基于Interceptor+JWT+Redis的后端API权限验证小实现

最新推荐文章于 2025-12-21 10:39:15 发布
原创 最新推荐文章于 2025-12-21 10:39:15 发布 · 144 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#redis #java #数据库

本文介绍了一个小型前后端项目中的权限认证实现,采用RBAC模型,使用JWT进行鉴权,通过Interceptor处理API权限。登录逻辑包括用户信息存储到Redis中,登录失败和成功的处理。项目中还涉及自定义异常处理和拦截器,拦截器负责验证token并根据用户权限决定是否允许访问特定接口。文章讨论了手动维护接口权限和角色映射的不便,以及Token有效期带来的问题。

前言

  • 本章节是做一个小型的前后端项目的验证授权控制简单Demo实现方案
  • 重点在于后端API的权限认证
  • 这种实现方式比较low,不容易开发维护,此博客还写的很丑陋,建议自己看项目代码分析就好(重点在于Interceptor的逻辑),很快就明白的。
  • 项目地址:github.com/Tonciy/perm…

1. 描述

1.1 实现思路

  • 总体流程如下:

  • 登录逻辑如下:

  • 请求权限认证如下

1.2 用户访问API划分

  • 如下图所示

2. 环境搭建

2.1 数据库

  • 基于RBAC模型建立的,比较简单

  • 在这里要特别描述下权限表的各个字段含义:

    • 比如做SaaS如果还要细分的话,权限表实际上还可以拆,这里只是一个权限认证的小Demo,就简单化了

  • 本Demo中权限表中的具体数据如下图所示(特别注意每行记录中的api_identify值,代表某个接口的唯一标识符,后面在Controller中会有对应标明")

2.2 项目

  • 项目地址:github.com/Tonciy/perm…

  • 由于总体上比较简单,这里只描述一些重要的点,其余的自行查看发布到GitHub的项目

    1. 登录接口

      @RestController
@RequestMapping("/login")
public class LoginController {
    @Resource
    private UserService userService;
​
    @Resource
    private JwtUtils jwtUtils;
​
    @Resource
    private RedisTemplate<String, Object> redisTemplate;
​
    @Value("${redis.user.prefix}")
    private String redisKeyPrefix;
​
    @Value("${jwt.config.ttl}")
    private Long time = 1800L;
​
    @PostMapping
    public Result login(String username,  String password) throws CommonException {
        if(StringUtils.isEmpty(username) || StringUtils.isEmpty(password)){
            throw new CommonException(ResultCode.REQUEST_PARARMETER_MISS);
        }
        User user = userService.findByUsername(username);
        if(user == null){
            // 不存在此用户,登录失败
            return new Result(ResultCode.USERNAME_PASSWORD_ERROR);
        }else{
            // 比对密码
            if(password.equals(user.getPassword())){
                // 登录成功,存储当前用户到Redis里(设置存活时间) 签发token
                redisTemplate.opsForValue().set(redisKeyPrefix + user.getId(), user, time, TimeUnit.SECONDS);
                String token = jwtUtils.createJwt(user.getId(), user.getUsername(), null);
                return Result.SUCCESS(token);
            }else{
                // 密码错误
                return new Result(ResultCode.USERNAME_PASSWORD_ERROR);
            }
        }
    }
}
复制代码
      • 这里的登录逻辑是按照上述的逻辑图来实现的
      • 特别注意用户信息存放到Redis中的key,是通过配置的前缀 + 用户id拼接成的
      • 有效时间也是通过配置来设置的,否则有个默认时间

