权限认证方案-第三方鉴权+token续期

已于 2022-02-16 10:57:31 修改
阅读量2.3k 收藏 9
点赞数 1
分类专栏: 鉴权 文章标签: 安全 java shiro oauth2
于 2021-06-25 14:28:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr1ght/article/details/118220205
版权

一.背景

公司之前的鉴权都是自研的,并未引入shiro或者spring security oauth2等成熟的开源框架。主项目使用的鉴权方式是利用session来鉴权,这样的好处是,在requestHeader中,用户不能直接获取到token或者相关信息,但是对于权限续期和采用分布式或微服务方案后的鉴权一直都处理不好,于是需要对权限模块进行重做。

二. 选型

目前市面上最流行的两个开源鉴权框架,shirospring security oauth2我都有使用过,不过两者都有各自不好的地方。

spring security oauth2

  • 细粒度鉴权方面没有shiro好,其粒度到role,不能到permission,如果要做的更好需要扩展
  • 验证码登录、微信小程序登录等实现起来较为麻烦,具体方案可参见另外一篇文章: spring security Oauth2验证码等多方式登录
  • 需要单独部署一个server服务,相对而言更浪费服务器资源
  • 配置很反锁,重量级

shiro:

  • 第三方鉴权需要自己去实现
  • 对oauth2协议不支持,有些功能需要自己实现
  • 不支持token的刷新机制

由于以上原因,决定基于两者实现一个简单易用的鉴权流程满足需求。

二.方案

1.请求拦截

通过Interceptor拦截器来拦截所有请求,拦截器配置如下

/**
 *mvc配置
 * @program: Mr1ght
 */
@Slf4j
@Configuration
public class MvcConfiguration {

    @Bean
    public WebMvcConfigurer webMvcConfigurer(RedisOptUtils redisOptUtils, RedisUtils<Object> redisUtils) {
        return new WebMvcConfigurer() {

            @Override
            public void addInterceptors(InterceptorRegistry registry) {
                // jwt拦截器
                registry
                        .addInterceptor(new JwtSignInterceptor())
                        .addPathPatterns("/**")
                        .excludePathPatterns("/swagger-resources/**", "/webjars/**", "/v2/**", "/doc.html", "/error"
                                , "/static/**"  //静态资源
                        )
                ;
            }

            @Override
            public void addResourceHandlers(ResourceHandlerRegistry registry) {
                registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");
            }
        };
    }
}

2.鉴权

2.1 token续期

取消掉token本身的过期时间,而采用rediskey过期策略来替代。将token存入redis时,设置tokenredis中的过期时间,用户每次访问接口,被拦截器拦截到后,都重置rediskey过期时长,这样就保证了用户在经常访问的时候,能够永不退出,一直保持登录状态。也能保证用户在很久不登录之后,让用户重新登录以保证用户的账号安全

2.2 无需登录接口

因为部分接口是不需要登录的,因此定义了注解FreePassage,将此注解写到类上,则这个类下的所有接口都不会进行权限校验,如果将此注解写到接口上,则对应接口无需权限即可访问

import java.lang.annotation.*;

/**
 * 免登录
 */
@Target(value = {ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface FreePassage {
}

2.3 用户密码修改toke失效

缓存用户信息的时候缓存用户密码,利用用户密码作为token的秘钥进行加密解密,这样保证用户修改密码后,能让其他token失效。同时也能保证用户的token的加解密秘钥有一定保密性,保障用户的账户安全。

JwtUtil部分代码

    /**
     * 校验token是否正确
     *
     * @param token     密钥
     * @param userId    用户id
     * @param secret    用户的密码
     * @return token校验是否通过
     */
    public static boolean verify(String token, String userId, String secret) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(secret);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withClaim("userId", userId)
                    .build();
            verifier.verify(token);
            return true;
        } catch (Exception e) {
            log.warn(String.format("token校验失败,token:%s,userId:%s,secret:%S",token,userId,secret),e);
            //throw new com.auth0.jwt.exceptions.TokenExpiredException("token过期");
            return false;
        }

