服务内部调用api鉴权忽略token(动态放权)

已于 2023-04-24 22:11:45 修改
阅读量1.7k 收藏 7
点赞数 1
分类专栏: 随手记 文章标签: java spring servlet
于 2022-08-29 15:36:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BigRex/article/details/126585954
版权

通常情况下微服务之间调用或开放接口的时候,我们会在资源服务器的security配置当中配置路径,觉得比较麻烦,参考了网上一些案例,写了下面的应用,感觉比较实用的是可以不用谢那么多重复的代码permitAll()方法。灵活配置动态添加删除,只需要一个注解就可以配置接口是否完全开放,是否内部开放,是否外部开放。希望能帮助到有需要的人。

创建一个注解

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface IgnoreToken {
    /**
     * 是否AOP统一处理
     */
    boolean value() default true;
}

注解配置一个切面

@Aspect
@Component
@Slf4j
public class IgnoreTokenAspect implements Ordered {
    @Autowired
    private HttpServletRequest request;

    @Around("@annotation(ignoreToken)")
    public Object around(ProceedingJoinPoint point, IgnoreToken ignoreToken) throws Throwable {
        String header = request.getHeader(SecurityConstants.FROM);
        if (ignoreToken.value() && !StringUtils.equals(SecurityConstants.FROM_IN, header)){
            log.warn("访问接口 {} 没有权限", point.getSignature().getName());
            throw new AccessDeniedException("Access is denied");
        }
        return point.proceed();
    }

    @Override
    public int getOrder() {
        return Ordered.HIGHEST_PRECEDENCE + 1;
    }
}

常量配置

public final class SecurityConstants {
    public static final String FROM = "from";
    public static final String FROM_IN = "in";
}

初始化忽略token的链接

@Configuration
public class PermitAllUrlProperties implements InitializingBean {

    private static final Pattern PATTERN = Pattern.compile("\\\\{(.*?)\\\\}");

    @Autowired
    private ApplicationContext applicationContext;

    private List<String> urls = new ArrayList<>();

    public static final String ASTERISK = "*";

    @Override
    public void afterPropertiesSet() {
        RequestMappingHandlerMapping mapping = applicationContext.getBean("requestMappingHandlerMapping",RequestMappingHandlerMapping.class);
        Map<RequestMappingInfo, HandlerMethod> map = mapping.getHandlerMethods();

        map.keySet().forEach(info -> {
            HandlerMethod handlerMethod = map.get(info);

            // 获取@IgnoreToke注解的替代path variable 为 *
            IgnoreToken method = AnnotationUtils.findAnnotation(handlerMethod.getMethod(), IgnoreToken.class);
            Optional.ofNullable(method).ifPresent(inner -> info.getPatternsCondition().getPatterns()
                    .forEach(url -> urls.add(ReUtil.replaceAll(url, PATTERN, ASTERISK))));

            // 获取@IgnoreToke注解的访问路径替代path variable 为 *
            IgnoreToken controller = AnnotationUtils.findAnnotation(handlerMethod.getBeanType(), IgnoreToken.class);
            Optional.ofNullable(controller).ifPresent(inner -> info.getPatternsCondition().getPatterns()
                    .forEach(url -> urls.add(ReUtil.replaceAll(url, PATTERN, ASTERISK))));
        });
    }

    public List<String> getUrls() {
        return urls;
    }

    public void setUrls(List<String> urls) {
        this.urls = urls;
    }
}

资源服务器配置

@Configuration
@EnableResourceServer
public class EcmContentResourceServerConfigure extends ResourceServerConfigurerAdapter {
    @Autowired
    PermitAllUrlProperties permitAllUrlProperties;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.headers().frameOptions().disable();
        http.csrf().disable()
                .requestMatchers().antMatchers("/**")
                .and()
                .headers().frameOptions().disable()
                .and()
                .authorizeRequests()
                //添加注解动态添加放权
                .antMatchers(permitAllUrlProperties.getUrls().stream().distinct().toArray(String[]::new)).permitAll()
                .antMatchers("/**").authenticated();
    }
}

注解使用,直接添加到controller 方法上value = false表示可外部网关访问true表示内部接口外部无法访问。


    @GetMapping(value = "/getSite/{siteId}")
    @IgnoreToken(value = false)
    public EcmResponse getSite(@ApiParam(value = "siteid", required = true) @PathVariable("siteId") String siteId) {

        return siteServiceI.getSiteById(siteId);
    }

内部feign调佣需要请求头添加from参数

@GetMapping(value = "/public/lvanecm/v1/site/getSite/{siteId}") 
EcmResponse getSiteBySiteId(@PathVariable(value="siteId")String siteId,@RequestHeader(SecurityConstants.FROM) String from);

