Spring Boot 之 RESRful API 权限控制

一、为何用RESTful API

成都创新互联公司是一家专注于成都做网站、网站制作与策划设计,新郑网站建设哪家好?成都创新互联公司做网站,专注于网站建设10年,网设计领域的专业建站公司;建站业务涵盖:新郑等地区。新郑做网站价格咨询:13518219792

1.1 RESTful是什么?

RESTful(Representational State Transfer)架构风格,是一个Web自身的架构风格,底层主要基于HTTP协议(ps:提出者就是HTTP协议的作者),是分布式应用架构的伟大实践理论。RESTful架构是无状态的,表现为请求-响应的形式,有别于基于Bower的SessionId不同。

1.2理解REST有五点:

1.资源

2.资源的表述

3.状态的转移

4.统一接口

5.超文本驱动

需要理解详情,请点[传送门]

1.3 什么是REST API?

基于RESTful架构的一套互联网分布式的API设计理论。和上面资源,状态和统一接口有着密切的关系。

为啥分布式互联网架构很常见呢?请看下面两个模式

MVC模式:

REST API模式:

1.4 权限怎么控制?

RESTful针对资源的方法定义分简单和关联复杂两种。

基本方法定义:

 
 
 
 
      
  
  
  
  1. GET /user # 获取user列表 
    2.   
  
  
  
  2. GET /user/3 # 查看序号为3的user 
    3.   
  
  
  
  3. POST /user # 新建一个user 
    4.   
  
  
  
  4. PUT /user/3  # 更新序号为3的user 
    5.   
  
  
  
  5. DELETE /user/3 #删除user 3 
    6.

资源之间的关联方法如下定义:

 
 
 
 
      
  
  
  
  1. GET /admin/1/user/10 # 管理员1号,查看序号为3的user信息 
    2.   
  
  
  
  2. ... 
    3.

那么权限如何控制?

二、权限控制

前面说到,RESTful是无状态的,所以每次请求就需要对起进行认证和授权。

2.1 认证

身份认证,即登录验证用户是否拥有相应的身份。简单的说就是一个Web页面点击登录后,服务端进行用户密码的校验。

2.2 权限验证(授权)

也可以说成授权,就是在身份认证后,验证该身份具体拥有某种权限。即针对于某种资源的CRUD,不同用户的操作权限是不同的。

一般简单项目:做个sign(加密加盐参数)+ 针对用户的access_token

复杂的话,加入 SLL ,并使用OAuth2进行对token的安全传输。

自然,技术服务于应用场景。既简单又可以处理应用场景即可。简单,实用即可~

三、 Access Token 权限解决

3.1 AccessToken 拦截器

 
 
 
 
      
  
  
  
  1. /** 
    2.   
  
  
  
  2.  * Access Token拦截器 
    3.   
  
  
  
  3.  * 
     
    4.   
  
  
  
  4.  * Created by bysocket on 16/4/18. 
    5.   
  
  
  
  5.  */ 
    6.   
  
  
  
  6. @Component 
    7.   
  
  
  
  7. public class AccessTokenVerifyInterceptor extends HandlerInterceptorAdapter { 
    8.   
  
  
  
  8.   
    9.   
  
  
  
  9.     @Autowired 
    10.   
  
  
  
  10.     ValidationService validationService; 
    11.   
  
  
  
  11.   
    12.   
  
  
  
  12.     private final static Logger LOG = LoggerFactory.getLogger(AccessTokenVerifyInterceptor.class); 
    13.   
  
  
  
  13.   
    14.   
  
  
  
  14.     @Override 
    15.   
  
  
  
  15.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) 
    16.   
  
  
  
  16.             throws Exception { 
    17.   
  
  
  
  17.         LOG.info("AccessToken executing ..."); 
    18.   
  
  
  
  18.         boolean flag = false; 
    19.   
  
  
  
  19.         // token 
    20.   
  
  
  
  20.         String accessToken = request.getParameter("token"); 
    21.   
  
  
  
  21.         if (StringUtils.isNotBlank(accessToken)) { 
    22.   
  
