极简权限认证必须掌握【代码+原理+建议收藏】

这个极简权限认证必须掌握,代码不过百,但是很关键

小白最近没有来问学委问题,不过前几天,有朋友问到如何进行访问控制,资源控制的,学委特地写了一篇。

这其实就是权限认证,理解并掌握其核心思想很重要,而且每个系统都避不开!下面一起看吧。

故事讲述 - 极简权限认证【代码+原理+建议收藏】


(这里附上了一个视频,过去看一下来个三连呗)

通常情况下,我们访问所有API都需要进行用户访问权限鉴定。比如判断当前访问的用户是什么人,什么角色。

在这里插入图片描述

下面基于商业办公楼安保系统来陈述。
在这里插入图片描述

今天去上班但是忘记带员工卡了

做为一个上班族,你去一个大型办公楼某一层楼办公/上班,想要进入不同楼层,商场物业会进行鉴定。

然后进入电梯打开按某一楼层。然后进入办公室之前还需要打开,这个滴卡的时候还会联网校验。

有些公司还会对员工进行更多的识别,但是本质都是说类似的。

当然滴多少次卡验证多少次,取决于你要去哪里,对应设置多少道安全关卡。

这其实跟我们做网站/平台的权限认证一个道理。

我们去一个地方滴卡,在技术中对等什么行为呢?

其实我们做系统为了安全,很多时候不会直接发送用户名和密码,这是不安全的。

这就像,多数办公楼小区不会每次都让你拿出身份证,然后让你背诵身份证号,地址。

或者每次你进入一个场所,都让你回答一堆私密问题,当答案和系统预先录入的数据完全配置,才让你进去。

这很麻烦!所以我们做权限认证的时候基于一个令牌(token)机制,这就像我们拿一个员工卡,门禁卡一样。

这里我们简单理解一个概念,token就像一个门禁卡一样,我们访问平台的资源的时候都带上这个token,滴一下,资源可以访问。

没滴卡/拿错别的卡,禁止进入办公楼!

先看效果,这就像下面的展示效果一样:
在这里插入图片描述

打了卡,我能进电梯/办公楼了吗?

先看效果:这个是登录用户访问受限资源的

在这里插入图片描述

让我们对比一下两次请求

第一次访问受限资源"/restrictData",通过Inspector查看,这个请求的请求头并没有带上token。

就像忘记拿卡一样,网站直接拒绝访问了。

在这里插入图片描述
第二个请求细节如下,细看下图,这个请求携带了token令牌,访问受限资源,并且是有效果token,所以下面输出了“访问受限资源,当前用户雷学委”。
在这里插入图片描述

看完效果,你懂了权限认证的核心了吗?

你是否有几个问题在脑海中

  • 这个网站是怎么认证每个请求是否有效合法?(针对每个访客,检验访客是否可进去访问资料)
  • 这个网站的令牌token怎么生成的?(类似卡是怎么做出来,发卡的)

说完了上面一些直观感受,下面雷学委要带大家解读技术实现了,这次用javascript来实现,基于NodeJS引擎运行。

原理解析

第一个问题,如何验证每个请求是否合法

我们这里使用了express的拦截器(Interceptor)。代码如下:

//针对每一个请求
app.use((req, res, next)=>{
   
    var url = req.originalUrl
    console.log('filter - url:',url)
    // 第一步,判断是否白名单,比如登录,退出,其他不限制的资源访问。
    if(url.startsWith('/login/')||url==='/logout'||url==='/checkToken'){
   
        next();
        return;
    }
    // 第二步,如果不是上面的白名单资源,那么获取令牌token,没有代令牌直接拒绝
    var t = req.header('token')
    console.log('filter - request header token:', t)
    if(!t){
   
        res.status(400).send("禁止越权访问!!!")
        return
    }
    // console.log('filter - current session:', req.session)
    //第三步,查询网站的用户令牌注册表,是否保护当前令牌对应的用户,否则显示令牌失效,类似拿错卡了。
    var user = getUserByToken(req)
    if(!user){
   
       res.status(400).send("您的token失效或者未登录,请登录!")
       return 
    }
    //最后,上面的校验都通过了,直接进行后续资源处理
评论 62
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

雷学委

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值