spring cloud权限认证,增加托管功能

最新推荐文章于 2022-05-22 07:50:39 发布
最新推荐文章于 2022-05-22 07:50:39 发布
阅读量233 收藏
点赞数
分类专栏: spring cloud java javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoyanli8077/article/details/88758936
版权
javascript 同时被 3 个专栏收录
33 篇文章 0 订阅
订阅专栏
java
10 篇文章 0 订阅
订阅专栏
spring cloud
2 篇文章 0 订阅
订阅专栏

问题:只有token身份验证不安全,获取token后可以进行任何操作。

解决:对重要请求增加权限过滤(增删改),非重要请求(查询)不做处理。

创建新表存储重要请求地址(托管菜单表),过滤重要请求(增删改),拦截请求后判断托管表中是否存在该url如果不存在则通过验证,如果存在则判断(角色/菜单关系表)该角色是否有本请求的权限,如果有则通过验证,没有则验证失败。这样完成对重要请求地址的过滤。

gateway网关

过滤器


			if (!JwtUtils.checkJWT(token)) {

				setFailedRequest(AjaxResult.error401(), 200);
				log.info("access token invalid!");
				return null;
			}
			//权限验证
			if(!rightCache.checkRight(token, requestURI)) {
				setFailedRequest(AjaxResult.error403(), 200);
				return null;
			}

权限验证 



/**
 * 权限验证
 * @author ******
 *
 */
@Component
public class RightCache {
	@Autowired
	private StringRedisTemplate stringRedisTemplate;
	
	
	/**
	 * 权限验证
	 * @param token
	 * @param url
	 * @return
	 */
	public Boolean checkRight(String token, String url) {
		boolean flag = false;
		JSONObject jsonObject = getObjectByUrl(url);
		if(MyUtil.isEmpty(jsonObject)) {
			flag = true;
		}else {
			String id = jsonObject.get("id").toString();
			if(roleCheck(token,id)) {
				flag = true;
			}
		}
		return flag;
	}

	/**
	 * 根据url获取托管菜单对象
	 * @param urlkey
	 * @return
	 */
	public JSONObject getObjectByUrl(String urlkey) {
		JSONObject jsonObject = null;
		if (MyUtil.isNotEmpty(urlkey)) {
			String key = MyCons.CacheKeyOrPrefix.FunctionMenu.getValue() + ":" + urlkey;
			String str = stringRedisTemplate.opsForValue().get(key);
			if(MyUtil.isNotEmpty(str)){
				jsonObject = JSON.parseObject(str);
			}
		}
		return jsonObject;
	}
	
	/**
	 * 根据token中角色id判断
	 * 是否存在访问权限
	 * @param token
	 * @param functionMenuId
	 * @return
	 */
	public Boolean roleCheck(String token,String functionMenuId) {
		boolean flag = false;
		try {
			UserToken userToken = JwtUtils.getInfoFromToken(token);
			String roleIds = userToken.getRoleIds();
			List<String> listRole = Arrays.asList(roleIds.split(","));
			for(String roleId : listRole) {
				String key = MyCons.CacheKeyOrPrefix.RoleModule.getValue() + ":" + roleId;
				Object object = stringRedisTemplate.opsForHash().get(key, functionMenuId);
				if(MyUtil.isNotEmpty(object)) {
					flag = true;
					break;
				}
			}
		} catch (Exception e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		return flag;
	}

}

登录时将role加入token


        String roleIds = getRoleIds(userDO.getId());
        
        UserToken userToken = new UserToken(userDO.getId(), userDO.getOrg_id(), userDO.getAccount(),
        		userDO.getName(), IdHelper.getId(),roleIds);
        String token="";
        try {
            token = JwtUtils.generateToken(userToken, tokenExpire);
        } catch (Exception e) {
            e.printStackTrace();
        }

前台(验证规则一致,静态元素(按钮)实现无权限不显示) 

/**
 * 权限一次加载
 */
permission ={};
top.permissionMap = top.permissionMap || {};


