简单的权限验证

最新推荐文章于 2023-08-08 19:44:13 发布
最新推荐文章于 2023-08-08 19:44:13 发布
阅读量898 收藏 3
点赞数
分类专栏: 工具 文章标签: java spring 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51454454/article/details/127642550
版权

登录与授权

前言:如果采用spring家族进行后端开发,想要实现多用户多权限很容易联想到spring security,shiro两大常见框架,但是两者都有一定的学习成本,并且由于兼容了很多设计模式的思想,源码很复杂,短时间不容易上手。那么,我们能不能通过一些java基础知识实现呢?因此本文使用注解+拦截器实现多用户多权限功能。

多用户是什么?比如,课堂中有授课的老师,听课的学生,这就是两种类型的用户。

多权限是什么?老师拥有授课权限,学生具有听课权限。非学生无听课权限,非老师无授课权限,如学生无授课权限。

在这里插入图片描述

构建一个基本的多用户多权限应用场景,学生和教师可进入学校,教师可授课,学生可听课。在生活中是怎么实现的呢?门卫大叔查看你的学生或教师信息确认为本校人员,学生通过课程表进入可进入的教室听课,非课程表内的教室为其他用户占用,教师同理。

在这里插入图片描述

观察得,多用户多权限系统需要一个门卫查岗的系统,进入系统后用户根据用户身份拥有不同权限。那么我们怎么用java程序实现呢?我们可选择使用拦截器拦截除登录外的所有访问系统的路劲,实现“查岗”即登录操作。用户登录后我们返回前端一个标识用户的信息字段“token”字段,用户访问非登录路径时携带token字段,通过拦截器我们可以解析token获取用户拥有的权限,在访问具体的路径方法时,我们可以通过注解配置访问该路径方法需要的权限。如此便实现多用户多权限登录。

以下是结合代码进行实战:

我们先整理好一个开发的思路,首先是使用springboot进行开发,使用jwt加密传递的token字段,使用redis缓存不同的token键对应的用户信息值。使用拦截器拦截非登录方法,拦截时获取用户的权限,访问方法时通过注解获取方法需要的用户权限进行校验。

实现作用:使用用户类型标识用户权限,一个路径方法可配置多用户访问,用户可有多角色,用户拥有其中一种角色即可。适用于粗粒度系统。

注解

  • 登录注解

    @Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE, ElementType.METHOD})
public @interface LoginRequired {
}

  • 鉴权注解

    @LoginRequired//使用了登录注解,先登录再鉴权
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE, ElementType.METHOD})
public @interface PermissionRequired {
    /**
     * 角色,默认游客权限
     *
     * @return
     */
    UserType[] userType() default {UserType.VISITOR};
}

token

使用token时,可以使用jwt进行加密传输,同时可以在服务度对jwt进行加盐

//存入
String token = JwtUtil.createJWT("标识字段");    
redisCache.setCacheObject("盐"+"标识字段",user);
return token;
//取出
 标识字段 = JwtUtil.parseJWT(token).getSubject();
 User user = redisCache.getCacheObject("盐"+"标识字段");

易错点

注入拦截器到spring容器中,不注意的话,很容易犯下关于redistemplete的空指针异常。原因是拦截器是最先执行的,此时未初始化bean,因此在拦截类使用的redistemplete此时为空。

如,此时在拦截器内不能使用任何bean

@Configuration
public class MvcConfig implements WebMvcConfigurer {
    
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new LoginInterceptor())
                .addPathPatterns("/**");
    }
}

推荐写法为

@Configuration
public class MvcConfig implements WebMvcConfigurer {

    @Bean
    public LoginInterceptor getLoginInterceptor(){
        return new LoginInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(getLoginInterceptor())
                .addPathPatterns("/**")
        .excludePathPatterns("/login");
    }
}

