网关登录授权实战

最新推荐文章于 2024-08-18 22:50:37 发布
最新推荐文章于 2024-08-18 22:50:37 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: Spring实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1342772/article/details/112635804
版权
本文档详细介绍了使用图形验证码进行用户登录验证的过程,包括生成验证码并存储到Redis,设置Cookie,携带验证码登录,验证码校验,验证用户名和密码,以及生成JWT令牌并保存到Redis和MySQL。此外,还阐述了携带令牌路由转发访问资源的步骤,涉及Nginx配置、服务存在性检查、令牌验证和授权,以及权限校验和请求转发。
摘要由CSDN通过智能技术生成

1 用户名和密码登录获取token

1.1 获取验证码

(1)生成图形验证码,将图形验证码保存到redis(key,value)

public Result<AcCaptchaOutDTO> generateCaptcha() throws ServiceException {
    try {
        AcCaptchaDTO acCaptchaDTO = this.acCaptchaProcessor.generate();
        ByteArrayOutputStream bout = new ByteArrayOutputStream();
        ImageIO.write(acCaptchaDTO.getImage(), "png", bout);
        bout.close();
        String uuid = AcToolUtils.getUUID();
        this.acCacheProvider.getAcCacheDao().set("VerifyCaptcha:" + uuid, acCaptchaDTO.getCode(), this.acCaptchaProperties.getValidSecond());
        AcCaptchaOutDTO acCaptchaOutDTO = new AcCaptchaOutDTO();
        acCaptchaOutDTO.setCaptchaKey(uuid);
        acCaptchaOutDTO.setImgByteArray(bout.toByteArray());
        return Result.success(acCaptchaOutDTO);
    } catch (Exception var5) {
        this.logger.error("生成图形验证码失败", var5);
        throw new ServiceException("56000081", this.getMessage("56000081"));
    }
}

(2)将验证码对应的key只保存到cookie中

public Result<AcCaptchaOutDTO> captcha(HttpServletResponse response) {
    try {
        Result<AcCaptchaOutDTO> captchaResult = acCaptchaService.generateCaptcha();
        Cookie cookie = new Cookie("VerificationCode", captchaResult.getData().getCaptchaKey());
        cookie.setMaxAge(1800);
        cookie.setSecure(cwosPlatformProperties.getHttpsEnable());
        cookie.setPath("/" + rootPath + "/portal/account");
        response.addCookie(cookie);
        return Result.success(captchaResult.getData());
    } catch (ServiceException e) {
        return Result.fail(e.getCode(), e.getMessage());
    } catch (Exception e) {
        logger.error("获取验证码失败,原因:", e);
        return Result.fail(AuthRespCodeEnum.RESPONSE_GET_CAPTCHA_FAIL.getCode(),
                AuthRespCodeEnum.RESPONSE_GET_CAPTCHA_FAIL.getMessage());
    }
}

1.2 携带验证码登录

(1)验证码的key赋值给request的参数

private boolean setCaptchaKey(LoginParam param, HttpServletRequest request) {
    Cookie[] cookies = request.getCookies();
    String srcUuid = null;
    if (cookies != null) {
        for (Cookie cookie : cookies) {
            if (CAPTCHA_COOKIE_NAME.equals(cookie.getName())) {
                srcUuid = cookie.getValue();
                break;
            }
        }
    }
    if (StringUtils.isBlank(srcUuid)) {
        return true;
    }
    param.setCaptchaKey(srcUuid);
    return false;
}

(2) 验证码校验

if (!StringUtils.isBlank(captchaKey) && !StringUtils.isBlank(verifyCode)) {
    String captcha = this.acCacheProvider.getAcCacheDao().get("VerifyCaptcha:" + captchaKey);
    this.acCacheProvider.getAcCacheDao().remove("VerifyCaptcha:" + captchaKey);
    if (!StringUtils.isBlank(captcha) && captcha.equalsIgnoreCase(verifyCode)) {
        UserResultDTO userResult = null;
        boolean needLdap = this.needLdapLogin(loginParam);
        if (needLdap) {
            userResult = this.ldapLogin(loginParam);
            if (null == userResult) {
                this.logger.error("ldap登录返回信息为空");
                throw new ServiceException("56000036", this.getMessage("56000036"));
            }
        }
}

