REST API权限集成设计

应用分为两大部分,前端html+后端Rest服务,前端html和后端Rest服务部署完全分离。
目标:可访问资源都处于权限控制之下(意味着通过浏览器地址栏的任意url都会被拦截),并提供跨域访问支持。
***

项目模块

前端模块:应用界面,通过rest接口与后台交互。
后端模块:UPM(用户权限管理)模块+数据服务(包含多种数据来源,比如本地DB、第三方服务等)统一作为Rest封装层。

应用模块权限访问交互流程

Token

  • Client和Server交互的令牌,相当于客户端和Server交互的唯一id,绝大部分(登录时不需要)Client请求都会带上此id,和SessionId类似,只是它不必受限于单个Web容器并能够自定义Token的过期时间、生成策略。
  • 对于一个独立用户,Server和UPM共用相同的Token
  • Token包含tokenid+userid+其它辅助信息.

UPM

UPM提供对整个应用系统中关于资源和用户角色关系的权限配置,并且对外提供认证和授权的接口。

Token Manager

维护Token生命周期,可配置Token的过期时间,Token Mananger维护一张hash表,k为用户id,v为Token,每次用户请求匹配token时自动检查Token是否过期,如果过期,则返回过期的状态码。
Token指标:Token使用次数、Token过期时间
Token使用次数:如果客户端请求次数大于了Token默认设定请求次数,则需要重新生成Token,但无需重新登录。
Token过期时间:超过Token过期时间的请求将会触发重新登录。

登录权限交互流程

业务流:用户登录(login.html)访问,输入用户名和密码后访问主页(index.html)

登录权限交互流程:

  • 用户访问Client静态资源login.html,填写用户名和密码并执行登录
  • 用户名和密码被传递到UPM
  • UPM执行认证(authentication),校验用户名和密码
  • 认证通过后执行授权(authorization),获取和当前用户关联的所有可访问的资源
  • 如果上一步执行成功,UPM将请求TokenManager创建Token,若不通过则返回错误码(授权、认证错误码不同)
  • UPM将token+授权数据返回给客户端
  • 客户端收到token+授权数据展现index.html给用户(index.html可能存在多个模块,需要控制页面展示)

备注:Client端需要处理从UPM端返回的数据,包含Token和状态码,如果状态码不是成功标识,依据具体的状态码转向特定页面,否则登录成功,存储Token(比如存储到Cookie),并跳转到首页。

登录后资源访问

业务流:假定用户进入index.html存在一个rest资源链接,对应rest服务"/audience/report",用于请求最新的人群报告,人群报告展示页面为audience.html

备注:此时用户已登录,Client的Cookie中已存在Token

人群报告权限交互流程:

  • 用户点击"人群报告"链接(rest url=/audience/report)
  • 客户端发送请求(包含user+rest url+ token)给UPM
  • 客户端发送请求(rest url=/audience/report + token)发给Server
  • Server匹配token,UPM授权rest url,如果token未过期并且匹配成功并且upm授权成功将调用实际业务处理流获取数据,否则返回错误码
  • 将数据和Token信息返回给客户端
  • Client依据Server的数据渲染人群报告页面展现给用户

前后端交互备注

  • 前端的所有请求,除登入请求之外,其它所有请求都在header中附带用户id(userId)和令牌(tokenId)传递给服务端。
  • 任何请求都必须带令牌,若无令牌,直接rest url访问目标资源,则返回登录页。

REST API权限集成设计的更多相关文章

  1. 接口加密《二》: API权限设计总结

    来源:http://meiyitianabc.blog.163.com/blog/static/105022127201310562811897/ API权限设计总结: 最近在做API的权限设计这一块 ...

  2. API权限设计总结

    最近在做API的权限设计这一块,做一次权限设计的总结. 1. 假设我们需要访问的API接口是这样的:http://xxxx.com/openapi/v1/get/user/?key=xxxxx& ...

  3. 认证鉴权与API权限控制在微服务架构中的设计与实现(四)

    引言: 本文系<认证鉴权与API权限控制在微服务架构中的设计与实现>系列的完结篇,前面三篇已经将认证鉴权与API权限控制的流程和主要细节讲解完.本文比较长,对这个系列进行收尾,主要内容包括 ...

