微服务版单点登陆系统(SSO)实践
文章目录
一. 单点登陆系统简介
1.1 背景分析
传统的登录系统中,每个站点都实现了自己的专用登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。例如:
这样的系统,我们又称之为多点登陆系统。应用起来相对繁琐(每次访问资源服务都需要重新登陆认证和授权)。与此同时,系统代码的重复也比较高。由此单点登陆系统诞生。
1.2 单点登陆系统概述
单点登录,英文是 Single Sign On(缩写为 SSO)。即多个站点共用一台认证授权服务器,用户在其中任何一个站点登录后,可以免登录访问其他所有站点。而且,各站点间可以通过该登录状态直接交互。例如:
1.3 单点登陆系统解决方案设计
- 解决方案1:用户登陆成功以后,将用户登陆状态存储到redis数据库,例如:
说明,在这套方案中,用户登录成功后,会基于UUID生成一个token,然后与用户信息绑定在一起存储到数据库.后续用户在访问资源时,基于token从数据库查询用户状态,这种方式因为要基于数据库存储和查询用户状态,所以性能表现一般.
- 解决方案2:用户登陆成功以后,将用户信息存储到token(令牌),然后写到客户端进行存储。(本次设计方案)
说明,在这套方案中,用户登录成功后,会基于JWT技术生成一个token,用户信息可以存储到这个token中.后续用户在访问资源时,对token内容解析,检查登录状态以及权限信息,无须再访问数据库.
二. 单点登陆系统初步设计
2.1 服务设计
基于单点登陆系统中的业务描述,进行初步服务架构设计,如图所示:
其中,服务基于业务进行划分,系统(system)服务只提供基础数据(例如用户信息,日志信息等),认证服务(auth)负责完成用户身份的校验,密码的比对,资源服务(resource)代表一些业务服务(例如我的订单,我的收藏等等).
2.2 工程结构设计
基于服务的划分,设计工程结构如下:
2.3 SSO父工程创建及初始化
2.3.1 创建父工程
第一步:创建父工程,例如:
第二步:删除父工程src目录(可选)。
2.3.2 父工程pom文件初始配置
初始化pom文件内容,例如:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.jt</groupId>
<artifactId>02-sso</artifactId>
<version>1.0-SNAPSHOT</version>
<!--maven父工程的pom文件中一般要定义子模块,
子工程中所需依赖版本的管理,公共依赖并且父工程的打包方式一般为pom方式-->
<!--第一步: 定义子工程中核心依赖的版本管理(注意,只是版本管理)-->
<dependencyManagement>
<dependencies>
<!--spring boot 核心依赖版本定义(spring官方定义)-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-dependencies</artifactId>
<version>2.3.2.RELEASE</version>
<type>pom</type>
<scope>import</scope>
</dependency>
<!--Spring Cloud 微服务规范(由spring官方定义)-->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>Hoxton.SR9</version>
<type>pom</type><!--假如scope是import,type必须为pom-->
<scope>import</scope><!--引入三方依赖的版本设计-->
</dependency>
<!--Spring Cloud alibaba 依赖版本管理 (参考官方说明)-->
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-alibaba-dependencies</artifactId>
<version>2.2.6.RELEASE</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
<!--第二步: 添加子工程的所需要的公共依赖-->
<dependencies>
<!--lombok 依赖,子工程中假如需要lombok,不需要再引入-->
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<scope>provided</scope><!--provided 表示此依赖仅在编译阶段有效-->
</dependency>
<!--单元测试依赖,子工程中需要单元测试时,不需要再次引入此依赖了-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope><!--test表示只能在test目录下使用此依赖-->
<exclusions>
<exclusion><!--排除一些不需要的依赖-->
<groupId>org.junit.jupiter</groupId>
<artifactId>junit-jupiter-engine</artifactId>
</exclusion>
</exclusions>
</dependency>
<!--其它依赖...-->
</dependencies>
<!--第三步: 定义当前工程模块及子工程的的统一编译和运行版本-->
<build><!--项目构建配置,我们基于maven完成项目的编译,测试,打包等操作,
都是基于pom.xml完成这一列的操作,但是编译和打包的配置都是要写到build元素
内的,而具体的编译和打包配置,又需要plugin去实现,plugin元素不是必须的,maven
有默认的plugin配置,常用插件可去本地库进行查看-->
<plugins>
<!--通过maven-compiler-plugin插件设置项目
的统一的jdk编译和运行版本-->
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<!--假如本地库没有这个版本,这里会出现红色字体错误-->
<version>3.8.1</version>
<configuration>
<source>8</source>
<target>8</target>
</configuration>
</plugin>
</plugins>
</build>
</project>
三. 系统基础服务工程设计及实现
3.1 业务描述
本次设计系统服务(System),主要用于提供基础数据服务,例如日志信息,用户信息等。
3.2 表结构设计
系统服务模块,基本表结构设计,例如:
3.3 工程数据初始化
将jt-sso.sql文件在mysql中执行一下,其过程如下:
第一:登录mysql
mysql -uroot -proot
第二:通过source指令执行jt-sso.sql文件
source d:/jt-sso.sql
3.4 创建系统服务工程并初始化
第一步:创建sso-system工程,例如:
第二步:添加项目依赖,例如
<!--1.数据库访问相关-->
<!--1.1 mysql 数据库驱动-->
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
<!--1.2 mybatis plus 插件-->
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>3.4.2</version>
</dependency>
<!--服务治理相关-->
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
</dependency>
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId>
</dependency>
<!--Web 服务相关-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
第三步:在项目中添加bootstrap.yml文件,其内容如下:
server:
port: 8061
spring:
application:
name: sso-system
cloud:
nacos:
discovery:
server-addr: localhost:8848
config:
server-addr: localhost:8848
file-extension: yml
datasource:
url: jdbc:mysql://127.0.0.1:3307/jt-sso?serverTimezone=Asia/Shanghai&characterEncoding=utf8
username: root
password: root
说明,可将连接数据库的配置,添加到配置中心。
第四步:在项目中添加启动类,例如:
package com.jt;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@SpringBootApplication
public class SystemApplication {
public static void main(String[] args) {
SpringApplication.run(SystemApplication.class,args);
}
}
第五步:在项目中添加单元测试类,测试数据库连接,例如:
package com.jt;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import javax.sql.DataSource;
import java.sql.Connection;
import java.sql.SQLException;
@SpringBootTest
public class DataSourceTests {
/*
* 这里的DataSource是一个标准或者说规范,
* java中所有的连接池需要基于这个规范进行实现
* 我们项目中添加了spring-boot-starter-jdbc依赖后
* 系统中会自动帮我们引入一个HikariCP连接池,这个连接池中有一个HikariDataSource
* 对象就是基于javax.sql.DataSource规范做了落地实现,这个对象在springboot
* 工程启动时,进行自动配置(DataSourceAutoConfiguration)
* */
@Autowired
private DataSource dataSource;//HikariDataSource
@Test
void testGetConnection() throws SQLException {
//通过dataSource获取连接时,首先获取的是连接池(HikariPool),然后从连接池中获取连接
//这个有三个设计模式:单例模式,享元模式,桥接模式
Connection conn = dataSource.getConnection();
System.out.println(conn);
}
}
3.5 Pojo对象逻辑实现
添加项目User对象,用于封装用户信息。
package com.jt.system.pojo;
import com.baomidou.mybatisplus.annotation.TableName;
import lombok.Data;
import java.io.Serializable;
/*
* 定义pojo对象,基于此对象存储用户信息
* 说明:
* java中所有用于存储数据的对象,都建议实现序列化接口,并且添加一个序列化id
* 可参考:String,Integer,ArrayList,HashMap.....