还有一些比较基础的代码不在此阐述,比如在拦截器中查询用户的用户角色并缓存在redis中,并且校验。

下面的云盘包含所有代码以及sql,仅供参考。项目中采用的微信登录,读者可更改使用即可,不影响系统功能的完整性。

链接:https://pan.baidu.com/s/1mfBJioyA5C7pVAIYE3fLSw?pwd=wang
提取码:wang

本文参考了众多博客的思路,如侵权,请您联系。

伤心牛蛙
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Auth权限验证
08-23
TP5权限验证类(Auth)
exce 简单权限验证
05-17
excel 权限验证 用excel 做数据库,验证用户是否有权限查阅相关内容
自己动手实现简单权限控制
weixin_34032792的博客
01-23 125
   最近接手一小型私活,用户量封顶上千,工期预期的也相对宽松,权限控制当然是必不可少。    web 权限控制,很多项目会引入 shiro/spring-security。    shiro/spring-security 继承 servlet-->filter抽象接口,运用合适的设计模式,    通过拦截客户端请求,来实现各个角色对系统资源的访问权限。    一时兴起,有了自己实...
ASP.NET上用户权限验证
weixin_33701564的博客
07-26 123
ASP.NET在页面的Context.User里面放了一个实现IPrincipal的对象,用来实现对已验证用户的管理。ASP.NET系统中,通常采用的方式就是扩展这个Context.User,让它里面保存定制的信息。   1、扩展方式 扩展方式基本上有两种:直接利用GenericPrincipal和自己写一个实现IPrincipal的类。 Context.User = new Generi...
权限验证
m0_37487653的博客
03-10 1281
首先要写一个spring security配置类,用于设置springsecurity的控制默认权限,让springsercurity放行所有请求,但是要求任何请求必须是被验证过的。 @configuration @EnableWebSercurity 两个注解 ...
springMVC 用户登录权限验证实现过程解析
08-25
下面是一个简单的 Interceptor 实现用户登录权限验证功能的示例代码: ```java package com.huitong.util; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet....
SpringBoot使用AOP+注解实现简单权限验证的方法
08-25
SpringBoot 使用 AOP+注解实现简单权限验证的方法 SpringBoot 框架提供了强大的权限验证机制,以确保应用程序的安全性。其中一种方法是使用 AOP(Aspect-Oriented Programming)和注解来实现简单权限验证。本文...
详解.Net Core 权限验证与授权(AuthorizeFilter、ActionFilterAttribute)
10-17
在.NET Core中,权限验证与授权是Web应用安全的关键组成部分,用于确保只有经过授权的用户才能访问特定的资源。本文将深入探讨如何使用AuthorizeFilter和ActionFilterAttribute来实现这一目标。 AuthorizeFilter是...
如何做权限验证
lxy1106的专栏
11-17 1706
 首先每个按钮下面做: if (!UICommon.HasOperationRight(UserId, "commit", this))            {                return;            } 接着HasOperationRight方法定义为:       ///         /// 核实是否有对应页面(URL).相应操作的权限      
权限校验表设计
11-14
基于Dubbo Filter,每次请求时通过【调用方(用户令牌)+服务标识+被调接口+调用参数】访问权限管理微服务获取具体权限
简单权限管理
weixin_33923148的博客
03-01 106
单点登录成功以后会跳转到某A项目,A项目会有一个接口返回权限,返回格式如下就是所有权限数据都在统一等级的集合中,没有嵌套,所以只要写个全局的map就可以了store, 存储,获取permissAllMapmenu.vue 设置map,(这也可以写到store的action里去,更规范一些),如果A项目有改变权限的接口,在接口调用后需要commit PERMISS_ALL_MAP任意页面camel...
一个简单权限管理系统
MamyA的专栏
11-24 536
一个简单Java授权管理系统
简单的用户权限管理
有空就记记
05-21 1617
随着网站功能得增加,用户权限的管理成了新的问题,通过级别来确定用户权限已经不能满足要求,参考了一些论坛、整站程序的用户权限管理,不希望增加太多的记录和复杂的数据结构,于是准备这么设计:1、权限列表表power_list字段id自增字段,也用于识别权限位置power_name1,字符型10个字符够了,表达权限所属功能模块power_name2, 字符型10个字符够了,表达权限具体含义2、用户权限在用
极简权限认证必须掌握【代码+原理+建议收藏】
持续学习持续开发,我是雷学委!
07-18 1328
小白最近没有来问学委问题,不过前几天,有朋友问到如何进行访问控制,资源控制的,学委特地写了一篇。 这其实就是权限认证,理解并掌握其核心思想很重要,而且每个系统都避不开!下面一起看吧。 通常情况下,我们访问所有API都需要进行用户访问权限鉴定。比如判断当前访问的用户是什么人,什么角色。 下面基于商业办公楼安保系统来陈述。 今天去上班但是忘记带员工卡了 做为一个上班族,你去一个大型办公楼某一层楼办公/上班,想要进入不同楼层,商场物业会进行鉴定。 然后进入电梯打开按某一楼层。然后进入办公室之前还需要打开,这个滴
权限校验
iteye_19299的博客
11-12 168
