Java的接口调用时的权限验证功能的实现

提示:这里可以添加本文要记录的大概内容:

例如:一般系统前端调用后台相关功能接口时,需要验证此时用户的权限是否满足调用该接口的条件,因此我们需要配置相应的验证权限的功能。

提示:以下是本篇文章正文内容,下面案例可供参考

一、编写的环境

工具:IDEA
框架:GUNS框架(自带后台权限验证配置,我们这里需要编写前端权限验证配置)

二、使用步骤

1.配置前端调用的接口

代码如下(示例):

在WebSecurityConfig中:

// 登录接口放开过滤
        .antMatchers("/login").permitAll()

        // session登录失效之后的跳转
        .antMatchers("/global/sessionError").permitAll()

        // 图片预览 头像
        .antMatchers("/system/preview/*").permitAll()

        // 错误页面的接口
        .antMatchers("/error").permitAll()
        .antMatchers("/global/error").permitAll()

        // 测试多数据源的接口,可以去掉
        .antMatchers("/tran/**").permitAll()

        //获取租户列表的接口
        .antMatchers("/tenantInfo/listTenants").permitAll()
        //微信公众号接入
        .antMatchers("/weChat/**").permitAll()
        //微信公众号接入
        .antMatchers("/file/**").permitAll()
        //前端调用接口
        .antMatchers("/api/**").permitAll()

        .anyRequest().authenticated();

加入前端调用接口请求地址:

.antMatchers("/api/**").permitAll()

添加后前端所有/api的请求都会被拦截,不会直接调用相应接口

2.配置拦截路径

代码如下(示例):

在创建文件JwtlnterceptorConfig:

package cn.stylefeng.guns.sys.modular.bzjxjy.config.jwt;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class JwtInterceptorConfig implements WebMvcConfigurer {
  @Override
  public void addInterceptors(InterceptorRegistry registry) {

    //默认拦截所有路径
    registry.addInterceptor(authenticationInterceptor())
        .addPathPatterns("/api/**")

    ;
  }

  @Bean
  public HandlerInterceptor authenticationInterceptor() {
    return new JwtAuthenticationInterceptor();
  }
}

3.创建验证文件

创建文件JwtAuthenticationInterceptor,代码如下(示例):

package cn.stylefeng.guns.sys.modular.bzjxjy.config.jwt;

import cn.stylefeng.guns.sys.modular.bzjxjy.entity.Student;
import cn.stylefeng.guns.sys.modular.bzjxjy.entity.TopTeacher;
import cn.stylefeng.guns.sys.modular.bzjxjy.enums.RoleEnum;
import cn.stylefeng.guns.sys.modular.bzjxjy.enums.StatusEnum;
import cn.stylefeng.guns.sys.modular.bzjxjy.exception.NeedToLogin;
import cn.stylefeng.guns.sys.modular.bzjxjy.exception.UserNotExist;
import cn.stylefeng.guns.sys.modular.bzjxjy.service.StudentService;
import cn.stylefeng.guns.sys.modular.bzjxjy.service.TopTeacherService;
import cn.stylefeng.guns.sys.modular.bzjxjy.util.JwtUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.reflect.Method;

/**
 * jwt验证
 * @author Administrator
 */
public class JwtAuthenticationInterceptor implements HandlerInterceptor {

  @Autowired
  private TopTeacherService topTeacherService;
  @Autowired
  private StudentService studentService;
  @Override
  public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {

    // 如果不是映射到方法直接通过
    if (!(object instanceof HandlerMethod)) {
      return true;
    }
    HandlerMethod handlerMethod = (HandlerMethod) object;
    Method method = handlerMethod.getMethod();
    //检查是否有passtoken注释,有则跳过认证
    if (method.isAnnotationPresent(PassToken.class)) {
      PassToken passToken = method.getAnnotation(PassToken.class);
      if (passToken.required()) {
        return true;
      }
    }
    //默认全部检查
    else {
      // 执行认证
      Object token1 = httpServletRequest.getSession().getAttribute("token");
      if (token1 == null) {
        //这里其实是登录失效,没token了  这个错误也是我自定义的,读者需要自己修改
        httpServletResponse.sendError(401,"未登录");
        throw new NeedToLogin();
      }
      String token = token1.toString();

