当前位置: 首页 > wzjs >正文

网站建设图片素材库物流网个人网站建设

wzjs 2025/9/21 21:12:56
网站建设图片素材库,物流网个人网站建设,苏州建网站公司选苏州聚尚网络,关于进一步加强网站建设和1、需求 在spring security双token机制实现一文中已经实现了token的校验,在实际的项目中还需要根据用户的角色或用户Id对数据资源进行校验。 例如,有两个项目A和B,张三和李四都是项目实施人员这一角色,张三是项目A的项目组成员&a…

1、需求

在spring security双token机制实现一文中已经实现了token的校验,在实际的项目中还需要根据用户的角色或用户Id对数据资源进行校验。
例如,有两个项目A和B,张三和李四都是项目实施人员这一角色,张三是项目A的项目组成员,李四是项目B的项目组成员,他们只能访问自己所属项目的资源。

2、实现

这里对spring security双token机制实现中的代码进行一部分改造。

2.1 改造TokenAuthenticationFilter

部分公共资源是可以不需要项目的权限就可以访问的,在前面的例子中,比如一些公共的模块(公司组织架构查询,帮助等)。token校验成功后可以将我们请求的资源需要的校验写入上下文中,以便过滤器链处理(代码中的NOTE注释)。

@Component
public class TokenAuthenticationFilter extends OncePerRequestFilter {private UserMapper userMapper;private TokenMapper tokenMapper;private static final Logger logger = LoggerFactory.getLogger(TokenAuthenticationFilter.class);@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)throws ServletException, IOException {if (userMapper == null) {userMapper = SpringUtils.getBean(UserMapper.class);}if (tokenMapper == null) {tokenMapper = SpringUtils.getBean(TokenMapper.class);}String tokenHeaderStr = request.getHeader("authorization");String token = tokenHeaderStr.substring(7);String userId = authenticateToken(token);if (userId == null || userId.isEmpty()) {logger.error("无效的token");response.setStatus(HttpServletResponse.SC_FORBIDDEN);response.setCharacterEncoding("UTF-8");response.getWriter().write("无效的token");return;}User user = userMapper.findByUserIdWithRole(userId);String requestUri = request.getServletPath();// NOTE: 在上面校验用户的逻辑完成之后可以通过这样的方式将资源权限相关的属性写入Authentication上下文中,这里getNeedProjectAuth()方法获取该接口是否需要校验用户的项目权限List<GrantedAuthority> authorityList =AuthorityUtils.createAuthorityList(user.getRole().getRoleCode(), getNeedProjectAuth(requestUri).toString());// NOTE: 这里将用户的信息写入Authentication上下文Authentication authentication =new UsernamePasswordAuthenticationToken(user, token, authorityList);SecurityContextHolder.getContext().setAuthentication(authentication);filterChain.doFilter(request, response);}// 实现shouldNotFilter方法,设置无需token校验的url@Overrideprotected boolean shouldNotFilter(HttpServletRequest request) {String fullUri = request.getRequestURI();String context_path = request.getContextPath();String uri = fullUri.substring(fullUri.indexOf(context_path) + context_path.length());return Arrays.asList(acceptUrls).contains(uri);}private String authenticateToken(String tokenStr) {Token token = tokenMapper.getTokenByAccessToken(tokenStr);if (token == null) {return null;}LocalDateTime now = LocalDateTime.now();if (token.getAccessExpireTime().isAfter(now)) {return token.getUserId();}return null;}
}

2.2 实现ProjectAuthenticationFilter

校验token成功之后通过ProjectAuthenticationFilter 来校验用户的项目权限,从上下文中读取Authentication,获得项目权限校验信息(根据url判断是否需要校验项目权限,用户是否具有该项目的权限)

@Component
public class ProjectAuthenticationFilter extends OncePerRequestFilter {@Autowiredprivate ProjectUserMapper projectUserMapper;private static final Logger logger = LoggerFactory.getLogger(ProjectAuthenticationFilter.class);@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)throws ServletException, IOException {Authentication auth = SecurityContextHolder.getContext().getAuthentication();// ADMIN用户可以访问所有的项目资源if (auth.getAuthorities().toArray()[0].toString().toUpperCase().equals("ROLE_ADMIN")) {filterChain.doFilter(request, response);} else {/*** 获取用户是否有请求项目资源的权限,方法略*/filterChain.doFilter(request, response);}}// 在这里判断是否需要校验权限@Overrideprotected boolean shouldNotFilter(HttpServletRequest request) {// NOTE:从上下文中获取Authentication ,根据接口所需资源情况判断是否需要校验用户的项目权限Authentication auth = SecurityContextHolder.getContext().getAuthentication();boolean needProjectAuth = Boolean.parseBoolean(auth.getAuthorities().toArray()[1].toString());return !needProjectAuth;}
}

2.3 按校验顺序注册过滤器

这里需要改造下spring security配置类,按照恰当的顺序注册过滤器链(代码中的NOTE注释)。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate TokenAuthenticationFilter tokenAuthenticationFilter;@Autowiredprivate ServiceAuthenticationFilter serviceAuthenticationFilter;@Overrideprotected void configure(HttpSecurity http) throws Exception {// NOTE:先经过token校验过滤器,再经过项目校验过滤器http.csrf().disable().authorizeRequests().anyRequest().authenticated().and().addFilterBefore(tokenAuthenticationFilter, BasicAuthenticationFilter.class).addFilterAfter(projectAuthenticationFilter, TokenAuthenticationFilter.class).sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);}@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}
}
http://www.dtcms.com/wzjs/820897.html

相关文章:

  • 网站开发的公司电话域名注册 阿里云查询
  • 传统文化网站建设wordpress responsive theme
  • 招商加盟的网站应该怎么做合肥建站费用
  • 最新远程网站建设服务器山东做网站建设公司排名
  • 建站合同模板企业网页设计尺寸
  • 深圳网站建设黄浦网络-骗子东营伟浩建设集团网站
  • 网站建设目标及需求河北省建设工程管理信息网官网
  • 网站要能被搜到需要做推广嘛wordpress高仿主题
  • 做论文查重网站代理能赚到钱吗长春市网站推广
  • 门户网站开发视频wordpress博客分享
  • 网站建设crm个人网站我的大学我做主页面
  • 上海响应式网站建设企业修改wordpress设置方法
  • 免费情感网站哪个好湖南智能网站建设费用
  • 郑州好的网站建设公司排名免费网站推广大
  • 天猫建设网站的理由重庆大渡口网站建设
  • 深圳 微网站机械设计师网课
  • 网站的承诺五大免费资源网站
  • asp源码下载网站做地方网站能赚钱吗
  • 网络优化网站 site门户网站开发的意义
  • 资源下载网站源码wordpress数据库合并
  • 集团网站建设思路软文新闻发稿平台
  • 厦门建设网站的提示网站有风险
  • ppt做视频的模板下载网站有哪些内容经典seo伪原创
  • 手工建站与模板网站的区别建设银行网站的特点
  • 网站建设公司杭州房地产开发公司注册资金要求
  • 优秀网站建设报价网站运营 宣传团队建设
  • 网站备案需要关闭成都市建设厅网站查询
  • 酒店宾馆客栈旅馆古典网站源码 asp源码带后台万网空间上传网站
  • 在家做网站建设织梦模板网站好吗
  • 品牌建设表态发言滨州做网站优化