b2b2c系統jwt許可權源碼分享part2

来源:https://www.cnblogs.com/javashop-docs/archive/2020/04/08/12661945.html
-Advertisement-
Play Games

在上一篇《b2b2c系統jwt許可權源碼分享part1》中和大家分享了b2b2c系統中jwt許可權的基礎設計及源碼,本文繼續和大家分享jwt和spring security整合部分的思路和源碼。 在上一篇文章中已經分享了關鍵的類圖: 如上圖所示,許可權的校驗主要涉及到四個類: AbstractAuthen ...


  在上一篇《b2b2c系統jwt許可權源碼分享part1》中和大家分享了b2b2c系統中jwt許可權的基礎設計及源碼,本文繼續和大家分享jwt和spring security整合部分的思路和源碼。

在上一篇文章中已經分享了關鍵的類圖:

 

如上圖所示,許可權的校驗主要涉及到四個類:

  • AbstractAuthenticationService

  • BuyerAuthenticationService

  • SellerAuthenticationService

  • AdminAuthenticationService

 

AbstractAuthenticationService

對於三端(買家買家管理端)驗權的公用部分我們抽象在AbstractAuthenticationService中:

public abstract class AbstractAuthenticationService implements AuthenticationService {

    @Autowired
    protected TokenManager tokenManager;


    private final Logger logger = LoggerFactory.getLogger(getClass());

    /**
     * 單例模式的cache
     */
    private static Cache<String, Integer> cache;


    @Autowired
    private JavashopConfig javashopConfig;


    /**
     * 鑒權,先獲取token,再根據token來鑒權
     * 生產環境要由nonce和時間戳,簽名來獲取token
     * 開發環境可以直接傳token
     *
     * @param req
     */
    @Override
    public void auth(HttpServletRequest req) {
        String token = this.getToken(req);
        if (StringUtil.notEmpty(token)) {
            Authentication authentication = getAuthentication(token);
            if (authentication != null) {
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }

        }
    }

    /**
     * 接收用戶禁用或解禁事件<br/>
     * 禁用:將被禁用的用戶id寫入緩存
     * 解禁:將緩存中存放的用戶id刪除
     *
     * @param userDisableMsg
     */
    @Override
    public void userDisableEvent(UserDisableMsg userDisableMsg) {

        //在緩存中記錄用戶被禁用
        Cache<String, Integer> cache = this.getCache();

        if (UserDisableMsg.ADD.equals(userDisableMsg.getOperation())) {
            logger.debug("收到用戶禁用消息:" + userDisableMsg);
            cache.put(getKey(userDisableMsg.getRole(), userDisableMsg.getUid()), 1);
        }

        if (UserDisableMsg.DELETE.equals(userDisableMsg.getOperation())) {
            logger.debug("收到用戶解禁消息:" + userDisableMsg);
            cache.remove(getKey(userDisableMsg.getRole(), userDisableMsg.getUid()), 1);
        }
    }

    protected void checkUserDisable(Role role, int uid) {
        Cache<String, Integer> cache = this.getCache();
        Integer isDisable = cache.get(getKey(role, uid));
        if (isDisable == null) {
            return;
        }
        if (1 == isDisable) {
            throw new RuntimeException("用戶已經被禁用");
        }
    }

    private String getKey(Role role, int uid) {

        return role.name() + "_" + uid;
    }

    /**
     * 解析一個token
     * 子類需要將token解析自己的子業務許可權模型:Admin,seller buyer...
     *
     * @param token
     * @return
     */
    protected abstract AuthUser parseToken(String token);

    /**
     * 根據一個 token 生成授權
     *
     * @param token
     * @return 授權
     */
    protected Authentication getAuthentication(String token) {
        try {

            AuthUser user = parseToken(token);
            List<GrantedAuthority> auths = new ArrayList<>();

            List<String> roles = user.getRoles();

            for (String role : roles) {
                auths.add(new SimpleGrantedAuthority("ROLE_" + role));
            }

            UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken("user", null, auths);
            authentication.setDetails(user);

            return authentication;
        } catch (Exception e) {
            logger.error("認證異常", e);
            return new UsernamePasswordAuthenticationToken("anonymous", null);
        }
    }