(3)验证用户名和密码

AcAccount acAccount = this.acAccountMapper.login(loginParam.getLoginName(), businessId);
if (acAccount == null) {
    if (!needLdap) {
        throw new ServiceException("56000043", this.getMessage("56000043"));
    }
    acAccount = new AcAccount();
    acAccount.setStatus(AcStatusEnum.STATUS_VALID.getCode());
    acAccount.setId(AcToolUtils.getUUID());
    acAccount.setBusinessId("");
    acAccount.setLoginName(userResult.getAccountName());
    acAccount.setEmail(userResult.getEmail());
    acAccount.setPassword(loginParam.getPassword());
    acAccount = AcEncryptUtils.encryptPassword(acAccount);
    this.acAccountMapper.insertSelective(acAccount);
}
if (!this.ldapProperties.isLogin()) {
    String pwdEncrypt = AcEncryptUtils.encryptPassword(loginParam.getPassword(), acAccount.getSalt());
    if (!acAccount.getPassword().equals(pwdEncrypt)) {
        throw new ServiceException("56000045", this.getMessage("56000045"));
    }
}
acAccount.setUserResult(userResult);
return acAccount;

(4)生成token 并保存到redis和mysql

public String generate(String key, String claims, long accessTokenExp, long refreshTokenExp) {
    TokenInfoDO tokenInfoDO = new TokenInfoDO();
    JSONObject jsonObject = JSON.parseObject(claims);
    if (jsonObject.containsKey("deviceId")) {
        tokenInfoDO = (TokenInfoDO)JSON.parseObject(claims, TokenInfoDO.class);
        JSONObject claimsObject = new JSONObject();
        claimsObject.put("deviceId", jsonObject.get("deviceId"));
        claimsObject.put("apiKey", jsonObject.get("apiKey"));
        claimsObject.put("generateTime", System.currentTimeMillis());
        claims = claimsObject.toJSONString();
    }
    String accessToken = this.createToken(claims, 1);
    String refreshToken = this.createToken(claims, 2);
    tokenInfoDO.setAccessToken(accessToken);
    tokenInfoDO.setRefreshToken(refreshToken);
    tokenInfoDO.setAccessTokenExp(accessTokenExp);
    tokenInfoDO.setRefreshTokenExp(refreshTokenExp);
    tokenInfoDO.setRefreshed(false);
    String result = JSON.toJSONString(tokenInfoDO);
    String tokenKey = String.format("JWTToken:%s", key);
    String refreshTokenKey = String.format("JWTRefreshToken:%s", key);
    return this.tokenDao.set(tokenKey, result, refreshTokenExp) && this.tokenDao.set(refreshTokenKey, result, refreshTokenExp) ? result : null;
}

在这里插入图片描述

2 携带token路由转发访问资源

2.1 nginx配置

将访问服务的路径路由到网关

2.2 检测服务是否存在

网关通过服务名称去查找服务,因此,先要判断服务是否存在。

/**
* 获取服务配置
* @param requestUrl
* @param requestContext
* @return
*/
protected ServiceConfig getServiceConfig(String requestUrl, RequestContext requestContext) {
    // 请求地址为空
    if (StringUtils.isEmpty(requestUrl)) {
        return null;
    }
    if (requestUrl.startsWith("/zuul/")) {
        requestUrl = requestUrl.replace("/zuul/", "");
    }
    int start = 0;
    if (requestUrl.startsWith(ZuulFilterConstant.URL_SLASH)) {
        start = 1;
    }
    int sIndex = requestUrl.indexOf(ZuulFilterConstant.URL_SLASH, start);
    if (sIndex == -1) {
        sIndex = requestUrl.length();
    }
    // 服务别名
    String alias = requestUrl.substring(start, sIndex);
    // 获取微服务配置
    ServiceConfig serviceConfig = serviceConfigServiceImpl.getCacheByAlias(alias);
    if (serviceConfig != null) {
        // 设置请求上下文,和请求路径
        String path = requestUrl.substring(sIndex);
        serviceConfig.setPath(path);
    }
    return serviceConfig;
}

2.3 认证token及授权

(1) 解析token
在保存token的时候,封装了用户ID等信息,现在要把用户ID取出来了。

private AcClaimsDTO getIdByAccessToken(String accessToken) throws ServiceException {
    String claimsByToken = "";
    try {
        claimsByToken = (String)this.tokenProvider.getClaimsByToken(accessToken);
        AcClaimsDTO json = (AcClaimsDTO)JSON.parseObject(claimsByToken, AcClaimsDTO.class);
        String tokenKey = String.format("login:%s:%s", json.getSource(), json.getId());
        if (!StringUtils.isEmpty(claimsByToken) && !StringUtils.isBlank(this.tokenProvider.verify(accessToken, tokenKey, 1))) {
            return json;
        } else {
            throw new ServiceException("56000078", this.getMessage("56000078"));
        }
    } catch (ExpiredJwtException var5) {
        this.logger.info("token取对象异常,过期", var5);
        throw new ServiceException("56000077", this.getMessage("56000077"));
    } catch (ServiceException var6) {
        throw var6;
    } catch (Exception var7) {
        this.logger.info("token取对象异常,无效", var7);
        throw new ServiceException("56000066", this.getMessage("56000066"));
    }
}

