使用拦截器和JWT实现Java后端接口的权限访问控制

最新推荐文章于 2024-07-09 21:42:50 发布
最新推荐文章于 2024-07-09 21:42:50 发布
阅读量4.5k 收藏 24
点赞数
文章标签: java 后端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshihedayu/article/details/122753415
版权

最近发现,后端接口的权限访问控制通过使用springmvc里面的拦截器,就能够实现,方法比较简单,这里做一些总结。

1、在登录接口查询数据库中的用户信息和权限信息,得到当前用户相关的权限,然后把权限信息添加到JWT的字符串里面,经过加密以后生成token,将token作为响应数据,传递给前端。

2、定义一个拦截器,从请求头当中取出token,对token进行解密,得到里面的权限信息,然后获取当前访问接口的名称,与token中的权限信息进行比对,如果用户拥有当前接口的权限,就允许访问,否则就抛异常,代码如下

@Component
public class JwtInterceptor implements HandlerInterceptor {

    @Autowired
    private JWTUtils jwtUtils;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String authorization = request.getHeader("Authorization");
        if (!ObjectUtils.isEmpty(authorization) && authorization.startsWith("Bearer")){
            String token = authorization.replace("Bearer ", "");
            DecodedJWT jwt = jwtUtils.verifyToken(token);
            if (jwt!=null){
                //判断token是否拥有接口的权限
                HandlerMethod handlerMethod= (HandlerMethod) handler;
                String name = handlerMethod.getMethodAnnotation(RequestMapping.class).name();
                String perms = jwt.getClaim("perms").asString();
                if (perms.contains(name)){
                    request.setAttribute("user_jwt",jwt);
                    return true;
                }
                throw new CommonException(ResultCode.UNAUTHORISE);
            }
        }
        throw new CommonException(ResultCode.UNAUTHENTICATED);
    }
}