* */
@Data
//@TableName("tb_users") //假如sql语句是自己写的,则不需要指定表名
public class User implements Serializable {
private static final long serialVersionUID = 4831304712151465443L;
private Long id;
private String username;
private String password;
private String status;
}
3.6 Dao对象逻辑实现
第一步:创建UserMapper接口,并定义基于用户名查询用户信息,基于用户id查询用户权限信息的方法,代码如下:
package com.jt.system.mapper;
import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.jt.system.pojo.User;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;
import java.util.List;
/*
* @Mapper注解由Mybatis官方提供,用于告诉Mybatis底层为注解描述的接口
* 创建其实现类及对象,然后交给spring管理,假如我们自己写实现类,
* 可以在类中由spring为我们注入SqlSession对象,然后通过SqlSession实现与数据库会话
* 注意:@Mapper描述的数据接口,要默认放在项目启动类的所在的包或者子包中
* */
@Mapper
public interface UserMapper extends BaseMapper<User> {
@Select("select * from tb_users where username=#{username}")
User selectUserByUserName(String username);
@Select("select distinct m.permission from tb_user_roles ur join tb_role_menus rm on ur.role_id = rm.role_id "+
"join tb_menus m on rm.menu_id=m.id where ur.user_id=#{userId}")
List<String> selectUserPermissions(Long userId);
}
基于用户id查询用户权限原理分析:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9sUS55Cw-1642122484004)(F:\学习\java\CGB\图片\第4阶段\sso43.png)]
第二步:创建UserMapperTests类,对业务方法做单元测试,例如:
package com.jt;
import com.jt.system.mapper.UserMapper;
import com.jt.system.pojo.User;
import org.junit.jupiter.api.Assertions;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.util.Assert;
import java.util.List;
@SpringBootTest
public class UserMapperTests {
@Autowired
private UserMapper userMapper;
@Test
void testSelectUserByUserName(){
User user = userMapper.selectUserByUserName("admin");
System.out.println(user);//不推荐这种写法
/*
* 断言测试(结果不正确,抛出异常)
* 例如:测试user对象是否不为null,为null则抛出异常
* 参数:message是异常信息,当user是null时候,会抛出当前信息
* import org.springframework.util.Assert; 此测试方法属于spring的
* */
// Assert.notNull(user, "user is not exist");
//项目中具体业务是if语句这样的,Assert.notNull方法可完全替代if语句
// if(user==null){
// throw new IllegalArgumentException("user is not exist");
// }
/*
* import org.junit.jupiter.api.Assertions;,此方法属于junit的单元测试方法中的
* */
Assertions.assertNotNull(user,"user is not exist");
}
@Test
void testSelectUserPermission(){
List<String> permissions = userMapper.selectUserPermissions(4L);
System.out.println(permissions);
Assert.notEmpty(permissions, "permission is not exist");
}
}
3.7 Service对象逻辑实现
创建UserService接口及实现泪,定义用户及用户权限查询逻辑,代码如下:
第一步:定义service接口,代码如下:
package com.jt.system.service;
import com.jt.system.pojo.User;
import java.util.List;
public interface UserService {
User selectUserByUsername(String username);
List<String> selectUserPermissions(Long userId);
}
第二步:定义service接口实现类,代码如下:
package com.jt.system.service.impl;
import com.jt.system.mapper.UserMapper;
import com.jt.system.pojo.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.cache.annotation.Cacheable;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;
import org.springframework.util.Assert;
import org.springframework.util.StringUtils;
import java.util.List;
@Service
public class UserServiceImpl implements UserService{
@Autowired
private UserMapper userMapper;
@Override
public User selectUserByUserName(String username) {
// Assert.notNull(username, "username can not be null");
if(StringUtils.isEmpty(username)){
throw new IllegalArgumentException("username can not be null");
}
return userMapper.selectUserByUserName(username);
}
/*
* 此注解描述的方法为缓存切入点方法,从数据库查询到数据后,可以将数据存到
* 本地的一个缓存对象中(底层是一个map对象)
* */
@Cacheable(value = "permissionCache")//permissionCache名字为cache名字
@Override
public List<String> selectUserPermissions(Long userId) {
return userMapper.selectUserPermissions(userId);
}
}
3.8 Controller对象逻辑实现
package com.jt.system.controller;
import com.jt.system.pojo.User;
import com.jt.system.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.List;
@RestController
@RequestMapping("/user/")
public class UserController {
@Autowired
private UserService userService;
@GetMapping("/login/{username}")
public User doSelectUserByUsername(
@PathVariable("username") String username){
return userService.selectUserByUsername(username);
}
@GetMapping("/permission/{userId}")
public List<String> doSelectUserPermissions(
@PathVariable("userId") Long userId){
return userService.selectUserPermissions(userId);
}
}
3.9 启动服务进行访问测试
启动sso-system工程服务,打开浏览器分别对用户及用户权限信息的获取进行访问测试
- 基于用户名查询用户信息,例如:
- 基于用户id(这里假设用户id为1)查询用户权限,例如:
四. 统一认证工程设计及实现
4.1 业务描述
用户登陆时调用此工程对用户身份进行统一身份认证和授权。
4.2 创建工程及初始化
第一步:创建sso-auth工程,如图所示
第二步:打开sso-auth工程中的pom文件,然后添加如下依赖:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<parent>
<artifactId>02-sso</artifactId>
<groupId>org.example</groupId>
<version>1.0-SNAPSHOT</version>
</parent>
<modelVersion>4.0.0</modelVersion>
<artifactId>sso-auth</artifactId>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
</dependency>
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId>
</dependency>
<!--认证授权依赖:SpringSecurity+JWT+oauth2-->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-openfeign</artifactId>
</dependency>
</dependencies>
</project>
第三步:在sso-auth工程中创建bootstrap.yml文件,例如:
server:
port: 8071
spring:
application:
name: sso-auth
cloud:
nacos:
discovery:
server-addr: localhost:8848
config:
server-addr: localhost:8848
file-extension: yml
第四步 添加项目启动类,例如
package com.jt;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@EnableFeignClients
@SpringBootApplication
public class AuthApplication {
public static void main(String[] args) {
SpringApplication.run(AuthApplication.class, args);
}
}
4.3 启动并访问项目
项目启动时,系统会默认生成一个登陆密码,例如:
打开浏览器输入http://localhost:8071呈现登陆页面,例如:
其中,默认用户名为user,密码为系统启动时,在控制台呈现的密码。执行登陆测试,登陆成功进入如下界面(因为没有定义登陆页面,所以会出现404):
4.4 定义用户信息处理对象
第一步:定义User对象,用于封装从数据库查询到的用户信息,例如:
package com.jt.auth.pojo;
import lombok.Data;
import java.io.Serializable;
@Data
public class User implements Serializable {
private static final long serialVersionUID = 4831304712151465443L;
private Long id;
private String username;
private String password;
private String status;
}
第二步:定义远程Service对象,用于实现远程用户信息调用,例如:
package com.jt.auth.service;
import com.jt.auth.pojo.User;
import org.springframework.cloud.openfeign.FeignClient;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import java.util.List;
@FeignClient(value = "sso-system",contextId = "remoteUserService")
public interface RemoteUserService {
/*
* 基于用户名查询用户信息
* */
@GetMapping("/user/login/{username}")
User SelectUserByUserName(@PathVariable("username") String username);
/*
* 基于用户ID查询用户权限
* */
@GetMapping("/user/permission/{userId}")
List<String> selectUserPermissions(@PathVariable("userId")Long userId);
}
第三步:定义用户登陆业务逻辑处理对象,例如:
package com.jt.auth.service;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import java.util.List;
/*
* 构建UserDetailsService接口实现类,在此类中基于我们的RemoteUserService接口进行
* 远程服务调用,调用sso-system服务,获取用户数据
*
* */
@Slf4j
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private RemoteUserService remoteUserService;
@Override
//这个username来自客户端
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//基于用户名,获取用户信息(远程feign方式服务调用)
com.jt.auth.pojo.User user = remoteUserService.SelectUserByUserName(username);
if(user==null) throw new UsernameNotFoundException("user is not exist");
//基于用户id获取用户权限信息
