微服务网关实现用户访问权限识别拦截

最新推荐文章于 2023-04-10 11:17:58 发布
最新推荐文章于 2023-04-10 11:17:58 发布
阅读量1.3k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leon_Jinhai_Sun/article/details/106029783
版权

自定义全局过滤器

AuthorizeFilter代码如下:

package com.leon.filter;

import com.leon.util.JwtUtil;
import io.jsonwebtoken.Claims;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.HttpCookie;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

/**
 * 全局过滤器 :用于鉴权(获取令牌 解析 判断)
 *
 * @author www.leon.com
 * @version 1.0
 * @package com.leon.filter *
 * @since 1.0
 */
@Component
public class AuthorizeFilter implements GlobalFilter, Ordered {
    private static final String AUTHORIZE_TOKEN = "Authorization";
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {

        //1.获取请求对象
        ServerHttpRequest request = exchange.getRequest();
        //2.获取响应对象
        ServerHttpResponse response = exchange.getResponse();

        //3.判断 是否为登录的URL 如果是 放行
        if(request.getURI().getPath().startsWith("/api/user/login")){
            return chain.filter(exchange);
        }
        //4.判断 是否为登录的URL 如果不是      权限校验


        //4.1 从头header中获取令牌数据
        String token = request.getHeaders().getFirst(AUTHORIZE_TOKEN);

        if(StringUtils.isEmpty(token)){
            //4.2 从cookie中中获取令牌数据
            HttpCookie first = request.getCookies().getFirst(AUTHORIZE_TOKEN);
            if(first!=null){
                token=first.getValue();//就是令牌的数据
            }
        }

        if(StringUtils.isEmpty(token)){
            //4.3 从请求参数中获取令牌数据
            token= request.getQueryParams().getFirst(AUTHORIZE_TOKEN);
        }

        if(StringUtils.isEmpty(token)){
            //4.4. 如果没有数据 结束.
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        }


        //5 解析令牌数据 ( 判断解析是否正确,正确 就放行 ,否则 结束)

        try {
            Claims claims = JwtUtil.parseJWT(token);

        } catch (Exception e) {
            e.printStackTrace();
            //解析失败
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        }
        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        return 0;
    }
}

 

