基于springcloud接口鉴权

最新推荐文章于 2024-10-01 22:43:11 发布
最新推荐文章于 2024-10-01 22:43:11 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: springcloud 文章标签: spring springcloud redis 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/awoshiwpl/article/details/101622462
版权
本文详细介绍了基于SpringCloud的接口鉴权流程,包括调用方如何获取token,服务端如何验证token并进行鉴权。流程涉及Redis存储、代码中配置的code和secret、HTTP请求的数据统一处理、Feign调用的鉴权服务等。鉴权过程中,通过SHA1和SHA256加密确保安全性,同时利用Redis存储和管理token的有效性和权限信息。
摘要由CSDN通过智能技术生成

梳理一下流程
1.调用方需要获取到token(由code和secret和随机数加密生成)
2.调用接口前先通过服务端的要求传入相应的数据生成token,调用接口时把token传入
3.由服务端接收到token进行验证
4.验证成功后对url进行鉴权

接口信息以及权限信息回放在数据库中(mysql以及redis)

资源信息表
接口信息表
调用方身份表;java后端、app端、H5…要进行区分
调用方身份表
中间表;每种身份所对应的资源
中间表

HTTP请求返回的数据统一放入ResponseModel类中.省略了get set方法

public class ResponseModel<T> {
   

    /**
     * 通配符
     **/
    private static final String WILDCARD_ALL = "*";
    /**
     * 响应状态码
     **/
    private volatile String code = HttpCode.BAD_REQUEST.getCode();
    /**
     * 响应状态码对应的提示信息
     **/
    private volatile String message = HttpCode.BAD_REQUEST.getMessage();
    /**
     * 响应内容
     **/
    private volatile T content = null;

    public ResponseModel() {
   
    }
 }

把code和secret放入配置文件中;要与数据库中的一致

	@Value("${microservices.code}")
    private String microservicesCode;
    @Value("${microservices.secret}")
    private String microservicesSecret;

在调用接口、执行http请求之前先获取token,把code和secret传入
这边先不管接口的鉴权流程,先看token的获取流程然后再说鉴权流程

 /**
     *  http请求公共方法
     * @param url
     * @param params
     * @param method get and post
     * @return
     */
    protected ResponseModel HttpCommon(String url ,Map params,String method){
   
        ResponseModel  responseModel=null;
        //获取token
        String uToken = partnerService.getToken(microservicesCode, microservicesSecret);
        //调用微服务接口传入token进行鉴权并返回结果;params为查询条件map
        if("post".equalsIgnoreCase(method)){
   
              responseModel = PartnerUtils.doPostToXianXiu(url, uToken, params);
        }else if("get".equalsIgnoreCase(method)){
   
              responseModel = PartnerUtils.doGetToXianXiu(url, uToken, params);
        }
        return responseModel;
    }

在生成token之前会先去redis查询一遍,如果有就直接返回token,key的值可以自己去定义
(调用端和服务端操作的redis不是同一个库,这里我操作的是第一个库,服务端操作的是第三个库)
如果redis没有走生成token的流程,先生成一个随机字符串nonceStr,然后把nonceStr以及传进来的code以及secret参数进行SHA1加密得到一个签名uSign
调用getAccessToken方法进行token生成以及校验token

@Service("partnerServiceImpl")
public class PartnerServiceImpl implements PartnerService {
   

    @Resource
    private RedisService redisService;
	
	@Override
	public String getToken(String code, String secretKey) {
   
		
		if(StringUtils.isEmpty(code) || StringUtils.isEmpty(secretKey)) {
   
			
			return null;
		}
		
		String sessionKey = code+"-TOKEN";
		
		String uToken = redisService.get(sessionKey);
		
		if(StringUtils.isEmpty(uToken)) {
   
			
			try {
   
				
				String nonceStr=UUID.randomUUID().toString();
				//进行SHA1加密
				String uSign = SecuritySHA1Utils.shaEncode(code+nonceStr+secretKey);
				ResponseModel responseModel = PartnerUtils.getAccessToken(code, uSign, nonceStr);
				
				if(responseModel==null || StringUtils.isEmpty(String.valueOf(responseModel.getContent()))) {
   
					
					log.info("新平台鉴权失败==================");
					log.info("sign:"+uSign);
					log.info("rand:"+nonceStr);
					
					return null;
					
				}else {
   
								
								
					uToken = (String)responseModel.getContent();
					
					log.info("新平台鉴权成功==================");
					log.info("utoken:"+uToken);
								
					redisService.set(sessionKey, uToken, 900);

					return uToken;
				}
				
			} catch (Exception e) {
   
				
				e.printStackTrace();
				return null;
			}
			
		}else {
   
			
			return uToken;
		}
	}
	
	
}

	//zuul网关的端口
	public static String HOST = "http://localhost:8110";
	//生成token的接口
	public static final String TOKEN_PATH = "/partner/auth/safty/get-partner-token";

	public static ResponseModel getAccessToken(String code, String signature, String nonceStr) {
   
