Spring Boot 之 RESRful API 权限控制

网友投稿 256 2023-05-16

[[189464]]

 一、为何用RESTful API

1.1 RESTful是什么?

RESTful(Representational State Transfer)架构风格,是一个Web自身的架构风格,底层主要基于HTTP协议(ps:提出者就是HTTP协议的作者),是分布式应用架构的伟大实践理论。RESTful架构是无状态的,表现为请求-响应的形式,有别于基于Bower的SessionId不同。

1.2理解REST有五点:

1.资源

2.资源的表述

3.状态的转移

4.统一接口

5.超文本驱动

需要理解详情,请点[传送门]

1.3 什么是REST API?

基于RESTful架构的一套互联网分布式的API设计理论。和上面资源,状态和统一接口有着密切的关系。

为啥分布式互联网架构很常见呢?请看下面两个模式

MVC模式:

REST API模式:

1.4 权限怎么控制?

RESTful针对资源的方法定义分简单和关联复杂两种。

基本方法定义:

复制GET /user # 获取user列表  GET /user/3 # 查看序号为3的user POST /user # 新建一个user PUT /user/3  # 更新序号为3的user DELETE /user/3 #删除user 3  1.2.3.4.5.

资源之间的关联方法如下定义:

复制GET /admin/1/user/10 # 管理员1号,查看序号为3的user信息  ...  1.2.

那么权限如何控制?

二、权限控制

前面说到,RESTful是无状态的,所以每次请求就需要对起进行认证和授权。

2.1 认证

身份认证,即登录验证用户是否拥有相应的身份。简单的说就是一个Web页面点击登录后,服务端进行用户密码的校验。

2.2 权限验证(授权)

也可以说成授权,就是在身份认证后,验证该身份具体拥有某种权限。即针对于某种资源的CRUD,不同用户的操作权限是不同的。

一般简单项目:做个sign(加密加盐参数)+ 针对用户的access_token

复杂的话,加入 SLL ,并使用OAuth2进行对token的安全传输。

自然,技术服务于应用场景。既简单又可以处理应用场景即可。简单,实用即可~

三、 Access Token 权限解决

3.1 AccessToken 拦截器

复制/**   * Access Token拦截器   * <p/>   * Created by bysocket on 16/4/18.   */  @Component  public class AccessTokenVerifyInterceptor extends HandlerInterceptorAdapter {      @Autowired      ValidationService validationService;      private final static Logger LOG = LoggerFactory.getLogger(AccessTokenVerifyInterceptor.class);      @Override      public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)              throws Exception {          LOG.info("AccessToken executing ...");          boolean flag = false         // token          String accessToken = request.getParameter("token");          if (StringUtils.isNotBlank(accessToken)) {              // 验证              ValidationModel v = validationService.verifyAccessToken(accessToken);              // 时间过期              // 用户验证              if (v != null) {                  Useruser = userService.findById(v.getUid());                  if(user != null) {                      request.setAttribute(CommonConst.PARAM_USER, user);                      LOG.info("AccessToken SUCCESS ...  user:" + user.getUserName() + " - " + accessToken);                      flag = true                 }              }          }          if (!flag) {              response.setStatus(HttpStatus.FORBIDDEN.value());              response.getWriter().print("AccessToken ERROR");          }          return flag;      }  1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.31.32.33.34.35.36.37.38.39.40.41.42.43.44.

***步:从request获取token

第二步:根据token获取校验对象信息(也可以加入过期时间校验,简单)

第三步:通过校验信息获取用户信息

3.2 配置拦截

复制/**   * MVC 设置   *   */  @Configuration  public class WebMvcConfig extends WebMvcConfigurerAdapter {      @Bean      public AccessTokenVerifyInterceptor tokenVerifyInterceptor() {          return new AccessTokenVerifyInterceptor();      }      @Override      public void addInterceptors(InterceptorRegistry registry) {          registry.addInterceptor(tokenVerifyInterceptor()).addPathPatterns("/test");          super.addInterceptors(registry);      }  1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.

***步:将拦截器配置成Bean

第二步:拦截器注册注入该拦截器,并配置拦截的URL

token存哪里?

ehcache,redis,db都可以。自然简单的当然是db。

四、小结

1. REST API

2. Spring Boot 拦截器

【本文为51CTO专栏作者“李强强”的原创稿件,转载请通过51CTO联系作者获取授权】

戳这里,看该作者更多好文

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

标签:API 应用 接口 模式 技术
上一篇:解析Android Widget中文API中TabWidget
下一篇:Java输入数据的知识点整理
相关文章

 发表评论

暂时没有评论,来抢沙发吧~