Leon_Jinhai_Sun
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
api网关 访问权限控制_Openresrt最佳案例 | 第9篇:Openresty实现网关权限控制
weixin_39611389的博客
02-01 2902
采用openresty 开发出的api网关有很多,比如比较流行的kong、orange等。这些API 网关通过提供插件的形式,提供了非常多的功能。这些组件化的功能往往能够满足大部分的需求,如果要想达到特定场景的需求,可能需要二次开发,比如RBAC权限系统。本小节通过整合前面的知识点,来构建一个RBAC权限认证系统。技术栈本小节采用了以下的技术栈:Openresty(lua+nginx)mysqlr...
微服务的登录校验(gateway过滤器or拦截实现
12-21
问题来源 在做找房微服务的时候,一般只有登录的用户能够预约房源操作,或者修改资料等密码操作,管理员也需要登录的情况下才能对房源进行管理上架、添加等操作。 假如我们没一个方法都分别对其权限鉴定,用户判断是否登录,那么一个团队的开发每一个成员涉及到需要鉴权或者判断用户是否登录的情况,都需要写一套相同的代码,或者调用相同的接口,可是这些实际上应该是与本次逻辑不相干的代码,开发小组的成员应该更专注于本次需要实现的逻辑与功能。 通过接口调用,或者写一套相同的鉴权、判断用户是否登录的方法,极大的干扰开发的进度,也及其不利于后续的迭代开发。例子:如果鉴权、登录判断逻辑或者接口方法发生改变,那么一套系统中很多
开源API网关APINTO:如何限制应用访问哪些API
kaixinglige的博客
03-22 201
举个例子,筛选流量选择应用A,生效范围API1、API2、API3,访问规则执行允许,发布上线后,网关只允许应用A请求API1、API2、API3三个接口,其他任何接口都不允许请求。官网描述了详细使用及介绍,Apinto的访问策略不仅仅支持IP黑白名单,也支持应用访问的黑白名单,应用与API间的黑白名单,应用与后端系统的黑白名单,十分灵活且强大。Apinto访问策略原理:配置筛选条件,用来筛选出符合条件的API请求,即筛选流量,按照配置访问规则执行允许访问或拒绝访问生效范围。
springboot+aop进行api接口权限拦截
baidu_37302589的博客
08-14 5058
对请求进行权限拦截可以使用三种方法:1、过滤器,2、拦截器,3.AOP 这里使用aop,主要是项目其他地方使用了拦截器,而新增的api接口是在拦截器放行,执行顺序依次是过滤器、拦截器、切面。 话不多说,上代码 1.首先增加对应的包,我这里使用的是gradle进行版本管理 // https://mvnrepository.com/artifact/org.springframework.b...
微服务架构中整合网关权限服务
weixin_34407348的博客
12-10 862
前言:之前的文章有讲过微服务权限系列和网关实现,都是孤立存在,本文将整合后端服务与网关权限系统。安全权限部分的实现还讲解了基于前置验证的方式实现,但是由于与业务联系比较紧密,没有具体的示例。业务权限与业务联系非常密切,本次的整合项目将会把这部分的操作权限校验实现基于具体的业务服务。 1. 前文回顾与整合设计 在认证鉴权与API权限控制在微服务架构中的设计与实现系列文章中,讲解了在微服务架构中A...
一个可快速落地的微服务网关架构实现
01-27
微服务应用建设,应当是先建设微服务基础设施,然后在这个基础上拆分应用,可见微服务基础设施建设是实施微服务的核心,而微服务网关就是其中最重要的微服务基础设施之一。传统网络层的网关主要作用是链接和协议转换...
微服务网关
01-27
随着微服务的兴起,基于其业务耦合性低、负载能力强、服务边界清晰等优点,大家纷纷使用微服务架构来实现新系统或进行老系统的改造。微服务在带来诸多好处的同时,也有一些问题需要解决,比如:如何做到有效拆分、...
微服务网关gateway集成security
07-13
当与Spring Cloud Gateway结合时,Security可以负责处理用户的登录、权限校验等安全问题,使得微服务架构中的安全策略得以统一。 集成Spring Cloud Gateway和Spring Security的过程主要包括以下几个步骤: 1. **...
使用拦截器控制用户访问权限
枫叶
12-29 2329
JavaEE权限管理系统的搭建-------使用拦截实现菜单URL的跳转权限验证和页面的三级菜单权限按钮显示 本小结讲解,点击菜单进行页面跳转,看下图,点击管理员列表后会被认证拦截器首先拦截,验证用户是否登录,如果登录就放行,紧接着会被权限验证拦截器再次拦截拦截的时候,会根据URL地址上找到对应的方法,然后查询方法上标注的自定义权限注解,紧接着根据当前登录用户查询出所有权限列表,然后进行验证,如果包含对应注解中的权限代码,就放行,否则提示或者跳转到404. /** * 进入管理用户列表页面
Spring Cloud下微服务权限方案
m516387177的博客
10-10 1947