      //获取载荷内容
      String type = JwtUtils.getClaimByName(token, "type").asString();
      String id = JwtUtils.getClaimByName(token, "id").asString();
      String name = JwtUtils.getClaimByName(token, "name").asString();
      String idNumber = JwtUtils.getClaimByName(token, "idNumber").asString();

      //判断当前为名师
      if (RoleEnum.TOP_TEACHER.equals(type)){
        //检查用户是否存在
        TopTeacher topTeacher = topTeacherService.getById(id);
        if (topTeacher == null || topTeacher.getStatus().equals(StatusEnum.FORBIDDEN)) {
          httpServletResponse.sendError(203,"非法操作");
          //这个错误也是我自定义的
          throw new UserNotExist();
        }
      //学生
      }else {
        //需要检查用户是否存在
        Student user = studentService.getById(id);
        if (user == null || user.getStatus().equals(StatusEnum.FORBIDDEN)) {
          httpServletResponse.sendError(203,"非法操作");
          //这个错误也是我自定义的
          throw new UserNotExist();
        }
      }

      // 验证 token
      JwtUtils.verifyToken(token, id);

      //放入attribute以便后面调用
      httpServletRequest.setAttribute("type", type);
      httpServletRequest.setAttribute("id", id);
      httpServletRequest.setAttribute("name", name);
      httpServletRequest.setAttribute("idNumber", idNumber);

      return true;

    }
    return true;
  }

  @Override
  public void postHandle(HttpServletRequest httpServletRequest,
              HttpServletResponse httpServletResponse,
              Object o, ModelAndView modelAndView) throws Exception {

  }

  @Override
  public void afterCompletion(HttpServletRequest httpServletRequest,
                HttpServletResponse httpServletResponse,
                Object o, Exception e) throws Exception {
  }
}

文件中有个string类型的token,这个token是用户登录时在controller里创建的,具体代码加在用户登陆的接口里:

String token = JwtUtils.createToken(topTeacher.getId(), RoleEnum.TOP_TEACHER,topTeacher.getName(),idNumber);
    request.getSession().setAttribute("token",token);

4.创建注解@PassToken

package cn.stylefeng.guns.sys.modular.bzjxjy.config.jwt;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 在方法上加入本注解 即可跳过登录验证 比如登录
 * @author Administrator
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
  boolean required() default true;
}

总结

提示:这里对文章进行总结:
以上就是完整的编写一个前端页面调用控制器接口时,进行验证判断相应权限的代码实现。主要是针对guns框架写的,因为guns框架本来自带接口权限验证功能,只不过只是针对后台而已,我在这里添加了针对前端的权限验证,仅供参考。

到此这篇关于Java的接口调用时的权限验证功能的实现的文章就介绍到这了,更多相关Java 接口调用时权限验证内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • App登陆java后台处理和用户权限验证

    最近做一个app项目,后台我独自一人开发,开发任务顺序安排上没有把登陆,注册和权限验证这些基本功能放在第一阶段开发,现在是部分业务相关功能已经完成,但是用户入口竟然还没有,只能说明当初需求分析的时候还是太过于着急了,把最基本的用户入口给放到后面了. 现在就需要在现有代码的基础上添加用户登录和权限验证功能. 关于登录和权限验证方面,参照以前做iOS的开发经验,App端提供用户名和密码换取token,每次通过换取的token请求需要登陆权限的操作. 现在反过来,我就需要考虑下面几个问题: 1.在现有

  • Java之Spring AOP 实现用户权限验证

    每个项目都会有权限管理系统 无论你是一个简单的企业站,还是一个复杂到爆的平台级项目,都会涉及到用户登录.权限管理这些必不可少的业务逻辑.有人说,企业站需要什么权限管理阿?那行吧,你那可能叫静态页面,就算这样,但你肯定也会有后台管理及登录功能. 每个项目中都会有这些几乎一样的业务逻辑,我们能不能把他们做成通用的系统呢? AOP 实现用户权限验证 AOP 在实际项目中运用的场景主要有权限管理(Authority Management).事务管理(Transaction Management).安全管

