SpringCloud 配置安全验证、服务消费端处理、无状态 Session 配置、定义公共安全配置程序类

最新推荐文章于 2024-04-18 14:00:36 发布
最新推荐文章于 2024-04-18 14:00:36 发布
阅读量813 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leon_Jinhai_Sun/article/details/88299146
版权 
所有的 Rest 服务最终都是暴露在公网上的,也就是说如果你的 Rest 服务属于一些你自己公司的私人业务,

这样的结果会直接 导致你信息的泄漏,所以对于 Rest 访问,安全性是首要的因素。
2.1、配置安全验证

如果要想进行安全的验证处理,那么首先一定要先在服务的提供方上进行处理。

1、 【microcloud-provider-dept-8001】修改 pom.xml 配置文件,追加 SpringSecurity 相关依赖包

引入:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

如果你现在配置了安全框架,则在启动时会出现有如下的一个提示信息:

Using default security password: 75f5d975-0cfc-16e9-b9cc-68fbb0b56465
2、 【microcloud-provider-dept-8001】修改 application.yml 配置文件,进行安全的用户名配置:

security.basic.enabled=true
security.user.name=studyjava
security.user.password=hello
security.user.role=USER

随后在项目之中访问 Rest 服务接口:http://localhost:8001/dept/list,此时在访问的时候会直接

询问用户要求用户输入用户 名以及密码。

 这个时候有一种更简化的方法进行内容的输入:http:/studyjava:hello@localhost:8001/dept/list

[{"deptno":1,"dname":"开发部","loc":"study8001"},
{"deptno":2,"dname":"财务部","loc":"study8001"},
{"deptno":3,"dname":"市场部","loc":"study8001"},
{"deptno":4,"dname":"后勤部","loc":"study8001"},
{"deptno":5,"dname":"公关部","loc":"study8001"},
{"deptno":6,"dname":"测试部-1551928957533","loc":"study8001"}]
 2.2、服务消费端处理

 在实际的开发之中,对于 Rest 服务提供者是不可能被用户直接进行访问的,于是肯定需要有一个 Rest

 客户端(WEB 端、 SpringBoot)进行调用,可是现在 Rest 提供者的服务上有了认证信息,那么该如何

访问呢?

 public static final String DEPT_GET_URL 
= "http://studyjava:hello@localhost/dept/get/";

如果这个时候在 Rest 客户端上直接使用用户名和密码做加密处理,那么根本就无法进行访问,此时会出现
有 401 的错误代码, 因为认证出现了错误。之所以无法访问,是因为所有的认证的处理操作,应该以头信息
的模式来进行处理。而后要使用Base64进行加密处理后才可以得到一个正确的访问路径。
 1、 【microcloud-consumer-80】修改 RestConfig 配置类,在这个配置类上追加有新的 Bean 配置
项HttpHeaders 

package cn.study.microcloud.config;

import java.nio.charset.Charset;
import java.util.Base64;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpHeaders;
import org.springframework.web.client.RestTemplate;

@Configuration
public class RestConfig {
	
    @Bean
    public HttpHeaders getHeaders() { // 要进行一个Http头信息配置
        HttpHeaders headers = new HttpHeaders(); // 定义一个HTTP的头信息
        String auth = "studyjava:hello"; // 认证的原始信息
        byte[] encodedAuth = Base64.getEncoder()
                .encode(auth.getBytes(Charset.forName("US-ASCII"))); 
// 进行一个加密的处理
        // 在进行授权的头信息内容配置的时候加密的信息一定要与“Basic”之间有一个空格
        String authHeader = "Basic " + new String(encodedAuth);
        headers.set("Authorization", authHeader);
        return headers;
    }
	
    @Bean
    public RestTemplate getRestTemplate() {
        return new RestTemplate() ;
    }
}

