日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Spring Boot 之 RESRful API 權(quán)限控制

一、為何用RESTful API

成都創(chuàng)新互聯(lián)公司是一家專注于成都做網(wǎng)站、網(wǎng)站制作與策劃設(shè)計,新鄭網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)10年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:新鄭等地區(qū)。新鄭做網(wǎng)站價格咨詢:13518219792

1.1 RESTful是什么?

RESTful(Representational State Transfer)架構(gòu)風(fēng)格,是一個Web自身的架構(gòu)風(fēng)格,底層主要基于HTTP協(xié)議(ps:提出者就是HTTP協(xié)議的作者),是分布式應(yīng)用架構(gòu)的偉大實踐理論。RESTful架構(gòu)是無狀態(tài)的,表現(xiàn)為請求-響應(yīng)的形式,有別于基于Bower的SessionId不同。

1.2理解REST有五點:

1.資源

2.資源的表述

3.狀態(tài)的轉(zhuǎn)移

4.統(tǒng)一接口

5.超文本驅(qū)動

需要理解詳情,請點[傳送門]

1.3 什么是REST API?

基于RESTful架構(gòu)的一套互聯(lián)網(wǎng)分布式的API設(shè)計理論。和上面資源,狀態(tài)和統(tǒng)一接口有著密切的關(guān)系。

為啥分布式互聯(lián)網(wǎng)架構(gòu)很常見呢?請看下面兩個模式

MVC模式:

REST API模式:

1.4 權(quán)限怎么控制?

RESTful針對資源的方法定義分簡單和關(guān)聯(lián)復(fù)雜兩種。

基本方法定義:

 
 
 
 
      
  
  
  
  1. GET /user # 獲取user列表 
    2.   
  
  
  
  2. GET /user/3 # 查看序號為3的user 
    3.   
  
  
  
  3. POST /user # 新建一個user 
    4.   
  
  
  
  4. PUT /user/3  # 更新序號為3的user 
    5.   
  
  
  
  5. DELETE /user/3 #刪除user 3 
    6.

資源之間的關(guān)聯(lián)方法如下定義:

 
 
 
 
      
  
  
  
  1. GET /admin/1/user/10 # 管理員1號,查看序號為3的user信息 
    2.   
  
  
  
  2. ... 
    3.

那么權(quán)限如何控制?

二、權(quán)限控制

前面說到,RESTful是無狀態(tài)的,所以每次請求就需要對起進行認證和授權(quán)。

2.1 認證

身份認證,即登錄驗證用戶是否擁有相應(yīng)的身份。簡單的說就是一個Web頁面點擊登錄后,服務(wù)端進行用戶密碼的校驗。

2.2 權(quán)限驗證(授權(quán))

也可以說成授權(quán),就是在身份認證后,驗證該身份具體擁有某種權(quán)限。即針對于某種資源的CRUD,不同用戶的操作權(quán)限是不同的。

一般簡單項目:做個sign(加密加鹽參數(shù))+ 針對用戶的access_token

復(fù)雜的話,加入 SLL ,并使用OAuth2進行對token的安全傳輸。

自然,技術(shù)服務(wù)于應(yīng)用場景。既簡單又可以處理應(yīng)用場景即可。簡單,實用即可~

三、 Access Token 權(quán)限解決

3.1 AccessToken 攔截器

 
 
 
 
      
  
  
  
  1. /** 
    2.   
  
  
  
  2.  * Access Token攔截器 
    3.   
  
  
  
  3.  * 
     
    4.   
  
  
  
  4.  * Created by bysocket on 16/4/18. 
    5.   
  
  
  
  5.  */ 
    6.   
  
  
  
  6. @Component 
    7.   
  
  
  
  7. public class AccessTokenVerifyInterceptor extends HandlerInterceptorAdapter { 
    8.   
  
  
  
  8.   
    9.   
  
  
  
  9.     @Autowired 
    10.   
  
  
  
  10.     ValidationService validationService; 
    11.   
  
  
  
  11.   
    12.   
  
  
  
  12.     private final static Logger LOG = LoggerFactory.getLogger(AccessTokenVerifyInterceptor.class); 
    13.   
  