(2)根据用户ID获取查询用户信息

Result<List<UserQueryResult>> Result = userManagerService.query(userQueryParam, context);
if (Result == null || CollectionUtils.isEmpty(Result.getData())) {
    return Result.fail(AuthRespCodeEnum.RESPONSE_USER_GET_FAIL.getCode(),
            AuthRespCodeEnum.RESPONSE_USER_GET_FAIL.getMessage());
}
UserQueryResult user = Result.getData().get(0);

(3)获取存储的token的key值(存到redis和数据库中了)

String loginTokenKey = String.format(RedisConstant.LOGIN_TOKEN_KEY, LoginSourceEnum.WEB.getCode(), user.getId());
String value = cacheService.get(loginTokenKey);
if (value == null) {
    value = cacheService.getDB(loginTokenKey);
}
JwtTokenCacheResult jwtTokenCacheResult = JSON.parseObject(value, JwtTokenCacheResult.class);
if (jwtTokenCacheResult == null) {
    loginTokenKey = String.format(RedisConstant.LOGIN_TOKEN_KEY, LoginSourceEnum.APP.getCode(), user.getId());
    value = cacheService.get(loginTokenKey);
    if (value == null) {
        value = cacheService.getDB(loginTokenKey);
    }
    jwtTokenCacheResult = JSON.parseObject(value, JwtTokenCacheResult.class);
    if (jwtTokenCacheResult == null) {
        return Result.fail(AuthRespCodeEnum.RESPONSE_50001224.getCode(), AuthRespCodeEnum.RESPONSE_50001224.getMessage());
    }
}

(4)判断token是否过期

if (cacheService.getExpireTime(loginTokenKey) < EXPIRE_LEFT_TIME) {
    cacheService.extendExpireTime(loginTokenKey, EXTEND_EXPIR_TIME);
}

(5)验证当前用户是否有访问当前API的权限
先根据用户userId查询用户角色,再通过角色查询用户拥有的资源,判断用户是否拥有该接口的使用权限

private List<ApiResult> getApiList(UserApiQueryParam param, CallContext context) throws ServiceException {
    List<ApiResult> apiList = null;
    UserRoleQueryParam userRoleQueryParam = new UserRoleQueryParam();
    userRoleQueryParam.setUserId(param.getUserId());
    List<RoleInfoResult> roleList = this.roleService.queryByUserId(userRoleQueryParam, context);
    List<String> roleIds = Collections3.extractToList(roleList, "id");
    List<ResourceTreeResult> resourceList = null;
    if (!CollectionUtils.isEmpty(roleIds)) {
        RoleResQueryParam roleResQueryParam = new RoleResQueryParam();
        roleResQueryParam.setRoleIds(roleIds);
        resourceList = this.resourceService.queryByRoleIds(roleResQueryParam, context);
        List<ResourceTreeResult> resourceList = CollectionUtils.isEmpty(resourceList) ? new ArrayList() : resourceList;
        List<String> resourceIds = Collections3.extractToList((Collection)resourceList, "id");
        param.setUserId(param.getUserId());
        param.setRoleIds(roleIds);
        param.setResourceIds(resourceIds);
        apiList = this.apiService.queryByRoleIdsAndResourceIds(param, context);
    }
    if (null == apiList) {
        apiList = new ArrayList();
    }
    if (this.rbacApplicationEnabled) {
        List<ApiResult> list = this.apiService.queryByUserIdWithApplication(param);
        if (!CollectionUtils.isEmpty(list)) {
            ((List)apiList).addAll(list);
        }
    }
    return Lists.newArrayList(Sets.newHashSet((Iterable)apiList));
}

@ParamsValidate
public Result<Boolean> auth(UserApiAuthParam param, CallContext context) throws ServiceException {
    ApiQueryDTO apiQueryDTO = new ApiQueryDTO();
    apiQueryDTO.setUri(param.getUrl());
    apiQueryDTO.setExt1(ApiAuthTypeEnum.COMMON.getCode());
    List<Api> commonApiList = this.apiMapper.query(apiQueryDTO);
    if (null != commonApiList && !commonApiList.isEmpty()) {
        return Result.success(true);
    } else {
        UserApiQueryParam userApiQueryParam = new UserApiQueryParam();
        userApiQueryParam.setUserId(param.getUserId());
        List<ApiResult> apiList = this.getApiList(userApiQueryParam, context);
        Boolean authFlag = false;
        Iterator var8 = apiList.iterator();


        while(var8.hasNext()) {
            ApiResult item = (ApiResult)var8.next();
            if (this.matchUrl(item.getUri(), param.getUrl())) {
                authFlag = true;
                break;
            }
        }
        return Result.success(authFlag);
    }
}