    2. 两个Controller注意每个接口上的请求映射注解name属性上,都标明了此接口对应的唯一标识符

最低0.47元/天 解锁文章
SpringCloudGateWay+nacos+redis+springsecurity实现多微服务统一授权认证
qq_45243783的博客
05-30 3867
之前做的大部分都是基于单体的springboot项目,对于权限这一块直接套用springsecurity就可以搞定了但是现在随着微服务分布式架构的流行,越来越多的项目都拆解成一个个的微服务,因此需要重构权限这一块,这里我采用的是在网关gateway层进行认证授权,根据认证结果以及角色来判断是否放行该请求:大致围绕下面三个需求:项目结构如图所示:登录认证授权等主要采用Spring security + redis+token机制,那么得首先配置WebSecurityConfig,这里看到的redis配置主要是
SpringCloudGateway+JWT统一认证鉴权
举世誉之而不加劝,举世非之而不加沮,定乎内外之分,辩乎荣辱之境,斯已矣。
06-02 1万+
参考springcloud-learning/micro-oauth2
微服务网关鉴权:gateway使用、网关限流使用、用户密码加密、JWT鉴权
weixin_44421461的博客
01-16 1650
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elast...
SpringCloud Gateway 实现自定义全局过滤器 + JWT权限验证
知道的越多 不知道的就越多
08-09 1万+
1、gateway filter的生命周期Spring Cloud Gateway同zuul类似,有“pre”和“post”两种方式的filter。客户端的请求先经过“pre”类型的filter,然后将请求转发到具体的业务服务,收到业务服务的响应之后,再经过“post”类型的filter处理,最后返回响应到客户端pre类型的filter:在业务逻辑之前post类型的filter:在业务逻辑之后2、gateway filter的应用场景。...
Spring Security实现权限认证与授权
b2105859的博客
02-12 2541
Spring Security实现认证与授权
springboot+JWT+redis实现token身份令牌验证(附代码)(超详细)
pengpm的博客
04-10 5970
利用springboot + JWT + Redis 搭建一个带token身份令牌验证后端框架 从零开始建议先看我的上一篇教程搭好sprongboot框架:快速搭建springboot+mybatis-plus代码自动生成器的后端框架 项目环境 IDEA 2020 springboot 2.3.7.RELEASE mybatis-plus 3.5.1 JDK 1.8 操作步骤 项目目录结构 用户类 import com.baomidou.mybatisplus.annotation.IdType
SpringBoot 基于Shiro + Jwt + Redis的用户权限管理 (一) 简介与配置
热门推荐
bai_ye_的博客
07-03 1万+
项目Github地址:https://github.com/baiye21/ShiroDemo 一,大体功能 1.登录成功返回access_token 用户通过用户密码进行login,验证成功后生成一个access_token返回给前端,之后的请求都需要将access_token放在Request Header部Authorization字段中,才能正常访问。 2.后续请求需携带access_token 将自定义的JwtFilter拦截器加入到了Shiro的过滤器中,没有在过滤...
Springboot+JWT+Redis实现登陆登出功能
justleavel的博客
10-27 3034
【代码】Springboot+JWT+Redis实现登陆登出功能。
jwt+redis实现登录认证
每天学习一点点
02-17 2310
上面代码是自定义的登录拦截器,在请求到来后,控制器方法执行前,会进入到拦截器的preHandle方法中,在这个方法里面,或获取到请求头中的Authorization属性值,也就是jwt的值,然后再获取到redis中的值,redis中key和values是相同的,都是jwt字符串的内容,所以这里是用jwt的值作为key去获取value,如果value有值则说明该请求是可以放行的(已经登录过),否则拦截请求,返回响应码401。这样原来的jwt就失效了,无法使用原来的jwt进行登录认证。JwtUtil工具类。
spring+springmvc+Interceptor+jwt+redis实现sso单点登录.zip
07-17
本项目利用Spring、SpringMVC、Interceptor拦截器、JWT(JSON Web Token)以及Redis实现SSO系统。下面将详细解释这些关键组件及其在SSO中的作用。 1. **Spring框架**: Spring是Java企业级应用开发的基石,提供...
