用户权限验证的两种方法

最新推荐文章于 2024-03-25 11:22:19 发布
最新推荐文章于 2024-03-25 11:22:19 发布
阅读量2.2k 收藏 11
点赞数 3
文章标签: linux 服务器 debian
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xqj555/article/details/123847858
版权

用户权限验证

intercept拦截器使用

之前在进行登录状态判断时用的是intercept拦截器进行拦截处理,配合Jwt生成token,在客户端发送请求时检查请求头里有无携带token,并验证token是否合法,否则就拦截该请求返回错误提示,对登录状态判断时我觉得使用拦截器比较方便,代码量少也能实现功能

在配置拦截器里只需将需要拦截的地址添加进去即可

@Configuration
public class InterceptConfig implements WebMvcConfigurer {
    @Resource
    InterceptImpl intercept;
    
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(intercept)
                .addPathPatterns("/admin/**") //拦截admin下的所有请求
                .excludePathPatterns("/admin/login/**"); //设置放行地址
    }
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        //设置允许跨域的路径
        registry.addMapping("/")
                //设置允许跨域请求的域名
                .allowedOriginPatterns("*")
                //是否允许证书 不再默认开启
                .allowCredentials(true)
                //设置允许的方法
                .allowedMethods("*")
                //跨域允许时间
                .maxAge(3600);
    }
}

拦截器实现类继承HandlerInterceptor接口,实现preHandle,postHandle,afterCompletion方法

在preHandle里写验证权限的操作,例如:

@Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");
        
        response.setHeader("Access-Control-Allow-Origin", "*");
        //在这里声明需要在header里携带的参数,比如token
        response.setHeader("Access-Control-Allow-Headers", "Content-Type,Content-Length, Authorization, Accept,X-Requested-With,token");
        
        response.setHeader("Access-Control-Allow-Methods","PUT,POST,GET,DELETE,OPTIONS");
        
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        JWTUtils.verifyToken(token, String.valueOf(userId),response);
        return true;
    }

剩下两个方法看自己需求,可写可不写 ,到这里是不是感觉使用拦截器和jwt配合进行权限验证非常方便,但也有弊端,例如:当你需要对不同的请求进行不同的验证时,就好比后台管理系统,不同的用户能做的操作不同,界面显示的菜单选项也不同,这是使用aop自定义注解来实现就比较好,总的来说intercept和aop各有千秋

AOP 自定义注解实现

直接说用法吧,网上关于aop的介绍一大堆,(放张图意思意思)

配置自定义注解:

@Target({ElementType.TYPE,ElementType.METHOD,ElementType.PARAMETER})
//@target里面参数 ElementType.METHOD说明可以用在方法上 ElementType.PARAMETER 可以用在字段上 ElementType.TYPE 可以用在类上
@Retention(RetentionPolicy.RUNTIME)  //设置运行时不被丢弃
@Documented  //可以被javadoc标注为文档,可写可不写,看自己需求
public @interface TokenCheck {
    String token() default "";
}

自定义注解使用:

//在方法上使用
@TokenCheck
@GetMapping("login/{userName}/{password}")
public ResultVo login(@PathVariable String userName,@PathVariable String password){
    return userService.login(userName, password);
}
//在字段上使用			
@TokenCheck
@GetMapping("TokenCheck/{demo}")
public ResultVo demoCheck(@TokenCheck @PathVariable String demo) {
    return userService.TokenCheck(demo);
}
//两种用法区别不大

aop切面拦截功能实现:

@Aspect
@Component
@Order(1) //括号里面数字代表执行顺序,当有多个拦截时刻自定义执行顺序
public class TokenCheck {
    @Pointcut("@annotation(com.xqj.common.utils.annotation.TokenCheck)")
    public void check(){

    }

    @Around("check()")
    public Object demoCheck(ProceedingJoinPoint pjp) throws Throwable {

        /**
         * 填写处理注解事务逻辑
         */
        System.out.println("进AoP了!!");
		
