统一权限-鉴权

最新推荐文章于 2024-05-07 18:02:46 发布
最新推荐文章于 2024-05-07 18:02:46 发布
阅读量2.6k 收藏 3
点赞数
文章标签: 微服务 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JAVAMysql111/article/details/124184972
版权

鉴权:即访问控制,控制谁能访问那些资源;进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无发访问的,如图所示:
在这里插入图片描述
基于资源的权限控制
RBAC基于资源的访问控制是以资源为中心进行访问控制,企业中常用的权限管理方法,实现思路是:将系统操作的每个URL配置在资源表中,将资源对应到角色,将角色分配给用户,用户访问系统功能的Filter进行过滤,过滤器获取到用户访问的URL,只要访问的URL是用户分配的角色中的URL是用户分配角色中的URL则放行继续访问,其具体流程如下:

在这里插入图片描述
鉴权流程
在这里插入图片描述
ReactiveAuthorizationManager:主要是权限鉴定的过程,主要包含:拦截获得URL、jwt令牌校验、校验权限

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.security.authorization.AuthorizationDecision;
import org.springframework.security.authorization.ReactiveAuthorizationManager;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.server.authorization.AuthorizationContext;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

import java.util.List;
import java.util.Set;

/**
 * @ClassName AuthorizeConfigManager.java
 * @Description 鉴权用户权限
 */
@Slf4j
@Component
@EnableConfigurationProperties(SecurityProperties.class)
public class JwtReactiveAuthorizeManager implements ReactiveAuthorizationManager<AuthorizationContext> {

    private AntPathMatcher antPathMatcher = new AntPathMatcher();

    @Autowired
    SecurityProperties securityProperties;

    @Autowired
    JwtTokenManager jwtTokenManager;

    @Override
    public Mono<AuthorizationDecision> check(Mono<Authentication> authentication,
                                             AuthorizationContext authorizationContext) {
        //拦截获得url路径
        ServerWebExchange exchange = authorizationContext.getExchange();
        ServerHttpRequest request = exchange.getRequest();
        String path = request.getURI().getPath();
        log.info("===============进入鉴权url:{}==========",path);
        //jwt令牌校验
        String jwtToken = request.getHeaders().getFirst(SuperConstant.JWT_TOKEN_HEADER);
        boolean flag = jwtTokenManager.isVerifyToken(jwtToken);
        if (!flag){
            return Mono.justOrEmpty(new AuthorizationDecision(false));
        }
        //校验权限
        UserVo userVo = JSONObject
                .parseObject(jwtTokenManager.getCurrentUser(jwtToken).toString(),UserVo.class);
        Set<String> resources = userVo.getResources();
        AuthorizationDecision authorizationDecision = null;
        //支持restfull
        String methodValue = request.getMethodValue();
        for (String resource : resources) {
            if (antPathMatcher.match(resource, methodValue+path)) {
                log.info("用户请求API校验通过,GrantedAuthority:{},Path:{} ",resource, path);
                authorizationDecision = new AuthorizationDecision(true);
                return Mono.justOrEmpty(authorizationDecision);
            }
        }
        authorizationDecision = new AuthorizationDecision(false);
        log.info("用户请求API校验未通过,Path:{} ",path);
        return Mono.justOrEmpty(authorizationDecision);
    }

}

用户无权限处理

import io.netty.util.CharsetUtil;
import org.springframework.core.io.buffer.DataBuffer;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.server.ServerAuthenticationEntryPoint;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

/**
 * @ClassName JsonAuthenticationEntryPoint.java
 * @Description  用来解决用户访问无权限资源时的异常
 */
@Component
public class  JsonServerAuthenticationEntryPoint implements ServerAuthenticationEntryPoint {


    @Override
    public Mono<Void> commence(ServerWebExchange exchange, AuthenticationException e) {
        //请求状态指定
        ServerHttpResponse response = exchange.getResponse();
        response.setStatusCode(HttpStatus.UNAUTHORIZED);
        response.getHeaders().set(HttpHeaders.CONTENT_TYPE, "application/json; charset=UTF-8");
        //返回结果封装
        ResponseWrap<Boolean> responseWrap = ResponseWrapBuild.build(AuthEnum.NEED_LOGIN, false);
        String result = JSONObject.toJSONString(responseWrap);
        DataBuffer buffer = response.bufferFactory().wrap(result.getBytes(CharsetUtil.UTF_8));
        return response.writeWith(Mono.just(buffer));
    }
}

