服务内部调用api鉴权忽略token(动态放权)

已于 2023-04-24 22:11:45 修改
阅读量1.6k 收藏 7
点赞数 1
分类专栏: 随手记 文章标签: java spring servlet
于 2022-08-29 15:36:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BigRex/article/details/126585954
版权

通常情况下微服务之间调用或开放接口的时候,我们会在资源服务器的security配置当中配置路径,觉得比较麻烦,参考了网上一些案例,写了下面的应用,感觉比较实用的是可以不用谢那么多重复的代码permitAll()方法。灵活配置动态添加删除,只需要一个注解就可以配置接口是否完全开放,是否内部开放,是否外部开放。希望能帮助到有需要的人。

创建一个注解

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface IgnoreToken {
    /**
     * 是否AOP统一处理
     */
    boolean value() default true;
}

注解配置一个切面

@Aspect
@Component
@Slf4j
public class IgnoreTokenAspect implements Ordered {
    @Autowired
    private HttpServletRequest request;

    @Around("@annotation(ignoreToken)")
    public Object around(ProceedingJoinPoint point, IgnoreToken ignoreToken) throws Throwable {
        String header = request.getHeader(SecurityConstants.FROM);
        if (ignoreToken.value() && !StringUtils.equals(SecurityConstants.FROM_IN, header)){
            log.warn("访问接口 {} 没有权限", point.getSignature().getName());
            throw new AccessDeniedException("Access is denied");
        }
        return point.proceed();
    }

    @Override
    public int getOrder() {
        return Ordered.HIGHEST_PRECEDENCE + 1;
    }
}

常量配置

public final class SecurityConstants {
    public static final String FROM = "from";
    public static final String FROM_IN = "in";
}

初始化忽略token的链接

@Configuration
public class PermitAllUrlProperties implements InitializingBean {

    private static final Pattern PATTERN = Pattern.compile("\\\\{(.*?)\\\\}");

    @Autowired
    private ApplicationContext applicationContext;

    private List<String> urls = new ArrayList<>();

    public static final String ASTERISK = "*";

    @Override
    public void afterPropertiesSet() {
        RequestMappingHandlerMapping mapping = applicationContext.getBean("requestMappingHandlerMapping",RequestMappingHandlerMapping.class);
        Map<RequestMappingInfo, HandlerMethod> map = mapping.getHandlerMethods();

        map.keySet().forEach(info -> {
            HandlerMethod handlerMethod = map.get(info);

            // 获取@IgnoreToke注解的替代path variable 为 *
            IgnoreToken method = AnnotationUtils.findAnnotation(handlerMethod.getMethod(), IgnoreToken.class);
            Optional.ofNullable(method).ifPresent(inner -> info.getPatternsCondition().getPatterns()
                    .forEach(url -> urls.add(ReUtil.replaceAll(url, PATTERN, ASTERISK))));

            // 获取@IgnoreToke注解的访问路径替代path variable 为 *
            IgnoreToken controller = AnnotationUtils.findAnnotation(handlerMethod.getBeanType(), IgnoreToken.class);
            Optional.ofNullable(controller).ifPresent(inner -> info.getPatternsCondition().getPatterns()
                    .forEach(url -> urls.add(ReUtil.replaceAll(url, PATTERN, ASTERISK))));
        });
    }

    public List<String> getUrls() {
        return urls;
    }

    public void setUrls(List<String> urls) {
        this.urls = urls;
    }
}

资源服务器配置

@Configuration
@EnableResourceServer
public class EcmContentResourceServerConfigure extends ResourceServerConfigurerAdapter {
    @Autowired
    PermitAllUrlProperties permitAllUrlProperties;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.headers().frameOptions().disable();
        http.csrf().disable()
                .requestMatchers().antMatchers("/**")
                .and()
                .headers().frameOptions().disable()
                .and()
                .authorizeRequests()
                //添加注解动态添加放权
                .antMatchers(permitAllUrlProperties.getUrls().stream().distinct().toArray(String[]::new)).permitAll()
                .antMatchers("/**").authenticated();
    }
}

