每个按钮对应一个权限标识，后台根据用户角色计算出当前用户可访问的权限标识列表，前端登录后得到权限标识列表存入全局，通过单个按钮的权限标识去匹配列表里的。来实现按钮级别的权限判断。

阅读更多

后台根据用户计算出可访问得菜单列表，直接返回用户可访问得菜单列表，前端也需要保存一份全的路由表，用户登录后得到可访问菜单，匹配前端保存的路由表然后动态挂载。

阅读更多

1. RBAC权限控制模型 RBAC（Role-based access control）是一种以角色为基础的访问控制（Role-based access control，RBAC），它是一种较新且广为使用的权限控制机制，这种机制不是直接给用户赋予权限，而是将权限赋予角色。 RBAC 权限模型将用户按角色进行归类，通过用户的角色来确定用户对某项资源是否具备操作权限。RBAC 简化了用户与权限的管 …

阅读更多

本文基于上一篇文章：《Spring Security（三）整合 JWT 实现无状态登录示例》。 在 SpringSecurity 整合 JWT 实现无状态登录示例中，我们在 JwtAuthenticationFilter (自定义JWT认证过滤器) 解析 Token 成功后，提供了续签逻辑： /** * 刷新Token的时机： * 1. 当前时间 < token过期时间 * 2. …

阅读更多

JSON Web Token（缩写 JWT）基于JSON格式信息一种Token令牌，是目前最流行的跨域认证解决方案。 JWT 的原理是，服务器认证以后，生成一个 JSON 对象，发回给用户。 此后，用户与服务端通信的时候，都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据，服务器在生成这个对象的时候，会加上签名。 服务器就不保存任何 session 数据了，也就 …

阅读更多

1. Spring Security Servlet 安全架构 Spring Security 设计的 Servlet 安全从架构上分为三个层次，分别是「认证」、「鉴权」、「入侵防护」。通过过滤器机制将安全逻辑应用到 Servlet 项目。 请求的接收和处理是通过一个一个的过滤器顺序执行实现的，过滤器是 Servlet 项目处理请求的基础。 Spring 将自己体系内的过滤器交由「过滤器代 …

阅读更多

Spring Security 是一个功能强大且高度可定制的身份验证和访问控制的安全框架。它是 Spring 应用程序在安全框架方面的公认标准。 其核心特性包括：认证和授权、常规攻击防范、与 Servlet 接口集成、与 Spring MVC 集成等。 常规攻击防范在 Spring Security 安全框架中是默认开启的，常见的威胁抵御方式有：防止伪造跨站请求（CSRF），安全响应头（HTTP …

阅读更多

前两篇我们整合了SpringBoot+Shiro+JWT+Redis实现了登录认证，接口权限控制，接下来将要实现前端 Vue 的动态路由控制。

1. 前端权限控制思路（Vue） 前端的权限控制，不同的权限对应着不同的路由，同时菜单也需根据不同的权限，异步生成。 先回顾下整体流程： 登录: 提交账号和密码到服务端签发token，拿到token之后存入浏览器，再携带token(一般放在请求头中)再去获 …

阅读更多

前面我们整合了SpringBoot+Shiro+JWT实现了登录认证，但还没有实现权限控制，这是接下来的工作。

1. JWT的Token续签 1.1 续签思路 业务逻辑： 登录成功后，用户在未过期时间内继续操作，续签token。 登录成功后，空闲超过过期时间，返回token已失效，重新登录。 实现逻辑： 登录成功后将token存储到redis里面(这时候k、v值一样都为token)，并设置过期时间 …

阅读更多

1. 开始之前 1.1 技术选型 选用SpringBoot+Shiro+JWT实现登录认证，结合Redis服务实现token的续签，前端选用Vue动态构造路由及更细粒度的操作权限控制。 前后端分离项目中，我们一般采用的是无状态登录：服务端不保存任何客户端请求者信息，客户端需要自己携带着信息去访问服务端，并且携带的信息可以被服务端辨认。 而Shiro默认的拦截跳转都是跳转url页面，拦截校验机制恰恰 …

阅读更多