退出处理

import io.netty.util.CharsetUtil;
import org.springframework.core.io.buffer.DataBuffer;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.server.WebFilterExchange;
import org.springframework.security.web.server.authentication.logout.ServerLogoutSuccessHandler;
import org.springframework.stereotype.Component;
import reactor.core.publisher.Mono;

/**
 * @ClassName JsonServerLogoutSuccessHandler.java
 * @Description 退出成功
 */
@Component
public class JsonServerLogoutSuccessHandler implements ServerLogoutSuccessHandler {
    @Override
    public Mono<Void> onLogoutSuccess(WebFilterExchange exchange, Authentication authentication) {
        //指定请求状态
        ServerHttpResponse response = exchange.getExchange().getResponse();
        response.setStatusCode(HttpStatus.OK);
        response.getHeaders().set(HttpHeaders.CONTENT_TYPE, "application/json; charset=UTF-8");
        //返回封装结果
        ResponseWrap<Boolean> responseWrap = ResponseWrapBuild.build(AuthEnum.SUCCEED, true);
        String result = JSONObject.toJSONString(responseWrap);
        DataBuffer buffer = response.bufferFactory().wrap(result.getBytes(CharsetUtil.UTF_8));
        return response.writeWith(Mono.just(buffer));
    }
}
热爱编程的五年
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微服务权限解决方案,Cloud Gateway+Oauth2实现统一认证和鉴权
一入Java深似海
07-09 2万+
最近发现了一个很好的微服务权限解决方案,可以通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本文将详细介绍该方案的实现,希望对大家有所帮助! 前置知识 我们将采用Nacos作为注册中心,Gateway作为网关,使用nimbus-jose-jwtJWT库操作JWT令牌 应用架构 我们理想的解决方案应该是这样的,认证服务负责认证,网关负责校验认证和鉴权,其他API服务负.
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
当我们将这两者结合时,我们可以创建一个强大的统一登录认证鉴权系统。 首先,让我们深入了解Spring Cloud Gateway。这是一个基于Spring Framework 5,Spring Boot 2 和 Project Reactor 的高性能API网关。它提供了...
从零开始搭建高负载java架构(05)——gateway网关节点(权限验证篇)
lyz2015lyz的博客
05-11 1929
【注意】另外,如果要通过数据库或redis查找用户信息,可以重载实现ReactiveUserDetailsService的接口findByUsername,从其他数据源里查出user数据转成UserDetails对象,如果除了用户名和密码,还有其他额外的用户信息需要保存,可以重置UserDetails类,添加额外的信息。
Java解决垂直鉴权问题(对垂直权限进行校验)
最新发布
qq_57703172的博客
05-07 554
避免垂直鉴权实现原理:每次用户访问时,都要判定该用户是否有访问此 URL 的权限
【Spring Cloud】Spring Cloud Oauth2 + Gateway 微服务权限管理方案
人生何事不浮云
07-21 6285
Spring Cloud 微服务权限解决方案,通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。通过建立用户组-用户-角色-资源之间的关系进行权限管理。
Spring gateway配置Spring Security实现统一权限验证与授权
热门推荐
王广帅--游戏开发技术
12-02 2万+
在使用Spring Cloud 进行微服务,分布式开发时,网关是请求的第一入口,所以一般把客户端请求的权限验证统一放在网关进行认证与鉴权。因为Spring Cloud Gateway使用是基于WebFlux与Netty开发的,所以与传统的Servlet方式不同。而且网关一般不会直接请求数据库,不提供用户管理服务,所以如果想在网关处进行登陆验证与授权就需要做一些额外的开发了。 需求设求 众所周知,一...
spring security WebFlux 动态加载权限
Frinday的博客
05-28 1689
