式
人间世
02-28 5121
介绍web API接口鉴权方式
深入浅出Git权限校验
02-01
借助上次“掉坑”的经历,我对Git权限校验的两种方式重头进行了梳理,形成了这篇总结记录。 在本地计算机与GitHub(或GitLab)进行通信时,传输主要基于两种协议,HTTPS和SSH,对应的仓库地址就是HTTPS URLs和SSHURLs。 首先需要强调的是,HTTPSURLs和SSHURLs对应的是两套完全独立的权限校验方式,主要的区别就是HTTPS URLs采用账
利用Spring Security角色权限校验
12-10
利用Spring Security角色权限校验,动态从数据库中查询是否有当前请求接口权限
基于python+springboot的针对Windows Server 2008 R2的基线安全检测系统源码+项目说明.zip
01-11
后台管理系统使用SpringBoot框架搭建,实现全局异常处理、拦截器、数据校验器等;整合thymeleaf,实现前后端分离;使用Shiro实现RBAC权限管理;使用Mybatis作为持久层框架,使用pageHelper实现分页;前端使用echarts...
WEB后台管理基础框架
01-26
11、系统数据权限校验(管理、创建人才可以修改) 12、Activity6工作流 13、RabbitMQ 消息(统计、操作、日志、流程等消息) 14、log4j日志推送到elasticsearch集成 15、thymeleaf自定义标签 16、文件系统(支持...
JEECG 开发指南v2.1.0
03-18
• 页面校验器:采用EasyUI检验机制,表单校验生成器也自动生成 • 封装完善的基础用户权限(用户\角色\权限\菜单,权限可控制到按钮) • 报表整合:Excel简易导出工具+Highcharts图形报表 • 工作流设计器让业务系统...
精易模块[源码] V5.15
03-21
返回值:0=最高,1=高于标准,2=实时,3=标准,4=低于标准,5=低,返回-1表示无权限访问进程。 2、新增“进程_置优先级”,特殊进程需要特权,设置一个进程的优先级别,成功返回真,失败返回假。 3、新增“窗口_取激活句柄...
jeecg-framework-v2.0 (最新源码)
01-05
• 页面校验器:采用EasyUI检验机制,表单校验生成器也自动生成 • 封装完善的基础用户权限(用户\角色\权限\菜单,权限可控制到按钮) • 报表整合:Excel简易导出工具+Highcharts图形报表 • 工作流设计器让业务系统...
SpringBoot系列 - 集成JWT实现接口权限认证
weixin_44981498的博客
06-21 789
一般来讲,对于RESTful API都会有认证(Authentication)和授权(Authorization)过程,保证API的安全性。 Authentication指的是确定这个用户的身份,Authorization是确定该用户拥有什么操作权限。 认证方式一般有三种 Basic Authentication 这种方式是直接将用户名和密码放到Header中,使用Authorization: Basic Zm9vOmJhcg==,使用最简单但是最不安全。 TOKEN认证 这种方式也是再HTTP头中,使用A
BeanPostProcessor接口
07-25
BeanPostProcessor接口Spring框架提供的一个扩展点,用于在Bean的实例化和初始化过程中对Bean进行后置处理操作。 BeanPostProcessor接口定义了两个方法: 1. postProcessBeforeInitialization(Object bean, String beanName):在Bean的初始化方法(如@PostConstruct标记的方法或自定义的init方法)被调用之前,对Bean进行额外的处理操作。它可以返回原始的Bean对象,也可以返回一个经过修改的Bean对象。 2. postProcessAfterInitialization(Object bean, String beanName):在Bean的初始化方法被调用之后,对Bean进行额外的处理操作。同样,它可以返回原始的Bean对象或经过修改的Bean对象。 通过实现BeanPostProcessor接口,我们可以在Bean的初始化过程中对其进行一些自定义的操作,例如在初始化前后进行日志记录、权限校验、AOP切面等。 需要注意的是,BeanPostProcessor接口中的这两个方法会被应用到容器中所有的Bean上,而不仅仅是某个特定的Bean。因此,在实现这个接口时,需要注意对应用范围的控制。 在Spring容器启动时,如果检测到BeanPostProcessor接口的实现类,Spring会自动将其注册到容器中,并在适当的时候调用这些实现类中的方法对Bean进行处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小乔努力变强

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值