举报投诉联系我们 手机版 热门标签 编程学
您的位置:编程学 > springboot springsecurity权限控制 Spring Boot 之 RESTful API 权限控制 | 泥瓦匠BYSocket

springboot springsecurity权限控制 Spring Boot 之 RESTful API 权限控制 | 泥瓦匠BYSocket

2023-03-14 05:18 SpringBoot那些事

springboot springsecurity权限控制 Spring Boot 之 RESTful API 权限控制 | 泥瓦匠BYSocket

springboot springsecurity权限控制

SpringBoot是一个开源的Java框架,它可以帮助开发者快速构建出高质量的应用程序。SpringBoot集成了大量的第三方库,使得开发者可以快速地实现各种功能。其中之一就是SpringSecurity,它是一个用于保护Web应用程序的安全框架。

SpringSecurity可以帮助开发者实现权限控制,以保证Web应用程序的安全性。使用SpringSecurity,开发者可以轻松地为不同的用户设置不同的权限,并且还能够对特定URL进行访问限制。此外,SpringSecurity还能够帮助开发者实现对数据传输过程中数据的加密和解密,以保证数据传输过程中不会泄露敏感信息。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()  // 对请求进行权限校验 
            .antMatchers("/admin/**").hasRole("ADMIN")  // 对/admin/** 进行校验,要有ADMIN权限 
            .antMatchers("/user/**").hasAnyRole("USER","ADMIN") // 对/user/** 进行校验,要有USER或ADMIN权限 
            .anyRequest().authenticated() // 其余所有请求都要有权限才能访问 
            .and()  // and() 用于连接下一个校验规则 
            .formLogin(); // 配置表单登录, 由于我们使用前后端分离, 此处不做详细配置 

    }

    @Override   // 配置内存中存储用户信息   正常情况下, 我们会将用户信息存储到数据库中   此处方便测试使用内存存储   如何将用户信息存储到数据库中, 请看文章末尾部分  
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.inMemoryAuthentication()   // 配置在内存中存储   由于是测试, 此处就不去关波如何将电子商务存储到数据库中了   如何将其存储到数据库中, 请看文章末尾郊便测试使电子商务  
            .withUser("admin").password("123456").roles("ADMIN")  // 配置一个admin 电子商务 , 并授予 ADMIN 权限  
            .and()  // and() 电子商务连上一个校验规则  
            .withUser("user").password("123456").roles("USER");// 配置一个user 电子商务 , 并授予 USER 权限

    }    													    	    	    	    	    	    	    	    	    	    

 }

Spring Boot 之 RESTful API 权限控制 | 泥瓦匠BYSocket

摘要: 原创出处:www.bysocket.com 泥瓦匠BYSocket 希望转载,保留摘要,谢谢!

“简单,踏实~ 读书写字放屁”

一、为何用RESTful API

1.1 RESTful是什么?

RESTful(Representational State Transfer)架构风格,是一个Web自身的架构风格,底层主要基于HTTP协议(ps:提出者就是HTTP协议的作者),是分布式应用架构的伟大实践理论。RESTful架构是无状态的,表现为请求-响应的形式,有别于基于Bower的SessionId不同。

 

1.2理解REST有五点:

1.资源 

2.资源的表述 

3.状态的转移 

4.统一接口 

5.超文本驱动

需要理解详情,请点[传送门]

 

1.3 什么是REST API?

基于RESTful架构的一套互联网分布式的API设计理论。和上面资源,状态和统一接口有着密切的关系。

为啥分布式互联网架构很常见呢?请看下面两个模式

MVC模式:

 

REST API模式:


 

1.4 权限怎么控制?

RESTful针对资源的方法定义分简单和关联复杂两种。

基本方法定义:

1
2
3
4
5
GET /user # 获取user列表
GET /user/3 # 查看序号为3的user
POST /user # 新建一个user
PUT /user/3  # 更新序号为3的user
DELETE /user/3 #删除user 3

资源之间的关联方法如下定义:

1
2
GET /admin/1/user/10 # 管理员1号,查看序号为3的user信息
...

那么权限如何控制?

 

二、权限控制

前面说到,RESTful是无状态的,所以每次请求就需要对起进行认证和授权。

2.1 认证

身份认证,即登录验证用户是否拥有相应的身份。简单的说就是一个Web页面点击登录后,服务端进行用户密码的校验。

2.2 权限验证(授权)

也可以说成授权,就是在身份认证后,验证该身份具体拥有某种权限。即针对于某种资源的CRUD,不同用户的操作权限是不同的。

一般简单项目:做个sign(加密加盐参数)+ 针对用户的access_token

复杂的话,加入 SSL ,并使用OAuth2进行对token的安全传输。

自然,技术服务于应用场景。既简单又可以处理应用场景即可。简单,实用即可~

 

三、Access Token权限解决

3.1 AccessToken 拦截器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
@Component
public class AccessTokenVerifyInterceptor extends HandlerInterceptorAdapter {
    @Autowired
    ValidationService validationService;
    private final static Logger LOG = LoggerFactory.getLogger(AccessTokenVerifyInterceptor.class);
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        LOG.info("AccessToken executing ...");
        boolean flag = false;
        // token
        String accessToken = request.getParameter("token");
        if (StringUtils.isNotBlank(accessToken)) {
            // 验证
            ValidationModel v = validationService.verifyAccessToken(accessToken);
            // 时间过期
            // 用户验证
            if (v != null) {
                User user = userService.findById(v.getUid());
                if(user != null) {
                    request.setAttribute(CommonConst.PARAM_USER, user);
                    LOG.info("AccessToken SUCCESS ...  user:" + user.getUserName() + " - " + accessToken);
                    flag = true;
                }
            }
        }
        if (!flag) {
            response.setStatus(HttpStatus.FORBIDDEN.value());
            response.getWriter().print("AccessToken ERROR");
        }
        return flag;
    }
}

 

第一步:从request获取token

第二步:根据token获取校验对象信息(也可以加入过期时间校验,简单)

第三步:通过校验信息获取用户信息

3.2 配置拦截

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter {
    @Bean
    public AccessTokenVerifyInterceptor tokenVerifyInterceptor() {
        return new AccessTokenVerifyInterceptor();
    }
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(tokenVerifyInterceptor()).addPathPatterns("/test");
        super.addInterceptors(registry);
    }
}

 

第一步:将拦截器配置成Bean

第二步:拦截器注册注入该拦截器,并配置拦截的URL

 

token存哪里?

ehcache,redis,db都可以。自然简单的当然是db。

 

四、小结

1. REST API

2. Spring Boot 拦截器

 

欢迎点击我的博客及GitHub — 博客提供RSS订阅哦!

———- http://www.bysocket.com/ ————-https://github.com/JeffLi1993 ———-

微         博:BYSocket  豆         瓣:BYSocket  FaceBook:BYSocket  Twitter    :BYSocket



阅读全文
以上是编程学为你收集整理的springboot springsecurity权限控制 Spring Boot 之 RESTful API 权限控制 | 泥瓦匠BYSocket全部内容。
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系本站删除。
相关文章
猜您喜欢
标签TAG
本月热门
© 2024 编程学 bianchengxue.com 版权所有 联系我们
桂ICP备19012293号-7 返回底部