    }

	    /**
     * 生成token
     *
     * @param userId 用户id
     * @param secret 用户的密码
     * @return 加密的token
     */
    public static String sign(String userId, String secret) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(secret);
            // 附带username信息
            return JWT.create()
                    .withClaim("userId", userId)
                    .sign(algorithm);
        } catch (UnsupportedEncodingException e) {
            log.warn(String.format("生成token异常,userId:%s,secret:%S",userId,secret),e);
            return null;
        }
    }

以下是拦截器鉴权的核心代码。

/**
 * jwt签名拦截器
 * @author: Mr1ght
 */
@Slf4j
public class JwtSignInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        //1.是否免登录
        if (!(handler instanceof HandlerMethod) || this.checkFreePassage((HandlerMethod) handler)) {
            return true;
        }

        //从redis中获取用户信息(此处redisOptUtils的代码就不贴出来了)
        String token = request.getHeader(TokenConstant.TOKEN_HEADER);
        SystemUserInfo userInfo = redisOptUtils.getUserFromRedisById(userId);
        String password = userInfo.getPassword();
        String userId = userInfo.getUserId();
        // jwt校验
        boolean verify = JwtUtil.verify(token,userId,password);
		if(!verify){
            log.warn("token校验不通过,token:{}", token);
            throw new BusinessException(PermissionCodeEnum.INVALID_ID);
        }
        
        //确认token是否已经过期;检查token在redis中是否存在
        String cacheToken = redisOptUtils.getToken(token);
        if (StringUtils.isBlank(cacheToken)) {
            log.warn("token在redis中不存在,检查是否过期,token:{}", token);
            throw new BusinessException(PermissionCodeEnum.TOKEN_OVERDUE);
        }

        //token续期(此处redisUtils和sessionConf的代码就不贴出来了)
        String redisKey = redisOptUtils.getTokenKey(token);
        redisUtils.expire(redisKey, sessionConf.getRefreshExpiration(), TimeUnit.DAYS);
        return true;
    }

   /**
    *校验是否免登录
    */
    private boolean checkFreePassage(HandlerMethod hm) {
        Class<?> beanType = hm.getBeanType();
        FreePassage freePassage = beanType.getAnnotation(FreePassage.class);
        if (freePassage != null) {
            return true;
        }
        Method method = hm.getMethod();
        freePassage = method.getAnnotation(FreePassage.class);
        return freePassage != null;
    }
}

4.细粒度鉴权

细粒度鉴权的方案借鉴shiro的细粒度权限校验方式,采用shiro的权限表:user、role、user_role、menu、menu_role等表,表的详细字段和介绍请参考shiro

/**
 * 自定义注解,实现权限拦截
 *
 * @author Mr1ght
 */
@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Inherited
@Documented
public @interface RequiresPermissions {
    PermissionEnum[] value();

    AuthConditionEnum condition() default AuthConditionEnum.ANY;
}

/**
 * 细粒度权限校验
 *
 * @author Mr1ght
 */
@Aspect
@Component
public class AuthAspect {

    /**
     * 权限校验
     *
     * @param point 切点
     * @return Object
     * @throws Throwable 没有权限的异常
     */
    @Around("@annotation(requiresPermissions)")
    public Object preAuth(ProceedingJoinPoint point, RequiresPermissions requiresPermissions)  {
        if (!hasPermission(point, requiresPermissions)) {
            throw new BusinessException(PermissionCodeEnum.NO_PERMISSION);
        }
        return point.proceed();
    }


    /**
     * 校验用户是否有权限
     *
     * @param point
     * @param requiresPermissions
     * @return
     */
    private Boolean hasPermission(ProceedingJoinPoint point, RequiresPermissions requiresPermissions) {
        // 权限检查
        if (requiresPermissions == null) {
            return true;
        }

        // 接口要求权限
        PermissionEnum[] requirePermissions = requiresPermissions.value();
        AuthConditionEnum condition = requiresPermissions.condition();
        if (requirePermissions.length == 0) {
            return true;
        }

        HttpServletRequest request = WebUtil.getRequest();
        assert request != null;
        String token = request.getHeader(TokenConstant.TOKEN_HEADER);
        String userId = JwtUtil.getId(token);