List<String> permissions = remoteUserService.selectUserPermissions(user.getId());
log.debug("permissions {}",permissions);
//封装用户信息并返回
User userDetails=new User(username, user.getPassword(),
AuthorityUtils.createAuthorityList(permissions.toArray(new String[0])));
return userDetails;//返回给认证中心,认证中心会基于用户输入的密码以及数据库的密码做一个比对
//AuthenticationManager(认证管理器)
}
}
4.5 定义Security配置类
这里为配合configure方法测试请求转发,需创建一个controller对象和html文件,配合测试,如下:
package com.jt.auth.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
@Controller//此处必须的Controller不能是restController,因为返回的是一个页面
public class PageController {//了解
@RequestMapping("/doIndex")
public String doIndex(){
return "redirect:index.html"; //跳转到一个页面
}
}
index.html和default.html写在resource下的static文件夹中
index.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>The Index Page</h1>
<h2>Login Success</h2>
</body>
</html>
default.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>The default Page</h1>
</body>
</html>
定义Spring Security配置类,在此类中配置认证规则,例如:
package com.jt.auth.config;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Component;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;
@Configuration//系统底层是代理对象
public class SecurityConfig extends WebSecurityConfigurerAdapter {
/*
* 此方法为http请求配置方法,可以在此方法中配置:
* 1.哪些资源放行(不用登录,即可访问),假如不做任何配置,默认所有资源都可以匿名访问
* 2.哪些资源必须认证才可以访问(登录)
* */
@Override
protected void configure(HttpSecurity http) throws Exception {
//super.configure(http);默认配置 默认登陆页面 注释掉后默认所有请求都放行,不注释掉默认所有请求都得认证
//禁用跨域攻击,假如没有禁用,使用postman和httpclient这些工具进行登录回出现403异常,没有权限
http.csrf().disable();
//所有资源必须认证后才可以访问
// http.authorizeRequests().antMatchers("/**").authenticated();
//所有资源都放行(在资源服务中去授权,假如没有资源服务或者资源和认证服务在一起,则这里都需要写,否则直接放行,给资源服务去管理授权)
http.authorizeRequests().anyRequest().permitAll();
//配置需要认证的,例如default.html,其它的都放行
// http.authorizeRequests().antMatchers("/default.html").authenticated().anyRequest().permitAll();
//登录配置(去哪里认证,认证成功或失败的处理器是谁):请求转发
// http.formLogin().successForwardUrl("/doIndex").failureForwardUrl("/doDefault");
//默认登录配置:重定向
// http.formLogin().defaultSuccessUrl("/index.html"); //redirect index.html 登陆失败跳回登陆页面
//前后端分离中的一种做法,是登录成功要返回json串
http.formLogin().successHandler(successHandler()).failureHandler(failureHandler());
}
//登录成功处理器
@Bean//保证方法在调用多次时候,但对象只创建一次
public AuthenticationSuccessHandler successHandler(){
//重写方法onAuthenticationSuccess方法
// return new AuthenticationSuccessHandler(){
// @Override //方法是是系统底层调用
// public void onAuthenticationSuccess(HttpServletRequest request,
// HttpServletResponse response,
// Authentication authentication)
// throws IOException, ServletException {
// PrintWriter writer = response.getWriter();
// //返回普通字符串
writer.write("login success");
writer.flush();
//
// //返回json串
// Map<String,Object> map = new HashMap<>();
// map.put("status", 200);
// map.put("message", "login success");
// String jsonStr = new ObjectMapper().writeValueAsString(map);
// writer.write(jsonStr);
// writer.flush();
// }
// };
//lambda表达式写法+调用公共的方法
return (request,response,authentication)->{
Map<String,Object> map = new HashMap<>();
map.put("status", 200);
map.put("message", "login success");
writeJsonClient(response, map);
};
}
//登陆失败处理器
@Bean
public AuthenticationFailureHandler failureHandler(){
// return new AuthenticationFailureHandler() {
// @Override
// public void onAuthenticationFailure(HttpServletRequest request,
// HttpServletResponse response,
// AuthenticationException e)
// throws IOException, ServletException {
// PrintWriter writer = response.getWriter();
// //返回json串
// Map<String,Object> map = new HashMap<>();
// map.put("status", 500);
// map.put("message", "login failure");
// String jsonStr = new ObjectMapper().writeValueAsString(map);
// writer.write(jsonStr);
// writer.flush();
// }
// };
return (request,response,e)->{
Map<String,Object> map = new HashMap<>();
map.put("status", 500);
map.put("message", "login failure");
writeJsonClient(response, map);
};
}
//将successHandler()和failureHandler()公共方法抽取到一起
private void writeJsonClient(HttpServletResponse response,Map<String,Object> map) throws IOException {
response.setCharacterEncoding("utf-8");
response.setContentType("application/json,charset=utf-8");
String jsonStr = new org.codehaus.jackson.map.ObjectMapper().writeValueAsString(map);
PrintWriter writer = response.getWriter();
writer.write(jsonStr);
writer.flush();
}
/*
* 此对象负责完成密码的加密
* 此对象提供了一种不可逆的加密方式,相对于md5方式会更加安全
* */
@Bean
public PasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
/*
* 定义认证管理器对象,这个对象负责完成用户信息的认证,
* 即判定用户身份信息的合法性,在基于oauth2协议完成认
* 证时,需要此对象,所以这里讲此对象拿出来交给spring管理
*
* 方法返回的对象为后续的oauth2的配置提供服务
* */
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
}
4.6 基于Postman进行访问测试
启动sso-system,sso-auth服务,然后基于postman访问网关,执行登录测试,例如:
4.7 Security 认证流程分析(了解)
目前的登陆操作,也就是用户的认证操作,其实现主要基于Spring Security框架,其认证简易流程如下:
4.8 构建令牌生成及配置对象
本次我们借助JWT(Json Web Token-是一种json格式)方式将用户相关信息进行组织和加密,并作为响应令牌(Token),从服务端响应到客户端,客户端接收到这个JWT令牌之后,将其保存在客户端(例如localStorage),然后携带令牌访问资源服务器,资源服务器获取并解析令牌的合法性,基于解析结果判定是否允许用户访问资源.
package com.jt.auth.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.AuthorizationServerTokenServices;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;
/*
* 在此配置类中配置令牌的生成,存储策略,验签方式(令牌合法性)。
* */
@Configuration
public class TokenConfig {
/*
* 创建令牌信息存储对象
* 1.JdbcTokenStore(这里是要将token存储到关系型数据库)
* 2.RedisTokenStore(这是要将token存储到redis数据库-key/value)
* 3.JwtTokenStore(这里是将产生的token信息存储客户端,并且token中可以以自包含的形式存储一些用户信息)
* 4....
* */
@Bean
public TokenStore tokenStore(){
//这里采用JWT方式生成和存储令牌信息
return new JwtTokenStore(jwtAccessTokenConverter());
}
/*
* 签名key,对JWT令牌签名时候使用,这个值可以自定义,一般是比较复杂的字符串
* 1.生成的令牌需要这个密钥进行签名
* 2.获取的令牌需要使用这个密钥进行验签(校验令牌合法性,是否被篡改过)
* */
private String signingKey="auth";
/*
* JWT令牌增强器,可以通过此对象创建JWT令牌,是普通令牌的增强版
* 普通令牌是不可以存储用户信息的
*
* 基于此对象创建的令牌信息会封装到OAuth2AccessToken类型的对象中
* 然后再存储到TokenStore对象,外界需要时,会从tokenStore进行获取。
* */
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter(){
JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
//设置签名key,对JWT令牌进行签名时使用,这个key千万不能让客户端知道
jwtAccessTokenConverter.setSigningKey(signingKey);
return jwtAccessTokenConverter;
}
}
4.9 定义Oauth2认证授权配置
第一步:所有零件准备好了开始拼装最后的主体部分,这个主体部分就是授权服务器的核心配置
package com.jt.auth.config;
import lombok.AllArgsConstructor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.AuthorizationServerTokenServices;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;
/*
* Oauth2是一种协议或规范,它定义了如何完成用户身份认证和授权的方式,例如:基于账号密码进行认证,
* 基于第三方令牌进行认证(例如QQ,微信登录)等,但具体的完成过程需要有一组对象,这些对象的构成,
* 一般有如下几个部分:
* 0.系统数据资源(类似于数据库,文件系统)
* 1.资源服务器(负责访问资源->例如:商品,订单,库存,会员....)
* 2.认证服务器(负责完成用户身份的认证)
* 3.客户端对象(表单,三方令牌,)
* 4.资源拥有者(用户)
*
* 思考:在Oauth2这种规范下,如何对用户身份进行认证?
* 1.认证的地址->让用户去哪里认证,例如结婚要去民政局办理结婚登记
* 2.用户需要携带什么信息去认证->去民政局办理结婚等级需要携带什么证件
* 3.具体完成认证的对象是谁->民政局有办理离婚的,有办理结婚的,比方说具体由谁帮你办理结婚证
* 这些规范,在Oauth2中有默认的定义,但是业务不同时,我们要基于业务进行重写
* */
@AllArgsConstructor//使用此方式创建对象(或者说开启全部自动注入)需保证每个属性都交给了spring容器管理
@Configuration
@EnableAuthorizationServer//启动认证和授权
public class Oauth2Config extends AuthorizationServerConfigurerAdapter {
//@Autowired
private PasswordEncoder passwordEncoder;
//@Autowired
private AuthenticationManager authenticationManager;
//@Autowired
private TokenStore tokenStore;
//@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter;
/*
* 在此方法中公开认证地址->客户端认证时,输入的url中path是谁?