  
  
  13.   
    14.   
  
  
  
  14.     @Override 
    15.   
  
  
  
  15.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) 
    16.   
  
  
  
  16.             throws Exception { 
    17.   
  
  
  
  17.         LOG.info("AccessToken executing ..."); 
    18.   
  
  
  
  18.         boolean flag = false; 
    19.   
  
  
  
  19.         // token 
    20.   
  
  
  
  20.         String accessToken = request.getParameter("token"); 
    21.   
  
  
  
  21.         if (StringUtils.isNotBlank(accessToken)) { 
    22.   
  
  
  
  22.             // 驗證 
    23.   
  
  
  
  23.             ValidationModel v = validationService.verifyAccessToken(accessToken); 
    24.   
  
  
  
  24.             // 時間過期 
    25.   
  
  
  
  25.   
    26.   
  
  
  
  26.             // 用戶驗證 
    27.   
  
  
  
  27.             if (v != null) { 
    28.   
  
  
  
  28.                 User user = userService.findById(v.getUid()); 
    29.   
  
  
  
  29.                 if(user != null) { 
    30.   
  
  
  
  30.                     request.setAttribute(CommonConst.PARAM_USER, user); 
    31.   
  
  
  
  31.                     LOG.info("AccessToken SUCCESS ...  user:" + user.getUserName() + " - " + accessToken); 
    32.   
  
  
  
  32.                     flag = true; 
    33.   
  
  
  
  33.                 } 
    34.   
  
  
  
  34.             } 
    35.   
  
  
  
  35.         } 
    36.   
  
  
  
  36.   
    37.   
  
  
  
  37.         if (!flag) { 
    38.   
  
  
  
  38.             response.setStatus(HttpStatus.FORBIDDEN.value()); 
    39.   
  
  
  
  39.             response.getWriter().print("AccessToken ERROR"); 
    40.   
  
  
  
  40.         } 
    41.   
  
  
  
  41.   
    42.   
  
  
  
  42.         return flag; 
    43.   
  
  
  
  43.     } 
    44.   
  
  
  
    45.

***步:從request獲取token

第二步:根據(jù)token獲取校驗對象信息(也可以加入過期時間校驗,簡單)

第三步:通過校驗信息獲取用戶信息

3.2 配置攔截

 
 
 
 
      
  
  
  
  1. /** 
    2.   
  
  
  
  2.  * MVC 設(shè)置 
    3.   
  
  
  
  3.  * 
    4.   
  
  
  
  4.  */ 
    5.   
  
  
  
  5. @Configuration 
    6.   
  
  
  
  6. public class WebMvcConfig extends WebMvcConfigurerAdapter { 
    7.   
  
  
  
  7.   
    8.   
  
  
  
  8.     @Bean 
    9.   
  
  
  
  9.     public AccessTokenVerifyInterceptor tokenVerifyInterceptor() { 
    10.   
  
  
  
  10.         return new AccessTokenVerifyInterceptor(); 
    11.   
  
  
  
  11.     } 
    12.   
  
  
  
  12.   
    13.   
  
  
  
  13.     @Override 
    14.   
  
  
  
  14.     public void addInterceptors(InterceptorRegistry registry) { 
    15.   
  
  
  
  15.         registry.addInterceptor(tokenVerifyInterceptor()).addPathPatterns("/test"); 
    16.   
  
  
  
  16.         super.addInterceptors(registry); 
    17.   
  
  
  
  17.     } 
    18.   
  
  
  
  18.   
    19.   
  
  
  
    20.

***步:將攔截器配置成Bean

第二步:攔截器注冊注入該攔截器,并配置攔截的URL

token存哪里?

ehcache,redis,db都可以。自然簡單的當(dāng)然是db。

四、小結(jié)

1. REST API

2. Spring Boot 攔截器

【本文為專欄作者“李強強”的原創(chuàng)稿件,轉(zhuǎn)載請通過聯(lián)系作者獲取授權(quán)】

戳這里,看該作者更多好文


標(biāo)題名稱:Spring Boot 之 RESRful API 權(quán)限控制
網(wǎng)站URL:http://www.dlmjj.cn/article/cdieeso.html