  4. asp.net core 集成JWT(二)token的强制失效,基于策略模式细化api权限

    [前言] 上一篇我们介绍了什么是JWT,以及如何在asp.net core api项目中集成JWT权限认证.传送门:https://www.cnblogs.com/7tiny/p/11012035.h ...

  5. 【转载】API权限设计总结

    本文内容转自:http://blog.csdn.net/initphp/article/details/8636669 API权限设计总结: 最近在做API的权限设计这一块,做一次权限设计的总结. 1 ...

  6. 防盗链&CSRF&API接口幂等性设计

    防盗链技术 CSRF(模拟请求) 分析防止伪造Token请求攻击 互联网API接口幂等性设计 忘记密码漏洞分析 1.Http请求防盗链 什么是防盗链 比如A网站有一张图片,被B网站直接通过img标签属 ...

  7. 解析大型.NET ERP系统 权限模块设计与实现

    权限模块是ERP系统的核心模块之一,完善的权限控制机制给系统增色不少.总结我接触过的权限模块,以享读者. 1 权限的简明定义 ERP权限管理用一句简单的话来说就是:谁 能否 做 那些 事. 文句 含义 ...

  8. 基于Spring Security2与 Ext 的权限管理设计与兑现

    基于Spring Security2与 Ext 的权限管理设计与实现 一.Spring Security介绍 Spring Security的前身Acegi,其配置及使用相对来说复杂一些,因为要配置的 ...

  9. Atitit.提升 升级类库框架后的api代码兼容性设计指南

    Atitit.提升 升级类库框架后的api代码兼容性设计指南 1. 增加api直接增加,版本号在注释上面增加1 2. 废弃api,使用主见@dep1 3. 修改api,1 4. 修改依赖import, ...

随机推荐

  1. mysql的搭建

    创建程序用户 root@localhost ~]# groupadd mysql [root@localhost ~]# useradd -s /sbin/nologin -g mysql -M my ...

  2. hdu 6034 Balala Power!

    Balala Power! Time Limit: 4000/2000 MS (Java/Others)    Memory Limit: 131072/131072 K (Java/Others)T ...

  3. 关于TCP/IP协议

    TCP的特点: TCP是面向连接的传输层协议 TCP的传输是可靠传输 TCP是全双工的通信 TCP的连接是点对点的传输 TCP和UDP的区别 tcp是面向连接的,两台主机的通信之前必须通过三次握手建立 ...

  4. Linux:Aircrack-ng

    Aircrack-ng 工具主要有 airmon-ng 处理网卡工作模式 airodump-ng 抓包 aircrack-ng 破解 aireplay-ng 发包,干扰 另外还要用到以下 linux ...

  5. WIN7不能上网

    http://zhidao.baidu.com/link?url=lYL0Sti_nX3JDz3pA3cVh49nyYDEQBJ6P5fxwB4La0FurHlgmWGMdgfMGjQSWxj17sH ...

  6. 《Unity 3D游戏客户端基础框架》系统设计

    引言 最近到看一个 <贪吃蛇大战开发实例>,其中 贪吃蛇大作战游戏开发实战(3):系统构架设计 提供的系统架构的设计思路我觉得还是值得学习一下的,接下来的内容是我看完视频后的一点笔记. 架 ...

  7. 查看PHP以字母"E"开头的常量

    1.E_ALL <?php echo E_ALL; ?> 32767 2.E_COMPILE_ERROR <?php echo E_COMPILE_ERROR; ?> 64 3 ...

  8. k近邻法( k-nearnest neighbor)

    基本思想: 给定一个训练数据集,对新的输入实例,在训练数据集中找到与该实例最邻近的k个实例,这k个实例的多数属于某个类,就把该输入实例分为这个类 距离度量: 特征空间中两个实例点的距离是两个实例点相似 ...

  9. python kd树 搜索 代码

    kd树就是一种对k维空间中的实例点进行存储以便对其进行快速检索的树形数据结构,可以运用在k近邻法中,实现快速k近邻搜索.构造kd树相当于不断地用垂直于坐标轴的超平面将k维空间切分,依次选择坐标轴对空间 ...

  10. tomcat的localhost-config is missing 错误的解决方法

    运行项目时报错,错误信息为: The tomcat server configuration at /sever/tomcat v7.0 localhost-config is missing 解决方 ...