 2、 【microcloud-consumer-80】修改 ConsumerDeptController 配置类,在进行 Rest 访问的时候设置

好这个头部的信息

package cn.study.microcloud.controller;

import java.util.List;

import javax.annotation.Resource;

import org.springframework.http.HttpEntity;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpMethod;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.client.RestTemplate;

import cn.study.vo.Dept;

@RestController
public class ConsumerDeptController {
    public static final String DEPT_GET_URL = "http://localhost:8001/dept/get/";
    public static final String DEPT_LIST_URL = "http://localhost:8001/dept/list/";
    public static final String DEPT_ADD_URL = "http://localhost:8001/dept/add?dname=";
    @Resource
    private RestTemplate restTemplate;
    @Resource
    private HttpHeaders headers;
    @RequestMapping(value = "/consumer/dept/get")
    public Object getDept(long id) {
        Dept dept = this.restTemplate
                .exchange(DEPT_GET_URL + id, HttpMethod.GET,
                        new HttpEntity<Object>(this.headers), Dept.class)
                .getBody();
        return dept;
    }
    @SuppressWarnings("unchecked")
    @RequestMapping(value = "/consumer/dept/list")
    public Object listDept() {
        List<Dept> allDepts = this.restTemplate
                .exchange(DEPT_LIST_URL, HttpMethod.GET,
                        new HttpEntity<Object>(this.headers), List.class)
                .getBody();
        return allDepts;
    }
    @RequestMapping(value = "/consumer/dept/add")
    public Object addDept(Dept dept) throws Exception {
        Boolean flag = this.restTemplate.exchange(DEPT_ADD_URL, HttpMethod.POST,
                new HttpEntity<Object>(dept, this.headers), Boolean.class)
                .getBody();
        return flag;
    }
}
3、无状态 Session 配置

 通过之前一系列的演示可以发现整个 Rest 项目中的一个问题所在,所有的 Rest 都是基于 HTTP 协议的
一种应用,而在这种应 用上,所有的 WEB 容器一般都会提供有一个 Session 的机制,也就是说每一个用户
访问之后如果该用户一直连接,则认为该用户 应该一直被服务器保存状态,但是微服务有可能同时并发访问
几十万人,那么如果所有的 Session 状态都被维护着就会出现内存泄漏

 1、 【microcloud-provider-dept-8001】现在修改 Rest 程序类,追加一个取得 session id 的方法:

package cn.study.microcloud.rest;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;

import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;

import cn.study.microcloud.service.IDeptService;
import cn.study.vo.Dept;

@RestController
public class DeptRest {	
	@Resource
	private IDeptService deptService ;
	
    @RequestMapping("/dept/sessionId")
    public Object id(HttpServletRequest request) {
        return request.getSession().getId() ;
    }	
    
    @RequestMapping(value="/dept/get/{id}",method=RequestMethod.GET)
    public Object get(@PathVariable("id") long id) {
        return this.deptService.get(id) ;
    }
    @RequestMapping(value="/dept/add",method=RequestMethod.GET)
    public Object add(@RequestBody Dept dept) {
        return this.deptService.add(dept) ;
    }
    @RequestMapping(value="/dept/list",method=RequestMethod.GET)
    public Object list() {
        return this.deptService.list() ;
    }
}

随后进行提供者的 Rest 连接访问:
http://studyjava:hello@localhost:8001/dept/sessionId
会发现每访问一次就会出现不同的session id

node02ax7wat4gc981qmfgx47ldoez0

node0ni0bvx01totn1tfxrdl572no01


 2、 在有一些的 SpringCloud 的配置之中,默认是会保存有 Session 状态的,而后如果用户有需要则可以

根据“SessionCreationPolicy” 枚举类进行不同的 session 状态设置,但是从整体的操作来说,session 

最好设置为无状态。

application.properties

security.sessions=always

· 以下为无状态的 Session 设置(服务器不保存 Session 状态,每一次连接都是一个新的用户):

