《应用拆分与平台搭建最佳实践》- 服务化的权限

最新推荐文章于 2021-08-07 09:50:28 发布
最新推荐文章于 2021-08-07 09:50:28 发布
阅读量476 收藏
点赞数
分类专栏: 应用拆分与平台搭建最佳实践 文章标签: 应用拆分
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a7178077/article/details/76576569
版权

《应用拆分与平台搭建最佳实践》- 服务化的权限


服务化的权限,也就是权限接口服务化。应用拆分之后,每个应用访问都需要经过授权处理。
授权处理的方式有多种

第一种  基于请求转发的方式

第二种  基于配置权限过滤器,调用远程接口check权限


笔者这里选择第二种方式,第一种方式权限过于集中化,对负载的要求很高。第二种服务化的方式更扁平,应用可以自行决定白名单管理,也可以通过权限平台提供的白名单,仁者见仁。

笔者这里使用的架构是基于spring cloud的方案,所以需要eureka这样肥服务发现系统。


如上图,在eureka上注册的机器一共有4台,login临时充当授权系统,其他为常规子系统。

以www为例,如何使用spring cloud fegin远程调用

首先我们需要配置fegin maven依赖 
<!-- 远程调用 -->
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-feign</artifactId>
    <version>1.3.2.RELEASE</version>
</dependency>


然后在login应用中添加权限接口 
/**
 *
 * 权限远程调用接口
 *
 * Created by xiaotian.shi on 2017/7/28.
 */
@Controller
public class AuthFeginController {

    private Logger logger = LoggerFactory.getLogger(LoginController.class);

    @Autowired
    private AuthService authService;

    @Value("${app.server.hosts}")
    private String appServer;


    @RequestMapping(value = {"/auth"}, method={RequestMethod.POST})
    @ResponseBody
    public boolean check(
            @RequestParam("loginId") String loginId,
            @RequestParam("target") String target
    ) {

        logger.info("账号访问{} 目标 {}", loginId, target);

        Map<String, List<String>> data = authService.getAuthData();
        if(StringUtils.isEmpty(target)) {
            return false;
        }

        URL targetUrl = null;

        try {
            targetUrl = new URL(target);
        } catch (MalformedURLException e) {

            return false;

        }

        List<String> urlList = data.get(loginId);

        if(CollectionUtils.isEmpty(urlList)) {
            return false;
        }

        boolean isPass = false;

        for(String passUrl : urlList) {

            if(targetUrl.equals(passUrl)) {
                isPass = true;
            }

        }

        return isPass;

    }

    @RequestMapping(value = {"/auth/host"}, method={RequestMethod.POST})
    @ResponseBody
    public String getAuthHost() {

        return appServer;

    }

}

其中一共2个接口,一个权限check,一个获取权限系统的域名地址,当然权限系统复杂可以提供更加复杂的权限接口。


使用权限数据的一方(www) 
/**
 * Created by xiaotian.shi on 2017/7/28.
 */
// 指定远程服务器名称
@FeignClient("xiaotian-login")
public interface PlatAuthClient {

    /**
     *
     * 检查是否有访问权限
     *
     * @param loginId 登陆账号
     * @param target 访问目标
     * @return
     */
    @RequestMapping(value = "/auth", method={RequestMethod.POST})
    boolean check(@RequestParam("loginId") String loginId, @RequestParam("target") String target);

    /**
     *
     * 获取权限服务器地址
     *
     * @return
     */
    @RequestMapping(value = {"/auth/host"}, method={RequestMethod.POST})
    public String getAuthHost();

}


权限拦截器 
**
 * Created by xiaotian.shi on 2017/7/15.
 */
public class PlatAuthInterceptor implements HandlerInterceptor {

    private final Logger logger = LoggerFactory.getLogger(this.getClass());

    private String loginServer;

    @Autowired
    private PlatAuthClient authClient;

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        // 登陆的对象
        LoginUser loginUser = null;

        // 获取会话
        HttpSession session = request.getSession();

        Object loginUserObject = session.getAttribute("loginUser");

        // 获取请求地址
        String url = request.getRequestURL().toString();

        String redirectUrl = this.getLoginServer() +"?redirect=" + url ;


        loginUser = (LoginUser) loginUserObject;