//执行AJAX请求
permission.loadPermissionData = function() {
	
}

/**
 * 权限判断
 */
permission.check = function(url){
	var flag = true;
	if(top.permissionMap.hasOwnProperty(url)){
		flag = top.permissionMap[url] == 0 ? false : true;
	}
	return flag;
}
/**
 * dom是否显示
 */
permission.isShow = function(domId,flag){
	var vm = new Vue({
	    el:domId,
	    data:{
	        isShow:flag,
	    }
	});
}
/**
 * 根据权限显示
 */
permission.isShowByRight = function(url,domId){
	permission.isShow(domId,permission.check(url));
}

 

小巷陌影&#8203;
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringCloud系列——12Spring Cloud实战之统一认证与授权
Eclipse_2019的博客
07-15 2117
单体架构下的统一认证与授予;微服务架构下的统一认证与授权;微服务架构JWT+API实现统一认证与授权实战
springcloud-config
04-22
SpringCloud Config 是一个基于 Spring Boot 的微服务配置中心,它允许开发者在运行时集中管理和推送配置,使得在分布式系统中管理应用配置变得简单。在本文中,我们将深入探讨 SpringCloud Config 的核心概念、工作...
[杂货铺系列]ProxyServlet权限托管
WN-YoungKun的博客
01-30 760
猿Why上个月接到一个需求,大致要求:在一个运维管理系统(System S)中集成另一个已经成熟的日志管理系统(System T)(没有权限管理)。 拿到需求,首先想到:通过代理方式做资源(API、静态资源)访问、权限控制。在一个微服务(分布式)的环境下,网关和外层的Nginx(反向代理)其实都可以实现这个需求。 现实情况,我们没有网关服务,Nginx做用户信息粘合不好(团队中没有人擅长)。所以,经过我的考虑,直接在S系统中添加个代理,所有T系统的访问,都经S一手,这样在S系统中就可以做粒度很细的权限控制。
Druid 数据源连接池配置
roydon
11-20 7702
Spring Boot 的配置文件中对 Druid 数据源连接池进行配置 # Druid连接池的配置 spring: datasource: druid: initial-size: 5 #初始化连接大小 min-idle: 5 #最小连接池数量 max-active: 20 #最大连接池数量 max-wait: 60000 #获取连接时最大等待时间,单位毫秒 time-between-eviction-runs-millis: 6
Spring Cloud认证和授权
加油
02-03 5249
文章目录微服务安全与权限流程Spring Cloud认证和授权方案微服务下SSO单点登陆方案分布式Session与网关结合方案客户端Token与网关结合方案浏览器Cookie与网关结合方案网关与Token和服务间鉴权结合 微服务安全与权限流程 我们发送请求到负载均衡软件,负载均衡发到微服务网关上,网关进行用户认证后,解析出用户的基本信息,通过认证后,携带用户标识到后台微服务,微服务根据标识进行相应...
SpringCloud 微服务认证授权方案(图文版)
石杉的架构笔记
05-22 3736
文章来源:https://sourl.cn/SSnEDe目录前言微服务授权面临哪些问题微服务常见认证方案解释前言前面我们讨论的是SpringSecurity基础部分内容,接下来我们来探讨一下SpringCloud 集成 SpringSecurity和Oauth实现微服务认证授权方案微服务(分布式)项目常见认证方案1.微服务授权面临哪些问题在微服务架构下有很多的服务,每个微...
一个基于springcloud的麻将订房管理系统源码.zip
05-28
【标题】中的“一个基于springcloud的麻将订房管理系统源码”表明这是一个使用Spring Cloud框架开发的麻将预定服务系统,其核心是利用Spring Cloud提供的微服务架构能力来构建分布式应用程序。 【描述】中的内容与...
阿里云java短信验证码源码-MaxKey-Cloud:MaxKey是访问管理系统-单点登录(SSO),基于SpringCloud
06-06
2.0、JWT、CAS、SCIM等标准协议,提供简单、标准、安全和开放的用户身份管理(IDM)、身份认证(AM)、单点登录(SSO)、RBAC权限管理和资源管理等。 官方网站 | 社区交流 QQ群:434469201 | 邮箱EMAIL: 代码托管 | 什么是...
SpringSecurityTest
05-26