application.properties

security.sessions=stateless

 不管你以后的项目或者支持类中是否有设置无状态的问题,你最好都进行一下设置,否则你的 Rest 服务将

受到严重的内存困 扰,最严重的问题就是内存溢出。
 4、定义公共安全配置程序类

 在进行 Rest 服务开发的时候,为了保证安全所有的程序里面都需要进行 Spring-Security 安全认证处理,
可是之前所进行的认 证处理都是在 application.yml 配置文件完成的,这样的配置明显是非常不合乎逻辑
的,因为如果此时你要开发的微服务很多,并且 这些微服务都要求使用统一的用户名和密码的时候就非常
不方便了。所以现在最简单的做法是进行统一的设置。

 1、 创建一个 microcloud-security 的 Maven 模块;

 2、 【microcloud-security】修改 pom.xml 配置文件添加spring-boot-starter-security:

<project xmlns=
"http://maven.apache.org/POM/4.0.0" 
xmlns:xsi=
"http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation=
"http://maven.apache.org/POM/4.0.0 
http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>microcloud-security</groupId>
  <artifactId>microcloud-security</artifactId>
  <version>0.0.1-SNAPSHOT</version>
  
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>1.5.12.RELEASE</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	
	<properties>
		<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
		<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
		<java.version>1.8</java.version>
		<thymeleaf.version>3.0.9.RELEASE</thymeleaf.version>
		<thymeleaf-layout-dialect.version>2.3.0</thymeleaf-layout-dialect.version>
		<!-- 布局功能的支持程序 thymeleaf3主程序 layout2以上版本 -->
		<!-- thymeleaf2 layout1 -->
		<thymeleaf-layout-dialect.version>2.2.2</thymeleaf-layout-dialect.version>
	</properties>	
	
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>springloaded</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
        </dependency>
    </dependencies>
  
</project>
 3、 【microcloud-security】建立一个统一的安全配置类:

package cn.study.microcloud.config;

import javax.annotation.Resource;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.
AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.
WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Resource
    public void configGlobal(AuthenticationManagerBuilder auth)
            throws Exception {
        auth.inMemoryAuthentication().withUser("studyjava").password("hello")
                .roles("USER").and().withUser("admin").password("hello")
                .roles("USER", "ADMIN");
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 表示所有的访问都必须进行认证处理后才可以正常进行
        http.httpBasic().and().authorizeRequests().anyRequest()
                .fullyAuthenticated();
        // 所有的Rest服务一定要设置为无状态,以提升操作性能
        http.sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
}
 4、 【microcloud-provider-dept-8001】修改 pom.xml 配置文件,引入安全配置模块:

        <dependency>
            <groupId>cn.study</groupId>
            <artifactId>microcloud-security</artifactId>
            <version>0.0.1-SNAPSHOT</version>
        </dependency>
 5、 【microcloud-provider-dept-8001】删除掉 application.properties 中与安全有关的配置项

(以下内容删除);

security.basic.enabled=true
security.user.name=studyjava
security.user.password=hello
security.user.role=USER

security.sessions=stateless

 由于现在所写的安全处理类是在程序启动类的子包之中,应该可以自动扫描到。
 6、 访问地址:

http://studyjava:hello@localhost:8001/dept/sessionId

node0nqwfqd6r0uex16g8xyig67nu11

node01brkfm3euw64r720arye6pvbx2

 

