项目思路---接口的权限控制、登陆校验以及白名单的设置

最新推荐文章于 2025-06-25 15:54:28 发布
原创 最新推荐文章于 2025-06-25 15:54:28 发布 · 1.1w 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#接口权限控制 #登陆校验 #白名单

接口的权限控制、登陆校验以及白名单的设置

在登陆成功之后,才可以去访问一些接口,否则其他的接口都是不可以访问状态,或者校验这个用户在发起请求的时候,是否是登陆状态,同时有些接口不需要登陆也可以访问,在这里做一个简单的记录。

首先,在看到这些需求的时候,要在配置文件里面进行配置白名单,之后读取白名单的配置文件获取到白名单的列表,这样就可以拿到了那写接口不需要判断。

其次,要做一个拦截器,在每一次前台发起请求的时候,用来拦截,之后进行比较,如果是白名单接口,则不需要进行拦截,直接放掉,如果需要拦截,则进行拦截,进行业务判断。

在之后,根据业务逻辑,判断白名单,之后,判断登陆权限,在判断角色权限,最后抛出异常,返给前台,告知前台信息。

1、读取白名单,以及设置拦截器

2、根据业务进行处理。

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        Map<String,String> map = CommonUtils.getIpAddr(request);
        if (restList.contains(map.get("uri"))) {
            logger.info(map.get("uri")+"是白名单");
            return true;
        }

        // 检查每个到来的请求对应的session域中是否有登录标识
        Object loginName = request.getSession().getAttribute("loginName");
        if (null == loginName || !(loginName instanceof String)) {
            // 未登录,重定向到登录页
            throw new YzptException(CodeEnums.USER_TOKEN_FAIL);
        }
        String userName = (String) loginName;
        System.out.println("当前用户已登录,登录的用户名为: " + userName);
        return true;
    }

用于处理请求资源的信息方法。 

    public static Map<String ,String> getIpAddr(HttpServletRequest request) {

        Map<String ,String> map = new HashMap<String,String>();

        String uri = request.getRequestURI();//返回请求行中的资源名称
        String url = request.getRequestURL().toString();//获得客户端发送请求的完整url
        String params = request.getQueryString();//返回请求行中的参数部分
        String host = request.getRemoteHost();//返回发出请求的客户机的主机名
        int port = request.getRemotePort();//返回发出请求的客户机的端口号。

        String ip = request.getHeader("X-Forwarded-For");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
        }
        map.put("host",host);
        map.put("params",params);
        map.put("url",url);
        map.put("uri",uri);
        map.put("port",String.valueOf(port));
        map.put("ip",ip);
        return map;
    }

总结:在做开始做项目的时候,需要将整体的流程想清楚,之后分解项目模块,在进行每一块的编写和处理,代码不是很全,之后接口权限的控制我还没有写,主要就是在session里面标记,这个用户的身份,之后在请求的时候,进行拦截判断用户身份是不是可以调用这个接口就好了,因为之前在写功能的时候,把这些功能都写在了上面,所以截图和代码不是特别全,可以加qq:1029273212索要源码,还有要是有大神能给我指点一二就更好了,期待和大家一起成长。

