简单的权限验证

最新推荐文章于 2024-08-03 21:02:21 发布
最新推荐文章于 2024-08-03 21:02:21 发布
阅读量894 收藏 3
点赞数
分类专栏: 工具 文章标签: java spring 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51454454/article/details/127642550
版权

登录与授权

前言:如果采用spring家族进行后端开发,想要实现多用户多权限很容易联想到spring security,shiro两大常见框架,但是两者都有一定的学习成本,并且由于兼容了很多设计模式的思想,源码很复杂,短时间不容易上手。那么,我们能不能通过一些java基础知识实现呢?因此本文使用注解+拦截器实现多用户多权限功能。

多用户是什么?比如,课堂中有授课的老师,听课的学生,这就是两种类型的用户。

多权限是什么?老师拥有授课权限,学生具有听课权限。非学生无听课权限,非老师无授课权限,如学生无授课权限。

在这里插入图片描述

构建一个基本的多用户多权限应用场景,学生和教师可进入学校,教师可授课,学生可听课。在生活中是怎么实现的呢?门卫大叔查看你的学生或教师信息确认为本校人员,学生通过课程表进入可进入的教室听课,非课程表内的教室为其他用户占用,教师同理。

在这里插入图片描述

观察得,多用户多权限系统需要一个门卫查岗的系统,进入系统后用户根据用户身份拥有不同权限。那么我们怎么用java程序实现呢?我们可选择使用拦截器拦截除登录外的所有访问系统的路劲,实现“查岗”即登录操作。用户登录后我们返回前端一个标识用户的信息字段“token”字段,用户访问非登录路径时携带token字段,通过拦截器我们可以解析token获取用户拥有的权限,在访问具体的路径方法时,我们可以通过注解配置访问该路径方法需要的权限。如此便实现多用户多权限登录。

以下是结合代码进行实战:

我们先整理好一个开发的思路,首先是使用springboot进行开发,使用jwt加密传递的token字段,使用redis缓存不同的token键对应的用户信息值。使用拦截器拦截非登录方法,拦截时获取用户的权限,访问方法时通过注解获取方法需要的用户权限进行校验。

实现作用:使用用户类型标识用户权限,一个路径方法可配置多用户访问,用户可有多角色,用户拥有其中一种角色即可。适用于粗粒度系统。

注解

  • 登录注解

    @Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE, ElementType.METHOD})
public @interface LoginRequired {
}

  • 鉴权注解

    @LoginRequired//使用了登录注解,先登录再鉴权
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE, ElementType.METHOD})
public @interface PermissionRequired {
    /**
     * 角色,默认游客权限
     *
     * @return
     */
    UserType[] userType() default {UserType.VISITOR};
}

token

使用token时,可以使用jwt进行加密传输,同时可以在服务度对jwt进行加盐

//存入
String token = JwtUtil.createJWT("标识字段");    
redisCache.setCacheObject("盐"+"标识字段",user);
return token;
//取出
 标识字段 = JwtUtil.parseJWT(token).getSubject();
 User user = redisCache.getCacheObject("盐"+"标识字段");

易错点

注入拦截器到spring容器中,不注意的话,很容易犯下关于redistemplete的空指针异常。原因是拦截器是最先执行的,此时未初始化bean,因此在拦截类使用的redistemplete此时为空。

如,此时在拦截器内不能使用任何bean

@Configuration
public class MvcConfig implements WebMvcConfigurer {
    
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new LoginInterceptor())
                .addPathPatterns("/**");
    }
}

推荐写法为

@Configuration
public class MvcConfig implements WebMvcConfigurer {

    @Bean
    public LoginInterceptor getLoginInterceptor(){
        return new LoginInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(getLoginInterceptor())
                .addPathPatterns("/**")
        .excludePathPatterns("/login");
    }
}