* */
@Override
public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
// super.configure(security);
security
//公开认证地址(oauth/token),
// 允许所有客户端请求在这个地址进行认证,地址由底层定义的,启动服务时候,由springboot自动配置的
.tokenKeyAccess("permitAll()")
//公开校验令牌的地址(oauth/check_token)
.checkTokenAccess("permitAll()")
//允许通过表单方式进行认证
.allowFormAuthenticationForClients();
}
/*
* 定义用户去认证时需要携带什么信息
* */
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
// super.configure(clients);
clients
.inMemory()
//客户端标识(随意) client_id=gateway-client
.withClient("gateway-client")
//客户端密钥(随意)(123456) client_secret=123456
//因为之前创建的PasswordEncoder对象会同时对前端传过来的client_secret对应的值进行加密,所以这里也需要加密进行匹配
.secret(passwordEncoder.encode("123456"))
//定义认证类型(允许对什么哪些数据进行认证) grant_type=password
.authorizedGrantTypes("password","refresh_token")
//作用域,满足如上条件的所有客户端都可以到这里来进行认证。
.scopes("all");
}
/*
* 定义由谁完成认证,认证之后以怎样的形式颁发令牌
* */
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
// super.configure(endpoints);
//定义由谁完成认证
endpoints.authenticationManager(authenticationManager);
//简单定义token业务
// //定义用户状态信息的存储(存储到内存中,mysql,redis,还是jwt令牌中)
// endpoints.tokenStore(tokenStore);//如果单独设置tokenStore,令牌并不会生效
// //设置了令牌增强器后,tokenStore会自动切换到JwtAccessTokenConverter上不用设置tokenStore也可以生效,
// //早期需要写tokenStore,现在不需要两者配合了
// endpoints.tokenEnhancer(jwtAccessTokenConverter);
//完整定义token业务
//定义令牌业务处理对象(自己指定令牌规则)
endpoints.tokenServices(tokenServices());
//允许客户端认证的请求方式(默认只支持post)
endpoints.allowedTokenEndpointRequestMethods(HttpMethod.GET,HttpMethod.POST);
}
/*
* tokenServices对象,用于处理token业务
* */
public AuthorizationServerTokenServices tokenServices(){
//AuthorizationServerTokenServices 是接口,DefaultTokenServices为默认实现类
DefaultTokenServices tokenServices = new DefaultTokenServices();
//设置令牌存储对象
tokenServices.setTokenStore(tokenStore);
//设置令牌增强(由普通令牌改为jwt令牌)
tokenServices.setTokenEnhancer(jwtAccessTokenConverter);
//设置访问令牌有效期(访问令牌就是访问资源时要携带的令牌)
tokenServices.setAccessTokenValiditySeconds(3600);
//设置刷新令牌(在访问令牌即将到期时,还可以使用刷新令牌再去请求一个新的令牌)
tokenServices.setSupportRefreshToken(true);
//设置刷新令牌有效期,这个时间要比访问令牌长一些
tokenServices.setRefreshTokenValiditySeconds(7200);
return tokenServices;
}
}
4.10 启动postman进行访问测试
- 登陆访问测试,例如:
登陆成功以后,会在postman控制台显示如下格式信息,例如:
{
"access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2MzU2ODAwMjMsInVzZXJfbmFtZSI6ImFkbWluIiwiYXV0aG9yaXRpZXMiOlsic3lzOnJlczpjcmVhdGUiLCJzeXM6cmVzOmxpc3QiLCJzeXM6cmVzOmRlbGV0ZSJdLCJqdGkiOiJjZTRhYWVlOC0wMzFmLTRmZjgtYTBmZS1lMGNkOTNlOGYzNzQiLCJjbGllbnRfaWQiOiJnYXRld2F5LWNsaWVudCIsInNjb3BlIjpbImFsbCJdfQ.gr3FxM0RdiEbmmHIdLi234kwPHRAFm02xNH9EnqEpbY",
"token_type": "bearer",
"refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJhdGkiOiJjZTRhYWVlOC0wMzFmLTRmZjgtYTBmZS1lMGNkOTNlOGYzNzQiLCJleHAiOjE2MzU5MzU2MjMsImF1dGhvcml0aWVzIjpbInN5czpyZXM6Y3JlYXRlIiwic3lzOnJlczpsaXN0Iiwic3lzOnJlczpkZWxldGUiXSwianRpIjoiZjllYjZhOTAtNGQ3MC00OGZhLTgzMzktMmFiZGUwYmJmOTQ5IiwiY2xpZW50X2lkIjoiZ2F0ZXdheS1jbGllbnQifQ.c-MrRMNYtI9C9RnX0LchwJ-gLxeFZscpU2VM97vv-7A",
"expires_in": 3599,
"scope": "all",
"jti": "ce4aaee8-031f-4ff8-a0fe-e0cd93e8f374"
}
- 检查token信息,例如:
假如,请求访问ok,在postman控制台会显示如下格式信息,例如:
{
"user_name": "admin",
"scope": [
"all"
],
"active": true,
"exp": 1635680023,
"authorities": [
"sys:res:create",
"sys:res:list",
"sys:res:delete"
],
"jti": "ce4aaee8-031f-4ff8-a0fe-e0cd93e8f374",
"client_id": "gateway-client"
}
- 刷新令牌应用测试,例如:
假如,请求访问ok,在postman控制台会显示如下格式信息,例如:
{
"access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2MzU2ODA3NzAsInVzZXJfbmFtZSI6ImFkbWluIiwiYXV0aG9yaXRpZXMiOlsic3lzOnJlczpjcmVhdGUiLCJzeXM6cmVzOmxpc3QiLCJzeXM6cmVzOmRlbGV0ZSJdLCJqdGkiOiI5MzIzNzI1MC05NzQxLTQ0MjAtOWI3OS04NGZkODg0MDM4ZTUiLCJjbGllbnRfaWQiOiJnYXRld2F5LWNsaWVudCIsInNjb3BlIjpbImFsbCJdfQ.6zcw0tuAM0wlBvjBHxzk1JqFLweBU9p6uB720pdwWxs",
"token_type": "bearer",
"refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJhdGkiOiI5MzIzNzI1MC05NzQxLTQ0MjAtOWI3OS04NGZkODg0MDM4ZTUiLCJleHAiOjE2MzU5MzU2MjMsImF1dGhvcml0aWVzIjpbInN5czpyZXM6Y3JlYXRlIiwic3lzOnJlczpsaXN0Iiwic3lzOnJlczpkZWxldGUiXSwianRpIjoiZjllYjZhOTAtNGQ3MC00OGZhLTgzMzktMmFiZGUwYmJmOTQ5IiwiY2xpZW50X2lkIjoiZ2F0ZXdheS1jbGllbnQifQ.6KJOryS6j78Edk-8N4MWAIKifyRYbH5MvEO-mHRWW6w",
"expires_in": 3599,
"scope": "all",
"jti": "93237250-9741-4420-9b79-84fd884038e5"
}
五. 资源服务工程设计及实现
5.1 业务描述
资源服务工程为一个业务数据工程,此工程中数据在访问通常情况下是受限访问,例如有些资源有用户,都可以访问,有些资源必须认证才可访问,有些资源认证后,有权限才可以访问。
5.2 业务设计架构
用户访问资源时的认证,授权流程设计如下:
5.3 项目创建及初始化
第一步:创建工程,例如:
第二步:初始化pom文件依赖,例如:
<dependencies>
<!--spring boot web-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!--nacos discovery-->
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
</dependency>
<!--nacos config-->
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId>
</dependency>
<!--sentinel-->
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-sentinel</artifactId>
</dependency>
<!--在资源服务器添加此依赖,只做授权,不做认证,添加完此依赖以后,
在项目中我们要做哪些事情?对受限访问的资源可以先判断是否登录了,
已经认证用户还要判断是否有权限?
-->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
</dependencies>
第三步:创建bootstrap.yml配置文件,例如:
server:
port: 8881
spring:
application:
name: sso-resource
cloud:
nacos:
discovery:
server-addr: localhost:8848
config:
server-addr: localhost:8848
file-extension: yml
sentinel:
transport:
dashboard: localhost:8180
eager: true
第四步:创建启动类,代码如下:
package com.jt;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@SpringBootApplication
public class ResourceApplication {
public static void main(String[] args) {
SpringApplication.run(ResourceApplication.class,args);
}
}
5.4 创建资源Controller对象
package com.jt.resource.controller;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.*;
@RestController
@RequestMapping("/resource")
public class ResourceController {
/*
* 加上注解后,标识当前资源必须登录,且得有权限才能访问
* @PreAuthorize 注解描述的方法是一个权限切入点方法,访问此方法时需要授权才可以访问,底层是AOP
* @RequiredLog("查询资源")注解描述的方法为一个日志切入点方法
* 访问此方法时候要进行日志记录
* */
/*
* 查询资源
*/
@PreAuthorize("hasAuthority('sys:res:list')")
@GetMapping
public String doSelect(){
return "Select Resource ok";
}
/*
* 创建资源
*/
@PreAuthorize("hasAuthority('sys:res:create')")
@PostMapping
public String doCreate(){
return "Create Resource OK";
}
/*
* 修改资源
*/
@PreAuthorize("hasAuthority('sys:res:update')")
@PutMapping
public String doUpdate(){
return "Update Resource OK";
}
/*
* 删除资源
*/
@DeleteMapping
public String doDelete(){
return "Delete resource ok";
}
}
5.5 配置令牌解析器对象
package com.jt;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;
/**
* 在此配置类中配置令牌的生成,存储策略,验签方式(令牌合法性)。
*/
@Configuration
public class TokenConfig {
/**
* 配置令牌的存储策略,对于oauth2规范中提供了这样的几种策略
* 1)JdbcTokenStore(这里是要将token存储到关系型数据库)
* 2)RedisTokenStore(这是要将token存储到redis数据库-key/value)
* 3)JwtTokenStore(这里是将产生的token信息存储客户端,并且token
* 中可以以自包含的形式存储一些用户信息)
* 4)....
