SpringBoot项目实现用户token和资源的多重校验

原创 已于 2025-02-21 19:00:15 修改 · 476 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #后端 #web安全

于 2025-02-21 18:59:58 首次发布

1、需求

spring security双token机制实现一文中已经实现了token的校验,在实际的项目中还需要根据用户的角色或用户Id对数据资源进行校验。
例如,有两个项目A和B,张三和李四都是项目实施人员这一角色,张三是项目A的项目组成员,李四是项目B的项目组成员,他们只能访问自己所属项目的资源。

2、实现

这里对spring security双token机制实现中的代码进行一部分改造。

2.1 改造TokenAuthenticationFilter

部分公共资源是可以不需要项目的权限就可以访问的,在前面的例子中,比如一些公共的模块(公司组织架构查询,帮助等)。token校验成功后可以将我们请求的资源需要的校验写入上下文中,以便过滤器链处理(代码中的NOTE注释)。

@Component
public class TokenAuthenticationFilter extends OncePerRequestFilter {
   
   

    private UserMapper userMapper;

    private TokenMapper tokenMapper;

    private static final Logger logger = LoggerFactory.getLogger(TokenAuthenticationFilter.class);

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
   
   
        if (userMapper == null) {
   
   
            userMapper = SpringUtils.getBean(UserMapper.class);
        }
        if (tokenMapper == null) {
   
   
            tokenMapper = SpringUtils.getBean(TokenMapper.class);
        }
        String tokenHeaderStr = request.getHeader("authorization");
        String token = tokenHeaderStr.substring(7);
        String userId = authenticateToken(token);
        if (userId == null
最低0.47元/天 解锁文章