权限校验会调用 DelegatingReactiveAuthorizationManager -> check方法。DelegatingReactiveAuthorizationManager 里的mappings保存的是pathMatcher和对应的权限。 思路是拿到mappings,替换之前的权限。 把ServerHttpSecurity里的authorizeExchangeSpec替换为自定义的,authorizeExchangeSpec的configure方法里创建Authorizati.
统一认证+多租户体系+鉴权
08-27
在IT行业中,统一认证、多租户体系以及鉴权是构建大规模、安全的分布式系统时不可或缺的重要组件。这些概念在云服务、SaaS应用、大型Web应用等场景中尤为常见,确保了用户身份的安全验证、资源的有效管理和权限的...
系统权限管理软件设计说明书,抽象了统一身份认证和鉴权体系
03-06
系统权限管理软件设计说明书,抽象了统一身份认证和鉴权体系
Oauth-jwt网关鉴权等项目系统认证的知识
09-01
- 可扩展性:网关可以统一处理鉴权,方便添加额外的安全策略,如速率限制、IP黑白名单等。 然而,也有需要注意的方面: - JWT的过期时间管理:过短可能导致频繁重新登录,过长则增加令牌被盗用的风险。 - 令牌大小...
open-api-project:基于反射实现,高效 java版开放接口统一网关鉴权demo项目
05-10
该项目旨在为Java开发者提供一个统一的、高效的接口网关鉴权示例,帮助他们理解和实践API权限管理。 【描述】中提到的"open-api-project"是整个项目的核心,它包含了对开放接口管理和鉴权的实现。"open-api-common...
基于Springcloud的基础框架,统一gateWay网关鉴权demo
04-04
在这个基于Springcloud的基础框架中,我们将讨论如何实现统一的GateWay网关鉴权。 首先,Spring Cloud Gateway 作为微服务架构中的入口,其主要职责是路由请求到相应的微服务,并且可以在此过程中添加一些预处理和...
用户培训手册-统一权限.docx
05-18
ISC_MS 是统一权限平台中的消息传递组件,负责在各个模块之间传输数据和事件通知,确保系统的实时通信和数据同步。它支持可靠的消息传递,能够处理高并发场景,保证消息的准确无误。 2.2 权限管理平台 (ISC_MP) ISC...
由浅入深掌握Shiro权限框架资料.zip
07-31
详细的资料(统一鉴权模块、shiro的创建机制、Shiro相关数据库脚本、shiro知识体系图谱)、每个知识点的源代码 学习目标: 1、权限系统的整体概念;2、shiro权限框架的核心组件;3、springboot下shiro的使用; 4、...
Sa-Token v1.36.0一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!
10-14
4. **微服务网关鉴权**:对于微服务架构,Sa-Token可以在网关层进行统一鉴权处理,减少每个服务内部的鉴权逻辑,降低复杂性。 5. **单点登录(SSO)**:Sa-Token支持单点登录功能,用户只需一次登录,即可在多个...
加载顺序
Amandazh的博客
03-26 311
问题起因: 在spring-security配置类里面,配置了一个权限验证服务,此服务通过security内部某种机制注入spring,配置时 @SpringBootApplication @ServletComponentScan//启动扫描servlet相关 public class App { public static void main( String[] args ) { SpringApplication.run(App.class, args);...
【实现微服务集成satoken在网关gateway处统一鉴权
weixin_45472167的博客
05-22 3108
使用sa-token实现gateway统一鉴权
SpringCloud Gateway + Jwt + Oauth2 实现网关的鉴权操作,真是绝了!
程序员闪充宝
08-13 6228
大家好,我是宝哥!一、背景随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到网关去做,如果微服务自己有额外的鉴权处理,可以在自己的微服务中处理。二、需求1、在网关层完成url层面的鉴权操作。所有的OPTION请求都放行。所有不存在请求,直接都拒绝访问。user-provider服务的findAllUse...
SpringBoot API 统一认证鉴权
06-10
SpringBoot API 统一认证鉴权可以通过以下步骤实现: 1. 配置 Spring Security:在 SpringBoot 中,可以通过 Spring Security 实现认证鉴权。在 pom.xml 文件中添加 Spring Security 依赖,然后在配置类中配置认证方式(例如基于表单认证、Token 认证等)和资源访问权限。 2. 编写认证接口:在认证接口中,用户提供用户名和密码等信息,该接口返回 Token 或者 SessionId 等认证信息。可以使用 Spring Security 提供的 AuthenticationManager 进行认证。 3. 编写鉴权拦截器:在鉴权拦截器中,对请求进行拦截和鉴权,判断用户是否有访问该资源的权限。可以使用 Spring Security 提供的 Filter 进行鉴权。 4. 使用 Token 进行认证:在进行 Token 认证时,用户在请求头中提供 Token,服务器验证 Token 的合法性。可以使用 Spring Security 提供的 Token 鉴权方式。 5. 使用 OAuth2 进行认证:OAuth2 是一种常见的认证方式,可以使用 Spring Security OAuth2 进行实现。 以上是 SpringBoot API 统一认证鉴权的基本步骤,可以根据实际情况进行调整和优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值