保证内部接口安全,网关拦截器全局处理,外部请求删除请求头中from参数

// 清洗请求头中from 参数
request = exchange.getRequest().mutate().headers(httpHeaders -> httpHeaders.remove(SecurityConstants.FROM)).build();
雷哥不爱写代码
关注
专栏目录
服务中的鉴权操作详解(附代码)
m0_57021623的博客
05-25 2235
服务架构中的鉴权是确保系统安全的重要部分,主要用于验证请求者的身份并授权其访问特定资源。
webapi鉴权使用token令牌
小鱼破浪的博客
07-08 7898
一为什么使用Token验证:在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认 证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保 存的session中,然后在存一份到cookie中,来保持用户的会话有效性,但是会在客户...
SpringCloud 微服务之间调用Token操作
telescopewang的博客
06-06 1305
基于Jeecg框架,修改FeignConfig配置。
Feign服务间相互调用
最新发布
凌寒赋雪的博客
09-06 893
鉴于第三种情况,我们配置ignore-url使接口直接对处暴露,此时该接口不需要鉴权服务内部通过Feign访问,服务外部通过url也可以访问,并不是我们想要的,所以我们通过在header中加入了一个from(SecurityConstants.FROM)参数来辨别是否内部调用。在A服务调用接口(如:SysLogListener),带上SecurityConstants.FROM=SecurityConstants.FROM_IN参数指定为内部识别。使用场景:以上第三种情况,如A服务调用B服务的方法。
es搜索引擎架构_微服务架构案例(02):业务架构设计,系统分层管理
weixin_39565332的博客
11-23 315
更新进度(共6节):01:项目技术选型简介,架构图解说明02:业务架构设计,系统分层管理一、业务架构设计1、基础概念服务的架构设计决定软件的业务支撑能力,清晰的业务设计可以帮助开发人员理解系统。在业务架构设计过程中,需要根据用户需求作为核心方向,根据用户需求确定产品设计、框架搭建、服务划分、数据库规划。如果需求比较单一,单个应用服务可以支撑,则不需要设计复杂的微服务系统,如果根据对业务的判断,会在...
服务调用要通过网关吗_微服务架构案例(05):SpringCloud 基础组件应用设计
weixin_39918145的博客
11-30 632
一、组件应用规划1、注册中心Eureka 组件是 Netflix 开发的,用于定位服务,基于RESTFul方式实现服务注册与发现。包括一个EurekaServer服务端(通常是指微服务中的注册中心) 和EurekaClient客户端(通常指微服务中的业务服务)。Eureka支持高可用的配置,当注册中心发现有故障的服务时,Eureka就会转入自动保护模式,故障时不影响服务的发现和注册,当故障恢复正常...
服务: feign 的请求拦截器 执行token拦截, 接口无需传递token
pingzhuyan的博客
11-21 1121
略, 逻辑略, 直接用, 就不过多解释, 之后整个feign总结时添加。
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
在IT行业中,Windows Forms(WinForms)是一种常用的桌面应用程序开发框架,而WebAPI则是用于构建RESTful服务的ASP.NET框架。本案例主要涉及如何在WinForm应用中通过HttpClient调用使用OAuth2.0授权的WebAPI接口。...
API 鉴权都有哪些分类,这些重点不要错过
kungfuboy17的博客
04-18 1332
API鉴权是保证API安全性和可用性的一项重要措施。通过API鉴权,系统可以对用户或者应用进行有效的身份认证和权限管理。一般来说,在实际开发中,我们使用以下几种API鉴权方式:
token鉴权
m0_47127594的博客
12-17 7876
前言 上一篇博客介绍了什么是cookie、session,以及cookie和session之间的区别,运行机制等。那么这篇博客一起来看看另外一种鉴权方式,也就是token鉴权token就是接口层面的一种校验而已。 一、什么是token? 其实token就是一个令牌,通俗一点可以称为‘暗号’,在一些数据传递之前,要先进行暗号的核对,不同的暗号(令牌)之前被授权不同的数据操作。 二、token的运行机制。 #mermaid-svg-uUOHpzCQGpWVw5Nd .label{font-family:'
OneNET平台鉴权token计算工具_物联网_鉴权
09-21
OneNET平台作为一个领先的物联网云服务平台,提供了全面的安全解决方案,其中包括鉴权机制。本文将深入探讨OneNET平台的鉴权token计算工具及其在物联网安全中的作用。 鉴权Token是身份验证过程中的一种安全令牌,它...
