利用JWT进行Web接口访问控制的方法与流程

利用jwt进行web接口访问控制的方法
技术领域
1.本发明具体涉及一种利用jwt进行web接口访问控制的方法。


背景技术：

2.常见的使用jwt进行web接口访问控制方法是定义一个接口权限标识并将标识与接口进行绑定，然后再将接口权限标识作为权限分配给用户，在用户通过登录认证通过后，将权限标识存入jwt中，然后再在接口中通过权限标识是否存在于jwt中，进而达到进行接口访问控制的目的。
3.该类方法存在一定的弊端，主要体现在:1、与接口绑定的权限标识需要硬编码实现，这种硬编码的规则如果设计得不好，往往会让人难以理解，其次还要做额外的工作来保证硬编码标识不会重复；2、在设计接口拦截器时，需要将权限标识通过参数形式显示传入拦截器，才能进行访问控制判断；3、在后期维护中相对比较麻烦，例如某个权限标识“xxx”需要改成“xxxx”，则在定义标识的位置需要修改，接口拦截器传参的地方也要修改，在其它有引用的地方也需要修改。


技术实现要素：

4.本发明的目的在于针对现有技术的不足，提供一种利用jwt进行web接口访问控制的方法，该利用jwt进行web接口访问控制的方法可以很好地解决上述问题。
5.为达到上述要求，本发明采取的技术方案是：提供一种利用jwt进行web接口访问控制的方法，该利用jwt进行web接口访问控制的方法包括如下步骤：
6.s1：将接口url的endpoint名称和接口请求方法连接组成接口权限标识；
7.s2：将接口权限分配给用户；
8.s3：用户登录认证通过后，将权限标识存入jwt中返回给用户，用户在后续的接口请求中携带jwt；
9.s4：设置接口请求拦截器，判断接口的endpoint名称和请求方法组成的标识是否在jwt中，如果在则放行请求，如果不在则拒绝请求。
10.该利用jwt进行web接口访问控制的方法具有的优点如下：
11.减少了接口权限标识硬编码，权限标识来自于接口url的endpoint名称和接口方法，理论上在定义接口url endpoint名称的时候会自动判断是否重复，省去了常见方法中需要额外进行权限标识是否重复的工作；同时接口请求拦截器不用在显式传入权限标识，省去一定的代码量；如果权限标识需要变动，也只需要更改接口endpoint名称即可，使维护变得更容易。
附图说明
12.此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，在这些附图中使用相同的参考标号来表示相同或相似的部分，本申请的示意性实施例及其说明
用于解释本申请，并不构成对本申请的不当限定。在附图中：
13.图1示意性地示出了根据本申请一个实施例的利用jwt进行web接口访问控制的方法的流程示意图。
具体实施方式
14.为使本申请的目的、技术方案和优点更加清楚，以下结合附图及具体实施例，对本申请作进一步地详细说明。
15.在以下描述中，对“一个实施例”、“实施例”、“一个示例”、“示例”等等的引用表明如此描述的实施例或示例可以包括特定特征、结构、特性、性质、元素或限度，但并非每个实施例或示例都必然包括特定特征、结构、特性、性质、元素或限度。另外，重复使用短语“根据本申请的一个实施例”虽然有可能是指代相同实施例，但并非必然指代相同的实施例。
16.为简单起见，以下描述中省略了本领域技术人员公知的某些技术特征。
17.根据本申请的一个实施例，提供一种利用jwt进行web接口访问控制的方法，如图1所示，包括如下步骤：
18.s1：将接口url的endpoint名称和接口请求方法连接组成接口权限标识；
19.s2：将接口权限分配给用户；
20.s3：用户登录认证通过后，将权限标识存入jwt中返回给用户，用户在后续的接口请求中携带jwt；
21.s4：设置接口请求拦截器，判断接口的endpoint名称和请求方法组成的标识是否在jwt中，如果在则放行请求，如果不在则拒绝请求。
22.根据本申请的一个实施例，本方法解决了现有方法的弊端，提供一种使用接口endpoint名称与接口请求方法组合来作为接口访问控制标识的方法，解决了现有方法中硬编码标识可读性差、接口拦截器需要显式传入权限标识、后期维护比较繁琐且在权限标识定义过程中需要额外判断标识是否重复的问题。
23.以上所述实施例仅表示本发明的几种实施方式，其描述较为具体和详细，但并不能理解为对本发明范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明保护范围。因此本发明的保护范围应该以所述权利要求为准。


技术特征：
1.一种利用jwt进行web接口访问控制的方法，其特征在于，包括如下步骤：s1：将接口url的endpoint名称和接口请求方法连接组成接口权限标识；s2：将接口权限分配给用户；s3：用户登录认证通过后，将权限标识存入jwt中返回给用户，用户在后续的接口请求中携带jwt；s4：设置接口请求拦截器，判断接口的endpoint名称和请求方法组成的标识是否在jwt中，如果在则放行请求，如果不在则拒绝请求。

技术总结
本发明提供一种利用JWT进行Web接口访问控制的方法，包括如下步骤：S1：将接口URL的endpoint名称和接口请求方法连接组成接口权限标识；S2：将接口权限分配给用户；S3：用户登录认证通过后，将权限标识存入JWT中返回给用户，用户在后续的接口请求中携带JWT；S4：设置接口请求拦截器，判断接口的endpoint名称和请求方法组成的标识是否在JWT中，如果在则放行请求，如果不在则拒绝请求。该方法减少了接口权限标识硬编码，权限标识来自于接口URL的endpoint名称和接口方法，省去了常见方法中需要额外进行权限标识是否重复的工作；同时接口请求拦截器不用在显式传入权限标识，省去一定的代码量；如果权限标识需要变动，也只需要更改接口endpoint名称即可，使维护变得更容易。使维护变得更容易。使维护变得更容易。


技术研发人员：李劲雄 柯贤祥 何志鹏 范松 王冠华
受保护的技术使用者：成都安美勤信息技术股份有限公司
技术研发日：2021.12.06
技术公布日：2022/3/25