Java的接口调用时的权限验证功能的实现

网友投稿 316 2023-02-18

Java的接口调用时的权限验证功能的实现

提示:这里可以添加本文要记录的大概内容:

例如:一般系统前端调用后台相关功能接口时,需要验证此时用户的权限是否满足调用该接口的条件,因此我们需要配置相应的验证权限的功能。

提示:以下是本篇文章正文内容,下面案例可供参考

一、编写的环境

工具:IDEA

框架:GUNS框架(自带后台权限验证配置,我们这里需要编写前端权限验证配置)

二、使用步骤

1.配置前端调用的接口

代码如下(示例):

在WebSecurityConfig中:

// 登录接口放开过滤

.antMatchers("/login").permitAll()

// session登录失效之后的跳转

.antMatchers("/global/sessionError").permitAll()

// 图片预览 头像

.antMatchers("/system/preview/*").permitAll()

// 错误页面的接口

.antMatchers("/error").permitAll()

.antMatchers("/global/error").permitAll()

// 测试多数据源的接口,可以去掉

.antMatchers("/tran/**").permitAll()

//获取租户列表的接口

.antMatchers("/tenantInfo/listTenants").permitAll()

.antMatchers("/weChat/**").permitAll()

.antMatchers("/file/**").permitAll()

//前端调用接口

.antMatchers("/api/**").permitAll()

.anyRequest().authenticated();

加入前端调用接口请求地址:

.antMatchers("/api/**").permitAll()

添加后前端所有/api的请求都会被拦截,不会直接调用相应接口

2.配置拦截路径

代码如下(示例):

在创建文件JwtlnterceptorConfig:

package cn.stylefeng.guns.sys.modular.bzjxjy.config.jwt;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration

public class JwtInterceptorConfig implements WebMvcConfigurer {

@Override

public void addInterceptors(InterceptorRegistry registry) {

//默认拦截所有路径

registry.addInterceptor(authenticationInterceptor())

.addPathPatterns("/api/**")

;

}

@Bean

public HandlerInterceptor authenticationInterceptor() {

return new JwtAuthenticationInterceptor();

}

}

3.创建验证文件

创建文件JwtAuthenticationInterceptor,代码如下(示例):

package cn.stylefeng.guns.sys.modular.bzjxjy.config.jwt;

import cn.stylefeng.guns.sys.modular.bzjxjy.entity.Student;

import cn.stylefeng.guns.sys.modular.bzjxjy.entity.TopTeacher;

import cn.stylefeng.guns.sys.modular.bzjxjy.enums.RoleEnum;

import cn.stylefeng.guns.sys.modular.bzjxjy.enums.StatusEnum;

import cn.stylefeng.guns.sys.modular.bzjxjy.exception.NeedToLogin;

import cn.stylefeng.guns.sys.modular.bzjxjy.exception.UserNotExist;

import cn.stylefeng.guns.sys.modular.bzjxjy.service.StudentService;

import cn.stylefeng.guns.sys.modular.bzjxjy.service.TopTeacherService;

import cn.stylefeng.guns.sys.modular.bzjxjy.util.JwtUtils;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.web.method.HandlerMethod;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.lang.reflect.Method;

/**

* jwt验证

* @author Administrator

*/

public clhttp://ass JwtAuthenticationInterceptor implements HandlerInterceptor {

@Autowired

private TopTeacherService topTeacherService;

@Autowired

private StudentService studentService;

@Override

public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {

// 如果不是映射到方法直接通过

if (!(object instanceof HandlerMethod)) {

return true;

}

HandlerMethod handlerMethod = (HandlerMethod) object;

Method method = handlerMethod.getMethod();

//检查是否有passtoken注释,有则跳过认证

if (method.isAnnotationPresent(PassToken.class)) {

PassToken passToken = method.getAnnotation(PassToken.class);

if (passToken.required()) {

return true;

}

}

//默认全部检查

else {

// 执行认证

Object token1 = httpServletRequest.getSession().getAttribute("token");

if (token1 == null) {

//这里其实是登录失效,没token了 这个错误也是我自定义的,读者需要自己修改

httpServletResponse.sendError(401,"未登录");

throw new NeedToLogin();

}

String token = token1.toString();

//获取载荷内容

String type = JwtUtils.getClaimByName(token, "type").asString();

String id = JwtUtils.getClaimByName(token, "id").asString();

String name = JwtUtils.getClaimByName(token, "name").asString();

String idNumber = JwtUtils.getClaimByName(token,http:// "idNumber").asString();

//判断当前为名师

if (RoleEnum.TOP_TEACHER.equals(type)){

//检查用户是否存在

TopTeacher topTeacher = topTeacherService.getById(id);

if (topTeacher == null || topTeacher.getStatus().equals(StatusEnum.FORBIDDEN)) {

httpServletResponse.sendError(203,"非法操作");

//这个错误也是我自定义的

throw new UserNotExist();

}

//学生

}else {

//需要检查用户是否存在

Student user = studentService.getById(id);

if (user == null || user.getStatus().equals(StatusEnum.FORBIDDEN)) {

httpServletResponse.sendError(203,"非法操作");

//这个错误也是我自定义的

throw new UserNotExist();

}

}

// 验证 token

JwtUtils.verifyToken(token, id);

//放入attribute以便后面调用

httpServletRequest.setAttribute("type", type);

httpServletRequest.setAttribute("id", id);

httpServletRequest.setAttribute("name", name);

httpServletRequest.setAttribute("idNumber", idNumber);

return true;

}

return true;

}

@Override

public void postHandle(HttpServletRequest httpServletRequest,

HttpServletResponse httpServletResponse,

Object o, ModelAndView modelAndView) throws Exception {

}

@Override

public void afterCompletion(HttpServletRequest httpServletRequest,

HttpServletResponse httpServletResponse,

Object o, Exception e) throws Exception {

}

}

文件中有个string类型的token,这个token是用户登录时在controller里创建的,具体代码加在用户登陆的接口里:

String token = JwtUtils.createToken(topTeacher.getId(), RoleEnum.TOP_TEACHER,topTeacher.getName(),idNumber);

request.getSession().setAttribute("token",token);

4.创建注解@PassToken

package cn.stylefeng.guns.sys.modular.bzjxjy.config.jwt;

import java.lang.annotation.ElementType;

import java.lang.annotation.Retention;

import java.lang.annotation.RetentionPolicy;

import java.lang.annotation.Target;

/**

* 在方法上加入本注解 即可跳过登录验证 YKJDNmm比如登录

* @author AYKJDNmmdministrator

*/

@Target({ElementType.METHOD, ElementType.TYPE})

@Retention(RetentionPolicy.RUNTIME)

public @interface PassToken {

boolean required() default true;

}

总结

提示:这里对文章进行总结:

以上就是完整的编写一个前端页面调用控制器接口时,进行验证判断相应权限的代码实现。主要是针对guns框架写的,因为guns框架本来自带接口权限验证功能,只不过只是针对后台而已,我在这里添加了针对前端的权限验证,仅供参考。

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:浙江物联网大数据平台开发(浙江 物联网)
下一篇:各大音乐平台api接口(音乐API接口)
相关文章

 发表评论

暂时没有评论,来抢沙发吧~