*/
@Bean
public TokenStore tokenStore(){
//这里采用JWT方式生成和存储令牌信息
return new JwtTokenStore(jwtAccessTokenConverter());
}
/**
* 配置令牌的创建及验签方式
* 基于此对象创建的令牌信息会封装到OAuth2AccessToken类型的对象中
* 然后再存储到TokenStore对象,外界需要时,会从tokenStore进行获取。
*/
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter(){
JwtAccessTokenConverter jwtAccessTokenConverter=
new JwtAccessTokenConverter();
//JWT令牌构成:header(签名算法,令牌类型),payload(数据部分),Signing(签名)
//这里的签名可以简单理解为加密,加密时会使用header中算法以及我们自己提供的密钥,
//这里加密的目的是为了防止令牌被篡改。(这里密钥要保管好,要存储在服务端)
jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);//设置密钥
return jwtAccessTokenConverter;
}
/**
* JWT 令牌签名时使用的密钥(可以理解为盐值加密中的盐)
* 1)生成的令牌需要这个密钥进行签名
* 2)获取的令牌需要使用这个密钥进行验签(校验令牌合法性,是否被篡改过)
*/
private static final String SIGNING_KEY="auth";
}
5.6 配置资源认证授权规则
package com.jt;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.TokenStore;
/**
* 思考?对于一个系统而言,它资源的访问权限你是如何进行分类设计的
* 1)不需要登录就可以访问(例如12306查票)
* 2)登录以后才能访问(例如12306的购票)
* 3)登录以后没有权限也不能访问(例如会员等级不够不让执行一些相关操作)
*/
@Configuration
@EnableResourceServer//启动资源服务器的默认配置
//启动方法上的权限控制,需要授权才可访问的方法上添加@PreAuthorize等相关注解
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ResourceConfig extends ResourceServerConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
//super.configure(http);
//1.关闭跨域攻击
http.csrf().disable();
//2.放行相关请求
http.authorizeRequests()
.antMatchers("/resource/**")
.authenticated()
.anyRequest().permitAll();
}
}
5.7 启动Postman进行访问测试
- 不携带令牌访问,例如:
- 携带令牌访问,例如:
- 没有访问权限,例如:
六. 网关工程设计及实现
6.1 业务描述
本次设计中,API网关是服务访问入口,身份认证,资源访问都通过网关进行资源统一转发。
6.2 项目创建及初始化
第一步:创建项目,例如:
第二步:初始化pom文件内容,例如:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<parent>
<artifactId>02-sso</artifactId>
<groupId>org.example</groupId>
<version>1.0-SNAPSHOT</version>
</parent>
<modelVersion>4.0.0</modelVersion>
<artifactId>sso-gateway</artifactId>
<dependencies>
<!--网关服务依赖(底层基于netty技术+webflux技术)-->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-gateway</artifactId>
</dependency>
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
</dependency>
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId>
</dependency>
<!--服务限流依赖,网关这里的限流需要两个依赖-->
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-sentinel</artifactId>
</dependency>
<!--因为网关层面的技术栈发生了变化,所以需要添加如下依赖,做适配-->
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-alibaba-sentinel-gateway</artifactId>
</dependency>
</dependencies>
</project>
第三步:创建bootstrap.yml配置文件并进行路由定义,例如:
server:
port: 9000
spring:
application:
name: sso-gateway
cloud:
nacos:
discovery:
server-addr: localhost:8848
config:
server-addr: localhost:8848
file-extension: yml
sentinel:
transport:
dashboard: localhost:8180
eager: true
gateway:
routes:
- id: router01 #资源服务器路由
uri: lb://sso-resource
predicates: #谓词对象,可以定义多个谓词逻辑,所有的谓词逻辑返回为true,才会执行filters
- Path=/sso/resource/**
filters: #过滤器,是谓词逻辑的下一个执行步骤
- StripPrefix=1 #去掉path中的第一层目录
- id: router02 #认证服务器路由
uri: lb://sso-auth #认证服务
predicates:
- Path=/sso/oauth/**
filters:
- StripPrefix=1
globalcors: #跨域配置(写到配置文件的好处是可以将其配置写到配置中心)
corsConfigurations: #所有的跨域配置只是针对ajax请求,因为ajax请求不支持跨域
'[/**]':
allowedOrigins: "*"
allowedHeaders: "*"
allowedMethods: "*"
allowCredentials: true
第四步:定义启动类,例如:
package com.jt;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@SpringBootApplication
public class ApiGatewayApplication {
public static void main(String[] args) {
SpringApplication.run(ApiGatewayApplication.class, args);
}
}
6.3 启动postman进行访问测试
- 基于网关进行登陆访问测试,例如:
- 基于网关进行资源访问测试,例如:
七. 客户端UI工程设计及实现
7.1 业务描述
本次项目设计采用前后端分离架构设计,前端工程服务基于springboot web服务进行实现。
7.2 项目创建及初始化
第一步:创建项目,例如:
第二步:项目中添加如下依赖,例如:
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
</dependencies>
第三步:创建启动类,例如:
package com.jt;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@SpringBootApplication
public class UIApplication {
public static void main(String[] args) {
SpringApplication.run(UIApplication.class, args);
}
}
7.3 创建UI工程登陆页面
第一步:在resource目录下创建static目录
第二步:在static目录下创建登陆页面login.html,例如:
<!doctype html>
<html lang="en">
<head>
<!-- Required meta tags -->
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1">
<!-- Bootstrap CSS -->
<link href="https://cdn.jsdelivr.net/npm/bootstrap@5.0.2/dist/css/bootstrap.min.css" rel="stylesheet" integrity="sha384-EVSTQN3/azprG1Anm3QDgpJLIm9Nao0Yz1ztcQTwFspd3yD65VohhpuuCOmLASjC" crossorigin="anonymous">
<title>login</title>
</head>
<body>
<div class="container"id="app">
<h3>Please Login</h3>
<form>
<div class="mb-3">
<label for="usernameId" class="form-label">Username</label>
<input type="text" v-model="username" class="form-control" id="usernameId" aria-describedby="emailHelp">
</div>
<div class="mb-3">
<label for="passwordId" class="form-label">Password</label>
<input type="password" v-model="password" class="form-control" id="passwordId">
</div>
<button type="button" @click="doLogin()" class="btn btn-primary">Submit</button>
</form>
</div>
<script src="https://cdn.jsdelivr.net/npm/bootstrap@5.0.2/dist/js/bootstrap.bundle.min.js" integrity="sha384-MrcW6ZMFYlzcLA8Nl+NtUVF0sA7MsXsP1UyJoMp4YLEuNSfAP+JcXn/tWtIaxVXM" crossorigin="anonymous"></script>
<script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.js"></script>
<script src="https://unpkg.com/axios/dist/axios.min.js"></script>
<script>
var vm=new Vue({
el:"#app",//定义监控点,vue底层会基于此监控点在内存中构建dom树
data:{ //此对象中定义页面上要操作的数据
username:"",
password:""
},
methods: {//此位置定义所有业务事件处理函数
doLogin() {
//1.定义url
let url = "http://localhost:9000/sso/oauth/token"
//2.定义参数
let params = new URLSearchParams()
params.append('username',this.username);
params.append('password',this.password);
params.append('client_id',"gateway-client");
params.append('client_secret',"123456");
params.append('grant_type',"password");
//3.发送异步请求
axios.post(url, params)
.then((response) => {//ok
alert("login ok")
let result=response.data;
console.log("result",result);
//将返回的访问令牌存储到浏览器本地对象中
localStorage.setItem("accessToken",result.access_token);
location.href="/resource.html";
//启动一个定时器,一个小时以后,向认证中心发送刷新令牌
})
.catch((e)=>{
console.log(e);
})
}
}
});
</script>
</body>
</html>
第三步:打开浏览器进行访问测试,例如:
7.4 创建资源展现页面
第一步:在UI工程的static目录下创建resource.html,例如
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<div>
<h1>The Resource Page</h1>
<button onclick="doSelect()">查询我的资源</button>
<button onclick="doUpdate()">修改我的资源</button>
</div>
<script src="https://unpkg.com/axios/dist/axios.min.js"></script>
<script>
function doSelect(){
let url="http://localhost:9000/sso/resource";
//获取登录后,存储到浏览器客户端的访问令牌
let token=localStorage.getItem("accessToken");
//发送请求时,携带访问令牌
axios.get(url,{headers:{"Authorization":"Bearer "+token}})
.then(function (response){
alert("select ok")
console.log(response.data);
})
.catch(function (e){//失败时执行catch代码块
if(e.response.status==401){
alert("请先登录");
location.href="/login.html";
}else if(e.response.status==403){
alert("您没有权限")
}
console.log("error",e);
})
}
function doUpdate(){
let url="http://localhost:9000/sso/resource";
//获取登录后,存储到浏览器客户端的访问令牌
let token=localStorage.getItem("accessToken");
console.log("token",token);
//发送请求时,携带访问令牌
axios.put(url,"",{headers:{"Authorization":"Bearer "+token}})
.then(function (response){
alert("update ok")
console.log(response.data);
})
.catch(function (e){//失败时执行catch代码块
console.log(e);
if(e.response.status==401){
alert("请先登录");
location.href="/login.html";
}else if(e.response.status==403){
alert("您没有权限")
}
console.log("error",e);
})
}
</script>
</body>
</html>
第二步:打开浏览器进行访问测试(登陆前和登陆后检查点击如下按钮检测结果),例如:
八. 技术摘要应用实践说明
8.1 背景分析
企业中数据是最重要的资源,对于这些数据而言,有些可以直接匿名访问,有些只能登录以后才能访问,还有一些你登录成功以后,权限不够也不能访问.总之这些规则都是保护系统资源不被破坏的一种手段.几乎每个系统中都需要这样的措施对数据(资源)进行保护.我们通常会通过软件技术对这样业务进行具体的设计和实现.早期没有统一的标准,每个系统都有自己独立的设计实现,但是对于这个业务又是一个共性,后续市场上就基于共性做了具体的落地实现,例如Spring Security,Apache shiro,JWT,Oauth2等技术诞生了.
