sping cloud gateway集成spring security实现前后端分离模式下的后端微服务认证授权

最新推荐文章于 2025-04-15 17:27:57 发布
最新推荐文章于 2025-04-15 17:27:57 发布
阅读量4.8w 收藏 140
点赞数 24
分类专栏: spring cloud security 文章标签: spring cloud spring security gateway
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MongolianWolf/article/details/94329980
版权

文章目录

引言

  由于目前网上大部分spring security的集成都是基于传统的spring servlet机制,而spring cloud gateway 采用webflux作为底层web技术支持,不支持servlet,笔者在集成的过程中走了很多弯路,所以特地写一篇spring cloud gateway和security的集成实践博客,如有错误,欢迎指正。

Spring Security

  spring security 为spring提供了一套web安全性的完整框架,主要包含用户认证和用户授权。在用户认证方面,Spring Security 支持主流的验证方式,包括HttpBasic、Http表单认证、Http摘要认证、OpenId(如Oauth)和LDAP。本文实现的功能是gateway网关集成security,前端利用form表单进行登陆认证后返回基于一个用户名和密码的加密串,后续前端调用其他接口需利用httpbasic携带加密串的方式进行认证和授权。

技术环境

  • jdk 1.8
  • spring-boot 2.1.4.RELEASE
  • spring-cloud Greenwich.RELEASE

集成步骤

(1)创建spring boot工程,引入cloud gateway 和security 的jar包依赖,核心依赖包如图:
在这里插入图片描述
注意:cloud gateway 不能和spring-web混合使用,cloud gateway采用的webflux技术,不能再引入spring-web包。

(2)编写securtiy的核心认证授权配置
  如下,创建security的核心安全配置类SecurityConfig并自定义SecurityWebFilterChain,在webflux环境下要生效必须用注解@EnableWebFluxSecurity使其生效:

@EnableWebFluxSecurity
public class SecurityConfig {


    //security的鉴权排除的url列表
    private static final String[] excludedAuthPages = {
            "/auth/login",
            "/auth/logout",
            "/health",
            "/api/socket/**"
    };

    @Bean
    SecurityWebFilterChain webFluxSecurityFilterChain(ServerHttpSecurity http) throws Exception {
        http
                .authorizeExchange()
                .pathMatchers(excludedAuthPages).permitAll()  //无需进行权限过滤的请求路径
                .pathMatchers(HttpMethod.OPTIONS).permitAll() //option 请求默认放行
                .anyExchange().authenticated()
                .and()
                .httpBasic()
                .and()
                .formLogin() //启动页面表单登陆,spring security 内置了一个登陆页面/login
                .and().csrf().disable()//必须支持跨域
                .logout().disable();

        return http.build();
    }
}

  配置文件中添加以下security的用户名和密码,访问受权限保护的页面即会进入security的登陆认证页面,只有输入配置的用户名和密码后才能继续访问其他页面。

#security 配置
spring.security.user.name=admin
spring.security.user.password=123456

  配置后,启动spring boot 程序,输入需授权的url,则会弹出以下页面,用户名密码输入登陆成功后即可正常访问其他受保护页面
在这里插入图片描述
注:此功能为spri

