SpringSecurity在微服务中应用实践思考

已于 2023-07-20 10:57:18 修改
阅读量2.4w 收藏 9
点赞数 1
分类专栏: # Shiro-SpringSecurity 文章标签: spring-security
于 2017-10-26 14:40:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/J080624/article/details/78353634
版权

本文我们记录总结一些SpringSecurity在微服务中具体的应用场景并不断完善。我们可能需要考虑这些问题:

  • 1.RBAC基本权限模型设计
  • 2.用户实体设计
  • 3.存储与传播机制设计
  • 4.角色权限的控制
  • 5.SpringSecurity的自定义服务

【1】RBAC基本权限模型设计

这个想对要容易理解一点,通常有如下模型:

  • sys_permission 权限表
  • sys_role 角色表
  • sys_role_permission 角色权限关联表
  • sys_user 用户表
  • sys_user_role 用户角色关联表

通过表与表的关联,来为用户赋予角色和权限。在请求访问拦截时,角色是一个粗粒度的控制,权限则是细粒度。

如下我们给出权限表的模型设计:

CREATE TABLE `sys_permission` (
  `id` char(19) NOT NULL DEFAULT '' COMMENT '编号',
  `pid` char(19) NOT NULL DEFAULT '' COMMENT '所属上级',
  `name` varchar(20) NOT NULL DEFAULT '' COMMENT '名称',
  `type` tinyint NOT NULL DEFAULT '0' COMMENT '类型(0:模块,1:菜单,2:按钮,3:接口)',
  `permission_value` varchar(50) DEFAULT NULL COMMENT '权限值',
  `path` varchar(100) DEFAULT NULL COMMENT '访问路径',
  `component` varchar(100) DEFAULT NULL COMMENT '组件路径',
  `icon` varchar(50) DEFAULT NULL COMMENT '图标',
  `status` tinyint DEFAULT NULL COMMENT '状态(0:禁止,1:正常)',
  `is_deleted` tinyint unsigned NOT NULL DEFAULT '0' COMMENT '逻辑删除 1(true)已删除, 0(false)未删除',
  `create_date` datetime DEFAULT NULL COMMENT '创建时间',
  `update_date` datetime DEFAULT NULL COMMENT '更新时间',
  PRIMARY KEY (`id`),
  KEY `idx_pid` (`pid`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='权限表';

从权限分类来说,通常可以划分为:模块、菜单、按钮与接口。其中前三者通常是提供给前端进行页面布局的,最后接口则是交由后端进行控制拦截。

【2】用户实体设计

这里的用户实体设计并非指前面的sys_user,而是指SpringSecurity的UserDetails 。如下所示,我们SecurityUser 实现了UserDetails接口,并包装了sys_user与权限列表。

public class SecurityUser implements UserDetails {

    //当前登录用户
    private transient User currentUserInfo;

    //当前权限
    private List<String> permissionValueList;

    public SecurityUser() {
    }

    public SecurityUser(User user) {
        if (user != null) {
            this.currentUserInfo = user;
        }
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        for(String permissionValue : permissionValueList) {
            if(StringUtils.isEmpty(permissionValue)) continue;
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permissionValue);
            authorities.add(authority);
        }

        return authorities;
    }

    @Override
    public String getPassword() {
        return currentUserInfo.getPassword();
    }

    @Override
    public String getUsername() {
        return currentUserInfo.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

【3】存储与传播机制设计

其实这里要解决的是用户登录成功后,我们如何将用户角色权限信息存储起来并提供给前端,以及用户身份信息在整个体系中如何流转。

这里我们设计如下:用户登录成功后,我们采用JWT技术将用户存储起来。以{username:权限列表}格式存储到Redis中。

如下是我们的TokenLoginFilter 示例,其继承了UsernamePasswordAuthenticationFilter

public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {

    private TokenManager tokenManager;
    private RedisTemplate redisTemplate;
    private AuthenticationManager authenticationManager;

    public TokenLoginFilter(AuthenticationManager authenticationManager, TokenManager tokenManager, RedisTemplate redisTemplate) {
        this.authenticationManager = authenticationManager;
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
        this.setPostOnly(false);
        this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/admin/acl/login","POST"));
    }

    //1 获取表单提交用户名和密码
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException {
        //获取表单提交数据
        try {
            User user = new ObjectMapper().readValue(request.getInputStream(), User.class);
            return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(),user.getPassword(),
                    new ArrayList<>()));
        } catch (IOException e) {
            e.printStackTrace();
            throw new RuntimeException();
        }
    }