        // 有当前页面权限则通过 没有权限跳转到无权限页面
        boolean result = authClient.check(loginUser.getUsername(), url);

        if(result) {
            return true;
        } else {

            // 返回没有权限的信息,这里的实现,
            response.sendRedirect(this.getLoginServer() + "/error401");
            return false;
        }


    }

    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }

    private String getLoginServer() {

        if(StringUtils.isEmpty(loginServer)) {
            loginServer = authClient.getAuthHost();
        }

        return loginServer;

    }

}

会话拦截器 
/**
 * Created by xiaotian.shi on 2017/7/15.
 */
public class PlatSessionInterceptor implements HandlerInterceptor {

    private final Logger logger = LoggerFactory.getLogger(this.getClass());

    private String loginServer;

    @Autowired
    private PlatAuthClient authClient;

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        // 登陆的对象
        LoginUser loginUser = null;

        // 获取会话
        HttpSession session = request.getSession();

        Object loginUserObject = session.getAttribute("loginUser");

        // 获取请求地址
        String url = request.getRequestURL().toString();;

        String redirectUrl = this.getLoginServer() +"?redirect=" + url ;

        if(loginUserObject != null) {

            loginUser = (LoginUser) loginUserObject;


        } else {

            // 会话不存在不允许访问
            response.sendRedirect(redirectUrl);
            return false;
        }
        // 会话是否已经登陆
        if(Boolean.TRUE.equals(loginUser.isLogin())) {

            return true;
        } else {
            // 没有登陆
            // 会话未登陆
            response.sendRedirect(redirectUrl);
            return false;
        }

    }

    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }


    private String getLoginServer() {

        if(StringUtils.isEmpty(loginServer)) {
            loginServer = authClient.getAuthHost();
        }

        return loginServer;

    }

}




发了那么多大段的程序,大家肯定心里有疑问,难道每个应用接入放都要复制这么多文件么?还能自己改动逻辑。
当然不会是这样,我们需要将这些东西,做成一个maven包,通过maven依赖的方式依赖进来。如图,首先我们构建
一个模块plat。



但是问题又来了,如果maven parent不一样,怎么能安全的引入呢?所以我们需要将plat的parent修改成自己定制的公用parent。

新建maven应用,配置pom.xml如下。 

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>xiaotian.shi</groupId>
    <artifactId>deploy</artifactId>
    <version>1.0-SNAPSHOT</version>

    <build>
        <plugins>
            <plugin>
                <artifactId>maven-source-plugin</artifactId>
                <version>2.1.2</version>
                <executions>
                    <execution>
                        <id>attach-sources</id>
                        <goals>
                            <goal>jar</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
        </plugins>
    </build>

</project>

然后编译进入本地的maven仓库和私服
mvn -Dmaven.test.skip=true package deploy

如果这里有失败,请忽略,只要pom.xml进了仓库就ok。

 plat的pom.xml 

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <parent>
        <artifactId>deploy</artifactId>
        <groupId>xiaotian.shi</groupId>
        <version>1.0-SNAPSHOT</version>
        <relativePath>../pom.xml</relativePath>
    </parent>
    <modelVersion>4.0.0</modelVersion>

    <artifactId>plat</artifactId>
    <packaging>jar</packaging>
    <version>1.0-SNAPSHOT</version>

    <dependencies>


        <!-- spring boot -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <version>1.5.2.RELEASE</version>
        </dependency>

        <!-- 远程调用 -->
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-feign</artifactId>
            <version>1.3.2.RELEASE</version>
        </dependency>

        <!-- 服务发现 -->
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-eureka</artifactId>
            <version>1.3.2.RELEASE</version>
        </dependency>

        <!-- logger -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-logging</artifactId>
            <version>1.5.2.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>log4j-over-slf4j</artifactId>
            <version>1.7.24</version>
        </dependency>

    </dependencies>

</project>

注意parent标签的配置

然后在需要接入授权的地方,引入这个maven dependency 

<dependency>
    <groupId>xiaotian.shi</groupId>
    <artifactId>plat</artifactId>
    <version>1.0-SNAPSHOT</version>
</dependency>


这样,这个包里的拦截器程序就可以引用了。

但是这样不算完成,有如下两个问题需要解决。
第一   开启fegin配置,配置能扫描到包内的fegin接口
第二   拦截器需要配置进应用中


在www应用中开启配置,在继承了SpringBootServletInitializer的controller中,或者单独配置一个config
增加 
@EnableFeignClients(basePackages={"shi.xiaotian"})
@EnableEurekaClient
(demo中可能是top.miledao 这是我个人站的包地址)

