V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jss
V2EX  ›  Java

[转 Java 新人]请问, REST API 用什么方案做接口权限控制比较合适

  •  
  •   jss · 43 天前 · 2598 次点击
    这是一个创建于 43 天前的主题,其中的信息可能已经有所发展或是发生改变。
    上手项目基于 spring boot 2.4 开发
    26 条回复    2021-03-02 14:03:30 +08:00
    hly9469
        1
    hly9469   43 天前 via iPhone
    security
    iceneet
        2
    iceneet   43 天前
    security 或者 shiro
    jorneyr
        3
    jorneyr   43 天前
    我个人比较喜欢 Spring Security 。
    yisheyuanzhang
        4
    yisheyuanzhang   43 天前
    单体项目 spring security 直接用 session 就行了。 分布式 /微服务用 spring security oauth2.0
    写过一个单体的 demo https://gitee.com/zhaoydo/uaa-demo
    totoro52
        5
    totoro52   43 天前
    小项目 shiro 够用 如果想要使用 spring 家族的就上 security 不过 shiro 的学习成本很低,一天就可以上手,security 很重,涉及的执行流程很多,小白慎入,光配置就很复杂。
    totoro52
        6
    totoro52   43 天前
    还有 shiro 整合到 spring 会有一些坑,需要留意
    threeEggs123
        7
    threeEggs123   43 天前 via Android
    前面加一层网关,在网关上面做。我们用的是 aws gateway
    Jrue0011
        8
    Jrue0011   43 天前
    我也偏向 Spring Security,主要是和 Spring 集成比较好。。。
    totoro52
        9
    totoro52   43 天前
    @Jrue0011 是的 当初项目采用他就是因为好集成 不过最强大的还是他的 oauth2 如果只做简单的授权我还是推荐 shiro 虽然我讨厌的 shiro 的配置 没有 security 来的优雅
    ccppgo
        10
    ccppgo   43 天前
    @yisheyuanzhang 老哥你能把开源许可证加上吗
    wozhizui
        11
    wozhizui   43 天前
    选 Spring Security,集成 spring boot 比较好,最近也在做 spring 的企业项目,收藏下此帖子。
    zzzmh
        12
    zzzmh   43 天前
    如果业务不复杂就自己写咯,用 jwt token,数据库开一个权限字段,然后在拦截器里面做鉴权
    yisheyuanzhang
        13
    yisheyuanzhang   43 天前
    @ccppgo 谢谢提醒,已加
    tianhei826
        14
    tianhei826   42 天前
    做个 cop
    echo1937
        15
    echo1937   42 天前
    Spring Security,配置倒是不复杂,就是学习路线陡峭一点。
    cheng6563
        16
    cheng6563   42 天前
    Spring Security 太重了,就算花时间配好,过一过月就完全看不懂配了啥。
    有时候要改点功能也无从下手。
    建议直接自己写了,也不是个多复杂的组件。
    shaoyijiong
        17
    shaoyijiong   42 天前
    自己手写比较好 在网关拦截下
    通过用户信息和接口地址来判断是否有权限访问该接口
    lvxiaomao
        18
    lvxiaomao   42 天前
    可以使用切面方式,自己写一个吧
    KuroNekoFan
        19
    KuroNekoFan   42 天前 via iPhone
    切面做基础的用户验证,细粒度的就要侵入到业务代码里了
    liian2019
        20
    liian2019   42 天前
    入门搞 shiro
    tomsun28
        21
    tomsun28   42 天前
    ys2016814
        22
    ys2016814   42 天前
    切面加注解实现
    hsluoyz
        23
    hsluoyz   40 天前
    可以试试 Casbin Java 版本
    jss
        24
    jss   37 天前
    @ys2016814 我自己写的就是切面加注解,但是有个问题 接口有参数验证时,会先验证参数 后进行权限验证,我是在 doBefore (目标方法调用之前执行)进行验证逻辑的
    @lvxiaomao
    @KuroNekoFan
    ys2016814
        25
    ys2016814   37 天前
    @jss 我们有一个本地的线程缓存会在 doFilter 中将重要信息(比如此人的角色角色标识,权限标识,)注册进去,在 destroy 中清除掉,伴随整个访问的生命周期,就可以达成,不同角色展示不同菜单,不同数据,有不同权限
    SkyLine7
        26
    SkyLine7   3 天前
    自己写一个 拦截器+aop
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2728 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 02:41 · PVG 10:41 · LAX 18:41 · JFK 21:41
    ♥ Do have faith in what you're doing.