Leon_Jinhai_Sun
关注
Spring cloud 安全部署与性能优化
07-16 1068
关于 nofile 即打开文件数,这个跟socket有非常紧密的关系,在linux系统中任何设备都被看做是一个文件(字符设备),你连接一个鼠标,键盘,摄像头,硬盘等等都被看作打开一个设备文件,所以默认1024是远远不够的。这样做的确非常方便,这样做是偷懒,会带来很多问题,如果你的服务器被攻击,由于你的设置,系统将耗光你的资源,直到没有任何响应为止,你可能键盘输入都成问题,你不得不重启服务器,但你会发现重启只能维持短暂几分钟,又会陷入无响应状态。但是你是否想过你的电脑一旦丢失或者被其他人进入,那有多么危险。
分布式微服务技术搭配方案(Spring Cloud + SpringCloud Alibaba组件配置及使用)
Fong灵
08-27 2138
分布式微服务技术搭配方案(Spring Cloud + SpringCloud Alibaba组件配置及使用)
状态认证 JWT+RSA鉴权
weixin_45262834的博客
03-17 1055
JWT+RSA鉴权使用场景一, 有状态认证及无状态认证的区别有状态认证:无状态认证:二、JWT什么是jwt?JWT格式的三部分数据:三、RSA加密算法(1)JWT+HS256算法:jwt + RSA非对称加密登录和鉴权流程:总结: 使用场景 当我们将网站部署在多台服务器时 ,使用传统的登录认证(有状态认证),当我们在A服务器 记录登录信息,但访问另一台服务器时,反而需要重新授权,引出了cookie的共享的问题。 一, 有状态认证及无状态认证的区别 有状态认证: 有状态认证,服务需要记录每次会话的客户
SpringBoot整合SpringSecurity遇到的SESSION验证问题
qq_33388068的博客
12-02 4412
SpringBoot整合SpringSecurity遇到的SESSION不一致问题。后采用springboot+spring security前还是jsp,所以还是session验证的方式登录。但是整合好后测试发现问题,每次登录跳转到首页之后刷新页面又重定向到了login页面
如何使用Spring Security控制会话
allway2的博客
11-18 3751
并发会话控制功能用于维护活动会话列表以及关联的经过身份验证的用户的信息。我们在本文前面配置了 Spring 安全性使用此事件发布来发布会话生命周期中的事件,并且相应地更新了 SessionRegistry。每次登录的客户尝试访问应用程序安全部分时,都会检查用户的活动会话。以下是安全性中可用的选项,可以帮助我们配置和控制会话创建。会话超时后,如果他们提交具有无效会话 ID 的请求,我们可以将使用重定向到特定页面。在本文中,我们讨论了 Spring 安全会话管理以及如何使用 Spring 安全性控制会话。
SpringSecurity------Session Management(十二)
豢龙先生
06-21 2490
有时,总是创建会话是很有价值的,我们可以通过配置ForceEagerSessionCreationFilter来完成: 二、Detecting Timeouts 可以配置Spring Security来检测无效会话ID的提交,并将用户重定向到适当的URL,这是通过会话管理(session-management)实现的: 使用上面的配置来检测会话超时,如果用户在登出之后没有关闭浏览器的情况下重新登录,可能会报告一个错误。这是因为执行了登出,会话失效时存储在浏览器的Cookie不会被清除,而且会随着后续请求重新
Spring Cloud中如何保证各个微服务之间调用的安全
justlpf的专栏
12-04 2162
原文地址:https://blog.csdn.net/u010889990/article/details/78694140
SpringCloud(第 034 篇)配置服务ConfigServer设置安全认证
YLIMH_HMILY的专栏
10-18 1337
SpringCloud(第 034 篇)配置服务ConfigServer设置安全认证-一、大致介绍1、前面提到的加密内容,虽然说对内容进行了加密,但是为了更安全安全隔离,服务服务之间也需要设置简单的安全认证; 2、那么在本章节我们讲解下如何配置服务之间的简单认证,Springcloud 的强大之处在于对认证这块仅仅配置一下即可;
学习springCloud(二)之SpringSecurity安全验证配置
令走天下的博客
10-03 2077
服务提供方配置安全验证 前面的文章只是简单搭建了服务之间的调用,学习springCloud(一)之项目的搭建 使用了RestTemplate进行远程接口调用,但要注意,这些Rest服务最终都可能暴露在公网的,任何人都可能调用,如果你的Rest服务属于一些私密信息,这样会导致信息的泄露。 如果想进行安全方面的处理,首先要在服务的提供方上进行处理。 【springcloud-provider-prod...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