在www应用中拦截器配置 

/**
 * Created by xiaotian.shi on 2017/6/1.
 */
@Configuration
public class InterceptorConfigure extends WebMvcConfigurerAdapter {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {

        // 会话拦截器
        registry.addInterceptor(this.sessionInterceptor()).addPathPatterns("/**");

        // 权限过滤器
        registry.addInterceptor(this.authInterceptor()).addPathPatterns("/**");

        // 全局过滤器
        registry.addInterceptor(new GlobalInterceptor()).addPathPatterns("/**");

        // 自定义全局工具过滤器
        registry.addInterceptor(new GlobalToolsInterceptor()).addPathPatterns("/**");
    }

    // 解决拦截器不能注入实例的问题
    @Bean
    @Scope("singleton")
    PlatSessionInterceptor sessionInterceptor() {
        return new PlatSessionInterceptor();
    }

    // 解决拦截器不能注入实例的问题
    @Bean
    @Scope("singleton")
    PlatAuthInterceptor authInterceptor() {
        return new PlatAuthInterceptor();
    }
}


权限配置完成

项目地址  https://github.com/shixiaotian/xiaotian.shi-plat.git
demo http://www.miledao.top/
账户密码
admin admin
user1 user1
user2 user2
user3 user3

a7178077
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
分布式系统架构系列讲解三十二(可扩展 4):服务化拆分
吃透Java
04-02 327
应用的分布式改造必然伴随着拆分拆分的方式有很多种,从最早的N层架构到SOA,再到现在流行的微服务拆分的重要目的之一就是增强系统的可扩展性,本文将段对最常见的三种应用拆分方式进行介绍。 一、分层架构 应用为了实现“高内聚、低耦合”的设计目标,往往会进行拆分,一种最常见的拆分方式就是“分层”。“分层架构”也叫做“N层架构”,通常情况下,N至少是2层。基于划分维度的不同,“分层架构”又可以区分为:B/S和C/S架构、MVC和MVP架构、逻辑分层架构等。比较典型的是逻辑分层架构,如下图是J2EE应用的常见
应用产品的微服务化之路--拆分与重构
12-15
从正视MSA开始 • 业务架构之服务拆分 • 技术架构之迭代重构 • 使用PDCA环持续演化
高并发之应用拆分
李玉坤的博客
11-09 418
文章目录原则思考框架 比如一个股票系统有用户信息、开户、股票行情、交易、订单等,拆分后如下图所示: 原则 业务优先 每个系统都会有多个模块,每个模块又有多个业务功能;按照业务边界进行切割,再对模块进行拆分。 循序渐进 边拆分边测试,保证系统的正常运行。 兼顾技术:重构、分层 不能为了分布式而分布式,拆分过程不仅是业务梳理也是代码重构的过程,根据技术进行分层来分配工作,ui对用户体验,熟悉C和C...
分布式+服务治理Dubbo:目前成熟的互联网架构:应用服务化拆分+消息间件
我的青春一去不复返
03-12 145
2-如何服务化拆分
maodou95838的专栏
08-06 775
服务化拆分方法有两种,纵向拆分和横向拆分。 1、纵向拆分 说白了,就是按照业务模块拆分,将不同的功能模块服务化,独立部署并运维。 纵向拆分是从业务维度进行拆分,标准是按照业务的关联程度来决定,关联密切的业务适合拆分成一个服务,而功能相对独立的业务适合单独拆分成为一个微服务。 2、横向拆分 从公共且独立功能维度拆分。标准是按照是否有公共的被多个其他服务调用,且依赖的资源独立不与其他业务耦合。简单理解...
1自动化测试的实践-应用QTP测试框架.ppt
11-23