在这里插入图片描述

2.4 请求转发

private void preContext(String serviceId, String path, RequestContext requestContext, JSONObject param) {
    String serviceCode = null;
    String deviceId = null;
    if (null != param && null != param.get("json_content")) {
        JSONObject jsonContent = JSONObject.parseObject(param.get("json_content").toString());
        if (null != jsonContent && null != jsonContent.get("device_id") && StringUtils.isNotEmpty(jsonContent.get(
                "device_id").toString())) {
            deviceId = jsonContent.get("device_id").toString();
            CwGeDevice device = DeviceService.getCacheByDeviceCode(deviceId);
            if (device != null) {
                serviceCode = device.getServiceCode();
            }
        }
    }
    UrlForward urlForward = urlForwardServiceImpl.getCacheByUrl(path, serviceCode);
    if (urlForward != null) {
        serviceId = urlForward.getServiceId();
    }
    /*if ("/device/node/recordUploadCompare".equals(path) || "/device/node/pictureRecordUpload".equals(path)) {
        serviceId = "davinci-vip";
    }*/
    log.debug("网关转发服务:serviceID=" + serviceId + ";path=" + path + ";deviceId=" + deviceId + ";serviceCode=" + serviceCode);
    requestContext.set(FilterConstants.SERVICE_ID_KEY, serviceId);
    requestContext.set(FilterConstants.RETRYABLE_KEY, true);
    requestContext.set(FilterConstants.REQUEST_URI_KEY, path);
}