Redis 安全加固终极指南
SmallBull的博客
12-17 1139
Redis安全加固指南摘要: 本文提供Redis数据库全面安全防护方案,涵盖7个关键维度:1)网络隔离:通过IP绑定和防火墙限制访问;2)身份认证:推荐使用Redis6+的ACL精细化权限控制;3)命令安全:禁用或重命名FLUSHALL等高危命令;4)通信加密:配置TLS/SSL传输加密;5)运行安全:以非root用户运行并设置内存保护;6)监控审计:开启日志记录和审计功能;7)应急响应:制定入侵处理预案。强调安全核心原则是最小权限+多层防御,必须完成绑定IP、强密码认证、禁用高危命令等基础防护,并建议定期
redis-Lettuce 框架因网络黑洞导致恢复时间变长
line_on_database的博客
12-19 923
生产上出现了两次 Redis 宿主机或者本身故障的情况,Redis 很快出现了切换,业务的影响面却在 15 分钟以上,使用的SDK 为 Lettuce外贸通这里需要将 Lettuce 升级为 6.3.0 + 版本并配置 tcp_user_timeout , Lettuce 详细参数见文档对于部分网卡宕机、网络分区故障等情况,概率性不会产生 RST。大多数的宕机,操作系统会在退出前给客户端发送 RST,因此这个问题不是切换或者宕机就必现;引用文章:详细文章net.ipv4.tcp_retries2 是 Lin
RedisTemplate、StringRedisTemplate、RedisIndexedSessionRepository之间的区别?
2201_75642742的博客
12-19 1162
组件用途是否需手动操作数据格式典型场景通用 Redis 操作✅ 是二进制(默认)缓存对象、复杂数据结构字符串 Redis 操作✅ 是可读字符串缓存 JSON、计数器、简单 KVHTTP Session 存储到 Redis❌ 否(自动)Spring Session 内部格式分布式 Web 应用 Session 共享@Bean// 使用 JSON 序列化这样也能存可读的 JSON,但通常不如直接用灵活。
Redis Lua 脚本为什么天然具备原子性?
最新发布
Knight
12-21 900
Redis Lua脚本的原子性源于Redis的单线程架构,整个脚本被视为一条不可分割的命令执行,确保脚本内的所有操作不会被其他客户端请求打断。这解决了高并发场景下的竞态问题,如库存扣减和一人一单等业务场景。相比MULTI/EXEC事务,Lua脚本提供更强的原子性保证且性能更优。但需要注意脚本不能跨Cluster节点执行,且过长的脚本会阻塞Redis服务。Lua脚本是Redis实现复杂原子操作的推荐方案。
Redis】从零开始掌握redis --- 认识redis
叫我龙翔的博客
12-16 815
Redis作为高性能NoSQL数据库的定位与应用 摘要:Redis是一个基于内存的键值对存储系统,属于NoSQL数据库范畴。相比传统SQL数据库Redis具有非结构化数据存储、内存读写和水平扩展等特性。在分布式系统中,Redis常作为缓存层解决高并发场景下的性能瓶颈问题。其高速读写能力(10万+QPS)源于内存存储、单线程模型和IO多路复用技术。Redis既支持数据持久化也支持集群部署,在保证性能的同时提高了可靠性。典型的应用场景包括热点数据缓存、实时访问系统等需要快速响应的业务场景。
CentOS7安装Redis全攻略
2301_80194953的博客
12-17 374
本文介绍了在CentOS7虚拟机中安装Redis的两种方法。YUM安装适合新手快速部署,通过EPEL仓库一键安装并自动管理服务;源码编译安装则适合需要特定版本或自定义配置的场景,详细说明了从下载源码到配置systemd服务的完整流程。文章还提供了防火墙设置建议,并强调生产环境需设置密码和访问限制。两种方式各具优势,用户可根据实际需求选择:YUM安装简单快捷,源码安装则更灵活可控。
Redis6为什么引入了多线程?
java1234的博客
12-19 572
Redis6为什么引入了多线程?
Redis】String 字符串
2401_83251330的博客
12-16 1300
总结一下,以上redis的使用都是根据具体的业务场景,不再直接访问数据库,而是增加一份缓存,提高了效率,也减小了数据库的压力,将常常被使用到的数据构建键值对放到redis中。可是具体什么是业务?业务重要吗?业务其实就是一个公司/产品,要解决一系列过程,这个解决过程,就可以叫做业务。而技术就是为了满足业务所诞生的,所有技术都要围绕业务展开,以后在考虑问题时,要先考虑到业务,业务是具体干嘛的,再去想想这个技术行不行,根据业务来开展,做一些技术的调整。
Spring+SpringMVC+Interceptor+JWT+Redis:实战分布式SSO单点登录
通过以上步骤,你将能够实现一个基于Spring、Spring MVC、InterceptorJWTRedis的分布式SSO解决方案。这种方法不仅可以支持多端会话共享,还能提供良好的扩展性和安全性。若需深入了解源码实现细节,可以参考提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值