    //2 认证成功调用的方法
    @Override
    protected void successfulAuthentication(HttpServletRequest request, 
                                            HttpServletResponse response, FilterChain chain, Authentication authResult)
            throws IOException, ServletException {
        //认证成功,得到认证成功之后用户信息
        SecurityUser user = (SecurityUser)authResult.getPrincipal();
        //根据用户名生成token
        String token = tokenManager.createToken(user.getCurrentUserInfo().getUsername());
        //把用户名称和用户权限列表放到redis
        redisTemplate.opsForValue().set(user.getCurrentUserInfo().getUsername(),user.getPermissionValueList());
        //返回token
        ResponseUtil.out(response, R.ok().data("token",token));
    }

    //3 认证失败调用的方法
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed)
            throws IOException, ServletException {
        ResponseUtil.out(response, R.error());
    }
}

用户登录成功后,会从响应中拿到token。前端在后续请求时,将token放到header中进行传递。此时我们就可以根据请求头中的token获取到用户信息、权限信息放到上下文中。

public class TokenAuthFilter extends BasicAuthenticationFilter {

    private TokenManager tokenManager;
    private RedisTemplate redisTemplate;
    public TokenAuthFilter(AuthenticationManager authenticationManager,TokenManager tokenManager,RedisTemplate redisTemplate) {
        super(authenticationManager);
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        //获取当前认证成功用户权限信息
        UsernamePasswordAuthenticationToken authRequest = getAuthentication(request);
        //判断如果有权限信息,放到权限上下文中
        if(authRequest != null) {
            SecurityContextHolder.getContext().setAuthentication(authRequest);
        }
        chain.doFilter(request,response);
    }

    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
        //从header获取token
        String token = request.getHeader("token");
        if(token != null) {
            //从token获取用户名
            String username = tokenManager.getUserInfoFromToken(token);
            //从redis获取对应权限列表
            List<String> permissionValueList = (List<String>)redisTemplate.opsForValue().get(username);
            Collection<GrantedAuthority> authority = new ArrayList<>();
            for(String permissionValue : permissionValueList) {
                SimpleGrantedAuthority auth = new SimpleGrantedAuthority(permissionValue);
                authority.add(auth);
            }
            return new UsernamePasswordAuthenticationToken(username,token,authority);
        }
        return null;
    }

}

【4】角色权限的控制

这部分通常分为前端布局与后端控制。假设我们在登录之后给到了前端当前用户所对应的模块、 菜单与按钮权限,那么前端就可以实现动态的布局。

至于后端对用户角色、权限的控制可以通过如下几种方式:

代码使用注解进行控制实例如下:

@PostMapping
@PreAuthorize("hasAnyAuthority('access:register:save')")
public Result save(@Validated @RequestBody AccessRegister accessRegister, Principal principal){
    accessRegister.setCreateBy(principal.getName());
    boolean flag = accessRegisterService.addRegister(accessRegister);
    return flag ? Result.succ("登记成功") : Result.fail("登记失败");
}

【5】SpringSecurity的自定义服务

也就是我们对SpringSecurity的配置。

① 自定义UserDetailsServiceImpl

@Service("userDetailsService")
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserService userService;

    @Autowired
    private PermissionService permissionService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据用户名查询数据
        User user = userService.selectByUsername(username);
        //判断
        if(user == null) {
            throw new UsernameNotFoundException("用户不存在");
        }
       
        //根据用户查询用户权限列表
        List<String> permissionValueList = permissionService.selectPermissionValueByUserId(user.getId());
        SecurityUser securityUser = new SecurityUser();
        securityUser.setCurrentUserInfo(user);
        securityUser.setPermissionValueList(permissionValueList);
        return securityUser;
    }
}

② 退出处理器

退出的时候需要移除token(假设记录了token)并从Redis移除用户信息。

public class TokenLogoutHandler implements LogoutHandler {
    private TokenManager tokenManager;
    private RedisTemplate redisTemplate;

    public TokenLogoutHandler(TokenManager tokenManager,RedisTemplate redisTemplate) {
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
    }
    @Override
    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        //1 从header里面获取token
        //2 token不为空,移除token,从redis删除token
        String token = request.getHeader("token");
        if(token != null) {
            //移除
            tokenManager.removeToken(token);
            //从token获取用户名
            String username = tokenManager.getUserInfoFromToken(token);
            redisTemplate.delete(username);
        }
        ResponseUtil.out(response, R.ok());
    }
}

③ 没有权限处理器

当用户没有权限时,返回错误信息。

public class UnauthEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        ResponseUtil.out(httpServletResponse, R.error());
    }
}