2. **配置Spring Security**:我们需要在Spring Cloud Gateway项目中引入Spring Security依赖,并配置相关的安全配置。这包括定义认证和授权的规则,例如基于JWT(JSON Web Tokens)的认证,或者基于OAuth2的授权...
SpringCloud_Gateway服务网关
weixin_49076273的博客
05-04 3526
在gateway9527服务的com.zzx.config包下,创建日志网关过滤器LogGatewayFilterFactory/*** 日志网关过滤器} /*** 表示配置填写顺序* @return} /*** 执行过滤的逻辑* @returnlog . info("********* consoleLog日志 开启 ********");});} /*** 过滤器使用的配置内容} }/*** 日志网关过滤器} /**
springcloud
12-22
在IT行业中,Spring Cloud是一个广泛使用的微服务框架,它提供了构建分布式系统所需的工具和服务发现、配置中心、断路器、智能路由、微代理等。在这个整合了MyBatis和Redis的微服务架构中,我们将探讨如何利用Spring...
SpringCloud-无状态Session配置方法一
wendy专栏
12-04 5526
1、需求 rest客户访问rest服务默认状态配置策略是:无状态的; 假如默认配置策略不是无状态配置,则需要配置为无状态; 若不配置状态,则rest服务会爆掉,堆积海量的sessionId;   2、Session状态策略:org.springframework.security.config.http.SessionCreationPolicy public enum S...
SpringSecurity详解
HackerZhou的博客
07-04 6611
SpringSecurity详解
spring security如何添加无需鉴权的接口?
热门推荐
开发者导航
05-12 1万+
1、在项目中找到spring security的配置文件2、修改配置文件找到configure()方法,添加不需要鉴权的接口请求:.antMatchers("/demo/**").anonymous()packagecom.ryi.rpcs.framework.config; importcom.ryi.rpcs.framework.security.filt...
SpringSecurity源码4-安全上下文
最新发布
moernagedian的博客
04-18 428
javax.servlet.Filter这与 似SecurityContextPersistenceFilter,只是必须显式调用 来SecurityContextRepository.saveContext(SecurityContext, HttpServletRequest, HttpServletResponse)保存 SecurityContext.这提高了效率,并通过允许不同的身份验证机制单独选择是否应保留身份验证来提供更好的灵活性。SecurityContext的持有器。
10-SpringSecurity:JWT及无状态服务
qq_44005305的博客
01-07 341
关于JWT的介绍,网上资源有很多,简单来说,JWT由三部分构成:Header、Payload、Signature,三者之间以点号. 分隔,前面两部分使用Base64编码(关于Base64编码的更多信息。
SpringCloud-Config Server安全配置
shenzhen_zsw的专栏
07-13 271
目录 远程配置 配置服务-创建工程microservice-config-server-authc pom.xml application.yml ConfigServerApplication 配置客户-创建工程microservice-config-client-authc pom.xml bootstrap.yml application.yml ConfigClie...
SpringCloud学习之路(一) 开启Security安全验证后,注册服务报错
qq_43248658的博客
04-01 527
最近在学习如何搭建SpringCloud(毕竟目前看来是未来的主流趋势)碰到了如下问题,以此记录 1.在搭建好eureka注册中心以后,在其他子模块注册服务时抛出如下异常 com.netflix.discovery.shared.transport.TransportException: Cannot execute request on any known server at com.netf...
spring cloud feign方式使用服务
04-24
【Spring Cloud Feign服务使用详解】 在分布式系统中,服务间的通信是至关重要的,Spring Cloud Feign就是一种声明式的服务调用工具,它使得服务之间的调用变得简单且直观。Feign是Netflix开源的一个接口绑定工具,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值