    /**
     * 獲取token
     * 7.2.0起,廢棄掉重放攻擊的判斷
     *
     * @param req
     * @return
     */
    protected String getToken(HttpServletRequest req) {

        String token = req.getHeader(TokenConstant.HEADER_STRING);
        if (StringUtil.notEmpty(token)) {
            token = token.replaceAll(TokenConstant.TOKEN_PREFIX, "").trim();
        }

        return token;
    }

    private static final Object lock = new Object();

    /**
     * 獲取本地緩存<br/>
     * 用於記錄被禁用的用戶<br/>
     * 此緩存的key為:角色+用戶id,如: admin_1
     * value為:1則代表此用戶被禁用
     *
     * @return
     */
    protected Cache<String, Integer> getCache() {

        if (cache != null) {
            return cache;
        }
        synchronized (lock) {
            if (cache != null) {
                return cache;
            }
            //緩存時間為session有效期+一分鐘
            //也就表示,用戶如果被禁用,session超時這個cache也就不需要了:
            //因為他需要重新登錄就可以被檢測出無效
            int sessionTimeout = javashopConfig.getRefreshTokenTimeout() - javashopConfig.getAccessTokenTimeout() + 60;

            //使用ehcache作為緩存
            CachingProvider provider = Caching.getCachingProvider("org.ehcache.jsr107.EhcacheCachingProvider");
            CacheManager cacheManager = provider.getCacheManager();

            MutableConfiguration<String, Integer> configuration =
                    new MutableConfiguration<String, Integer>()
                            .setTypes(String.class, Integer.class)
                            .setStoreByValue(false)
                            .setExpiryPolicyFactory(CreatedExpiryPolicy.factoryOf(new Duration(TimeUnit.SECONDS, sessionTimeout)));

            cache = cacheManager.createCache("userDisable", configuration);

            return cache;
        }
    }

}
 

 

 

javashop b2b2c系統中 禁用用戶要求該用戶立刻無法操作,這部分功能體現在

checkUserDisable方法中,思路是通過監聽redis消息將禁用用戶放在本地cache中(這裡採用的事EHCache。

 

BuyerAuthenticationService

有了之前的代碼基礎,三端的許可權校驗就比較簡單了:

 

@Component
public class BuyerAuthenticationService extends AbstractAuthenticationService {

    @Override
    protected AuthUser parseToken(String token) {
        AuthUser authUser=  tokenManager.parse(Buyer.class, token);
        User  user = (User) authUser;
        checkUserDisable(Role.BUYER, user.getUid());
        return authUser;
    }

}
 

 

 

SellerAuthenticationService

@Component
public class SellerAuthenticationService extends AbstractAuthenticationService {

    /**
     * 將token解析為Clerk
     *
     * @param token
     * @return
     */
    @Override
    protected AuthUser parseToken(String token) {
        AuthUser authUser = tokenManager.parse(Clerk.class, token);
        User user = (User) authUser;
        checkUserDisable(Role.CLERK, user.getUid());
        return authUser;
    }

}

 

AdminAuthenticationService

 

@Component
public class AdminAuthenticationService extends AbstractAuthenticationService {


    /**
     * 將token解析為Admin
     * @param token
     * @return
     */
    @Override
    protected AuthUser parseToken(String token) {

        AuthUser authUser=  tokenManager.parse(Admin.class, token);
        User user = (User) authUser;
        checkUserDisable(Role.ADMIN, user.getUid());
        return authUser;

    }

}

 

 

整合Security:

 

@Configuration
@EnableWebSecurity
public class BuyerSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private DomainHelper domainHelper;

    @Autowired
    private BuyerAuthenticationService buyerAuthenticationService;

    @Autowired
    private AccessDeniedHandler accessDeniedHandler;

    @Autowired
    private AuthenticationEntryPoint authenticationEntryPoint;




    /**
     * 定義seller工程的許可權
     *
     * @param http
     * @throws Exception
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.cors().configurationSource((CorsConfigurationSource) ApplicationContextHolder.getBean("corsConfigurationSource")).and().csrf().disable()
                //禁用session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()