还有一些比较基础的代码不在此阐述,比如在拦截器中查询用户的用户角色并缓存在redis中,并且校验。

下面的云盘包含所有代码以及sql,仅供参考。项目中采用的微信登录,读者可更改使用即可,不影响系统功能的完整性。

链接:https://pan.baidu.com/s/1mfBJioyA5C7pVAIYE3fLSw?pwd=wang
提取码:wang

本文参考了众多博客的思路,如侵权,请您联系。

伤心牛蛙
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Eggjs笔记:关于JWT的接口权限验证
Wang的专栏
06-06 1312
关于接口的安全验证 基于 Session 的安全验证 Session 存储在服务器,用户用户比较少的话是一种简单的安全验证机制,但是涉及到跨域 的话需要进行一些配置 用户量非常非常大的话会耗费一定的服务器资源(中小项目不需要考虑) 对请求参数进行加密的签名验证 涉及公钥、私钥、签名等 JWT JWT 全称 JSON Web Token,是目前比较流行的另一种跨域身份验证解决方案 也是被很多人用坏的一种安全验证机制,具体需要看项目是否适合 关于 JWT的验证的流程 客户端请求接口登录,
1.2 使用JAVA自定义注解实现简单的自定义权限验证
林主席的博客
08-16 1755
前沿 权限认证是一个常见的需求,用自定义注解可以很简单的实现权限验证。废话不多说,直接讲解。 自定义注解 @Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interface RoleNum { //默认0为一般用户,1为普通管理员,2为超级管理员 ...
2024年网络安全最全极简权限认证必须掌握【代码+原理+建议收藏】_权限验证代码(1),如何成为杰出的程序员
2401_84239830的博客
05-07 784
res.cookie(‘token’, getTokenFromSession(user,req.session)) //token令牌用于客户端存储。//第三步,查询网站的用户令牌注册表,是否保护当前令牌对应的用户,否则显示令牌失效,类似拿错卡了。res.status(400).send(“您的token失效或者未登录,请登录!res.status(400).send(“您的token失效或者未登录,请登录!res.send(‘您已登录,用户’+req.session.name)
java权限验证_JavaSpring AOP 实现用户权限验证
weixin_42469546的博客
02-15 1678
每个项目都会有权限管理系统无论你是一个简单的企业站,还是一个复杂到爆的平台级项目,都会涉及到用户登录、权限管理这些必不可少的业务逻辑。有人说,企业站需要什么权限管理阿?那行吧,你那可能叫静态页面,就算这样,但你肯定也会有后台管理及登录功能。每个项目中都会有这些几乎一样的业务逻辑,我们能不能把他们做成通用的系统呢?AOP 实现用户权限验证AOP 在实际项目中运用的场景主要有权限管理(Authorit...
Java权限验证
qq_27416233的博客
11-14 2990
#Java权限验证   这里面我们进行一些简单权限验证,先从数据库建立关系来说起 ###建立数据库表 1.User表(用户) CREATE TABLE USER( id INT(11) PRIMARY KEY AUTO_INCREMENT COMMENT '用户id', userName VARCHAR(30) NOT NULL COMMENT '用户姓名', address...
自定义注解实现权限验证
欢迎一起学习交流
03-02 3410
一、前言 在我们写项目时,一个项目通常会有拥有不同角色的用户,在进入某个方法前,会判断该用户是否具有此权限,今天我们来用自定义注解实现一下这个功能。 二、业务场景 1.场景介绍 假如有一个学生管理系统,我们来对一个用户是否具有对学生管理这个模块操作的权限进行验证 2.数据库 存储用户基本信息的用户表 角色表 用户角色关联表 3.前情提示 在写权限验证之前要把登录功能并传入token,在token里保存登录用户的角色id(后面会用到) //登录 @Reque..
基于URL的权限验证流程总结
陌上花开,可缓缓归矣
04-30 6932
之前写过一篇博客:拦截器实现基于Url的权限管理,文章中讲解了怎么用拦截器实现url权限认证,这仅仅是权限管理的一部分。今天这篇博客就来说说一个项目完整的权限认证流程。1、 准备权限数据服务器启动时,通过InitListener监听器,将数据库中的权限信息查询出来,并放到ServletContext中。其中权限信息分两类:顶层菜单(系统管理)和其他权限信息url。ServletContext中放一些
权限验证框架Shiro使用详解