  • Java的接口调用时的权限验证功能的实现

    提示:这里可以添加本文要记录的大概内容: 例如:一般系统前端调用后台相关功能接口时,需要验证此时用户的权限是否满足调用该接口的条件,因此我们需要配置相应的验证权限的功能. 提示:以下是本篇文章正文内容,下面案例可供参考 一.编写的环境 工具:IDEA 框架:GUNS框架(自带后台权限验证配置,我们这里需要编写前端权限验证配置) 二.使用步骤 1.配置前端调用的接口 代码如下(示例): 在WebSecurityConfig中: // 登录接口放开过滤 .antMatchers("/login&qu

  • Android使用RSA加密实现接口调用时的校验功能

    RSA算法是一种非对称加密算法,那么何为非对称加密算法呢? 一般我们理解上的加密是这样子进行的:原文经过了一把钥匙(密钥)加密后变成了密文,然后将密文传递给接收方,接收方再用这把钥匙(密钥)解开密文.在这个过程中,其实加密和解密使用的是同一把钥匙,这种加密方式称为对称加密. 而非对称加密就是和对称加密相对,加密用的钥匙和解密所用的钥匙,并不是同一把钥匙.非对称加密首先会创建两把钥匙,而这两把钥匙是成对的分别称为公钥和私钥.在进行加密时我们使用公钥进行加密,而在解密的时候就必须要使用私钥才能进行解

  • Java编程接口调用的作用及代码分享

    很多JAVA初级程序员对于接口存在的意义很疑惑.不知道接口到底是有什么作用,为什么要定义接口. 好像定义接口是提前做了个多余的工作.下面我给大家总结了4点关于JAVA中接口存在的意义: 1.重要性:在Java语言中, abstract class 和interface 是支持抽象类定义的两种机制.正是由于这两种机制的存在,才赋予了Java强大的 面向对象能力. 2.简单.规范性:如果一个项目比较庞大,那么就需要一个能理清所有业务的架构师来定义一些主要的接口,这些接口不仅告诉开发人员你需要实现那些

  • vue iview实现动态路由和权限验证功能

    github上关于vue动态添加路由的例子很多,本项目参考了部分项目后,在iview框架基础上完成了动态路由的动态添加和菜单刷新.为了帮助其他需要的朋友,现分享出实现逻辑,欢迎一起交流学习. Github地址 iview-dynamicRouter 实现目标 客户端从服务端拿到路由和权限数据后,刷新项目的路由和菜单列表,并进行权限控制. 项目基础 基础框架: iview组件库官方模板项目 iview-admin 的template分支项目,此项目为 iview-admin 的基础框架代码.项目地

  • Java使用正则表达式对注册页面进行验证功能实现

    本文给大家介绍java使用正则表达式对注册页面进行验证的代码,代码如下所示: package regex; import java.util.Scanner; import java.util.regex.Matcher; import java.util.regex.Pattern; public class registered { public static void main(String[] args) { //注册用户 Scanner sc=new Scanner(System.in

  • Java实现发送手机短信语音验证功能代码实例

    这篇文章主要介绍了Java实现发送手机短信语音验证功能代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 利用第三方平台可以实现发送手机短信验证码和语音验证码的功能,本文使用框架是struts2+spring+hibernate,现就action层给出核心代码功能. public class VerifyAction extends BaseAction<VerifyRequest> { private static final long

  • java中接口(interface)及使用方法示例

    1.接口:一种把类抽象的更彻底,接口里只能包含抽象方法的"特殊类".接口不关心类的内部状态数据,定义的是一批类所遵守的规范.(它只规定这批类里必须提供某些方法,提供这些方法就可以满足实际要求). 在JAVA编程语言中是一个抽象类型,是抽象方法的集合,接口通常以interface来声明.一个类通过继承接口的方式,从而来继承接口的抽象方法. 接口并不是类,编写接口的方式和类很相似,但是它们属于不同的概念.类描述对象的属性和方法.接口则包含类要实现的方法. 除非实现接口的类是抽象类,否则该类

  • springMVC 用户登录权限验证实现过程解析

    通过上网搜资料显示,使用filter和interceptor都可以实现.不过推荐使用interceptor. 下面就使用Interceptor实现用户登录权限验证功能. 拦截器需要实现Inceptor拦截器接口的三个方法. 1.preHandle方法 顾名思义,该方法将在请求处理之前进行调用.SpringMVC 中的Interceptor 是链式的调用的,在一个应用中或者说是在一个请求中可以同时存在多个Interceptor .每个Interceptor 的调用会依据它的声明顺序依次执行,而且最

随机推荐