                //定義驗權失敗返回格式
                .exceptionHandling().accessDeniedHandler(accessDeniedHandler).authenticationEntryPoint(authenticationEntryPoint).and()
                .authorizeRequests()
                .and()
                .addFilterBefore(new TokenAuthenticationFilter(buyerAuthenticationService),
                        UsernamePasswordAuthenticationFilter.class);

        //過濾掉swagger的路徑
        http.authorizeRequests().antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources", "/configuration/security", "/swagger-ui.html", "/webjars/**").anonymous();
        //過濾掉不需要買家許可權的api
        http.authorizeRequests().antMatchers("/debugger/**" ).permitAll().and();
        //定義有買家許可權才可以訪問
        http.authorizeRequests().anyRequest().hasRole(Role.BUYER.name());
        http.headers().addHeaderWriter(xFrameOptionsHeaderWriter());
        //禁用緩存
        http.headers().cacheControl().and()
                .contentSecurityPolicy("script-src  'self' 'unsafe-inline' ; frame-ancestors " + domainHelper.getBuyerDomain());

    }

 

 

以上就是javashop電商系統源碼中關於許可權相關的分享。

 

 

 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 分享JS如何向網頁中輸入內容,如何與瀏覽器視窗進行交互,通過簡單的對象方法就可以輕鬆實現。 2-1JavaScript-輸出內容(document.write) 2-2JavaScript-警告(alert消息對話框) 2-3JavaScript-確認(confirm消息對話... ...
  • 前端和後端哪個工資高?事實上,兩個都是屬於技術研發崗位,都是高薪有前途的職業,不存在說哪個工資更高些,都基本在一萬到五萬之間,工資的差別主要體現在個人技術上。要問做前端好還是做後端好?其實無論做前端還是做後端,只要有實力,其實差別並不大。主要還是要看你喜歡哪個,適合哪個。 前端工作內容: 前端開發主 ...
  • 非同步調用 非同步 JavaScript的執行環境是 單線程 。 所謂單線程,是指JS引擎中負責解釋和執行JavaScript代碼的線程只有一個,也就是一次只能完成一項任務,這個任務執行完後才能執行下一個,它會「阻塞」其他任務。這個任務可稱為主線程。 非同步模式可以一起執行 多個任務 。 常見的非同步模式有 ...
  • 武漢加油!中國加油! 想必許多學vue的小伙伴想連接資料庫,對數據進行增刪改查吧,奈何不知道怎麼實現。作為一路踩坑的我,為大家帶來我的一些踩坑經歷,水平有限,其中錯誤,望請指正。 前言: 本篇主要講述的是如何把零件湊在一起讓車跑起來,不會去關註如何製造零件,等車跑起來了我們再去瞭解造零件。 先看一下 ...
  • 1.config/index.js 修改 proxyTable proxyTable: { '/api': { target: 'http://shuige.wicp.vip/', //目標介面功能變數名稱 changeOrigin: true, //是否跨域 pathRewrite: { '^/api': ...
  • 現在,幾乎整個互聯網行業都缺前端工程師,不僅是剛起步的創業公司,對上市公司乃至巨頭這個問題也一樣存在。 據統計,國外的前端開發人員和後端開發人員比例約1:1,但是在國內比例卻在1:3以下,Web前端開發職位人才缺口巨大,前端工程師的發展之路十分有“錢”景。 每天,HR 群都有人在吐槽招不到前端工程師 ...
  • 現在用戶對於產品的選擇不僅僅是內容的完善,同時也更加註重產品的體驗以及交互,因此前端開發工程師的重要作用愈發明顯。2019年已經接近一半,很多準備入行前端開發工程師的或者還在猶豫小伙伴們,不知道準備得怎麼樣了呢?今天來給大家講講,在2019年,我們學習前端開發,如何才能高效學會前端開發? 零基礎起步 ...
  • 前言 new關鍵字在實例化獲取對象時都做了什麼?是一道經常出現在前端面試時的問題。如果只是簡單的瞭解new關鍵字是實例化構造函數獲取對象,是萬萬不能夠的。更深入的層級發生了什麼呢?同時面試官想從這道題裡面考察什麼呢?下麵胡哥為各位小伙伴一一來解密。 一、new關鍵字 new關鍵字的作用:通過new關 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...