[发明专利]利用JWT进行Web接口访问控制的方法

说明书

本发明提供一种利用JWT进行Web接口访问控制的方法，包括如下步骤：S1：将接口URL的endpoint名称和接口请求方法连接组成接口权限标识；S2：将接口权限分配给用户；S3：用户登录认证通过后，将权限标识存入JWT中返回给用户，用户在后续的接口请求中携带JWT；S4：设置接口请求拦截器，判断接口的endpoint名称和请求方法组成的标识是否在JWT中，如果在则放行请求，如果不在则拒绝请求。该方法减少了接口权限标识硬编码，权限标识来自于接口URL的endpoint名称和接口方法，省去了常见方法中需要额外进行权限标识是否重复的工作；同时接口请求拦截器不用在显式传入权限标识，省去一定的代码量；如果权限标识需要变动，也只需要更改接口endpoint名称即可，使维护变得更容易。

技术领域

本发明具体涉及一种利用JWT进行Web接口访问控制的方法。

背景技术

常见的使用JWT进行Web接口访问控制方法是定义一个接口权限标识并将标识与接口进行绑定，然后再将接口权限标识作为权限分配给用户，在用户通过登录认证通过后，将权限标识存入JWT中，然后再在接口中通过权限标识是否存在于JWT中，进而达到进行接口访问控制的目的。

该类方法存在一定的弊端，主要体现在:1、与接口绑定的权限标识需要硬编码实现，这种硬编码的规则如果设计得不好，往往会让人难以理解，其次还要做额外的工作来保证硬编码标识不会重复；2、在设计接口拦截器时，需要将权限标识通过参数形式显示传入拦截器，才能进行访问控制判断；3、在后期维护中相对比较麻烦，例如某个权限标识“xxx”需要改成“xxxx”，则在定义标识的位置需要修改，接口拦截器传参的地方也要修改，在其它有引用的地方也需要修改。

发明内容

本发明的目的在于针对现有技术的不足，提供一种利用JWT进行Web接口访问控制的方法，该利用JWT进行Web接口访问控制的方法可以很好地解决上述问题。

为达到上述要求，本发明采取的技术方案是：提供一种利用JWT进行Web接口访问控制的方法，该利用JWT进行Web接口访问控制的方法包括如下步骤：

S1：将接口URL的endpoint名称和接口请求方法连接组成接口权限标识；

S2：将接口权限分配给用户；

S3：用户登录认证通过后，将权限标识存入JWT中返回给用户，用户在后续的接口请求中携带JWT；

S4：设置接口请求拦截器，判断接口的endpoint名称和请求方法组成的标识是否在JWT中，如果在则放行请求，如果不在则拒绝请求。

该利用JWT进行Web接口访问控制的方法具有的优点如下：

减少了接口权限标识硬编码，权限标识来自于接口URL的endpoint名称和接口方法，理论上在定义接口URL endpoint名称的时候会自动判断是否重复，省去了常见方法中需要额外进行权限标识是否重复的工作；同时接口请求拦截器不用在显式传入权限标识，省去一定的代码量；如果权限标识需要变动，也只需要更改接口endpoint名称即可，使维护变得更容易。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，在这些附图中使用相同的参考标号来表示相同或相似的部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1示意性地示出了根据本申请一个实施例的利用JWT进行Web接口访问控制的方法的流程示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，以下结合附图及具体实施例，对本申请作进一步地详细说明。