  
  
  22.             // 验证 
    23.   
  
  
  
  23.             ValidationModel v = validationService.verifyAccessToken(accessToken); 
    24.   
  
  
  
  24.             // 时间过期 
    25.   
  
  
  
  25.   
    26.   
  
  
  
  26.             // 用户验证 
    27.   
  
  
  
  27.             if (v != null) { 
    28.   
  
  
  
  28.                 User user = userService.findById(v.getUid()); 
    29.   
  
  
  
  29.                 if(user != null) { 
    30.   
  
  
  
  30.                     request.setAttribute(CommonConst.PARAM_USER, user); 
    31.   
  
  
  
  31.                     LOG.info("AccessToken SUCCESS ...  user:" + user.getUserName() + " - " + accessToken); 
    32.   
  
  
  
  32.                     flag = true; 
    33.   
  
  
  
  33.                 } 
    34.   
  
  
  
  34.             } 
    35.   
  
  
  
  35.         } 
    36.   
  
  
  
  36.   
    37.   
  
  
  
  37.         if (!flag) { 
    38.   
  
  
  
  38.             response.setStatus(HttpStatus.FORBIDDEN.value()); 
    39.   
  
  
  
  39.             response.getWriter().print("AccessToken ERROR"); 
    40.   
  
  
  
  40.         } 
    41.   
  
  
  
  41.   
    42.   
  
  
  
  42.         return flag; 
    43.   
  
  
  
  43.     } 
    44.   
  
  
  
    45.

***步:从request获取token

第二步:根据token获取校验对象信息(也可以加入过期时间校验,简单)

第三步:通过校验信息获取用户信息

3.2 配置拦截

 
 
 
 
      
  
  
  
  1. /** 
    2.   
  
  
  
  2.  * MVC 设置 
    3.   
  
  
  
  3.  * 
    4.   
  
  
  
  4.  */ 
    5.   
  
  
  
  5. @Configuration 
    6.   
  
  
  
  6. public class WebMvcConfig extends WebMvcConfigurerAdapter { 
    7.   
  
  
  
  7.   
    8.   
  
  
  
  8.     @Bean 
    9.   
  
  
  
  9.     public AccessTokenVerifyInterceptor tokenVerifyInterceptor() { 
    10.   
  
  
  
  10.         return new AccessTokenVerifyInterceptor(); 
    11.   
  
  
  
  11.     } 
    12.   
  
  
  
  12.   
    13.   
  
  
  
  13.     @Override 
    14.   
  
  
  
  14.     public void addInterceptors(InterceptorRegistry registry) { 
    15.   
  
  
  
  15.         registry.addInterceptor(tokenVerifyInterceptor()).addPathPatterns("/test"); 
    16.   
  
  
  
  16.         super.addInterceptors(registry); 
    17.   
  
  
  
  17.     } 
    18.   
  
  
  
  18.   
    19.   
  
  
  
    20.

***步:将拦截器配置成Bean

第二步:拦截器注册注入该拦截器,并配置拦截的URL

token存哪里?

ehcache,redis,db都可以。自然简单的当然是db。

四、小结

1. REST API

2. Spring Boot 拦截器

【本文为专栏作者“李强强”的原创稿件,转载请通过联系作者获取授权】

戳这里,看该作者更多好文

分享标题:Spring Boot 之 RESRful API 权限控制
地址分享:http://www.csdahua.cn/qtweb/news41/507541.html

网站建设、网络推广公司-快上网,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 快上网

成都快上网为您推荐相关内容

微信小程序知识

分类信息网

全网营销网站推广    成都名片印刷    网站优化排名    企业网站设计    德阳电信机房    帝美豪门窗    广安网站建设    APP定制开发    四川成都seo网站优化    重庆网站建设网络公司    西部信息中心    重庆联通机房托管    成都移动服务器托管    成都企业网站维护    成都LED显示屏    名片设计    机柜租用    雕琢时光茶叶    西信服务器托管    成都网站SEO优化公司