8.2 Spring Security 技术
Spring Security 是一个企业级安全框架,由spring官方推出,它对软件系统中的认证,授权,加密等功能进行封装,并在springboot技术推出以后,配置方面做了很大的简化.现在市场上分布式架构中的安全控制,正在逐步的转向Spring Security。Spring Security 在企业中实现认证和授权业务时,底层构建了大量的过滤器,如图所示:
其中:
图中绿色部分为认证过滤器,黄色部分为授权过滤器。Spring Security就是通过这些过滤器然后调用相关对象一起完成认证和授权操作.
8.3 Jwt 数据规范
JWT(JSON WEB Token)是一个标准,采用数据自包含方式进行json格式数据设计,实现各方安全的信息传输,其官方网址为:https://jwt.io/。官方JWT规范定义,它构成有三部分,分别为Header(头部),Payload(负载),Signature(签名),其格式如下:
xxxxx.yyyyy.zzzzz
8.3.1 Header部分
Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。
{
"alg": "HS256",
"typ": "JWT"
}
上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(简写HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。最后,将这个 JSON 对象使用 Base64URL 算法(详见后文)转成字符串。
8.3.2 Payload部分
Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT规范中规定了7个官方字段,供选用(了解)。
-
iss (issuer):签发人
-
exp (expiration time):过期时间
-
sub (subject):主题
-
aud (audience):受众
-
nbf (Not Before):生效时间
-
iat (Issued At):签发时间
-
jti (JWT ID):编号
除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
这个 JSON 对象也要使用 Base64URL 算法转成字符串。
8.3.3 Signature部分
Signature 部分是对前两部分的签名,其目的是防止数据被篡改。
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。
8.4 Oauth2规范
oauth2定义了一种认证授权协议,一种规范,此规范中定义了四种类型的角色:
1)资源有者(User)
2)认证授权服务器(jt-auth)
3)资源服务器(jt-resource)
4)客户端应用(jt-ui)
同时,在这种协议中规定了认证授权时的几种模式:
1)密码模式 (基于用户名和密码进行认证)
2)授权码模式(就是我们说的三方认证:QQ,微信,微博,。。。。)
3)…
九. 用户行为日志的记录
9.1 系统需求分析
9.1.1 业务描述
用户在sso-resource工程访问我们的资源数据时,获取用户的行为日志信息,然后传递给sso-system工程,将日志信息存储到数据库.
9.1.2 业务架构分析
9.2 系统服务中的日志存储设计
9.2.1 业务描述
本次设计中,系统服务负责将其它服务获取的用户行为日志写入到数据库。
9.2.2 POJO逻辑实现
定义一个Log对象,用于在内存中存储用户行为日志信息,例如:
package com.jt.system.pojo;
import com.baomidou.mybatisplus.annotation.IdType;
import com.baomidou.mybatisplus.annotation.TableField;
import com.baomidou.mybatisplus.annotation.TableId;
import com.baomidou.mybatisplus.annotation.TableName;
import lombok.Data;
import java.io.Serializable;
import java.util.Date;
/*
* 基于此对象封装用户行为日志?何为行为日志?
* 谁在什么时间执行了什么操作,访问了什么方法,传递了什么参数,访问时长是多少.
* 最终状态如何,假如出错了,错误信息是什么
*/
@Data
@TableName("tb_logs")
public class Log implements Serializable {
private static final long serialVersionUID = 3054471551801044482L;
/*自增长id*/
@TableId(type = IdType.AUTO)
private Long id;
/*登录成功后的用户*/
private String username;
/*用户执行的操作*/
private String operation;
/*用户访问了什么方法*/
private String method;
/*访问方法时候传递的参数*/
private String params;
/*访问时长*/
private Long time;
/*客户端ip地址*/
private String ip;
/*访问资源的时间,也可以理解的创建日志的时间*/
@TableField("createdTime")
private Date createdTime;
/*访问资源是否成功*/
private Integer status;
/*假如访问资源失败了,这个error就是异常信息*/
private String error;
}
9.2.3 Dao 逻辑实现
第一步:创建用户行为日志数据层对象,用于处理数据持久化逻辑,例如
package com.jt.system.dao;
import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.jt.system.pojo.Log;
import org.apache.ibatis.annotations.Mapper;
/**
* 用户行为日志数据层对象
*/
@Mapper
public interface LogMapper extends BaseMapper<Log> {
}
第二步:定义单元测试,对数据层方法进行单元测试
package com.jt;
import com.jt.system.dao.LogMapper;
import com.jt.system.pojo.Log;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import java.util.Date;
@SpringBootTest
public class LogMapperTests {
@Autowired
private LogMapper logMapper;
@Test
void testInsert(){
//构建用户行为日志对象(基于此对象存储一些用户行为日志,先用假数据)
Log log=new Log();
log.setUsername("cgb2107");
log.setIp("192.168.100.200");
log.setOperation("查询资源");
log.setMethod("pkg.ResourceController.doSelect");
log.setParams("");
log.setStatus(1);
log.setTime(100L);
log.setCreatedTime(new Date());
//将日志持久化到数据库
logMapper.insert(log);
}
}
9.2.4 Service逻辑实现
第一步:定义日志业务接口,例如:
package com.jt.system.service;
import com.jt.system.pojo.Log;
/**
* 用户行为日志业务逻辑接口定义
*/
public interface LogService {
/**
* 保存用户行为日志.
* @param log
*/
void insertLog(Log log);
//.....
}
第二步:定义日志业务接口实现类,例如:
package com.jt.system.service.impl;
import com.jt.system.mapper.LogMapper;
import com.jt.system.pojo.Log;
import com.jt.system.service.LogService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.scheduling.annotation.Async;
import org.springframework.stereotype.Service;
@Service
public class LogServiceImpl implements LogService {
@Autowired
private LogMapper logMapper;
/*
* 写日志的逻辑,并且希望这个动作通过一个异步线程去执行
* 为什么呢?因为用户不关心底层日志的记录,同时这个线程不占用
* web服务(tomcat)的线程资源
* @Async 注解描述方法时,此方法为一个异步切入点方法,此方法会
* 由一个Spring内置的线程池中的线程调用执行
* 注意:当使用了@Async注解描述方法时,需要使用@EnableAsync注解对项目的启动类
* 或者配置类进行描述,启动异步机制
* */
@Async //加入异步注解后,方法最好不要有返回值
@Override
public void insertLog(Log log) {
logMapper.insert(log);
}
}
9.2.5 Controller 逻辑实现
第一步:定义LogController对象,用于实现日志控制逻辑,例如:
package com.jt.system.controller;
import com.jt.system.pojo.Log;
import com.jt.system.service.LogService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;
@RestController
@RequestMapping("/log")
public class LogController {
@Autowired
private LogService logService;
@PostMapping
public void doInsertLog(@RequestBody Log log){
logService.insertLog(log);
}
}
第二步:启动服务,基于postman进行访问测试,例如:
9.3 资源服务中行为日志操作设计
9.3.1 业务描述
在不修改目标业务方法代码实现的基础之上,访问目标方法时,获取用户行为日志.
9.3.2 Pojo逻辑对象定义
定义日志对象,用户封装获取到的用户行为日志,例如:
package com.jt.resource.pojo;
import lombok.Data;
import java.io.Serializable;
import java.util.Date;
/**
* 基于此对象封装用户行为日志?