SpringBlade export-user SQL 注入漏洞
holyxp的博客
01-10 1276
SpringBlade 是一个由商业级项目升级优化而来的 SprinaCloud 分布式微服务架构、Springoot 单体式微服务架构并存的综合型项四。SpringBlade v3.2.0 及之前版本框架后台 export-user 路径存在安全漏洞Q,攻击者利用该漏洞可通过组件customSalSegment 进行SQL注入攻击,攻击者可将用户名、密码等敏感信息通过 excel 导出。
《Vue3笔记》第22节:Vue3项目控制访问页面的权限
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 优快云 记录学习心得和笔记内容。
01-27 434
前一个小节的内容中,介绍了NProgress加载进度条插件的使用,这个小节来学习一下,如何控制界面的访问权限。
与第三方接口调用时白名单功能
ylundertaker的专栏
01-28 6450
近一年来一直做与其他方做接口方面的工作。做接口肯定就会涉及到一些白名单、授权、验证方面的问题。这里看一下白名单问题。        做过一个dll插件的接口,方式是我们把此dll发给第三方,第三方将此dll放到他们的程序中,通过加载此动态库,调用里面的方法完成业务功能。由于是通过此接口的客户端进行收费的,所有必须控制进行一个授权。首先我们把他们需要使用接口的电脑的mac地址拿过来,用我们的加
java过滤器ip白名单_通过过滤器UnknownRefererSecurityFilter实现开放接口白名单授权访问,防止内容被盗爬...
weixin_36155846的博客
02-28 583
一、前言最近发现网站内容存在直接通过开放接口被抓取的的安全隐患,于是写了个安全过滤器UnknownRefererSecurityFilter实现允许白名单访问域接入到本站直接获取内容,之前也写过防止相关页面盗链的文章可以参考,该功能现在上线,测试效果如下图所示二、代码示例1. UnknownRefererSecurityFilter类内容如下所示packagecom.xwood.search.s...
Java后台权限控制实现指南
最新发布
weixin_42561464的博客
06-25 889
权限控制是信息安全领域的核心概念,它确保用户只能访问他们被授权的数据和功能。权限控制包含三个基本元素:用户、角色和权限。用户是系统的使用个体;角色是用户集合,具有相同职责的一组权限;权限则定义了可以执行的操作,比如读取、写入、修改或删除数据。Apache Shiro核心框架主要由三个主要组件构成:Subject、SecurityManager和Realms。Subject:代表了当前“用户”,这是Shiro框架中最核心的概念。应用程序的所有安全操作都是通过Subject进行的。
暴露接口IP白名单设置
CherishL_的专栏
01-03 6525
String realIp = IPUtil.getIpAddr(request); if(!"0:0:0:0:0:0:0:1".equals(realIp)){ List<String> ipList = Resources.readLines(Resources.getResource("ipWhiteList.txt"),Charset.forName("utf-8
Blade-X日志接口未授权访问
spkiddai
07-30 3283
CNVD-2022-44335 blade-x未授权访问
SaaS-前端权限控制
逍遥云恋
12-30 2109
1 前端权限控制 1.1 需求分析 1.1.1 需求说明 基于前后端分离的开发模式中,权限控制分为前端页面可见性权限与后端API接口可访问行权限。前端的权限控制主要围绕在菜单是否可见,以及菜单中按钮是否可见两方面展开的。 1.1.2 实现思路 在vue工程中,菜单可以简单的理解为vue中的路由,只需要根据登录用户的权限信息动态的加载路由列表就可以动态的构造出访问菜单。 登录成功后获取用户信息,包...
若依管理系统RuoYi-Vue(二):权限系统设计详解
热门推荐
m0_54853420的博客
03-07 1万+
本篇文章试图讲解若依Vue系统中的权限设计原理以及实战,为什么是“试图”?因为这也是摸索着理解的,不一定准 若依Vue系统中的权限管理部分的功能都集中在了系统管理菜单模块中,如下图所示。其中权限部分主要涉及到了用户管理、角色管理、菜单管理、部门管理这四个部分。 一、若依Vue系统中的权限分类 根据观察,若依Vue系统中的权限分为以下几类 菜单权限:用户登录系统之后能看到哪些菜单 按钮权限:用户在一个页面上能看到哪些按钮,比如新增、删除等按钮 接口权限:用户带着认证信息请求后端接口,是否有权限访问,该接口
权限控制与安全管理设计文档
03-28
本设计文档旨在详细介绍一个完整的权限控制与安全管理系统的设计思路,涵盖API权限控制的各个方面,确保系统的稳定运行与数据的安全。 #### 二、权限控制与安全管理概述 ##### 2.1 目标 本系统的主要目标包括但不...
java 接口白名单
06-18
在Java中实现接口白名单的核心思路是通过**预校验机制**限制接口访问权限。以下是四种常用方法及示例: --- #### 方法1:接口内部校验(简单场景) ```java public interface ApiService { void execute(String ...
BladeX】签名认证失败,请求接口:{},请求IP:{},请求参数:{}
weixin_47375144的博客
03-31 1775
④ 前端config.js文件应该修改为。
bladex框架如何配置数据权限
weixin_42759398的博客
01-20 401
还要在系统管理菜单管理页面也配置一下。
php接口增加白名单,微信公众平台宣布增加接口IP白名单提高安全性
weixin_35749796的博客
03-23 499
微信公众平台目前已经发布通知在平台接口调用上为了提高安全性需要添加IP白名单并仅允许白名单IP调用。目前微信公众平台面向开发者主要提供的开发者ID和开发者密钥,在调用时ID和密钥通过检验即可进行调用。新增的IP白名单是当前各种安全模式中非常流行的安全策略,在泄露开发者ID和密钥的情况下也不易被盗用。开启IP白名单步骤:1、登录微信公众平台并点击左侧主菜单中的开发 --- 基本配置 --- IP...
权限组件之四(规则)
11-04 2175
    定义好User,Group,Role了以后,下面我定义了权限判断的规则.    首先定义Rule接口,见Rule.java.Rule只做一件事判断User是否有权限.    然后我实现了一个Rule,见RuleImpl.java.      这部分涉及到了一个Input类,这个类是一个输入的类,接口如Input.java.这个通过继承该接口可以使用各种方式数据(HTTP
【springblade】springblade(bladeX) 数据权限失效原因分析
孟秋与你的博客
02-22 2549
最近博主在按照bladeX官方文档 配置数据权限 结果发现失效了,网上搜了一下没找到合适的答案,本着求人不如求己的精神,自己调试了一下发现了问题所在,也大致看了一下bladeX的权限逻辑。
数据权限简介
orichisonic的专栏
09-17 1万+
前言 我们知道,一般的系统都离不开权限模块,它是支撑整个系统运行的基础模块。而根据项目类型和需求的不同,权限模块的设计更是大相径庭。但不管怎么变,权限模块从大的方面来说,可以分为三种大的类型:功能权限、接口权限、数据权限。 功能权限:也就是我们最熟悉的菜单、按钮权限。可以配置各个角色能看到的菜单、按钮从而从最表层分配好权限 接口权限:顾名思义,配置不通角色调用接口的权限。有些敏感接口,是只能有固定的一些角色才能调用,普通角色是不能调用的。这种情况需要有一个明确的系统来控制对应的访问权限 数据权限:是
filter设计缺陷导致的权限绕过
蚁景网安学院
06-16 3486
1.1 权限控制的本质一般来说,为了防止越权操作,通常会结合filter进⾏相关接⼝的鉴权操作。其中不不外乎就是对每⼀个接口(通俗来说就是我们的URI/URL)进行业务梳理,然后判断当前...
Bladex后端实现登入时间过期后自动跳转登入页
qq_38144121的博客
04-26 1621
Bladex可手动设置过期时间,但是我使用的是springboot BladeX 2.8.1.RELEASE版本,存在session过期后,后端AuthUtil.getUser().getDetail()自动清空但前端却还可以继续访问页面,前端未跳转至登入页面,导致部分接口报错问题。需要注意的是,两个参数的时间单位不同,server.servlet.session.timeout 使用的是秒,而 blade.web.session.timeout 使用的是分钟。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值