        //查询用户权限
        String redisKey = redisUtils.genKey(RedisConstant.USERINFO_REDIS_PREFIX, userId);
        SystemUserInfo userInfo = (SystemUserInfo) redisUtils.get(redisKey);
        Set<String> permissions = userInfo.getPermissions();

        if (CollectionUtils.isEmpty(permissions)) {
            throw new BusinessException(PermissionCodeEnum.NO_PERMISSION);
        }

        // 判断有无权限
        switch (condition) {
            case ANY:
                return this.checkAnyAuth(permissions,requirePermissions);
            case AND:
                for (PermissionEnum permission : requirePermissions) {
                    if (!permissions.contains(permission.getCode())) {
                        throw new BusinessException(PermissionCodeEnum.NO_PERMISSION);
                    }
                }

                return true;
            default:
                return this.checkAnyAuth(permissions, requirePermissions);
        }
    }


    private boolean checkAnyAuth(Set<String> permissions, PermissionEnum[] requirePermissions){
        for (PermissionEnum permission : requirePermissions) {
            if (permissions.contains(permission.getCode())) {
                return true;
            }
        }
        throw new BusinessException(PermissionCodeEnum.NO_PERMISSION);
    }

}

5.第三方鉴权

第三方鉴权也是使用HandlerInterceptor拦截器,对指定url进行拦截,url的参数加解密类似于调用阿里或微信的支付接口时的加密方式,给对应第三方颁发appId、和appSecret,第三方通过拼接参数后利用指定加密算法进行加密访问

/**
 * 第三方鉴权
 */
@Slf4j
@Component
public class ThirdPartInterceptor implements HandlerInterceptor {


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {

        String appId = request.getParameter("appId");
        if(StringUtils.isBlank(appId)){
            throw new BusinessException(PermissionCodeEnum.NO_ACCESS_CONFIGURATION_FOUND);
        }

        SysAccessConfigPo sysAccessConfig = redisOptUtils.getSysAccessConfigByAppId(appId);
        if (sysAccessConfig == null) {
            throw new BusinessException(PermissionCodeEnum.NO_ACCESS_CONFIGURATION_FOUND);
        }

        String timestamp = request.getHeader("timestamp");
        String sign = request.getHeader("sign");

        if(StringUtils.isBlank(timestamp)){
            throw new BusinessException(PermissionCodeEnum.WRONG_ACCESS_CONF);
        }
        if(StringUtils.isBlank(sign)){
            throw new BusinessException(PermissionCodeEnum.EXCEPTION_ID);
        }

        //校验签名
        String queryString = URLDecoder.decode(request.getQueryString(), "utf-8");
        SignUtil.verifySign(queryString, Long.parseLong(timestamp), sysAccessConfig.getAppKey(), sign);