m0_54883970的博客
08-30 904
Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权。是一个很不错的安全框架。它能够干净利落地处理身份认证,授权,企业会话管理和加密。验证用户对用户执行访问控制,如:判断用户是否拥有角色admin。判断用户是否拥有访问的权限在任何环境下使用 Session API。例如CS程序。可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。单点登录(SSO)功能。...
Authorize权限验证
qq_34811513的博客
12-21 1867
项目中需要用到权限验证,但是没做过,经过一番学习,找到了个简单的实现,这里记录一下,防走丢。 项目使用的是.net freamwork 框架。 用户请求时,需要在请求头中带权限验证参数。 首先,建一个AuthorityFilterAttibute类,并集成AuthorizeAttribute。然后实现OnAuthorization方法,具体代码如下: public class AuthorityFilterAttibute : AuthorizeAttribute { ...
用户权限验证的两种方法
www.xqijun.top
03-30 2333
intercept、apo、filter过滤器都可以对业务请求进行拦截验证,我常用的主要是intercept和aop,使用起来也比较简单易上手。
exce 简单权限验证
05-17
excel 权限验证 用excel 做数据库,验证用户是否有权限查阅相关内容
springMVC 用户登录权限验证实现过程解析
08-25
下面是一个简单的 Interceptor 实现用户登录权限验证功能的示例代码: ```java package com.huitong.util; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet....
SpringBoot使用AOP+注解实现简单权限验证的方法
08-25
SpringBoot 使用 AOP+注解实现简单权限验证的方法 SpringBoot 框架提供了强大的权限验证机制,以确保应用程序的安全性。其中一种方法是使用 AOP(Aspect-Oriented Programming)和注解来实现简单权限验证。本文...
详解.Net Core 权限验证与授权(AuthorizeFilter、ActionFilterAttribute)
10-17
在.NET Core中,权限验证与授权是Web应用安全的关键组成部分,用于确保只有经过授权的用户才能访问特定的资源。本文将深入探讨如何使用AuthorizeFilter和ActionFilterAttribute来实现这一目标。 AuthorizeFilter是...
Auth权限验证
08-23
在IT行业中,权限验证是确保系统安全性和数据保护的关键环节。在PHP开发框架ThinkPHP5(简称TP5)中,Auth权限验证类提供了一种高效且灵活的方式来管理用户权限,控制不同用户对不同资源的访问权限。这个类帮助...
J031_使用TCP协议支持与多个客户端同时通信
最新发布
lzn20161229的博客
08-03 189
使用TCP协议支持与多个客户端同时通信。
SpringBoot+Vue图书(图书借阅)管理系统-附项目源码与配套文档
m0_74283290的博客
08-03 610
本论文阐述了一套先进的图书管理系统的设计与实现,该系统采用Java语言,结合现代Web开发框架和技术,旨在为图书馆提供高效、灵活且用户友好的资源管理解决方案。系统利用Spring Boot框架为核心,整合MyBatis ORM工具,以及MySQL数据库,构建了一个高性能、可扩展的后端服务。前端界面则采用了Vue.js框架,以提供流畅的用户交互体验。论文首先进行了详尽的需求分析,确定了系统的核心功能,包括图书的添加、编辑、删除、查询,读者的注册、登录、个人信息管理,以及图书的借阅、归还、续借流程。
社区养老服务小程序的设计
Karen198的博客
07-31 529
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
shiro权限验证代码
06-02
以下是一个简单的 Shiro 权限验证代码示例: 1. 配置 Shiro 安全管理器 ```java // 创建一个 DefaultSecurityManager 对象 DefaultSecurityManager securityManager = new DefaultSecurityManager(); // 设置 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值