3、在接口的注解部分,加上name属性,用于和权限标识进行比对,代码如下

@PostMapping(value = "/user",name = "user-save")
public Result save(@RequestBody User user)
woshihedayu
关注
  • 0
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 接口访问权限_详解Java之路(五) 访问权限控制
weixin_29023445的博客
02-12 4052
Java中,所有事物都具有某种形式的访问权限控制。访问权限控制等级从最大到最小依次为:public,protected,包访问权限(无关键词)和private。public,protected和private这几个Java访问权限修饰词在使用时,是置于类中每个成员(域或者方法)定义之前的。一、类成员的访问权限取得对某成员的访问权的唯一途径是:1).使该成员成为public。无论谁在哪里,都可以...
java后端用户管理接口实现
qq_45179361的博客
02-09 1741
实现java后端用户管理接口,数据库使用msyql。
基于JWT 和 Shiro 做接口权限认证
Karka_的博客
06-20 604
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
Java后端真实面试题大全(有详细答案)--高频/真题
热门推荐
IT利刃出鞘的博客
11-24 13万+
本文分享Java后端真实高频面试题,有详细答案,保你稳过面试。题目包括:Java基础、多线程、JVM、数据库、Redis、Shiro、Spring、SpringBoot、MyBatis、MQ、ELK、SpringCloud、设计模式等。 本博客包含从简单到困难、从高频到低频的题目,适合所有Java求职者,包括:刚入门的、三年以内经验、三到五年经验、五到十年经验等。
后端学习1.3 利用JWT生成、验证token;对特定接口配置拦截器
Congee_porridge的博客
08-02 1028
利用JWT生成token,token中包含用户名等信息;实现token反解析用户名功能。配置拦截器,用户工作日志接口需在header中提供Token才能放行。并利用拦截器和方法注解验证Token是否过期、是否提供;若未提供,请抛出异常状态。...
SpringBoot+JWT实现用户接口访问权限验证
qq_24138151的博客
08-05 1944
流程: 1.用户访问login接口,验证用户身份信息,并生成token绑定用户信息,token返回前端 2.前端把token存入request header中访问后端接口即可成功,否则提示无权访问 代码部分: 1.JwtUtil类 (生成token,校验token等) /* * * @Author qy * <p> JWT工具类 </p> * @Param * @Return */ public class JwtUtil { // Token过期时间
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 8012
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt拦截器实现token权限验证。
SpringBoot项目使用JWT+拦截器实现token验证
weixin_44320429的博客
10-18 1万+
上述流程当中token的具体实现方式为JWT,其全称是,官网地址:https://jwt.io/就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。
Java后端的登录、注册接口是怎么实现
m0_63064861的博客
12-08 2484
Java后端的登录接口实现方式有很多种,这里介绍其中一种常见的方式。:用户输入用户名和密码,前端将用户提交的用户名和密码发送到后端进行验证。如果验证通过,后端会生成一个session id,然后将session id 以及其他用户信息存储在服务端的session中。同时,后端会将session id 返回给前端,前端将session id 存储在cookie中。
后端登录校验——Filter过滤器和Interceptor拦截器
最新发布
m0_73991249的博客
07-09 1181
外部请求是一个乘客,买了一张高铁票要上高铁Filter就是高铁检票的N多个闸机,它就固定在那,你要进去大厅、进站台就得被它拦一次然后DispatcherServlet就是站台,你终于通过重重难关来到站台,等待高铁到来然后坐到座位Interceptor就是检票员,你终于准备要找到高铁座位,准备坐下,Interceptor检票员就动态随机的出现在你面前,要检查你的高铁票,发现你是逃票、站票就让你滚一边呆着,是坐票你就坐着。
springboot拦截器实现拦截器 权限校验,登录demo
11-14
本文将详细介绍如何在Spring Boot中实现拦截器以进行权限校验和登录验证,通过一个简单的Demo来阐述整个过程。 首先,我们需要创建一个自定义的拦截器类。这个类通常会继承`HandlerInterceptorAdapter`,这是一个...
ShiroDemo:Shiro Springboot Jwt前一级分离权限控制
03-09
通常,这样的目录结构会包括Spring Boot的主应用程序类、Shiro的相关配置、JWT实现、以及前端和后端交互的API接口定义等。 **详细知识点:** 1. **Apache Shiro**:Shiro提供了全面的安全管理框架,包括认证...
SpringBoot集成SpringSecurity和JWT做登陆鉴权的实现
08-19
为了实现基于角色的访问控制(RBAC),我们需要在SpringSecurity的配置中定义角色和权限映射。这可以通过实现`UserDetailsService`接口来自定义用户信息加载,以及通过`WebSecurityConfigurerAdapter`配置授权规则。...
Java中基于Shiro,JWT实现微信小程序登录完整例子及实现过程
08-26
在本文中,我们将探讨如何在Java环境中,利用Apache Shiro和JSON Web Tokens (JWT)来实现微信小程序的自定义登录功能。首先,我们要理解微信小程序的登录流程,它通常涉及小程序端调用`wx.login()`获取临时凭证...
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
这里,我们依赖于Spring Boot的AOP模块,以便使用Shiro的拦截器功能,以及Shiro的核心库和Shiro-Redis插件,以实现权限信息的缓存存储和动态更新。具体依赖配置如下: ```xml <!-- AOP依赖 --> <groupId>org....
使用SpringBoot mvc作为后端 创建了一个订餐网站
05-20
Spring Boot以其便捷的配置和快速开发特性,成为了现代Java后端开发的首选工具。MVC(Model-View-Controller)模式则是Spring Boot中处理HTTP请求的核心设计模式,它将业务逻辑、数据展示和用户交互解耦,使得代码...
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
此外,还可以使用自定义的访问决策管理器和权限表达式来实现更复杂的逻辑。 在SpringBoot_SpringSecurity-master项目中,我们可以看到源代码结构,其中包括配置文件、控制器、安全配置类等。配置文件中可能包含了...
sping-boot-shiro-jwt-redis.zip
07-22
Spring Boot以其强大的功能和便捷的开发体验,已经成为Java后端开发的首选框架。而Shiro和JWT则是常见的身份验证和授权工具,它们能够帮助我们构建安全的权限管理系统。此外,Redis作为高性能的内存数据存储,常被...
shiro+vue实现按钮权限
09-08
Shiro是一个用于Java应用程序的开源安全框架,而Vue是一种流行的JavaScript框架,用于构建用户界面。要实现按钮权限,我们可以结合使用Shiro和Vue。 首先,我们需要在后端使用Shiro来管理用户角色和权限。可以配置Shiro的权限拦截器,根据用户角色和权限来限制访问和操作。在后端接口中,我们可以为每个按钮设置对应的权限,只有拥有该权限的用户才能访问或操作。 接下来,在前端使用Vue来处理按钮的显示和操作权限。在Vue的组件中,我们可以根据当前用户的角色和权限来判断是否显示某个按钮。Vue中的组件可以使用v-show或v-if指令来控制按钮的显示与隐藏。通过获取用户的角色和权限信息,我们可以将这些信息传递给Vue组件,在渲染组件时进行判断并动态显示或隐藏按钮。 在实际应用中,可以通过请求后端接口获取当前用户的角色和权限信息,然后将这些信息传递给Vue组件进行处理。通过结合Shiro和Vue,我们可以实现按钮的权限控制,确保只有具有相应权限的用户才能进行相应操作,从而增强系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值