背景 从传统的单体应用转型Spring Cloud的朋友都在问我,Spring Cloud下的微服务权限怎么管?怎么设计比较合理?从大层面讲叫服务权限,往小处拆分,分别为三块:用户认证、用户权限、服务校验。 用户认证 传统的单体应用可能习惯了session的存在,而到了Spring cloud的微服务化后,session虽然可以采取分布式会话来解决,但终究不是上上策。开始有人推行Spring...
微服务之间的拦截器令牌传递问题
LIva_的博客
05-17 453
微服务之间的认证(令牌传递) 在使用拦截器进行微服务之间的令牌传递时,我在获取当前线程所有的request属性数据时遇到了 attributes始终为空的情况,经过反复检查代码排查逻辑,仍找不到问题所在。 最终我在琢磨hystrix时发现:如果使用Feign并开启熔断,则默认会采取线程池隔离,而feign调用和请求的线程不属于同一个线程,无法获取请求的线程数据,最终会导致无法获取请求的线程数据,会造成空指针异常。 我们知道微服务微服务之间实现认证,只需要将用户传递的令牌Authorization传递给其他
微服务】之七:轻松搞定SpringCloud微服务-API权限控制
weixin_30595035的博客
12-24 771
权限控制,是一个系统当中必须的重要功能。张三只能访问输入张三的特定功能,李四不能访问属于赵六的特定菜单。这就要求对整个体系做一个完善的权限控制体系。该体系应该具备针区分用户权限、角色等各种必须的功能。 本系列教程 【微服务】轻松搞定SpringCloud微服务目录 【微服务】轻松搞定SpringCloud微服务目录-独立博客 本系列为连载文章,阅读本文之前强烈建议您先阅读前面几篇。 上一节...
如何给网关设计一款专属的权限控制(责任链设计模式)
Java笔记虾
10-15 641
写在前面:设计模式源于生活,而又高于生活!什么是责任链模式客户端发出一个请求,链上的对象都有机会来处理这一请求,而客户端不需要知道谁是具体的处理对象。这样就实现了请求者和接受者之间的解耦...
史上最全的微服务权限控制方案
m0_71777195的博客
12-31 2377
1、将shrio和网关gateway放在同一个服务中,但是这就带来一个问题,众所周知,shrio的数据中心realm需要用到用户服务当中的数据(查询用户、角色、权限之间的关系及数据),因此这里shrio就需要使用服务发现组件(我这里用的dubbo)去发现用户服务,但是用户服务中的登录又需要用到shrio的认证,到这里可能有人要说了,可以在用户服务中再去远程调用shrio服务啊,如果这种方法可以的话大家就可以用这种方法就不用往下看了…所以这就造成两个服务耦合在一块儿去了,这种方法直接pass掉。
SpringCloud Gateway网关为认证中心和用户微服务构建统一的认证授权入口
write less , do more
10-28 7513
本文主要内容是通过构建一个网关微服务,作为统一的认证授权和访问入口。
微服务架构-服务网关(Gateway)-权限认证(分布式session替代方案)
最新发布
姜皓的博客
04-10 2470
这一节我们就探讨一下Gateway在分布式环境中的一个具体用例-用户鉴权
微服务:gateway+security+nacos实现微服务的认证授权方案
LJWWD的博客
02-07 5306
用户通过客户端访问项目时,前端项目会部署在nginx上,加载静态文件时直接从nginx上返回即可。当用户在客户端操作时,需要调用后端的一些服务接口。这些接口会通过Gateway网关网关进行一定的处理(jwt合法性校验,黑名单、白名单,过滤一部分请求)之后再转发给具体的微服务。具体的资源服务会对请求进行解析,判断当前登录用户是否有权限调用该资源的接口。
微服务: feign 的请求拦截器 执行token拦截, 接口无需传递token
pingzhuyan的博客
11-21 1087
略, 逻辑略, 直接用, 就不过多解释, 之后整个feign总结时添加。
微服务中使用jwt进行登录并进行验证
YxinMiracle's Studio.
08-16 1242
文章目录1、使用JWT进行用户登录1.1 什么是JWT1.2 jwt的构成1.3 测试1.4 编写工具类 1、使用JWT进行用户登录 ​ 用于本项目使用的是多微服务架构,所以在用户进行登录的时候,微服务微服务之间是没有联系的,那么怎么才能在用户进行登录之后,让其他的微服务知道这个用户登录了呢,这里就可使用jwt。 ​ 我们之前已经搭建过了网关,使用网关网关系统中比较适合进行权限校验。 ​ 上图的执行过程: 用户访问顶订单系统/api/order 网关判断没有权限,返回让用户去登录 用户访问登录页面/
微服务网关用户认证详解
"第三章主要讲解了用户认证,特别是app端的认证流程,强调了网关用户认证中的重要角色,以及如何通过网关实现统一鉴权功能,如令牌校验。此外,章节还提到了对app用户审核代码的开发要求,并详细介绍了微服务网关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值