注解使用,直接添加到controller 方法上value = false表示可外部网关访问true表示内部接口外部无法访问。


    @GetMapping(value = "/getSite/{siteId}")
    @IgnoreToken(value = false)
    public EcmResponse getSite(@ApiParam(value = "siteid", required = true) @PathVariable("siteId") String siteId) {

        return siteServiceI.getSiteById(siteId);
    }

内部feign调佣需要请求头添加from参数

@GetMapping(value = "/public/lvanecm/v1/site/getSite/{siteId}") 
EcmResponse getSiteBySiteId(@PathVariable(value="siteId")String siteId,@RequestHeader(SecurityConstants.FROM) String from);

保证内部接口安全,网关拦截器全局处理,外部请求删除请求头中from参数

// 清洗请求头中from 参数
request = exchange.getRequest().mutate().headers(httpHeaders -> httpHeaders.remove(SecurityConstants.FROM)).build();
雷哥不爱写代码
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
通过winform使用httpclient客户端调用webApi接口,api使用oauth2.0权限控制,调用接口需要进行token获取认证、
spring 技术】基于springboot实现微服务之间FeignClient调用,免认证的功能
dylan的博客
11-30 3788
spring 技术】基于springboot实现微服务之间FeignClient调用,免认证的功能,涉及OAuth2的拦截器OAuth2FeignRequestInterceptor 和AccessTokenContextRelay,即可实现内部feign调用免认证,也可以实现内部接口避免对外暴露
SpringCloud 微服务之间调用Token操作
telescopewang的博客
06-06 1068
基于Jeecg框架,修改FeignConfig配置。
服务调用要通过网关吗_微服务架构案例(05):SpringCloud 基础组件应用设计
weixin_39918145的博客
11-30 590
一、组件应用规划1、注册中心Eureka 组件是 Netflix 开发的,用于定位服务,基于RESTFul方式实现服务注册与发现。包括一个EurekaServer服务端(通常是指微服务中的注册中心) 和EurekaClient客户端(通常指微服务中的业务服务)。Eureka支持高可用的配置,当注册中心发现有故障的服务时,Eureka就会转入自动保护模式,故障时不影响服务的发现和注册,当故障恢复正常...
服务: feign 的请求拦截器 执行token拦截, 接口无需传递token
pingzhuyan的博客
11-21 1016
略, 逻辑略, 直接用, 就不过多解释, 之后整个feign总结时添加。
feign调用 服务内无token_对目前项目采用的微服务调用链和边界的思考
weixin_35804761的博客
01-04 185
目前在国内某商业项目中微服务调用关系如下图,技术是基于SpringCloud:组件调用组件图1.OpenAPI的使用:所谓的开放API(OpenAPI)是服务型网站常见的一种应用,网站的服务商将自己的网站服务封装成一系列API开放出去,供第三方开发者使用,但是这里却成了企业内部来管理外部安全访问的方式,比如手机端,个人认为使用场景不大适合,只是加了一层调用深度。而且没有像API Connect生...
es搜索引擎架构_微服务架构案例(02):业务架构设计,系统分层管理
weixin_39565332的博客
11-23 278
更新进度(共6节):01:项目技术选型简介,架构图解说明02:业务架构设计,系统分层管理一、业务架构设计1、基础概念服务的架构设计决定软件的业务支撑能力,清晰的业务设计可以帮助开发人员理解系统。在业务架构设计过程中,需要根据用户需求作为核心方向,根据用户需求确定产品设计、框架搭建、服务划分、数据库规划。如果需求比较单一,单个应用服务可以支撑,则不需要设计复杂的微服务系统,如果根据对业务的判断,会在...
api鉴权-token验证机制springboot版本java后端
04-24
api鉴权-token验证机制springboot版本java后端,不需要连接数据库,通俗易懂
OneNET平台鉴权参数计算器 包含mqtt接入鉴权API调用鉴权
02-01
包含mqtt接入鉴权API调用鉴权。mqtt接入鉴权视频教程:...
OneNET平台鉴权token计算工具_物联网_鉴权