最低0.47元/天 解锁文章
Spring-GatewaySpring-Security前后端分离项目中的实践
m0_71777195的博客
10-29 685
网上貌似webflux这一套的SpringSecurity操作资料貌似很少。自己研究了一波,记录下来做一点备忘,如果能帮到也在迷惑的人一点点,就更好了。新项目是前后端分离的项目,前台vue,后端SpringCloud2.0,采用oauth2.0机制来获得用户,权限框架用的gateway。上面就我实际项目中的一些点滴记录,Spring-Security虽是一个博大精深的框架,细研究代码,其实也能大致明白整体的思路,虽然webflux让这一层代码更加了一层迷雾,但是只要努力钻研,总会有茅塞顿开的时候。
Spring securitySpring cloud gateway 跨域配置(解决Spring cloud gateway跨域配置不生效的问题)
szw-yunie的博客
04-09 3978
Spring securitySpring cloud gateway 跨域配置(解决Spring cloud gateway跨域配置不生效的问题)
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway微服务框架,整合了SpringSecurity微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
SpringBoot3集成Spring Authorization Server和Spring Cloud Gateway实现网关统一认证
liu320yj的博客
09-01 2313
微服务开发过程中,通常都会使用Spring Cloud Gateway构建统一的API网关,在访问微服务之前都会先校验访问者是否有权限访问资源,实现方式有很多,这里主要介绍Spring Cloud Gateway集成OAuth2.1如何实现网关统一认证
基于Reactive的Spring SecuritySpring Webflux)
最新发布
m0_73837751的博客
04-15 776
因为 Spring Cloud Gateway 基于 WebFlux/reactor-netty 实现,是一个典型的非阻塞、响应式的网关。:Servlet 容器下(Tomcat、Jetty等)的 Spring Boot Web 项目,或者传统的 Spring MVC 应用。(Reactive 模型,如 Spring Cloud Gateway 项目),就用 ServerHttpSecurity。配置中的一个重要部分,它允许你自定义当安全相关异常发生时(如认证失败、访问被拒绝等)的处理方式。
Spring Cloud Gateway 整合Spring Security
杜海的博客
03-08 2897
Security中用户信息需存放在 UserDetails 中,UserDetails 是一个接口,可以使用Security已经实现的 org.springframework.security.core.userdetails.User,也可以实现 UserDetails 接口自定义用户信息类。/***/@Data/*** token*//***//***//***//*** location*//***//***//*** 用户名。
SpringCloud Gateway + Spring Security
zhexiao
04-15 8521
父模块 pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache
SpringCloud Gateway整合Spring Security实现用户权限管理
热门推荐
Java技术大联盟
07-14 3万+
一、SpringCloud Gateway实现基本的服务转发、跨域处理等功能(默认实现了负载均衡) 一、网关基本概念 1、API网关介绍   API 网关出现的原因是微服务架构的出现,不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题: (1)客户端会多次请求不同的微服务,增加了客户端的复杂性。 (2)存在跨域请求,在一定场景下处理相对复杂。 (3)认证复杂,每个服务都需要独立认证。 (4)难以重构,随着项目的迭代
SpringCloud+Gateway+Security 搭建微服务统一认证授权(附源码)
Java知音
05-26 2117
点击关注公众号,实用技术文章及时了解1 概述SpringCloud Gateway Security oauth2.0 搭建微服务统一认证授权。项目概述:common:公用代码,实体、工具类等等…gateway:网关uaa:用户登录认证服务school:微服务环境概述:SpringBoot 版本:2.3.1.RELEASESpringCloud版本:Hoxton.SR6S...
SpringCloud(八):API网关整合OAuth2认证授权服务
03-27
SpringCloud(八):API网关整合OAuth2认证授权服务。
Springboot + Spring Security+Swagger 实现前后端分离登录认证及权限控制 (一) 系统的登录以及跳转自定义登录界面
隔壁张同学
11-09 2550
文章目录前言一、解决办法二、使用步骤1.先把项目跑起来断点打起来走下流程试试2.自定义登录总结 前言 因为最近有个项目需要用到Springboot + Spring Security的登录跟权限认证,因为之前都没接触过,所以得从0开始,也是不断的查询摸索,虽然还么理清这些原理,但是好在实现了功能,先解决问题,然后再深究原理,所以打算记录下来实现这块遇到的一些问题,给自己记录也给有需要的朋友 提示:以下是本篇文章正文内容,下面案例可供参考 一、解决办法 那肯定是先百度搜索一下,于是搜到一篇大佬的文章确实
网关gatewayspringsecurity的整合
wang01_01的博客
05-07 5667
我们一般在微服务的开发中,除了网关之外还有一个认证服务。他们两个都需要整合springsecurity。为啥要这么干:因为springsecurity就是能干好多事,认证(就是账号密码)和授权(就是你能干啥)。然后网关和认证服务就是分别干这两个事的 ,所以相当于拆分了一下springsecurity的功能分别完成一件事。网关统一授权:业务服务中每个微服务都需要区分不同的人干不同的事,所以就是放到网关这里进行统一授权
Springcloud Gateway 整合 Spring Security 配置与踩坑
大雪冬至的博客
06-27 9228
Springcloud Gateway 整合 Spring Security 配置与踩坑 1. pom配置 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.
gateway 整合 spring security oauth2
小趴菜不能喝的博客
10-23 1819
在分布式授权系统中,授权服务要独立成一个模块做统一授权,无论客户端是浏览器,app或者第三方,都会在授权服务中获取权限,并通过网关访问资源。
SpringCloud Gateway整合Spring Security Webflux的关键点(痛点解析),及示例项目
tiancao222的博客
02-18 1万+
最近公司项目需要用到后端认证授权,且公司项目目前是基于SpringCloud Gateway的,所以想到都是一家的产品就决定使用Spring Security了。 但是在整合过程中,经历了种种磨难,所以把最终的整合关键点列出来,让需要的读者不用再碰的头破血流了。。。 网上也有基于SpringCloudSpring Security整合的方案,关键在于我们公司的项目使用的是Gateway,...
基于路径简单整合SpringSecurity+Gateway
weixin_68011243的博客
05-10 2259
SpringSecurity是一个功能强大且高度可定制的认证和访问控制框架,提供了一系列高可配置的安全功能,但是我在整合Gateway时却发现力不从心,因为Gateway的内核是基于WebFlux的API网关,所以无法简单的将GatewaySpringsecurity整合在一个模块之中,遂分享解决办法。实际使用下来SpringSecurity基本被架空,仅做学习参考,初学者,如有错误请一定要指出。
springcloud集成Spring Security
youxmm的博客
07-21 3819
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则和访问控制。通常用于测试或者开发环境中,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储和验证。存在严重的安全风险,因为密码可以很容易地被窃取和滥用。建议不要在生产环境中使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存中//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。
评论 22
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值