Spring Boot 之 RESRful API 权限控制

开发 开发工具
RESTful(Representational State Transfer)架构风格,是一个Web自身的架构风格,底层主要基于HTTP协议(ps:提出者就是HTTP协议的作者),是分布式应用架构的伟大实践理论。RESTful架构是无状态的,表现为请求-响应的形式,有别于基于Bower的SessionId不同。

[[189464]]

 一、为何用RESTful API

1.1 RESTful是什么?

RESTful(Representational State Transfer)架构风格,是一个Web自身的架构风格,底层主要基于HTTP协议(ps:提出者就是HTTP协议的作者),是分布式应用架构的伟大实践理论。RESTful架构是无状态的,表现为请求-响应的形式,有别于基于Bower的SessionId不同。

1.2理解REST有五点:

1.资源

2.资源的表述

3.状态的转移

4.统一接口

5.超文本驱动

需要理解详情,请点[传送门]

1.3 什么是REST API?

基于RESTful架构的一套互联网分布式的API设计理论。和上面资源,状态和统一接口有着密切的关系。

为啥分布式互联网架构很常见呢?请看下面两个模式

MVC模式:

REST API模式:

1.4 权限怎么控制?

RESTful针对资源的方法定义分简单和关联复杂两种。

基本方法定义:

GET /user # 获取user列表 
GET /user/3 # 查看序号为3的user 
POST /user # 新建一个user 
PUT /user/3  # 更新序号为3的user 
DELETE /user/3 #删除user 3 
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.

资源之间的关联方法如下定义:

GET /admin/1/user/10 # 管理员1号,查看序号为3的user信息 
... 
  • 1.
  • 2.

那么权限如何控制?

二、权限控制

前面说到,RESTful是无状态的,所以每次请求就需要对起进行认证和授权。

2.1 认证

身份认证,即登录验证用户是否拥有相应的身份。简单的说就是一个Web页面点击登录后,服务端进行用户密码的校验。

2.2 权限验证(授权)

也可以说成授权,就是在身份认证后,验证该身份具体拥有某种权限。即针对于某种资源的CRUD,不同用户的操作权限是不同的。

一般简单项目:做个sign(加密加盐参数)+ 针对用户的access_token

复杂的话,加入 SLL ,并使用OAuth2进行对token的安全传输。

自然,技术服务于应用场景。既简单又可以处理应用场景即可。简单,实用即可~

三、 Access Token 权限解决

3.1 AccessToken 拦截器

/** 
 * Access Token拦截器 
 * <p/> 
 * Created by bysocket on 16/4/18. 
 */ 
@Component 
public class AccessTokenVerifyInterceptor extends HandlerInterceptorAdapter { 
  
    @Autowired 
    ValidationService validationService; 
  
    private final static Logger LOG = LoggerFactory.getLogger(AccessTokenVerifyInterceptor.class); 
  
    @Override 
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) 
            throws Exception { 
        LOG.info("AccessToken executing ..."); 
        boolean flag = false
        // token 
        String accessToken = request.getParameter("token"); 
        if (StringUtils.isNotBlank(accessToken)) { 
            // 验证 
            ValidationModel v = validationService.verifyAccessToken(accessToken); 
            // 时间过期 
  
            // 用户验证 
            if (v != null) { 
                User user = userService.findById(v.getUid()); 
                if(user != null) { 
                    request.setAttribute(CommonConst.PARAM_USER, user); 
                    LOG.info("AccessToken SUCCESS ...  user:" + user.getUserName() + " - " + accessToken); 
                    flag = true
                } 
            } 
        } 
  
        if (!flag) { 
            response.setStatus(HttpStatus.FORBIDDEN.value()); 
            response.getWriter().print("AccessToken ERROR"); 
        } 
  
        return flag; 
    } 

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.

***步:从request获取token

第二步:根据token获取校验对象信息(也可以加入过期时间校验,简单)

第三步:通过校验信息获取用户信息

3.2 配置拦截

/** 
 * MVC 设置 
 * 
 */ 
@Configuration 
public class WebMvcConfig extends WebMvcConfigurerAdapter { 
  
    @Bean 
    public AccessTokenVerifyInterceptor tokenVerifyInterceptor() { 
        return new AccessTokenVerifyInterceptor(); 
    } 
  
    @Override 
    public void addInterceptors(InterceptorRegistry registry) { 
        registry.addInterceptor(tokenVerifyInterceptor()).addPathPatterns("/test"); 
        super.addInterceptors(registry); 
    } 
  

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.

***步:将拦截器配置成Bean

第二步:拦截器注册注入该拦截器,并配置拦截的URL

token存哪里?

ehcache,redis,db都可以。自然简单的当然是db。

四、小结

1. REST API

2. Spring Boot 拦截器

【本文为51CTO专栏作者“李强强”的原创稿件,转载请通过51CTO联系作者获取授权】

戳这里,看该作者更多好文

责任编辑:武晓燕 来源: 51CTO专栏
相关推荐

2024-09-26 08:03:37

2021-07-09 06:48:29

Spring Boot应用Keycloak

2023-05-11 12:40:00

Spring控制器HTTP

2022-08-30 08:50:07

Spring权限控制

2022-08-30 08:55:49

Spring权限控制

2022-08-30 08:43:11

Spring权限控制

2022-08-15 08:45:21

Spring权限控制

2022-08-30 08:36:13

Spring权限控制

2022-08-15 08:42:46

权限控制Spring

2017-04-26 11:00:34

Spring BootHelloWorld详解

2024-02-18 12:44:22

2022-01-07 07:29:08

Rbac权限模型

2024-10-15 09:34:57

2019-12-03 11:00:08

spring bootspring-kafkJava

2024-05-13 13:13:13

APISpring程序

2020-06-17 08:31:10

权限控制Spring Secu

2021-07-27 10:49:10

SpringSecurity权限

2011-07-18 14:17:07

域控制器组策略OU

2023-01-13 08:11:24

2011-03-03 15:02:22

proftpd权限
点赞
收藏

51CTO技术栈公众号