④ 自定义密码加密器

如下所示,我们可以使用MD5来完成这一动作。

@Component
public class DefaultPasswordEncoder implements PasswordEncoder {

    public DefaultPasswordEncoder() {
        this(-1);
    }
    public DefaultPasswordEncoder(int strength) {
    }
    //进行MD5加密
    @Override
    public String encode(CharSequence charSequence) {
        return MD5.encrypt(charSequence.toString());
    }
    //进行密码比对
    @Override
    public boolean matches(CharSequence charSequence, String encodedPassword) {
        return encodedPassword.equals(MD5.encrypt(charSequence.toString()));
    }
}

⑤ SpringSecurity配置类

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter {

    private TokenManager tokenManager;
    private RedisTemplate redisTemplate;
    private DefaultPasswordEncoder defaultPasswordEncoder;
    private UserDetailsService userDetailsService;

    @Autowired
    public TokenWebSecurityConfig(UserDetailsService userDetailsService, DefaultPasswordEncoder defaultPasswordEncoder,
                                  TokenManager tokenManager, RedisTemplate redisTemplate) {
        this.userDetailsService = userDetailsService;
        this.defaultPasswordEncoder = defaultPasswordEncoder;
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
    }

    /**
     * 配置设置
     * @param http
     * @throws Exception
     */
    //设置退出的地址和token,redis操作地址
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.exceptionHandling()
                .authenticationEntryPoint(new UnauthEntryPoint())//没有权限访问
                .and().csrf().disable()
                .authorizeRequests()
                .anyRequest().authenticated()
                .and().logout().logoutUrl("/admin/logout")//退出路径
                .addLogoutHandler(new TokenLogoutHandler(tokenManager,redisTemplate))
                .and()
                .addFilter(new TokenLoginFilter(authenticationManager(), tokenManager, redisTemplate))
                .addFilter(new TokenAuthFilter(authenticationManager(), tokenManager, redisTemplate))
                .httpBasic();
    }