1自动化测试的实践-应用QTP测试框架.ppt
Ansible自动化运维-技术与最佳实践
01-08
Ansible自动化运维由一线运维人员联手打造,通过大量实例,详细讲解Ansible这个工具的自动化运维方式与技巧。
数字孪生技术与工程实践-数字孪生的智能化应用
10-22
数字孪生技术与工程实践—数字孪生的智能化应用 数字孪生技术与工程实践—数字孪生的智能化应用 数字孪生技术与工程实践—数字孪生的智能化应用
科学计算库综合实践-房价数据分析及可视化-Python数据分析与应用
11-29
科学计算库综合实践-房价数据分析及可视化-Python数据分析与应用
Oracle真正应用集群(RAC)最佳实践-Jerry.pptx
09-21
Oracle真正应用集群(RAC)最佳实践-Jerry.pptx
power Query应用基础——数据拆分
09-22
微软Power Query的操作基础:数据类型、添加自定义列、拆分
服务权限
sinat_37138973的博客
05-03 2183
用户认证 OAUth2认证框架 JWT(JSON Web Tokens)认证协议 协议格式 认证流程 用户权限 抽象与设计 服务检验 什么是Authentication(认证)和Authorization(鉴权):认证关心你是谁,鉴权关心你能干什么。 微服务权限,往小拆分,分为三块:用户认证、用户权限服务校验。 用户认证 传统的单体应用可能习惯了sessi...
架构十一:应用拆分
weinichendian的博客
02-26 791
1.简要说明 个人对应用拆分的理解是之前的单体应用在一个服务项目里面,就是很多的模块例如:用户管理、权限管理、商品管理、订单管理等等模块,类似商城系统,所有这些模块全部集在一个项目里面,这样的坏处也是显而易见,代码功能穿插混乱,后期功能升级维护成本高、做资源分配也不能物尽其用、出现问题会影响整个项目运行等等,做应用拆分的话,可以很好地明确职责,可以单独的管理,一个模块的出现问题不会影响其他模块使...
应用拆分思考
到西伯利亚浪
01-05 531
应用拆分基本原则 根据业务场景来明确划分出几个互不影响或者影响很小(仅需要提供数据)的系统。如:搜索查询、订单、账资核算等。 上述的每个应用本身,可以根据功能划分应用。如搜索查询需要调用外部接口,则有对应的相关的外部接口的独立应用
拆分是解决大规模应用问题的本质
鸭梨的博客
08-07 183
互联网应用的架构是非常复杂多变的,具有不同用户访问量和数据量的互联网应用的系统架构有着非常大的差异。当系统访问量和数据量不大时,系统架构相对简单,往往一台应用服务器加上一台数据库服务器就可以解决问题。早期的互联网应用基本上就是这样的架构。在互联网发展初期,互联网用户还不是很多,不管是什么类型的应用,基本上一台机器就可以搞定。 但是互联网的发展是快速的,这样的架构很快就不能满足需求了,大量的访问用户给服务器带来了巨大的压力。当服务器不能承载时,在架构上就开始采用具有更强处理能力的CPU、容量更大的内存、容量更
2024-2030全球与国低脂凝乳奶酪市场现状及未来发展趋势.docx
04-30
2024-2030全球与国低脂凝乳奶酪市场现状及未来发展趋势
毕业设计:vue+springboot乌鲁木齐南山冰雪旅游服务网站(源码 + 数据库 + 说明文档)
04-30
毕业设计:vue+springboot乌鲁木齐南山冰雪旅游服务网站(源码 + 数据库 + 说明文档) 2 开发工具及技术 2 2.1 B/S结构的介绍 2 2.2 JSP及SpringBoot技术的介绍 2 2.3 HTML及Vue技术的介绍 2 2.4 MYSQL数据库的介绍 3 2.5 开发环境的介绍 3 3 需求分析 4 3.1 可行性分析 4 3.2 功能需求分析 4 3.3 非功能需求分析 4 4 总体设计 6 4.1 系统总体结构设计 6 4.2 系统的数据库设计 6 5 系统功能实现 6 5.1 注册用户 6 5.2 管理员用户 6 6 系统测试 6 6.1 测试目的 6 6.2 测试内容 6 6.3 测试总结 6
C# 超简单的离线人脸识别库 ( 基于 SeetaFace6 ).zip
04-30
c
华为数字化转型实践28个精华问答.docx
最新发布
04-30
华为数字化转型实践28个精华问答.docx
深入理解osgi equinox原理、应用最佳实践 pdf
01-15
OSGi(Open Service Gateway Initiative)是一种面向服务的模块化架构,旨在提供行业标准的动态模块化系统,使应用程序能够以一种可靠和可扩展的方式进行构建。Equinox是OSGi的实现之一,是基于Eclipse平台的一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值