		
		String backData = "";
		
		String param="code="+code+"&signature="+signature+"&nonceStr="+nonceStr+"";
		
		try {
   
			backData = HttpUtils.sendGet(HOST+TOKEN_PATH, param);
		}catch (Exception e) {
   
			e.printStackTrace();
		}
		log.info("============》获取accessToken"+JSON.toJSONString(backData));
		// String accessToken = (String)
		// JSONObject.fromObject(backData).get("access_token");
		ResponseModel responseModel = JSON.parseObject(backData, new TypeReference<ResponseModel>() {
   });
		return responseModel;
	}

网关配置

一般会把所有的请求前缀进行配置;如果出现非法请求则会被拒;强烈要求接口以前缀进行分组这样比较直观
请求合法会执行doAccess方法,把RequestContext对象,prefix请求前缀,url传入。进行鉴权

@SuppressWarnings("serial")
    private static final Set<String> URL_PREFIX = new HashSet<String>() {
   {
   
        add("auth");
        add("demo");
        add("user");
        add("job");
        add("partner");
        add("activity");
        add("payment");
        add("product");
        add("hatch");
    }};
    
    @Override
    public Object run() {
   
        RequestContext ctx = RequestContext.getCurrentContext();
        HttpServletRequest request = ctx.getRequest
最低0.47元/天 解锁文章
join丶
关注
专栏目录
微服务权限解决方案,Cloud Gateway+Oauth2实现统一认证和鉴权
一入Java深似海
07-09 2万+
最近发现了一个很好的微服务权限解决方案,可以通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本文将详细介绍该方案的实现,希望对大家有所帮助! 前置知识 我们将采用Nacos作为注册中心,Gateway作为网关,使用nimbus-jose-jwtJWT库操作JWT令牌 应用架构 我们理想的解决方案应该是这样的,认证服务负责认证,网关负责校验认证和鉴权,其他API服务负.
soringcloud接口鉴权_使用JWT对SpringCloud进行认证和鉴权
weixin_33586619的博客
01-30 219
JWT(JSON WEB TOKEN)是目前最流行的跨域认证解决方案,是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对来进行签名。JWT通常由头部(Header),负载(Payload),签名(Signature)三个部分组成,中间以.号分隔,其...
自定义注解加 AOP 实现服务接口鉴权以及内部认证
最新发布
qq_64948664的博客
10-01 1493
1.定义注解:使用@interface关键字定义注解。2.注解元素:在注解中定义元素,就像在接口中定义方法。3.元注解:使用元注解(如@Retention、@Target等)来描述注解的行为。1. 定义注解可以使用@interface关键字来定义一个注解。在上面的例子中, MyAnnotation 注解有两个元素: value 和 number。其中, number 有一个默认值 0。2. 元注解元注解是注解的注解,用来描述注解本身的行为。
soringcloud接口鉴权_SpringCloud 服务鉴权
weixin_29169899的博客
01-17 608
1、服务鉴权:服务鉴权的流程用户访问我们的微服务,都需要经过网关作为请求入口,网关对用户身份进行验证,从而保证微服务的安全。但是,大家有没有思考过这样一个问题:如果你的微服务地址不小心暴露了呢?一旦微服务地址暴露,用户就可以绕过网关,直接请求微服务,那么我们之前做的一切权限控制就白费了!因此,我们的每个微服务都需要对调用者的身份进行认证,如果不是有效的身份,则应该阻止访问。合法的调用者身份,其实就...
springcloud 微服务鉴权_搭建SpringCloud微服务框架:四、Spring-Security-OAuth 服务接口鉴权...
weixin_39572152的博客
12-20 235
搭建微服务框架(服务接口鉴权)前面已经可以通过SpringCloud可以来构建对外的接口,现在来介绍一下怎么通过使用OAuth2来进行接口鉴权。Github地址:SQuid介绍OAuth2网上介绍的例子太多太多,简单点介绍它就是一个授权的标准。OAuth2目前拥有四种授权机制:授权码模式(authorization code)授权码模式大多数用于互联网登录的场景,比如在京东商城网站中,使用QQ号...
soringcloud接口鉴权_三、SpringCloud鉴权之OAuth2.0(上篇)
weixin_39837124的博客
12-24 291
鉴权中心springsecurity +oauth2.01、前言必备知识学习本文之前你应该会熟练使用Springboot,并对SpringSecurity和OAuth2.0有所理解,如有需要请参考下面的一些内容,简单理解下相关知识SpringSecuritySpring Security是一个功能强大、高度可定制的身份验证和访问控制框架。它用于保护基于Spring的应用程序。Spring Secu...
基于Springcloud的基础框架,统一gateWay网关鉴权demo,附下载地址
09-04