feign调用 服务内无token_对目前项目采用的微服务调用链和边界的思考
weixin_35804761的博客
01-04 233
目前在国内某商业项目中微服务调用关系如下图,技术是基于SpringCloud:组件调用组件图1.OpenAPI的使用:所谓的开放API(OpenAPI)是服务型网站常见的一种应用,网站的服务商将自己的网站服务封装成一系列API开放出去,供第三方开发者使用,但是这里却成了企业内部来管理外部安全访问的方式,比如手机端,个人认为使用场景不大适合,只是加了一层调用深度。而且没有像API Connect生...
spring cloud各个微服务之间如何相互调用(Feign、Feign带token访问服务接口)
热门推荐
E的博客
03-11 2万+
1、首先先看什么是Feign。 这里引用“大漠知秋”的博文https://blog.csdn.net/wo18237095579/article/details/83343915 2、若其他服务的接口未做权限处理,参照上文第1点的博文即可。 3、若其他服务的接口做了权限的处理(例如OAuth 2)时该如何访问? a、有做权限处理的服务接口直接调用会造成调用时出现http 401未授权的错误...
服务间的调用和应用内调用有啥区别
weixin_33832340的博客
04-19 299
摘要目前大部分的系统架构都是微服务架构,就算没有注册中心、服务管理,也肯定是多个服务,单体服务比较少了。大家平时需要在应用内调用rpc接口也比较多,那么有没有思考过微服务之间的调用和应用内直接调用有什么区别呢?面试时是不是经常被被问到微服务呢,本篇文章针对微服务间的方法调用和应用内方法调用的有啥区别这个很小的点,谈谈我的经验微服务调用特点先从单体应用说起单体应用单体引用通过一个服务节点直接组装好数...
feign调用 服务内无token_Spring Cloud(十三):Feign居然这么强大?
weixin_30649293的博客
01-02 619
可能点击蓝字关注我们大家好,我是杰哥微服务架构目前已被各大公司广泛使用。至少在java界,要是说你还没有使用过微服务架构,都会觉得自己out了我们知道,微服务架构最大的特点就是,将原先的一个服务,根据业务等角度拆分为一个个小的微服务。那么以前的方法调用,就自然会变成服务之间的通讯调用,并且系统越复杂,这样的通讯调用就越频繁。Feign,作为一个声明式Web Service客户端,自然就应...
请求的时候需要token验证 但是我不想要token也想要请求的数据
09-02 1473
请求的时候需要token验证 但是接口已经设置不需要token验证了也可以获取数据 但是你传token进去就会检测你的token token不正确不给你数据 如果不传进去他就不检查token你可以获取数据。上面的这种问题是: promise有两种状态 一种是成功 一种是失败 请求出错了 没有给捕获造成是。针对上面的问题 我一开始是以为 请求的时候吧 请求头抓注释掉不让他传值生成token
Token鉴权
maoyudashen的博客
07-29 1013
需要注意的是,在实际应用中,为了增强安全性,Token通常会设置过期时间,并采用加密算法对Token进行签名和验证。常见的Token类型有两种:基于Session的Token和基于JSON Web Token (JWT)的Token。5. 服务端接收到请求后,根据携带的Session ID进行验证,如果验证通过,则允许客户端访问相应资源。5. 服务端接收到请求后,对Token进行解析和验证,如果验证通过,则允许客户端访问相应资源。6. 服务端对Token进行验证,验证通过后允许客户端访问相应资源。
OneNET平台鉴权参数计算器 包含mqtt接入鉴权API调用鉴权
02-01
包含mqtt接入鉴权API调用鉴权。mqtt接入鉴权视频教程:...
记:前后端分离项目中@IgnoreToken注解的使用
zkcJava的博客
08-22 2591
记:前后端分离项目中@IgnoreToken注解的使用一、在前后端分离项目中,有部分接口通常不需要携带token来验证就能访问。可以通过自定义注解来完成。具体做法分为以下几步:二、设置在开发环境时,调试接口不需要携带token 一、在前后端分离项目中,有部分接口通常不需要携带token来验证就能访问。可以通过自定义注解来完成。具体做法分为以下几步: 创建自定义注解@IgnoreToken @Retention(RetentionPolicy.RUNTIME) @Target(value = {Eleme
服务之间调用部分Feign接口忽略认证授权
枸杞泡茶的博客
01-21 3609
前言 在SpringSecurity框架基础之上实现微服务之间部分接口忽略认证授权. 思路 创建忽略授权注解 获取所有被注解的类或者方法 在SpringSecurity框架中忽略授权 1. 创建忽略授权注解 @Target({ElementType.TYPE,ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface AuthIgnore { } 2.获取所有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值