package com.newer.liu.system.comment; import java.io.IOException;import java.lang.reflect.Method;import java.util.List; import javax.servlet.ServletException;import javax.servlet.http.HttpServletReq...
权限校验—接口检验
最新发布
一起加油吧~
08-08 3098
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限
简单通用的权限设计
lovexiaoqiu的博客
04-11 294
数据库的权限设计是开发中一个比较棘手的问题,一般来说,如果只是简单的后台管理系统的管理员和普通管理员权限管理,可以只涉及两个主要的方面,一个是 用户,一个是权限,数据库表也可以依照此标准来设计。比方说,user(用户表),action (权限表)。再加上一个中间表 user_action (用户权限表)。三张表,这个就可以满足基本的权限开发了。 对于权限而言,如果不想频繁的给用户添加多个权限,可以...
权限验证-JWT认证
Hello_super的博客
06-11 1149
JSON Web Token,通过数字签名的方式,以JSON对象为载体,在不同的服务终端之间安全的传输信息;
shiro权限验证代码
06-02
Shiro 是一个强大的 Java 安全框架,提供了身份认证、授权、加密等功能。以下是一个简单的 Shiro 权限验证代码示例: 1. 配置 Shiro 安全管理器 ```java // 创建一个 DefaultSecurityManager 对象 DefaultSecurityManager securityManager = new DefaultSecurityManager(); // 设置 Realm securityManager.setRealm(myRealm); // 将 SecurityManager 设置为全局的安全管理器 SecurityUtils.setSecurityManager(securityManager); ``` 2. 创建一个自定义 Realm 类 ```java public class MyRealm extends AuthorizingRealm { // 授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 获取当前用户 String username = (String) principals.getPrimaryPrincipal(); // 根据用户名查询该用户的角色和权限 Set<String> roles = userService.findRolesByUsername(username); Set<String> permissions = userService.findPermissionsByUsername(username); // 创建 SimpleAuthorizationInfo 对象,并设置角色和权限 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.setRoles(roles); authorizationInfo.setStringPermissions(permissions); return authorizationInfo; } // 认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 获取用户名和密码 String username = (String) token.getPrincipal(); String password = new String((char[]) token.getCredentials()); // 查询用户是否存在 User user = userService.findByUsername(username); if (user == null) { throw new UnknownAccountException("用户不存在"); } // 验证密码 if (!passwordEncoder.matches(password, user.getPassword())) { throw new IncorrectCredentialsException("密码错误"); } // 创建 SimpleAuthenticationInfo 对象,并设置用户名和密码 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password, getName()); return authenticationInfo; } } ``` 3. 在 Controller 中进行权限验证 ```java @Controller public class UserController { @RequiresPermissions("user:list") @GetMapping("/user/list") public String list() { // 用户列表页面 return "user/list"; } @RequiresPermissions("user:add") @GetMapping("/user/add") public String add() { // 添加用户页面 return "user/add"; } @RequiresPermissions("user:edit") @GetMapping("/user/edit") public String edit() { // 编辑用户页面 return "user/edit"; } } ``` 在上述代码中,@RequiresPermissions 注解表示该方法需要进行权限验证。如果当前用户拥有对应的权限,则可以访问该方法;否则将抛出 UnauthorizedException 异常。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值