- 博客(5)
- 收藏
- 关注
原创 restful api 权限设计 - 快速搭建认证鉴权项目,真的只要10分钟
restful api 权限设计 - 快速搭建认证鉴权项目现在很多网站都进行了前后端分离,后端提供rest api,前端调用接口获取数据渲染。这种架构下如何保护好后端所提供的rest api使得更加重视。认证-请求携带的认证信息是否校验通过,鉴权-认证通过的用户拥有指定api的权限才能访问此api。然而不仅于此,什么样的认证策略, jwt, basic,digest,oauth还是多支持, 权限配置是写死代码还是动态配置,云原生越来越火用的框架是quarkus不是spring生态,http实现不是ser
2021-01-24 18:31:37 2133 2
原创 restful api 权限设计 - 初探一
restful api 权限设计 - 初探一在现在主流的前后端分离的系统中,或者是专注于提供api服务的系统,如何保护好所提供的后端restful api,使得非常重要。保护api的方面很多,限流,防刷,校验可以说都是保护,今天来谈谈很重要的api的认证鉴权保护,大概的思路。需求两点:首先认证 – 我们可以配置哪些api需要用户认证通过才能访问哪些可以直接访问,还有就是鉴权 – 我们可以配置管理哪些api对于某个用户能调用哪些不能调用。题外-有些会说页面按钮或者页面显示的权限问题,个人认为按钮,页面这类
2020-12-03 19:31:56 569
原创 签发的用户认证token超时刷新策略
签发的用户认证token超时刷新策略这个模块分离至上上上上一篇api权限管理系统与前后端分离实践,感觉那样太长了找不到重点,分离出来要好点。 对于登录的用户签发其对应的jwt,我们在jwt设置他的固定有效期时间,在有效期内用户携带jwt访问没问题,当过有效期后jwt失效,用户需要重新登录获取新的jwt。这个体验不太好,好的体验应该是:活跃的用户应该在无感知的情况下在jwt失效后获取到...
2018-05-15 15:49:10 33316 14
原创 基于shiro的改造集成真正支持restful请求
基于shiro的改造集成真正支持restful请求这个模块分离至上上上一篇api权限管理系统与前后端分离实践,感觉那样太长了找不到重点,分离出来要好点。 首先说明设计的这个安全体系是是RBAC(基于角色的权限访问控制)授权模型,即用户--角色--资源,用户不直接和权限打交道,角色拥有资源,用户拥有这个角色就有权使用角色所用户的资源。所有这里没有权限一说,签发jwt里面也就只有用户所拥...
2018-05-15 15:39:03 5912 2
原创 自己在前后端分离上的实践
自己在前后端分离上的实践要想实现完整的前后端分离,安全这块是绕不开的,这个系统主要功能就是动态restful api管理,这次实践包含两个模块,基于springBoot + shiro搭建的权限管理系统后台bootshiro, angular5 + typeScript编写的前端管理usthe。(ps:考虑到我幼小的心灵和水平,大神误喷啊^_^~) 项目的基础框架设计:总的长这...
2018-05-15 15:31:44 2004
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人