        return true;
    }
}

三.总结

这个鉴权方案是在使用spring security oauth2shiro之后,总结了两者的优缺点,做的一个精简版,基本满足了公司目前的鉴权需求。

开放平台中的的实现
HEL_WOR的博客
06-14 2万+
转载请注明:http://blog.csdn.net/HEL_WOR/article/details/51660979 在描述和流控之前,可能需要先描述为什么需要搭建开放平台。 开放平台最先由FB推出,而后在2012年左右,国内比较大型的互联网公司都开始搭建自己的开放平台。搭建属于自己的开放平台的原因,一般是以下几点:1.借助第三方满足用户的零碎需求 2.借助第三方提升自己的影响力 3.作为渠
Spring Boot 整合 SA-Token 使用详解
hong161688的博客
08-07 2932
SA-Token是一个基于TokenJava权限认证框架,主要解决:登录认证权限认证、Session会话、踢出登录、单点登录、OAuth2.0、微服务网关等一系列权限相关问题。SA-Token以“简单、易用、安全”为设计目标,致力于打造一个轻量级的权限认证框架。SA-Token允许你通过实现接口来自定义Token的生成、解析和验证逻辑。这对于有特殊Token格式或加密需求的应用非常有用。@Component// 实现自定义的Token处理逻辑// 在配置类中指定自定义的Token处理器。
第三方登录access token过期问题
热门推荐
我爱奔跑的浮云_的博客
02-18 1万+
前几天参加面试的时候,被面试官问道第三方登录的问题,流程其实很简单,但是当面试官问为什么要保存access token,他过不过期有什么意义。当时答得不是很对,现在总结一下:第三方登录流程 第一步:获取 code: https://graph.qq.com/oauth2.0/authorize? response_type=code //固定写法 &client_id=" . $app_i
双重token自动续期解决方案
最新发布
luck332的专栏
03-31 428
总结:Token自动续期通过双Token机制、缓存校验和前后端协作,实现了安全与体验的平衡。实际部署时需结合业务场景调整Token有效期和续期策略,并严格遵循安全规范。Token自动续期是提升用户体验和保障系统安全的关键机制,其核心在于无感刷新和安全可控。(1)登录时生成双Token。(2)刷新Token接口调用。(2)请求拦截校验与续期。(1)请求拦截器逻辑。
第三方
qq_43632987的博客
06-21 255
POST请求,JSON传参(application/json,支持仅url传参)a、 拼接appId和时间戳ts请求参数b、 对json字符串进行Base64编码(参考附录3)c、 使用appKey作为密钥对appKey本身进行AES加密(参考附录1)d、 将经过Base64编码的json参数(参数名:base64JsonBody)和经过AES加密的appKey拼接到(a步骤构建的)请求参数后e、 对(d步骤构建的)请求参数进行MD5摘要计算获取指纹签名(参考附录2
springboot JWT Token 自动续期的解决方案
weixin_39255905的博客
03-25 5536
关于JWT Token 自动续期的解决方案 前言 在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。 后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对token进行拦截校验,校验token是否过期,如果token过期则会让前端跳转到登录页面重新登录。 因为jwt token中一般会包含用户的基本信息,为了保证token安全性,一般.
Spring security 多端多用户实战、认证扩展深入
Hades_iphone的博客
07-25 3506
Spring security 多端多用户实战、认证扩展深入 前言从配置开始搭建从实战场景开始从基础的账号密码开始如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 当你阅读这篇文章的时候,我们假设你已经对Spring security有所了解,并且懂得如何初步使用。 前
Sa-Token框架:Java权限认证与分布式会话解决方案
4. OAuth2.0:框架提供了OAuth2.0协议的实现,OAuth2.0是一种行业标准的授协议,它允许用户通过授的方式让第三方应用获取有限的权限。Sa-Token使得接入OAuth2.0协议变得简单,为开发者提供了统一的接口和流程。 ...
Sa-Token框架:轻松实现Java权限认证与会话管理
4. OAuth2.0:作为一个开放标准,OAuth2.0用于授第三方应用,获取有限访问权限。Sa-Token框架集成了OAuth2.0协议,简化了授流程,开发者可以通过框架提供的组件快速实现授服务器。 5. 分布式Session会话:在...
Spring Boot整合SA-Token的使用详解
hai40587的博客
08-08 1811
