当前位置: 首页 > wzjs >正文

上海 餐饮网站建设微平台推广

wzjs 2025/7/31 8:00:57
上海 餐饮网站建设,微平台推广,网站建设所有软件清单,公司网站用哪个软件做1、需求 在spring security双token机制实现一文中已经实现了token的校验,在实际的项目中还需要根据用户的角色或用户Id对数据资源进行校验。 例如,有两个项目A和B,张三和李四都是项目实施人员这一角色,张三是项目A的项目组成员&a…

1、需求

在spring security双token机制实现一文中已经实现了token的校验,在实际的项目中还需要根据用户的角色或用户Id对数据资源进行校验。
例如,有两个项目A和B,张三和李四都是项目实施人员这一角色,张三是项目A的项目组成员,李四是项目B的项目组成员,他们只能访问自己所属项目的资源。

2、实现

这里对spring security双token机制实现中的代码进行一部分改造。

2.1 改造TokenAuthenticationFilter

部分公共资源是可以不需要项目的权限就可以访问的,在前面的例子中,比如一些公共的模块(公司组织架构查询,帮助等)。token校验成功后可以将我们请求的资源需要的校验写入上下文中,以便过滤器链处理(代码中的NOTE注释)。

@Component
public class TokenAuthenticationFilter extends OncePerRequestFilter {private UserMapper userMapper;private TokenMapper tokenMapper;private static final Logger logger = LoggerFactory.getLogger(TokenAuthenticationFilter.class);@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)throws ServletException, IOException {if (userMapper == null) {userMapper = SpringUtils.getBean(UserMapper.class);}if (tokenMapper == null) {tokenMapper = SpringUtils.getBean(TokenMapper.class);}String tokenHeaderStr = request.getHeader("authorization");String token = tokenHeaderStr.substring(7);String userId = authenticateToken(token);if (userId == null || userId.isEmpty()) {logger.error("无效的token");response.setStatus(HttpServletResponse.SC_FORBIDDEN);response.setCharacterEncoding("UTF-8");response.getWriter().write("无效的token");return;}User user = userMapper.findByUserIdWithRole(userId);String requestUri = request.getServletPath();// NOTE: 在上面校验用户的逻辑完成之后可以通过这样的方式将资源权限相关的属性写入Authentication上下文中,这里getNeedProjectAuth()方法获取该接口是否需要校验用户的项目权限List<GrantedAuthority> authorityList =AuthorityUtils.createAuthorityList(user.getRole().getRoleCode(), getNeedProjectAuth(requestUri).toString());// NOTE: 这里将用户的信息写入Authentication上下文Authentication authentication =new UsernamePasswordAuthenticationToken(user, token, authorityList);SecurityContextHolder.getContext().setAuthentication(authentication);filterChain.doFilter(request, response);}// 实现shouldNotFilter方法,设置无需token校验的url@Overrideprotected boolean shouldNotFilter(HttpServletRequest request) {String fullUri = request.getRequestURI();String context_path = request.getContextPath();String uri = fullUri.substring(fullUri.indexOf(context_path) + context_path.length());return Arrays.asList(acceptUrls).contains(uri);}private String authenticateToken(String tokenStr) {Token token = tokenMapper.getTokenByAccessToken(tokenStr);if (token == null) {return null;}LocalDateTime now = LocalDateTime.now();if (token.getAccessExpireTime().isAfter(now)) {return token.getUserId();}return null;}
}

2.2 实现ProjectAuthenticationFilter

校验token成功之后通过ProjectAuthenticationFilter 来校验用户的项目权限,从上下文中读取Authentication,获得项目权限校验信息(根据url判断是否需要校验项目权限,用户是否具有该项目的权限)

@Component
public class ProjectAuthenticationFilter extends OncePerRequestFilter {@Autowiredprivate ProjectUserMapper projectUserMapper;private static final Logger logger = LoggerFactory.getLogger(ProjectAuthenticationFilter.class);@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)throws ServletException, IOException {Authentication auth = SecurityContextHolder.getContext().getAuthentication();// ADMIN用户可以访问所有的项目资源if (auth.getAuthorities().toArray()[0].toString().toUpperCase().equals("ROLE_ADMIN")) {filterChain.doFilter(request, response);} else {/*** 获取用户是否有请求项目资源的权限,方法略*/filterChain.doFilter(request, response);}}// 在这里判断是否需要校验权限@Overrideprotected boolean shouldNotFilter(HttpServletRequest request) {// NOTE:从上下文中获取Authentication ,根据接口所需资源情况判断是否需要校验用户的项目权限Authentication auth = SecurityContextHolder.getContext().getAuthentication();boolean needProjectAuth = Boolean.parseBoolean(auth.getAuthorities().toArray()[1].toString());return !needProjectAuth;}
}

2.3 按校验顺序注册过滤器

这里需要改造下spring security配置类,按照恰当的顺序注册过滤器链(代码中的NOTE注释)。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate TokenAuthenticationFilter tokenAuthenticationFilter;@Autowiredprivate ServiceAuthenticationFilter serviceAuthenticationFilter;@Overrideprotected void configure(HttpSecurity http) throws Exception {// NOTE:先经过token校验过滤器,再经过项目校验过滤器http.csrf().disable().authorizeRequests().anyRequest().authenticated().and().addFilterBefore(tokenAuthenticationFilter, BasicAuthenticationFilter.class).addFilterAfter(projectAuthenticationFilter, TokenAuthenticationFilter.class).sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);}@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}
}
http://www.dtcms.com/wzjs/161974.html

相关文章:

  • 跨境电商代运营公司十强网站关键词优化排名外包
  • java做网站建设后台b站推广入口2023mmm
  • 通过模版做网站搜索引擎推广的关键词
  • 深圳做手机商城网站建设2021拉新推广佣金排行榜
  • 初学php者网站首页怎么做品牌推广与传播
  • 长沙企业建站系统百度网页
  • 在线ppt制作网站有哪些站长推荐产品
  • 南京网站建设知识做任务赚佣金的正规平台
  • 做网站被骗去哪投诉百度竞价推广培训
  • 衡水网站建设公司联系电话seo技术培训海南
  • 义乌购物网站建设多少钱网站快速建站
  • 网站客服弹窗代码马鞍山seo
  • 建设网站材料可以下载吗石家庄自动seo
  • 百度公司做网站可靠吗樱花bt引擎
  • 临沂网站制作网站近两年成功的网络营销案例
  • 和人妖做的视频网站长沙市云网站建设
  • 做外围什么网站有客户2023年6月份疫情严重吗
  • 成功网站建设案例网络营销师课程
  • 深圳市建设工程交易中心网站如何免费推广网站
  • 凡科网站是什么做的2022年五月份热点事件
  • 佛山专业英文网站建设学生个人网页设计模板
  • 福建住房和城乡建设部网站百度推广深圳分公司
  • 拨付网站建设费用的报告360开户推广
  • jsp动态网站开发环境搭配郑州网站建设专业乐云seo
  • 闵行网站建设苏州seo关键词排名
  • dramwaver做网站太原百度seo排名软件
  • 视频网站建设工具标题优化怎样选关键词
  • 魅影看b站直播可以吗手机竞价托管 微竞价
  • 手机网站建设经验百度推广费用一天多少钱
  • 做网站不要盲目跟风seo研究中心超逸seo