        Signature signature = pjp.getSignature(); //可以获取有关包方法的信息
        
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes attributes = (ServletRequestAttributes) requestAttributes;
        HttpServletRequest request = attributes.getRequest();   //获得HttpServletRequest请求对象,主要用来获取token

        return pjp.proceed(); //放行
    }
}

到这里aop的自定义注解就配置好了,比intercept稍微繁琐一点

Jwt 的使用

引入依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>

配置jwtUtils类

public class JwtUtils {
    /**
     * 签发token对象
     * @param uid
     * @param userName
     * @return
     */
    public static String createToken(String uid,String userName){
        Calendar nowTime = Calendar.getInstance();
        nowTime.add(Calendar.HOUR,12);
        Date time = nowTime.getTime();
        return JWT.create().withAudience(uid)
                .withIssuedAt(new Date()) //发行时间
                .withExpiresAt(time)  //有效期限
                .withClaim("userName",userName)
                .sign(Algorithm.HMAC256(uid+"xqj"));
    }

    public static void verifyToken(String token, String secret){
        DecodedJWT jwt = null;
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(secret+"xqj")).build();
            jwt = verifier.verify(token);
        } catch (Exception e) {
            throw new RuntimeException("tokenError");
        }
    }

    /**
     * 获取签发对象
     */
    public static String getAudience(String token) {
        String audience = null;
        try {
            audience = JWT.decode(token).getAudience().get(0);
        } catch (JWTDecodeException j) {
            //这里是token解析失败
            throw new RuntimeException();
        }
        return audience;
    }
    /**
     * 通过载荷名字获取载荷的值
     */
    public static Claim getClaimByName(String token, String name){
        return JWT.decode(token).getClaim(name);
    }
}