SA-Token是一个轻量级的Java权限认证框架,由国人开发,主要解决登录认证权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关等一系列权限相关问题。SA-Token以简单、优雅的方式完成系统的权限认证部分,让开发者能够专注于业务逻辑的开发,而无需过多关注权限控制的实现细节。通过整合SA-Token到Spring Boot项目中,你可以轻松实现登录认证权限认证、会话管理等一系列权限控制功能。SA-Token以其简单、优雅的设计理念和丰富的功能,为开发者提供了极大的便利。
token
m0_47127594的博客
12-17 8208
前言 上一篇博客介绍了什么是cookie、session,以及cookie和session之间的区别,运行机制等。那么这篇博客一起来看看另外一种方式,也就是tokentoken就是接口层面的一种校验而已。 一、什么是token? 其实token就是一个令牌,通俗一点可以称为‘暗号’,在一些数据传递之前,要先进行暗号的核对,不同的暗号(令牌)之前被授不同的数据操作。 二、token的运行机制。 #mermaid-svg-uUOHpzCQGpWVw5Nd .label{font-family:'
Java第三方接口(springboot + 腾讯开放平台)
小码农吗
03-01 2927
再次谈起接口,大家工作中应该有遇到过给你的接口添加验证。 当我们还没有专门做第三方对接权限管理模块团队的情况下。往往是在负责人与第三方沟通下,通过一些加密算法及公钥秘钥验证直接操作的。 今天我们来介绍一个 “腾讯开放平台”的签名算法工具类 搞笑一堂 例如1: > A:我是张三,我来查询资料。 > B:你真的是的吗?你所提供的秘钥怎么不匹配? > A:我。。。 > // 终止资料查询 例如2: > A:我是张三,我来查询资料。 > B:你好,张三。我已核查你的.
基于Node.js实现OAuth2.0第三方认证(授码模式)
deft_的博客
03-23 5702
实现OAuth2第三方认证(Node.js) 实现背景: 本人现在很长一段时间在开发一套多租的Saas平台,很多租户都想把数据同步到我们平台 因此有了第三方数据同步的这么一个痛点需求,想要同步数据就必须要客户提供他们的第三方接口 在本月有一家租户想进行数据同步,给我们提供了接口文档,接口需要OAuth 而在之前的租户的同步流程中,租户的第三方接口并没有使用OAuth2这么一种官方的流程化认证模式 所以在了解学习并开发完成后输出一篇文章记录一下 OAuth2简要介绍: OAuth 2.0 是目前最流行的授
JavaWeb项目对接第三方接口的
weixin_44506280的博客
08-06 2572
在为第三方系统提供接口的时候,肯定是要考虑接口数据安全问题比如接口中数据是否有篡改,如果有大佬在你的接口数据中增加或者修改数据,那岂不是对业务系统造成不可避免的损失请求是否已经超时。请求是否重复提交等问题。如何使做到统一校验使用spring web 拦截器使用spring aop本次就使用spring web 拦截器进行统一校验。
对接第三方接口
t194978的博客
10-30 1455
实际上,攻防之间没有绝对的安全,我们能做的是尽量提高攻击者的成本。相对方案二,方案三的方法相对已经有很大提升了(同样参数不能无限制调用),但是仔细一想,还是有问题,攻击者截获请求以后,还是可以在一定时间窗口内通过重放攻击的方式发送请求。但是,对于对外的接口,我们就不得不重视这个问题,外部接口没有做的操作就直接发布到互联网无疑是。,发现我们已经实现了的效果,但是每个接口前面都有一大堆的逻辑,这代码太那啥了。是一样的,未授系统截获后还是可以通过重放的方式,伪装成认证系统,调用这个接口。
java 对外第三方接口
迷迷糊糊,懵懵懂懂
12-28 2106
Java中,对外提供第三方接口通常涉及使用令牌(Token)或API密钥(API Key)等方式来确保请求的合法性。以下是一个简单的基于令牌的示例,你可以根据实际情况进行修改和扩展。
文件服务器,第三方应用服务器流程
weixin_36408592的博客
07-31 815
概述云通讯平台基于安全考虑,在开发者调用云通讯平台语音API后,云通讯平台会向第三方应用服务器发起请求,如下图所示:因此,在一个语音应用正式上线前,开发者需要配置第三方应用服务器的地址(云通讯称之为回调地址),请参考新手指引;云通讯的请求采用标准的HTTP/HTTPS,请求和响应的报文参见接口说明。第三方接口开发步骤说明首先要明确通知有3个:分别为呼叫,呼叫建立,呼叫挂...
springboot调第三方接口时先登录获取token后才能调用其他请求
qq_40642294的博客
01-27 2246
springboot调第三方接口时先登录获取token后才能调用其他请求
token 过期后,如何自动续期
程序IT圈
10-02 578
JWT token的 payload 部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。JWT标准里面定义的标准claim包括:iss(Issuser):JWT的签发主体;sub(Subject):JWT的所有者;aud(Audience):JWT的接收对象;exp(Expiration time):JWT的过期时间;nbf(Not Before):JWT的生效开...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值