    //调用userDetailsService和密码处理
    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(defaultPasswordEncoder);
    }
    //不进行认证的路径,可以直接访问
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/api/**");
    }
}
流烟默
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
微服务-微服务Spring Security6实战
weixin_43874650的博客
02-24 1433
使用 Spring Security 时经常会看见 403(无权限)。Spring Security 支持自定义权限受限处理,需要实现 AccessDeniedHandler接口@Overrideresponse.getWriter().write("没有访问权限");在配置类设置访问受限后交给BussinessAccessDeniedHandler处理//访问受限后的异常处理方法授权:基于注解的访问控制。
maven-source-plugin:Apache Maven源插件
02-04
贡献给 您已发现错误或对超酷的新功能有任何想法? 贡献代码是将某些东西还给开源社区的好方法。 在深入研究代码之前,我们需要一些准则供贡献者遵循,以便我们有机会掌握最新知识。 入门 确保您拥有。 确保您具有。 如果您打算实施一项新功能,则有必要先在上讨论您的更改。 这样,您可以确保您不会浪费时间在Apache Maven范围之外的东西上。 假设您的问题不存在,请提交该问题的票证。 清楚地描述问题,包括在出现错误时重现的步骤。 确保填写您知道存在问题的最早版本。 在GitHub上分叉存储库。 进行和提交更改 我们通过GitHub接受拉取请求。 是贡献者交流的主要渠道。 有一些准则可使
springboot3微服务下结合springsecurity的认证授权实现
PleaseBeStrong的博客
05-21 1274
往往是一些字符串类型的关键字,在这里统一定义外部就可以直接调用,方便微服务之间的管理集式认证管理:通过统一的认证服务器进行登录认证和token的签发刷新,可以简化认证流程,提高安全性和效率。灵活性和可扩展性:各个微服务自行处理权限认证,可以根据各自的业务需求灵活设计权限控制逻辑,便于扩展和维护。适应多种鉴权场景:这种方式可以适应外部应用接入、用户-服务鉴权、服务-服务鉴权等多种鉴权场景。潜在的安全风险:如果各个微服务的权限认证实现不一致或存在缺陷,可能会引入安全风险。性能考虑。
Maven的maven-source-plugin插件详解
liaowenxiong的博客
05-20 1万+
maven-source-plugin 这个插件专门负责将项目源文件打成包的,该插件在 pom.xml 的配置如下: <build> <plugins> <plugin> <artifactId>maven-source-plugin</artifactId> <version>3.0.1</version> <confi
关于maven 编译时报错的解决方法
duanhwonline的专栏
07-21 892
删除本地仓库所有以lastUpdated 结尾的文件; 对项目进行clear 重新update 项目 重新运行编译
maven打包报错
qq_39035267的博客
03-15 439
【代码】maven打包报错。
Compilation of Maven projects is supported only if external build is started from an IDE
qnxs2021的博客
11-14 538
Maven
Spring Cloud在Java微服务项目的配置管理实践
最新发布
07-16
本文详细介绍了Spring Cloud Config在Java微服务项目的配置管理实践,包括配置心的搭建、客户端配置、动态配置刷新以及安全性考虑。希望这些信息能帮助读者更好地理解和使用Spring Cloud Config进行微服务的配置...
基于SpringCloud的微服务治理架构落地实践
01-27
本篇文章将分享在证券行业背景下,如何基于SpringCloud实施微服务治理架构的落地实践。 1. **微服务重构原则与目标** - **安全优先**:在设计阶段就要将安全作为首要考虑因素,涵盖服务器、容器、应用、接口和数据...
Spring Boot Admin微服务应用监控的实现
08-25
在admin-server的`pom.xml`,我们需要引入`spring-boot-starter-web`和`spring-boot-admin-starter-server`依赖,并在`application.yml`配置应用名称和服务器端口。在启动类上,使用`@EnableAdminServer`注解来...
12Spring Boot Admin:微服务应用监控1
08-04
Spring Boot Admin 可以作为微服务架构的监控心,监控微服务应用的运行状态,并通过图形化界面呈现出来。 要使用 Spring Boot Admin,需要创建一个 admin-server 模块作为监控心,添加相关依赖,并在 ...
maven: maven-source-plugin和spring-boot-maven-plugin的区别
玉汝于成
03-14 1042
该插件用于帮助生成项目的源代码(Java 源代码)和资源文件的 JAR 包。它可以将项目的源代码和资源文件打包成一个 JAR 文件,并将该 JAR 文件安装(install)到本地 Maven 仓库,以便其他项目可以引用它。maven-source-plugin 和 spring-boot-maven-plugin 是两个不同的 Maven 插件,它们各自有着不同的作用和功能。使用这两个插件时,需要根据具体的需求和项目类型来选择合适的插件,并正确配置插件的参数以实现预期的构建和打包结果。
解决 Compilation of Maven projects is supported only if external build is started
weixin_40911578的博客
11-23 1378
IEDA问题: Compilation of Maven projects is supported only if external build is started。解决方法: 设置好配置就行,setting.xml。
maven 插件之maven-source-plugin
热门推荐
zhouzhiwengang的专栏
06-19 2万+
在很多情况下,需要对于Maven工程的源代码进行源文件的打包,可以利用source插件来完成。利用Maven的Source插件,对Maven工程的源码进行打jar包。 Plugin: http://maven.apache.org/plugins/maven-source-plugin/ The Source Plugin has five goals: source:aggregate aggregrates sources for all modules in an aggregator proj
maven-source-plugin
qq_40708942的博客
05-05 2198
描述 maven-source-plugin插件可以把我们的项目打包成源码包. 使用 <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-source-plugin</artifactId> <version>2.1.2</version> <executions>
maven-resources-plugin详解
怪咖@的博客
05-20 1万+
本篇文章重点针对这几个问题进行讲解:maven-resources-plugin到低在什么场景下使用?他到底有什么作用?他和pom当配置的resources标签又有什么关联?为什么有的项目使用了该插件而有的却没有?resources当的filtering标签到低是干什么的?maven怎么打包过滤文件?
idea2021.3.新装项目启动maven启动问题
Tang_wen_jie的博客
02-03 2029
1、在idea上 file -----> Settings -----> 搜所Maven----->找到Runner,把Delegate IDE build/run actions to Maven 勾上,这样就可以了。第二种:就是在idea,运行一下一个命令:mvn idea:idea,重构一下,在file–invalidate caches 重启就可以了。但第一种方法虽然可以了,但是有一点不好,就是每次运行之前,会先执行 maven 的打包功能,会严重影响IDEA的启动速度,有点反人类;
maven之问题集合
小七的博客
10-08 345
1、Maven build时报“Failed to execute goal org.apache.maven.plugins:maven-surefire-plugin:2.19.1:test (default-test) on project complex-industry-test: There are test failures.“ 解决方案一: &l...
maven 打jar包带源码的
douyunqian668的博客
07-04 1485
&lt;build&gt; &lt;plugins&gt; &lt;plugin&gt; &lt;groupId&gt;org.apache.maven.plugins&lt;/groupId&gt; &lt;artifactId&gt;maven-source-plugin&lt;/artifactId&gt; &lt;version&...
分布式事务 Seata AT 模式-Spring Cloud微服务案例(二)(csdn)————程序.pdf
12-04
该资源是关于分布式事务处理的教程,特别是使用Seata AT模式在Spring Cloud微服务环境实践案例。教程详细介绍了如何配置和实现一个名为"storage"的子工程,涉及到数据库连接配置、Eureka服务注册与发现、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

流烟默

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值