在这里插入图片描述

鬼灭之刃
关注
专栏目录
SpringCloud Alibaba微服务实战二十八 - 网关授权VS微服务授权
飘渺Jam的博客
03-09 1440
在SpringCloud架构中,实现授权功能有两种实现方式:在网关层进行授权由后端微服务自己授权两种方式在此系列文章中都有实现方案,那么问题来了:哪种才是最优方案,哪种方案更合理呢?很抱歉...
使用网关和Spring Security进行认证和授权
热门推荐
weixin_44976692的博客
07-16 1万+
网关是微服务架构中的一个重要组件,它充当系统的入口,负责请求的路由、负载均衡、限流、熔断、日志记录等功能。通过网关,可以实现对外部请求的统一管理和控制,提高系统的安全性和可维护性。Spring Security是一个功能强大且高度可定制的安全框架,专为Java应用提供认证和授权服务。它可以与各种身份验证机制(如LDAP、OAuth2、JWT)集成,提供全面的安全解决方案。
简单的登录网关
明耀的博客
11-03 1417
package com.hikari.cloud.zuul.filter; import com.alibaba.fastjson.JSON; import com.hikari.cloud.base.entity.BaseResult; import com.hikari.cloud.base.entity.ReturnCode; import com.hikari.cloud.zuul.service.LoginFilterService; import com.netflix.zuul.ZuulFi
网关登录校验
m0_60301012的博客
06-25 738
GatewayFilter:路由过滤器,作用于任意指定的路由;默认不生效,要配置到路由后生效。GlobalFilter:全局过滤器,作用范围是所有路由;声明后自动生效。
网关的鉴权与授权:实现安全的API访问控制
程序员光剑
12-29 1510
1.背景介绍 API(Application Programming Interface,应用编程接口)是一种软件组件提供给其他软件组件使用的一种接口,它定义了如何访问某个功能或者数据集。API 提供了一种标准的方式来访问和操作数据,使得不同的系统和应用程序可以相互通信和协作。 随着微服务架构的普及,API 成为了企业内部和外部系统之间交互的主要方式。然而,随着 API 的增多,API 安全也...
BeetleX服务网关授权配置
dotNET跨平台
02-25 209
很多应用服务都需要授权访问,为了更好地统一处理这种授权验证,服务网关提供了JWT验证插件用于解决这问题。网关的JWT验证插件默认是关闭的,只有当开启后网关才会对请求进行拦截...
网关的安全认证与授权:如何实现网关的身份验证与授权功能
程序员光剑
12-15 1326
1.背景介绍 随着互联网的不断发展,网关在互联网应用中的重要性日益凸显。网关作为一种特殊的服务器,它位于网络的边缘,负责处理来自不同网络的请求,并将其转发到适当的服务器上。在这个过程中,网关需要对请求进行身份验证和授权,以确保网络安全。 身份验证是一种验证过程,用于确认用户或系统是否具有特定的身份。授权是一种访问控制机制,用于确定用户是否具有访问特定资源的权限。在网关中,身份验证和授权是两个重...
API网关Kong实战(水印).pdf
07-29
需要创建Linux和PostgreSQL用户kong,并建立同名的数据库及授权。 2. 通过RESTful Admin API进行Kong的配置和管理。 3. Kong的集群节点间会通过gossip协议自动发现其他节点,并在管理API变更时通知其他节点。 在...
乐购商城微服务项目实战网关与OAuth2授权详解
qq_57469718的博客
05-25 938
SpringCloud、微服务项目实战、gateway网关、OAuth2授权、加密算法、限流算法
AI系统API网关原理与代码实战案例讲解
程序员光剑
06-24 459
AI系统API网关原理与代码实战案例讲解 1.背景介绍 在现代分布式系统中,API网关作为一个重要的组件,起到了至关重要的作用。它不仅仅是一个简单的请求路由器,更是一个集成了安全、负载均衡、缓存、监控等多种功能的综合性服务。特别是在AI系统中,API网关的作用尤为重要,因为AI系统通
11-OAuth2.0实战网关层统一认证授权
码猿技术专栏
03-20 2715
上一节介绍了认证中心,这节介绍下网关如何集成认证中心实现网关的统一认证授权。 木谷博客系统的整个认证授权架构设计如下图: 网关在这里的主要功能就是6-8这三步: 校验token:对令牌的过期时间、签名进行校验 鉴权:对令牌的权限进行校验 转发:解析令牌中的相关信息,通过请求头加密转发给下游微服务 检验TOKEN 对令牌的有效性进行校验,只需要实现ReactiveAuthenticationManager这个接口,其中authenticate进行校验,主要逻辑:根据tokenStore解析JWT令牌,然
Captcha_breaker
08-13
Captcha breaker can identify the number in captcha image and label them.CNN was trained on custom dataset made out of captcha image
网关,图形验证码登录功能实现
在这个地方会介绍一些前端和后端的开发内容,暂时以springBoot和Vue为主。
07-11 403
网关,图片验证码,登录
java登陆器网关_登录功能中使用(Eureka注册中心+Zuul网关+过滤器+JWT生产Token)整合...
weixin_28983061的博客
02-25 407
一, 首先创建项目,分对应模块 整体架构图 二, 在公共工具中导入pom.xml依赖(包含JWT相应依赖),org.springframework.bootspring-boot-starter-testorg.projectlomboklombok1.16.20commons-beanutilscommons-beanutils1.9.3io.jsonwebtokenjjwt0.9.0joda-...
微服务:网关路由和登录校验
最新发布
安晴晚风的博客
08-18 1403
微服务:网关路由和登录校验
阿里api网关接口创建、发布、授权、调试
a704397849的博客
04-20 5333
阿里api网关接口创建、发布、授权、调试 下面会出现关于签名认证和阿里云api认证的概念以及认证方式的选择,如果这些还不是很清楚的可以看下我的上篇文章: 《阿里云api网关的认证方式介绍以及选择》https://blog.csdn.net/a704397849/article/details/89413904 本篇会介绍创建3个典型接口: app用户账号密码登录 ,认证方式: OpenID Con...
Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权
qq_43649937的博客
01-23 3558
Gateway OAuth2.0
应用网关授权回调地址怎么配置
qq_36659409的博客
07-16 1万+
1.说明: 我们在创建应用以后在应用的概览中看到应用网关授权回调地址不知道该怎么使用(如下图2.概念:应用网关:用于接收由支付宝服务器通知。使用接口:生活号接口和口碑门店被动通知注意:如果您现在开发的接口不是生活号,口碑开店,请勿配置应用网关,如果已经配置可以删除或者不管也不会对您开发的接口有任何影响;可以不用配置,不影响审核。授权回调地址:顾名思义仅用于授权接口。使用接口第三方应用授权和用户信...
微服务架构-服务网关(Gateway)-权限认证(分布式session替代方案)
姜皓的博客
04-10 2496
这一节我们就探讨一下Gateway在分布式环境中的一个具体用例-用户鉴权
SpringCloud-Zuul实战:打造高效服务网关
4. **安全性**:提供认证、授权等安全控制,保护内部微服务不受恶意攻击。 要创建一个基本的Zuul服务网关,我们需要: 1. **创建项目**:建立一个新的SpringBoot项目。 2. **添加依赖**:在`pom.xml`文件中引入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值