* 谁在什么时间执行了什么操作,访问了什么方法,传递了什么参数,访问时长是多少.
*/
@Data
public class Log implements Serializable {
private static final long serialVersionUID = 3054471551801044482L;
private Long id;
private String username;
private String operation;
private String method;
private String params;
private Long time;
private String ip;
private Date createdTime;
private Integer status;
private String error;
}
9.3.3 切入点注解定义
构建一个自定义注解,名字为RequiredLog,后续会基于此注解描述作为切入点,定义切入点方法.例如:
package com.jt.resource.annotation;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
/**
* 定义RequiredLog注解,通过此注解对需要
* 进行日志记录的方法进行描述
*/
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface RequiredLog {
String value() default "";
}
9.3.4 AOP方式获取并记录日志
定义一个日志切面,基于此切面中的通知方法实现用户行为日志的获取和记录
package com.jt.resource.aspect;
import com.jt.resource.annotation.RequiredLog;
import com.jt.resource.pojo.Log;
import com.jt.resource.service.RemoteLogService;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.codehaus.jackson.map.ObjectMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import java.io.IOException;
import java.lang.reflect.Method;
import java.util.Date;
/**
* 自定义用户行为日志切面
*/
@Slf4j
@Aspect
@Component
public class LogAspect {
/*切入点的定义,采用了注解方式的切入点表达式,也就是说使用
* RequiredLog注解描述方法时,被描述的方法就是切入点方法,
* 我们要在这样的方法上进行功能增强-锦上添花。
* 这里的doLog方法,只是启动了承载@Pointcut注解的作用,方法
* 体中不需要写任何内容。
*/
@Pointcut("@annotation(com.jt.resource.annotation.RequiredLog)")
public void doLog(){}
/*
* 通知方法,在方法内可以手动调用目标方法执行链,在执行
* 链执行过程中获取用户行为日志,并进行封装和记录。
* @param jp ProceedingJoinPoint为连接点对象,这个类型对象
* 只能应用在@Around注解描述的方法上,并且可以通过
* 这个连接点对象获取目标方法信息,调用目标方法执行链。
* @return 目标方法(切入点方法)执行结果
* @throws Throwable
*/
@Around("doLog()")
public Object doAround(ProceedingJoinPoint jp)throws Throwable{
long time=-1l;
int status=1;//ok
String error="";
//获取目标方法执行时间
long t1=System.currentTimeMillis();
System.out.println("Before:"+t1);
try {
//调用目标执行链,这个执行链的终端是你的切入点方法
Object result = jp.proceed();
//获取目标方法执行结束的时间
long t2 = System.currentTimeMillis();
System.out.println("After:" + t2);
time=t2-t1;
return result;
}catch (Throwable e){
long t3 = System.currentTimeMillis();
System.out.println("Exception:" + t3);
time=t3-t1;
status=0;
error=e.getMessage();
throw e;
}finally{
//无论目标方法执行是否成功,我们都要记录日志
saveLog(jp,time,status,error);
}
}
private void saveLog(ProceedingJoinPoint jp,long time,int status,String error) throws NoSuchMethodException, IOException {
//1.获取用户行为日志(...)
//1.1获取登录用户名
String username=(String)SecurityContextHolder.getContext()
.getAuthentication()
.getPrincipal();
System.out.println(username.getClass().getName());
//1.2获取当前请求的ip(这个ip需要通过HttpServletRequest对象进行获取)
ServletRequestAttributes requestAttributes =
(ServletRequestAttributes)RequestContextHolder.getRequestAttributes();
String ip=requestAttributes.getRequest().getRemoteAddr();
//1.3获取当前用户的操作
//1.3.1获取目标对象类型(切入点方法所在类的类型)
Class<?> targetCls = jp.getTarget().getClass();
//1.3.2获取目标方法(切入点方法)
//通过连接点对象获取方法签名对象(此对象中包含了目标方法信息)
MethodSignature signature =(MethodSignature) jp.getSignature();
Method targetMethod=
targetCls.getDeclaredMethod(signature.getName(),signature.getParameterTypes());
//1.3.3获取目标方法上的RequiredLog注解
RequiredLog requiredLog =
targetMethod.getAnnotation(RequiredLog.class);
//1.3.4获取注解中定义的操作名
String operation=requiredLog.value();
//1.4获取用户访问了什么方法(全类名+方法名)
String targetMethodName=targetCls.getName()+"."+targetMethod.getName();
//1.5获取执行方法时传递的实际参数
Object[] args = jp.getArgs();
String params=new ObjectMapper().writeValueAsString(args);
//2.封装用户行为日志(Log)
Log userLog=new Log();
//谁
userLog.setUsername(username);
userLog.setIp(ip);
//在什么时间
userLog.setCreatedTime(new Date());
//执行了什么操作
userLog.setOperation(operation);
//访问了什么方法
userLog.setMethod(targetMethodName);
//传递什么参数
userLog.setParams(params);
//耗时是多少
userLog.setTime(time);
//执行状态以及错误信息
userLog.setStatus(status);
userLog.setError(error);
//3.记录用户行为日志(控制台,文件,数据库)
log.debug("log {}",userLog);
}
}
9.3.5 启动服务进行访问测试
依次启动nacos,sso-system,sso-auth,sso-resource,sso-gateway,sso-ui工程服务,然后执行登陆,登陆成功后查询我的资源,检测日志输出。
9.3.6 服务中AOP技术应用原理分析
AOP是一种设计思想,它要实现的功能就是"锦上添花",就是在尽量不修改原有目标方法的基础上,添加一些扩展功能,例如日志的记录,权限的控制,事务的控制,异步任务的执行等等,其应用原理如图所示:
说明:当我们在项目中定义了AOP切面以后,系统启动时,会对有@Aspect注解描述的类进行加载分析,基于切入点的描述为目标类型对象,创建代理对象,并在代理对象内部创建一个执行链,这个执行链中包含拦截器(封装了切入点信息),通知(Around,…),目标对象等,我们请求目标对象资源时,会直接按执行链的顺序对资源进行调用。
9.3.7 Feign 方式将日志传递给系统服务
第一步:确保sso-resource工程中添加了openfeign依赖,例如:
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-openfeign</artifactId>
</dependency>
第二步:确保sso-resource工程的启动上添加了@EnableFeignClients注解,例如:
package com.jt;
@EnableFeignClients
@SpringBootApplication
public class ResourceApplication {
public static void main(String[] args) {
SpringApplication.run(ResourceApplication.class, args);
}
}
第三步:定义日志远程服务调用接口,例如:
package com.jt.resource.service;
import com.jt.resource.pojo.Log;
import org.springframework.cloud.openfeign.FeignClient;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
@FeignClient(value = "sso-system",contextId = "remoteLogService")
public interface RemoteLogService {
@PostMapping("/log")
public void insertLog(@RequestBody Log log);
}
第四步:在LogAspect类中注入RemoteLogService对象,并通过此对象将日志对象传递到sso-system服务
package com.jt.resource.aspect;
import com.jt.resource.annotation.RequiredLog;
import com.jt.resource.pojo.Log;
import com.jt.resource.service.RemoteLogService;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.codehaus.jackson.map.ObjectMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import java.io.IOException;
import java.lang.reflect.Method;
import java.util.Date;
/**
* 自定义用户行为日志切面
*/
@Slf4j
@Aspect
@Component
public class LogAspect {
/*切入点的定义,采用了注解方式的切入点表达式,也就是说使用
* RequiredLog注解描述方法时,被描述的方法就是切入点方法,
* 我们要在这样的方法上进行功能增强-锦上添花。
* 这里的doLog方法,只是启动了承载@Pointcut注解的作用,方法
* 体中不需要写任何内容。
*/
@Pointcut("@annotation(com.jt.resource.annotation.RequiredLog)")
public void doLog(){}
/*
* 通知方法,在方法内可以手动调用目标方法执行链,在执行
* 链执行过程中获取用户行为日志,并进行封装和记录。
* @param jp ProceedingJoinPoint为连接点对象,这个类型对象
* 只能应用在@Around注解描述的方法上,并且可以通过
* 这个连接点对象获取目标方法信息,调用目标方法执行链。
* @return 目标方法(切入点方法)执行结果
* @throws Throwable
*/
@Around("doLog()")
public Object doAround(ProceedingJoinPoint jp)throws Throwable{
long time=-1l;
int status=1;//ok
String error="";
//获取目标方法执行时间
long t1=System.currentTimeMillis();
System.out.println("Before:"+t1);
try {
//调用目标执行链,这个执行链的终端是你的切入点方法
Object result = jp.proceed();
//获取目标方法执行结束的时间
long t2 = System.currentTimeMillis();
System.out.println("After:" + t2);
time=t2-t1;
return result;
}catch (Throwable e){
long t3 = System.currentTimeMillis();
System.out.println("Exception:" + t3);
time=t3-t1;
status=0;
error=e.getMessage();
throw e;
}finally{
//无论目标方法执行是否成功,我们都要记录日志
saveLog(jp,time,status,error);
}
}
private void saveLog(ProceedingJoinPoint jp,long time,int status,String error) throws NoSuchMethodException, IOException {
//1.获取用户行为日志(...)
