SpringCloud微服务安全API安全 2-7 授权
Posted 鮀城小帅
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SpringCloud微服务安全API安全 2-7 授权相关的知识,希望对你有一定的参考价值。
1. 授权
访问控制:
1. ACL :Access Control Lists,直接给每个用户授权,他能访问什么。开发简单,但是用户多的话,给每个用户授权比较麻烦。
2. RBAC:Role Based Access Control。给角色授权,给用户赋予角色。授权简单,开发麻烦。
2.ACL来实现简单的权限控制
方式:在用户表里加入permission字段标识权限。
2.1 创建 AclInterceptor 权限拦截
package com.imooc.security.filter;
import com.imooc.security.user.User;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
* @ClassName AclInterceptor
* @Description TODO
* @Author wushaopei
* @Date 2021/5/2 13:12
* @Version 1.0
*/
@Component
public class AclInterceptor extends HandlerInterceptorAdapter{
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
boolean result = true;
User user = (User)request.getAttribute("user");
if(user == null){
response.setContentType("text/plain");
response.getWriter().write("need authentication");
response.setStatus(HttpStatus.UNAUTHORIZED.value());
result = false;
}else{
String method = request.getMethod();
if(!user.hasPermission(method)){
response.setContentType("text/plain");
response.getWriter().write("forbidden");
response.setStatus(HttpStatus.FORBIDDEN.value());
result = false;
}
}
return result;
}
}
注册到容器:
registry.addInterceptor(aclInterceptor);
2.2 User新增permissions权限字段
/**
* @Description TODO 权限字段
*/
@Column
private String permissions;
/**
* @Description TODO 根据请求的method来判断是否有访问当前接口的权限
* @param method
* @return
*/
public boolean hasPermission(String method) {
boolean result = false;
// 判断该权限是读还是写
if(StringUtils.equalsIgnoreCase("get",method)){
result = StringUtils.contains(permissions, "r");
}else {
result = StringUtils.contains(permissions,"w");
}
return result;
}
2.3 测试授权
已授权的访问:
当前用户权限为可读可写
访问结果:
未授权的访问:
以上是关于SpringCloud微服务安全API安全 2-7 授权的主要内容,如果未能解决你的问题,请参考以下文章
SpringCloud微服务安全API安全 2-2 注入攻击防护
SpringCloud微服务安全实战API安全 3-9 总结