基于Springcloud的基础框架,统一gateWay网关鉴权demo,附下载地址 使用方法具体见:https://blog.csdn.net/a1139628523/article/details/132664763
springcloud 微服务鉴权_浅谈Spring Cloud下微服务权限方案
weixin_29315091的博客
12-30 579
背景从传统的单体应用转型Spring Cloud的朋友都在问我,Spring Cloud下的微服务权限怎么管?怎么设计比较合理?从大层面讲叫服务权限,往小处拆分,分别为三块:用户认证、用户权限、服务校验。用户认证传统的单体应用可能习惯了session的存在,而到了Spring cloud的微服务化后,session虽然可以采取分布式会话来解决,但终究不是上上策。开始有人推行Spring Cloud...
详解用JWT对SpringCloud进行认证和鉴权
08-26
"详解用JWT对SpringCloud进行认证和鉴权" 本文主要介绍了使用JSON WEB TOKEN(JWT)对SpringCloud进行认证和鉴权的详细过程。JWT是一种基于RFC 7519标准定义的可以安全传输的小巧和自包含的JSON对象。由于数据是...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
这是一个基于Spring Framework 5,Spring Boot 2 和 Project Reactor 的高性能API网关。它提供了动态路由,服务熔断,负载均衡,以及针对微服务的细粒度控制等功能。通过自定义过滤器,我们可以实现复杂的业务逻辑,...
SpringCloud鉴权
weixin_46202648的博客
11-18 1934
1.JWT 1.0 为什么要学习JWT? [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2Ok258P2-1637241962605)(assets/1544169629935.png)] 1.1.简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;它是分布式服务权限控制的标准解决方案! 它跟RBAC的区别:两者不冲突,在项目中后台权限服务的数据库设计使用RBAC,而前端项目访问后台微服务的权限
基于SpringCloudGateway实现接口鉴权
weixin_67727883的博客
05-15 402
基于SpringCloudGateway实现接口鉴权
java 接口鉴权_Spring Cloud Gateway:整合JWT实现接口鉴权
weixin_42130862的博客
02-24 911
0 JWT是什么JWT(JSON Web Token)是一种开放标准,它以一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。其认证原理是,客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。0.1 JWT的结构一个JWT是一个字符串,其由Heade...
springcloud-gateway-2-鉴权
Java自学笔记-springBoot微服务
12-23 2167
springCloud-gateway鉴权,GlobalFilter全局过滤器实现通用拦截,用GatewayFilter实现单个服务或指定服务的过滤拦截。
SpringCloudGateway之统一鉴权
HMing的博客
03-14 3799
在客户端登录成功后,服务端生成一个包含用户信息和过期时间等数据的JWT令牌返回给客户端。客户端在后续请求中将此令牌放在请求头(如Authorization: Bearer token)中发送给网关。网关层通过自定义的GatewayFilter Factory来拦截所有请求,并检查请求头中的JWT令牌,使用对应的解码器对其进行解密和校验,包括但不限于签名验证、过期时间检查等。
SpringCloud微服务整合Spring Security进行统一鉴权
lyy的博客
04-15 3871
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要做这一步。
Spring Cloud微服务接口鉴权(利用JWT生成的TOKEN)
c815852517的博客
09-23 2425
0 JWT是什么 JWT(JSON Web Token)是一种开放标准,它以一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。 其认证原理是,客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。 0.1 JWT的结构 一个JWT是一个字符串,其由H...
从零搭建基于SpringCloud Alibaba 鉴权中心服务(保姆级教程)
jjc4261的博客
07-03 1121
json web token 是一个开放的标准 ,它定义了一个种紧凑的,自包含的方式,用于作为json对象在各方之间安全的传输信息服务器鉴权完成之后 会生成 json 对象 发送给客户端,之后客户端和服务端传输数据都需要带上这个对象,服务器完全通过这个json对象认定客户端身份,为了防止篡改数据,服务端在生成的时候都会加上签名(加密的意思),服务器不保存session数据也就是无状态,更适合实现扩展那些环境可以考虑使用jwt呢?用户授权 ,信息交换。Payload:我们想要传递的数据Payload KV形式
什么是daemon?以及daemon与服务的关系
zz_strive_2012的专栏
11-06 1962
https://blog.csdn.net/qq_41453285该博主文章值得学习。 一、服务的概念 常驻内存中的进程可以提供一些系统或网络功能,这些功能就是服务(service) 二、daemon的介绍 1.引入 daemon意为守护神、恶魔的意思 有时候我上网查找一些数据时,可能会看到:请启动某某daemon来提供某某功能/服务 2.daemon与服务的关系 我们系统为了某些功能必须要提供一些服务,而如何产生这些服务?那就是需要一个程序来运行产生这个服务。那么这个程序相对于这个服务来说就是
SpringCloud微服务架构实战项目解析
资源摘要信息:"基于SpringCloud的微服务架构项目" 知识点: 1. 微服务架构概念: 微服务架构是一种开发模式,它将单一应用程序分割成一组小的服务。每个服务运行在其独立的进程中,服务之间通过轻量级的通信机制...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值