//1.1获取登录用户名
String username=(String)SecurityContextHolder.getContext()
.getAuthentication()
.getPrincipal();
System.out.println(username.getClass().getName());
//1.2获取当前请求的ip(这个ip需要通过HttpServletRequest对象进行获取)
ServletRequestAttributes requestAttributes =
(ServletRequestAttributes)RequestContextHolder.getRequestAttributes();
String ip=requestAttributes.getRequest().getRemoteAddr();
//1.3获取当前用户的操作
//1.3.1获取目标对象类型(切入点方法所在类的类型)
Class<?> targetCls = jp.getTarget().getClass();
//1.3.2获取目标方法(切入点方法)
//通过连接点对象获取方法签名对象(此对象中包含了目标方法信息)
MethodSignature signature =(MethodSignature) jp.getSignature();
Method targetMethod=
targetCls.getDeclaredMethod(signature.getName(),signature.getParameterTypes());
//1.3.3获取目标方法上的RequiredLog注解
RequiredLog requiredLog =
targetMethod.getAnnotation(RequiredLog.class);
//1.3.4获取注解中定义的操作名
String operation=requiredLog.value();
//1.4获取用户访问了什么方法(全类名+方法名)
String targetMethodName=targetCls.getName()+"."+targetMethod.getName();
//1.5获取执行方法时传递的实际参数
Object[] args = jp.getArgs();
String params=new ObjectMapper().writeValueAsString(args);
//2.封装用户行为日志(Log)
Log userLog=new Log();
//谁
userLog.setUsername(username);
userLog.setIp(ip);
//在什么时间
userLog.setCreatedTime(new Date());
//执行了什么操作
userLog.setOperation(operation);
//访问了什么方法
userLog.setMethod(targetMethodName);
//传递什么参数
userLog.setParams(params);
//耗时是多少
userLog.setTime(time);
//执行状态以及错误信息
userLog.setStatus(status);
userLog.setError(error);
//3.记录用户行为日志(控制台,文件,数据库)
log.debug("log {}",userLog);
remoteLogService.insertLog(userLog);
}
/*
* Feign接口,通过此接口将用户日志对象传递给system工程。
*/
@Autowired
private RemoteLogService remoteLogService;
}
第五步:依次启动服务进行访问测试。
十. 总结(Summary)
10.1 核心知识点
- 单点登录系统诞生的背景。
- Java中单点登录系统解决方案。
- 单点登录系统(SSO)中的服务划分及关系设计。
- 单点登录系统中父工程的创建及初始化。
- 系统基础服务(sso-system)工程的创建及基本业务实现。
- 定义数据访问逻辑对象(UserMapper)
- 定义用户信息远程调用Feign接口(RemoteUserService~基于此接口调用sso-system服务中的用户信息)
- 基于Security规范定义用户业务逻辑服务对象(UserDetailsServiceImpl~调用RemoteUserService获取和封装用户信息)
- 定义用户认证基本配置类(SecurityConfig~配置密码加密对象,认证规则,以及登录成功或失败的处理方案)
- 实现自定义登录逻辑测试(校验登录正确账号和错误账户下服务端的响应结果)
- 熟悉SpringSecurity的认证流程?(Client->Filters->AuthenticationManager–>UserDetailService->…)
- 认证服务器(sso-auth)中Token设计(UUID令牌,JWT令牌)
- 认证服务器(sso-auth)中Oauth2规范基本配置(认证入口,为谁认证,由谁认证,认证后颁发什么令牌)
- 基于Postman进行认证测试?(请求方式,请求url,认证参数)
- 资源服务器(sso-resource)核心业务分析及认证,授权规则设计及实现(匿名,认证,授权)
- SSO系统中网关服务器(sso-gateway)实现路由转发,跨域设计,负载均衡,限流。
- SSO系统中UI工程中页面设计(Bootstrap+VUE+axios)及请求响应代码分析(200,401,403)。
- SSO系统中用户访问资源时,记录用户行为到数据库
10.2 常见问题分析
- 为什么要做单点登录设计?(业务简化,代码复用,不需要每个服务都登录一次)
- 你知道哪些SSO系统解决方案?(基于用户登录状态信息的存储进行方案设计)
- 单点登录系统中你的服务是如何设计的,工程结构是怎样的?
- 项目中使用的连接池什么?(HikariCP)
- Java中连接池设计需要遵循的数据源规范是谁?(javax.sql.DataSource)
- 连接池这块你能想到的设计模式有哪些?(单例,享元,桥接,slf4j门面)
- 为什么定义RemoteUserService 接口(Feign)?(基于此接口调用远程sso-system服务)
- sso-auth服务中用户业务数据的获取在哪里?(客户端提交的用户名,sso-system服务提供的数据库数据)
- 为什么要构建SecurityConfig对象?(配置加密算法,认证规则)
- 为什么要让SecurityConfig类要继承WebSecurityConfigurerAdapter类型?(重写默认的认证规则)
- 认证过程中使用的密码加密对象是谁?(BCryptPasswordEncoder,不可逆加密对象)
- 用户登录时,需要从数据库查询哪些信息?(用户信息以及用户的权限信息)
- 单体架构中的用户的状态的存储是如何实现的?(了解,默认是存储到了tomcat的session对象中)
-
JWT是什么?(是JSON WEB TOKEN这几个单词的缩写,描述的是web应用的一种令牌格式)
-
JWT有几部分构成?(头:令牌类型,签名算法,负载:允许包含用户登录状态 ,签名:防止令牌被篡改)
-
为什么要采用JWT令牌?(可以存储用户登录状态信息,避免访问资源时从数据库查询认证信息)
-
基于Oauth2协议的认证服务器默认的令牌生成策略是什么?(UUID.randomUUID())
-
认证服务器中常见令牌相关设计存储方案有哪些?(Mysql,Redis,Jwt)
-
认证服务器对用户进行认证时,客户端提交了哪些关键信息?
(username,password,client_id,grant_type,client_secret)
-
认证服务器完成认证操作后,服务端返回哪些信息?(访问令牌,刷新令牌,令牌类型,作用域,编号)
-
认证服务器中完成认证业务的关键对象有哪些?(Filter,AutenticationManager,UserDetailService,.)
-
资源服务器如何设计的认证,授权规则?(三个维度:匿名,登录,授权)
-
访问令牌与刷新令牌有什么不一样?(客户端是要携带访问令牌访问资源的,刷新令牌是为了再次生成访问令牌)
-
访问令牌,刷新令牌有有效时长吗?(刷新令牌有效时长一般要大于访问令牌有效时长)
-
网关服务器在哪里做了负载均衡(lb://)?
-
为什么网关层面要做跨域设计?(Ajax技术不支持跨域请求,将所有服务的跨域共性提取到网关层面)
-
UI工程中用户端如何提交ajax请求的?(axios,底层ajax对象为XMLHttpRequest)
-
System工程中如何记录用户行为日志的?(通过异步方式将日志写到数据库,@EnableAsync,@Async)
-
系统工程中的用户行为日志来自哪里?(资源服务器,此服务器记录用户访问资源的一些信息)
-
资源服务器通过什么样的方式获取用户行为信息?(AOP)
10.3 常见Bug分析
- MySql指令不可用,例如:
- 项目启用异常,提示有多个@SpringBootConfiguration注解描述的类,例如:
- 连接数据库的url中时区定义有问题,例如:
- NullPointerExeption 异常分析?
- 数据库依赖问题,例如:
- 没有PasswordEncoder对象,例如:
- 远程调用服务404异常,例如:
- 远程调用服务没启动或服务名不正确,例如
- 基于postman登录测试时404异常,例如:
- 服务名的定义和使用不规范,例如:
- Feign接口依赖注入异常,例如:
- NullPointerException,例如
- 客户端传参不匹配,例如:
- AuthenticationManager对象没有配置(SecurityConfig),例如:
- 响应的令牌不正确,例如:
- 400异常,例如
- 请求方式不正确,例如
- 访问地址错误,例如:
- 400异常,请求参数不合法(参数个数,类型,格式)。
- 401异常,认证失败?(提交的数据不正确)
- 403异常,没有资源访问权限?(说明用户为已认证用户,但是没有资源的访问权限)
- 415异常,数据协议有问题?(比方说,你要json数据,但是数据格式定义的是text)
- 调用的服务没有启动,例如:
- 503异常,例如