200万优质内容无限畅学
【微服务】springboot 整合表达式计算引擎 Aviator 使用详解
congge
08-18 1万+
springboot 整合表达式计算引擎 Aviator 使用详解
springboot整合springsecurity单点登录:认证、校验思路
qq_53596115的博客
03-19 616
springsecurity单点登录,认证及校验代码实现,逻辑。
Springboot集成JWT token实现权限验证
最新发布
liuyang___的博客
03-30 829
我又发现一个bug,因为我们每次点击前的退出登陆的时候,这个token还是会留在浏览器的缓存里面,所以我们需要做一个退出登陆的时候,清除浏览器缓存的一个操作!设置完这个,我们发现请求头中多了一个token数据,这个token就是登录接口返回的token,在每一次的请求的时候,都会在请求头带上这个token,作为验证信息!这种后端的访问地址,他是直接可以访问我们的所有的用户数据的,这样是绝对不可以的,所以我们现在要写一个拦截器,将。我们现在设置完了会发现一个bug,因为我们的登录接口也被拦截了!
java不同项目token访问_SpringBoot入门建站全系列(十二)Spring Security使用token做认证...
weixin_39762075的博客
11-07 316
SpringBoot入门建站全系列(十二)Spring Security使用token做认证Spring 是一个非常流行成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)用户授权(Authorization)两个部分。用户认证指的是验证...
深入了解Token认证的来龙去脉
zyh568879280的博客
02-15 548
转载至:https://blog.youkuaiyun.com/niugang0920/article/details/80615137 Token 是在服务产生的,如果前使用用户名/密码向服务请求认证,服务认证成功,那么在服务会返回 Token 给前。前可以在每次请求的时候带上 Token 证明自己的合法地位。     不久前,我在前后端分离实践中提到了基于 Token 的认证,现在我...
springBoot集成token认证
zhiyikeji的博客
09-19 2816
1.我们先大概了解一下 jwt认证token的基本原理 1.什么是JWT 2.JWT请求流程 3.JWT的主要应用场景 Header Payload 标准中注册的声明 (建议但不强制使用) : 公共的声明 : 私有的声明 : Signature 2.与springBoot项目的集成 1.添加maven依赖 2.自定义两个注解 3.简单自定义一个实体类User 4.Mapper接口 5.service 6.service的实现类 7.UserMapper.xml 8.token的生成方..
springboot 加入token安全认证 手把手教程
qq_42017966的博客
08-26 4726
springboot 加入token安全认证 手把手教程
spring boot3token拦截器链的设计与实现
蒾酒的博客
03-07 5948
本文介绍了spring boot后端服务开发中有关如何设计拦截器的思路,坚持看完相信对你有帮助。同时欢迎订阅springboot系列专栏,持续分享spring boot的使用经验。首先,需要定义第一个拦截器类,该拦截器类需要实现 Spring 框架提供的接口。该拦截器只做一件事就是刷新token。/***/@Slf4j@Component@Override// 1、从请求头中获取token// 2.解析token// 3.获取用户信息。
Spring Boot中使用注解拦截器实现通用校验基于角色的权限注解
J老熊
09-20 1502
通过使用Spring Boot的注解拦截器,我们可以优雅地实现通用校验灵活的权限控制。本文将以电商交易系统为案例,详细讲解如何在Spring Boot实现支持角色入参的权限校验器,以及如何通过注解拦截器实现通用校验器,提供高拓展性可维护性的解决方案。
最全SpringBootSpringSecurity账号手机验证码登录多重认证实践
Soinq的博客
12-11 4047
文章目录一: Spring Boot 引入Security 的 pom依赖1.1: 首先引入pom jar 包1.2: 配置 WebSecurityConfig@EnableWebSecurity 作用 :在这个配置类中,我们主要做了以下几个配置:二: 账号权限登录流程账号登录认证流程过滤器 JwtLoginFilter三: 手机号权限登录流程手机号登录认证流程过滤器 SmsCodeLoginFilter四: token 过滤认证校验token 认证过滤器 JwtTokenAuthenticationFil
第23章 SpringBoot集成Token
richieandndsc的博客
11-07 1751
SpringBoot学习笔记
spring security 采用 filter + token方式验证
weixin_43866295的博客
03-27 2958
spring security 采用 filter + token方式验证 此项目中的token是redis中的key并不是jwt工具生成的token,但是道理一样 验证过程为登陆成功后后台会给前台返回一个uuid生成的token,前带上token请求后台,在过滤器中拿到token并在redis中查找,redis中key为token,value为用户名,如果找到则token有效, Securit...
JAVA垂直越权水平越权
huangli的博客
03-03 1179
水平越权(Horizontal Privilege Escalation)定义:同一权限等级的用户之间,通过非法手段访问或操作其他用户资源。示例用户A通过篡改URL参数(如订单ID)访问用户B的订单信息。用户绕过权限验证,通过API直接获取他人数据。常见原因服务校验资源归属,如数据库查询未关联当前用户ID。依赖客户传递的参数(如用户ID)进行权限判断,未在服务二次验证。防范措施强制资源关联用户:在数据库查询中,始终将当前用户ID作为条件(如服务校验
springboot + spring security验证token进行用户认证
justlpf的专栏
05-19 7764
参考文章:springboot + spring security验证token进行用户认证
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 3万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
Spring Security + JWT 实现基于Token安全验证
m0_56282664的博客
07-21 1350
Spring Security + JWT 实现基于Token安全验证
SpringBoot项目整合jwtredis完成登录token校验(含原理解析)
Barry_Li1949的博客
11-27 3927
1、引入JWT依赖: 通过在项目的pom.xml中添加JWT依赖,使得项目能够使用JWT相关的功能。2、实现JWT工具类: 创建一个JwtUtil类,用于生成解析JWT。createJWT方法用于创建一个新的JWT,而parseJWT方法用于验证解析一个已存在的JWT。3、登录接口实现: 在登录接口中,首先验证用户的登录信息,然后使用JwtUtil生成JWT。这个JWT会被返回给用户,并存储在Redis中,用于后续的请求验证。
Spring-Boot-14-理解Token实现机制
SpriCoder的博客
04-24 1078
Spring-Boot-14-理解Token实现机制
springboot中使用token
Cidaren的博客
07-15 1万+
1. pom.xml文件中添加依赖 <!-- 引入操作JWT的相关依赖 --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.11.0</version> </dependency> 除此依赖之外还需要添加springbootweb的起步依赖,以及使用的数据库依赖 2. 定
SpringBoot项目引入token设置
陈厚伯的博客
11-27 4689
一. 先了解熟悉JWT(JSON Web Token) 看这些介绍、结构之类的,确实挺无聊的;想直接进入主题的话,就跳过第一大步。望各位同仁给出相关意见,以备我来更加深入的学习。 1. JSON Web Token是什么鬼? 这个东西,反正理解成一个标准就行了,啥标准我也不知道。反正就是用于各种信息的安全性传输。 1. JSON Web令牌应用的场景 1.授权,在用户登录后会给用户一个token,在用户后续的所有请求后台资源的操作都将携带这个token,只有被token允许的操作才能执行。 2.信息交换,应
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值