SpringCloud微服务安全API安全 2-7 授权

Posted 鮀城小帅

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SpringCloud微服务安全API安全 2-7 授权相关的知识,希望对你有一定的参考价值。

1. 授权

访问控制:

1. ACL :Access Control Lists,直接给每个用户授权,他能访问什么。开发简单,但是用户多的话,给每个用户授权比较麻烦。

2. RBAC:Role Based Access Control。给角色授权,给用户赋予角色。授权简单,开发麻烦。

2.ACL来实现简单的权限控制

方式:在用户表里加入permission字段标识权限。

2.1 创建 AclInterceptor 权限拦截

package com.imooc.security.filter;

import com.imooc.security.user.User;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @ClassName AclInterceptor
 * @Description TODO
 * @Author wushaopei
 * @Date 2021/5/2 13:12
 * @Version 1.0
 */
@Component
public class AclInterceptor extends HandlerInterceptorAdapter{


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        boolean result = true;
        User user = (User)request.getAttribute("user");

        if(user == null){
            response.setContentType("text/plain");
            response.getWriter().write("need authentication");
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            result = false;
        }else{
            String method = request.getMethod();

            if(!user.hasPermission(method)){
                response.setContentType("text/plain");
                response.getWriter().write("forbidden");
                response.setStatus(HttpStatus.FORBIDDEN.value());
                result = false;
            }
        }
        return result;
    }
}

注册到容器:

registry.addInterceptor(aclInterceptor);

2.2 User新增permissions权限字段

   /**
     * @Description TODO 权限字段
     */
    @Column
    private String permissions;


   /**
     * @Description TODO 根据请求的method来判断是否有访问当前接口的权限
     * @param method
     * @return
     */
    public boolean hasPermission(String method) {
        boolean result = false;
        // 判断该权限是读还是写
        if(StringUtils.equalsIgnoreCase("get",method)){
            result = StringUtils.contains(permissions, "r");
        }else {
            result = StringUtils.contains(permissions,"w");
        }
        return result;
    }

2.3 测试授权

已授权的访问:

当前用户权限为可读可写

访问结果:

未授权的访问:

 

 

以上是关于SpringCloud微服务安全API安全 2-7 授权的主要内容,如果未能解决你的问题,请参考以下文章

SpringCloud微服务安全API安全 2-2 注入攻击防护

SpringCloud微服务安全实战API安全 3-9 总结

SpringCloud微服务安全API安全 2-6 审计

SpringCloud微服务安全实战API安全 3-5 认证

SpringCloud微服务安全API安全 2-8 授权

SpringCloud微服务安全API安全 2-4 认证