到这jwt就可以直接使用了,生成token令牌、验证令牌合法性等等

博客地址: 徐启君的个人博客 xqijun.top

set("name","小徐")
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于Laravel 7.x的后台权限验证API
06-29
本课程将以后台权限验证API的开发为载体,带领大家使用Laravel 7.x进行权限扩展包的开发 你将学习到如下知识:1、如何使用laravel编写Restful api接口; 2、如何使用composer进行项目依赖管理,laravel常用扩展的安装与使用,如dingo/api 以及repository; 3、如何使用jwt进行实现后台用户认证机制; 4、学习使用laravel扩展包的形式进行后台权限验证API的开发; 5、如何编写Seeders帮助我们在新系统里实现数据的初始化
使用Filter实现登录权限验证
08-25
主要为大家详细介绍了使用Filter实现登录权限验证,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
MYSQL-用户权限验证过程(转)
weixin_34384557的博客
11-04 310
知识点 因为MySQL是使用User和Host两个字段来确定用户身份的,这样就带来一个问题,就是一个客户端到底属于哪个host。 如果一个客户端同时匹配几个Host,对用户的确定将按照下面的优先级来排 基本观点越精确的匹配越优先 Host列上,越是确定的Host越优先,[localhost, 192.168.1.1, wiki.yfang.cn] 优先于[192.168.%, ...
OAuth2权限认证(第三方登录)——70%
最新发布
qq_53207874的博客
03-25 273
OAuth 2.0是一种用于授权的开放标准,通常用于用户允许第三方应用访问其在另一个服务提供者上存储的信息,而无需将用户名和密码提供给第三方应用。OAuth 2.0协议允许用户授权第三方应用访问他们在另一个服务提供者上持有的资源,例如照片、视频、个人资料等。在OAuth 2.0流程中,涉及以下几个主要角色:资源所有者:即用户,拥有资源的最终所有者,可以授权第三方应用访问他们的资源。客户端:即第三方应用,希望访问用户的资源。
goAuth_goweb权限验证_
10-02
go语言实现的web auth权限验证,可以通过包直接调用。不意外外部环境
SpringBoot使用AOP+注解实现简单的权限验证方法
08-25
主要介绍了SpringBoot使用AOP+注解实现简单的权限验证方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
关于权限的测试方法整理
rital的专栏
02-28 9210
关于权限的测试方法整理
11.16 如何验证当前用户是否具有指定的功能权限
weixin_30518397的博客
10-13 563
权限验证包含认证与授权两部分,用户登录属于认证的问题,验证当前用户是否具有指定功能的权限属于授权的问题,IBeamMDAA已集成了这两部分的功能,我们只需在适当的时候使用即可。 权限验证与业务对象紧密联系,不能单独谈论,比如:产品信息的管理可能有:查询、增加、编辑、删除等功能,应对当前用户是否有权限操作产品实例作出决断,代码如下: btnAdd.Enabled = _Produc...
SpringBoot中Inteceptor的使用方式
smilefyou的博客
07-31 352
废话不多,直接干货 1.在springboot工程基础上创建AdminInterceptor实现HandlerInterceptor //用户登录就放行 public class AdminInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handl
用户登录权限校验 JWT【详解】
朝阳39的博客
10-26 1660
JWT (json web token)是当前最流行的用户登录权限校验(用户认证鉴权)方案。
java web拦截器配置_Spring MVC 菜鸟教程 7 标签mvc:interceptors和java config配置拦截器-Fun言...
weixin_42510768的博客
02-24 114
public class SystemInterceptor implements HandlerInterceptor {/** * preHandle方法是进行处理器拦截用的,顾名思义,该方法将在Controller处理之前进行调用, * SpringMVC中的Interceptor拦截器是链式的,可以同时存在多个Interceptor, * 然后SpringMVC会根据声明的前后顺序一个接一...
aop 权限验证demo
02-27
aop 权限验证
Auth权限验证
08-23
TP5权限验证类(Auth)
Vue 权限控制的两种方法(路由验证)
10-16
主要介绍了Vue 权限控制的两种方法(路由验证),每种方法给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
MySQL用户权限验证与管理方法详解
01-19
本文实例讲述了MySQL用户权限验证与管理方法。分享给大家供大家参考,具体如下: 一、Mysql权限分两阶段验证 1. 服务器检查是否允许连接:用户名、密码,主机地址。 2. 检查每一个请求是否有权限实施。 二、Mysql...
vue iview实现动态路由和权限验证功能
08-27
主要介绍了vue iview实现动态路由和权限验证功能,动态路由控制分为两种:一种是将所有路由数据存储在本地文件中,另一种则是本地只存储基本路由,具体内容详情大家参考下此
Django权限设置及验证方式
01-21
当创建一个Models, 在同步到数据库...验证权限方法一般有两种,一种是用@permission_required来进行验证,第二中是用user.has_perm()在函数里进行验证,通过返回的True或者False来进行下一步 同时我的稍微复杂一些,是在d
微服务应用之 分布式权限校验
qq15035899256的博客
03-14 882
本文是对微服务的学习,学习了使用 SpringSecurity 框架作为权限校验框架和一种分布式权限校验方案,但是也发现了不足之处。那我们后续会学习 OAuth 2.0 实现单点登录的。之后的学习内容将持续更新!!!
权限验证-JWT认证
Hello_super的博客
06-11 1108
JSON Web Token,通过数字签名的方式,以JSON对象为载体,在不同的服务终端之间安全的传输信息;
netcore权限验证
09-06
NetCore权限验证是基于微软的.Net Core框架提供的一种权限验证方法。在.Net Core中,可以使用策略授权和角色授权两种方式进行权限验证。 策略授权是通过在代码中定义一系列的策略,然后在需要进行权限验证的地方进行引用。这些策略可以定义在控制器、方法、属性等级别上,并可以使用一些条件语句来进行更加细粒度的权限控制。在进行权限验证时,系统会根据这些策略来判断用户是否具有相应的权限。 角色授权是基于角色的权限控制方式。在.Net Core中,可以使用角色来进行权限的管理和分配。可以通过声明角色,并将角色与用户进行关联,然后在代码中通过[Authorize(Roles=“角色名”)]的方式来限制只有具备特定角色的用户才能访问相应的资源或执行特定操作。 除了以上两种方式,还可以使用资源授权来进行权限验证。资源授权是基于资源的一种权限控制方法。在代码中,可以通过[Authorize(Policy=“资源名称”)]的方式来限制只有具备特定资源权限的用户才能访问相应的资源或执行特定操作。 NetCore权限验证提供了灵活、易用的权限控制方式,可以满足各种权限验证需求。同时,.Net Core还提供了扩展性良好的权限验证机制,可以通过自定义策略处理程序、角色提供程序等来实现更加复杂的权限控制逻辑。总之,NetCore权限验证是一种功能强大、灵活性高的权限验证方法,可以帮助开发者实现精细的权限控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值