- **授权**:确定认证后的用户是否有权限访问特定资源,Spring Security支持基于角色的访问控制(RBAC)和其他复杂的授权策略。 2. **Spring Security测试** 在项目中,显然进行了Spring Security的相关测试,...
Spring+Status+hibernate最新版本
03-23
在最新的版本中,Spring可能已经包含了Spring Boot和Spring Cloud等扩展,用于简化微服务的开发和云应用的构建。 2. **Hibernate**:Hibernate是一个强大的对象关系映射(Object-Relational Mapping, ORM)框架,它...
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
Spring Cloud 安全:集成OAuth2实现身份认证和单点登录 示例代码
SpringClouud zuul +oauth 实现权限控制
04-12
Spring Cloud需要使用OAUTH2来实现多个微服务的统一认证授权,通过向OAUTH服务发送某个类型的grant type进行集中认证和授权,从而获得access_token,而这个token是受其他微服务信任的,我们在后续的访问可以通过access_token来进行,从而实现了微服务的统一认证授权。
Cloud-Admin是国内首个基于SpringCloud微服务化开发平台具有统一授权认证后台管理系统
08-08
Cloud-Admin是国内首个基于Spring Cloud微服务化开发平台,具有统一授权、认证后台管理系统,其中包含具备用户管理、资源权限管理、网关API管理等多个模块,支持多业务系统并行开发,可以作为后端服务的开发脚手架。代码简洁,架构清晰,适合学习和直接项目中使用。核心技术采用Spring Boot2以及Spring Cloud Gateway相关核心组件,前端采用vue-element-admin组件。
统一安全认证(基于Spring Security 3)
09-21
Java语言开发的统一角色访问控制系统(Unified Role Access Control System),基于Spring Security 3实现的权限控制系统 程序框架版本说明:Spring MVC 3.0.6 + Spring Security 3.1.3 + Hibernate 3.6.10 运行演示例子: 例子使用的是MySQL数据库,也可以支持其它数据库 使用 CreateDb_MySQL.sql 创建好数据库,然后将 URACS.Web.war 部署到 Tomcat下 数据库连接默认使用root用户,密码123456(可修改 jdbc-app.properties 文件) 启动Tomcat,访问 http://127.0.0.1:8080/URACS.Web 可使用超级用户 admin,密码 admin 登录 开发者:李锡远 人称:远哥 博客:http://taven.cnblogs.com 开源地址:https://github.com/tavenli/URACS QQ:17020415
Spring Cloud下基于OAUTH2认证授权的实现
03-27
Spring Cloud下基于OAUTH2认证授权的实现,附带源码和页面
SpringCloud+OAuth2 统一权限验证
杨海吉
05-18 2万+
OAuth2 权限统一验证 OAuth2简介 OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 2.0即完全废止了OAuth1.0。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限 关键名词 在详细讲解OAuth 2.0之前,需要了解几个专用名词。它们对读懂后面的讲...
SpringCloud认证和鉴权的6种方案
热门推荐
十年呵护的专栏
01-26 4万+
认证和鉴权 SpringCloud认证和鉴权方案 开始我们接触的时候权限认证 无从下手,但是当接触之后会发现 权限认证时一件很简单的事情,但是我们 方案众多又该如何选择呢,下面会分别对每种方案进行简单的阐述,有问题或者不明白的可以私信或者下方留言,一起讨论 含义 认证:简单来说,认证这个用户是谁。 鉴权:简单来说,就是了解这个用户能做什么事情 本篇章介绍如下几种方式 1.单体应用...
Spring gateway配置Spring Security实现统一权限验证与授权
王广帅--游戏开发技术
12-02 2万+
在使用Spring Cloud 进行微服务,分布式开发时,网关是请求的第一入口,所以一般把客户端请求的权限验证统一放在网关进行认证与鉴权。因为Spring Cloud Gateway使用是基于WebFlux与Netty开发的,所以与传统的Servlet方式不同。而且网关一般不会直接请求数据库,不提供用户管理服务,所以如果想在网关处进行登陆验证与授权就需要做一些额外的开发了。 需求设求 众所周知,一...
springcloud 用户认证
最新发布
03-28
2. 基于JWT的认证:JWT(JSON Web Token)是一种轻量级的认证和授权方式,Spring Cloud可以通过JWT实现用户认证和授权,JWT令牌包含了用户身份信息和权限信息,服务端可以通过验证JWT令牌来确认用户的身份和权限。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值