09-21
OneNET平台鉴权token计算工具,可以用于token计算
thinkphp5框架API token身份验证功能示例
10-16
主要介绍了thinkphp5框架API token身份验证功能,结合实例形式分析了thinkPHP5基于token的身份验证操作步骤与实现技巧,需要的朋友可以参考下
spring cloud各个微服务之间如何相互调用(Feign、Feign带token访问服务接口)
热门推荐
E的博客
03-11 2万+
1、首先先看什么是Feign。 这里引用“大漠知秋”的博文https://blog.csdn.net/wo18237095579/article/details/83343915 2、若其他服务的接口未做权限处理,参照上文第1点的博文即可。 3、若其他服务的接口做了权限的处理(例如OAuth 2)时该如何访问? a、有做权限处理的服务接口直接调用会造成调用时出现http 401未授权的错误...
服务间的调用和应用内调用有啥区别
weixin_33832340的博客
04-19 275
摘要目前大部分的系统架构都是微服务架构,就算没有注册中心、服务管理,也肯定是多个服务,单体服务比较少了。大家平时需要在应用内调用rpc接口也比较多,那么有没有思考过微服务之间的调用和应用内直接调用有什么区别呢?面试时是不是经常被被问到微服务呢,本篇文章针对微服务间的方法调用和应用内方法调用的有啥区别这个很小的点,谈谈我的经验微服务调用特点先从单体应用说起单体应用单体引用通过一个服务节点直接组装好数...
请求的时候需要token验证 但是我不想要token也想要请求的数据
09-02 1321
请求的时候需要token验证 但是接口已经设置不需要token验证了也可以获取数据 但是你传token进去就会检测你的token token不正确不给你数据 如果不传进去他就不检查token你可以获取数据。上面的这种问题是: promise有两种状态 一种是成功 一种是失败 请求出错了 没有给捕获造成是。针对上面的问题 我一开始是以为 请求的时候吧 请求头抓注释掉不让他传值生成token
@IgnoreToken的作用
weixin_42605050的博客
12-05 2653
在方法上面添加注解 @IgnoreToken 后,那么请求该方法体时,则可以不用在header传token进行验证了。
记:前后端分离项目中@IgnoreToken注解的使用
zkcJava的博客
08-22 2344
记:前后端分离项目中@IgnoreToken注解的使用一、在前后端分离项目中,有部分接口通常不需要携带token来验证就能访问。可以通过自定义注解来完成。具体做法分为以下几步:二、设置在开发环境时,调试接口不需要携带token 一、在前后端分离项目中,有部分接口通常不需要携带token来验证就能访问。可以通过自定义注解来完成。具体做法分为以下几步: 创建自定义注解@IgnoreToken @Retention(RetentionPolicy.RUNTIME) @Target(value = {Eleme
SaToken实现微服务内部接口调用免认证(无web上下文的情况下)
最新发布
比尔·马云的博客
08-23 1542
SaToken,非web上下文,服务内部免认证
No6-4.从零搭建spring-cloud-alibaba微服务框架,解决微服务间的不鉴权调用等(四,no6-4)
键上艺术家
10-31 869
之前只零碎的学习过spring-cloud-alibaba,并没有全面了解过,这次学习pig框架时,想着可以根据这个项目学习一下,练练手,于是断断续续的用了几天时间搭建了一下基础框架。目前就先重点记录一下遇到的问题吧,毕竟流程也不是特别复杂,就是有的东西没遇到过了解的也不深~由于微服务包括认证这里内容太多,所以分了好几篇~文章包括:1.将服务系统注册到nacos注册中心;2.通过nacos实现配置动态更新;3.添加fegin服务,实现服务之间调用
Feign服务之间的鉴权问题
ruantiao3440的博客
05-23 2046
Feign服务服务传递数据的时候,需要带token验证的,而调用那个用户服务的时候被用户服务方拦截然后没有token进不去接口,很明显的是因为没有token导致,那么Feign里面有提供一个接口叫做RequestInterceptor,只要实现这个接口,简单做一些处理,比如说我们验证请求头的token叫Access-Token,我们就先取出当前请求的token,然后放到feign请求头上,再去请求接口。 解决方案: 直接上代码 public class AuthRequestInterceptor i.
python 调用apitoken失效后重新调用的代码
07-15
APItoken失效后,您可以通过捕获特定的错误或者判断响应状态码来重新调用获取token的函数。下面是一个示例代码,演示了如何在token失效后重新调用获取token的逻辑: ```python import requests def get_token...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值