学习笔记-若依-微服务-自定义权限认证流程

最新推荐文章于 2024-05-11 20:00:26 发布
最新推荐文章于 2024-05-11 20:00:26 发布
阅读量6.1k 收藏 28
点赞数 6
分类专栏: 学习 文章标签: spring java spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cenrc/article/details/120284657
版权

刚开始接触若依-微服务时,我一直以为它使用了Spring Security,然后就一直在源代码中查找相关的配置,发现怎么也找不到。仔细阅读 ruoyi-common-security模块才知道若依-微服务并没有使用 Spring Security 。这也是我第一次知道原来 Spring AOP 还能这么使用,之前在学习Spring 的时候,只知道 AOP 的特点是切面编程,以及基本的使用方式,并没有在项目中使用过。

以下是学习笔记,如果有问题,请多谢指出。

若依-微服务并没有采用 Spring Security实现权限控制,而是自定义了一套权限认证系统 ruoyi-common-security模块。主要采用的是通过 Spring AOP 的方式,将认证过程动态织入到需要认证控制的接口中。

首先 ruoyi-common-security模块声明了一个自定义注解 @PreAuthorize,在需要权限控制的接口方法上添加 @PreAuthorize,并将需要的权限字符作为注解参数赋值给 @PreAuthorize 注解。

最后在切面类 PreAuthorizeAspect中对添加了 @PreAuthorize 注解的接口方法进行逻辑判断。

这里就选取比较有代表性的一段代码进行解释:判断用户是否具有访问该接口方法的权限。

  1. 在获取用户列表的接口方法上添加 @PreAuthorize(hasPermi = "system:user:list") ,代表着该接口方法需要进行权限认证,并且需要的权限列表为 systemuserlist
  2. 在切面类 PreAuthorizeAspectaround(ProceedingJoinPoint point)通知方法中进行逻辑判断。
// 这里就选取比较有代表性的判断用户是否具有访问该接口方法的权限
// @Arund 表示环绕通知。
// 该注解表示对添加了 @PreAuthorize 注解的接口进行切入。
@Around("@annotation(com.ruoyi.common.security.annotation.PreAuthorize)")
public Object around(ProceedingJoinPoint point) throws Throwable
{	
    // 通过参数 ProceedingJoinPoint 获取 Signature,里面存放着方法的基本数据
    Signature signature = point.getSignature();
    MethodSignature methodSignature = (MethodSignature) signature;
    // 获取方法
    Method method = methodSignature.getMethod();
    // 获取方法上添加的 @PreAuthorize 注解数据,例如 hasPermi = "system:user:list"
    PreAuthorize annotation = method.getAnnotation(PreAuthorize.class);
    // 如果没有获取到数据,可以直接方法接口方法
    if (annotation == null)
    {
        return point.proceed();
    }
	// 判断获取到的接口方法权限字符是否为空
    if (StringUtils.isNotEmpty(annotation.hasPermi()))
    {
        // 如果不为空,判断目前用户是否具有相应的权限
        if (hasPermi(annotation.hasPermi()))
        {
       		// 满足权限,可以直接访问
            return point.proceed();
        }
        // 否则抛出权限异常
        throw new PreAuthorizeException();
    }
}

通过以上代码我们可以清晰的看出在若依-微服务中的权限控制逻辑。简单来说就是当访问一个接口时,先判断是否需要某种权限或者角色,如果需要则进行判断是否具有,否则直接访问。

下面解释一下若依-微服务中如何进行权限匹配判断的。

在上面代码中我们可以看到有一个自定义方法 hasPermi(String permission),该方法就是若依-微服务中验证用户是否具备某权限的处理方法。完整方法如下:

/**
 * 验证用户是否具备某权限
 * 
 * @param permission 权限字符串
 * @return 用户是否具备某权限
 */
public boolean hasPermi(String permission)
{
    // 通过前端请求中携带的 token 获取用户数据,里面包含了当前用户的权限列表
    LoginUser userInfo = tokenService.getLoginUser();
    // 判断是否获取到用户数据,如果没有获取到数据,则直接 return false。
    if (StringUtils.isNull(userInfo) || CollectionUtils.isEmpty(userInfo.getPermissions()))
    {
        return false;
    }
    // 将当前用户权限列表和接口方法所需权限字符串进行匹配判断。
    return hasPermissions(userInfo.getPermissions(), permission);
}

通过上面代码,可以看出若依-微服务将权限匹配的代码再次进行抽离到 hasPermissions()方法中。

/**
 * 判断是否包含权限
 * 
 * @param authorities 权限列表
 * @param permission 权限字符
 * @return 用户是否具备某权限
 */
private boolean hasPermissions(Collection<String> authorities, String permission)
{
    // 过滤掉当前用户权限列表 authorities 中为空的权限
    return authorities.stream().filter(StringUtils::hasText)
        	// anyMatch()表示进行匹配,其中
        	// x 表示 authorities权限列表中的元素。
        	// ALL_PERMISSION.contains(x) 表示在 ALL_PERMISSION 字符串中是否存在 字符串 x 
        	// PatternMatchUtils.simpleMatch(x, permission)) 表示 permission 中是否存在与 x 相匹配的子字符串。
            .anyMatch(x -> ALL_PERMISSION.contains(x) || PatternMatchUtils.simpleMatch(x, permission));
}

hasPermissions()方法是权限匹配判断的核心代码,其中 authorities.stream().filter(StringUtils::hasText) 是通过 Java 8 Stream 中提供的 filter过滤器,所有满足 。StringUtils::hasText 过滤条件使用了 双冒号运算符,表示遍历authorities集合中的元素作为参数调用 StringUtils工具类中的 hasText方法。

ruoyi-common-security模块的中还提供了 AOP 内部认证。具体作用是如果方法中添加了@InnerAuth(isAuth=true),并且 isAuth设置为 true。切面类 InnerAuthAspect如下:

@Aspect
@Component
public class InnerAuthAspect implements Ordered
{
    @Around("@annotation(innerAuth)")
    public Object innerAround(ProceedingJoinPoint point, InnerAuth innerAuth) throws Throwable
    {
        // 从请求头中获取请求来源字符串
        String source = ServletUtils.getRequest().getHeader(SecurityConstants.FROM_SOURCE);
        // 内部请求验证,SecurityConstants.INNER 为内部请求字符串,如果两者相同表示具有内部访问权限。
        if (!StringUtils.equals(SecurityConstants.INNER, source))
        {
            throw new InnerAuthException("没有内部访问权限,不允许访问");
        }
		
        String userid = ServletUtils.getRequest().getHeader(SecurityConstants.DETAILS_USER_ID);
        String username = ServletUtils.getRequest().getHeader(SecurityConstants.DETAILS_USERNAME);
        // 用户信息验证
        if (innerAuth.isUser() && (StringUtils.isEmpty(userid) || StringUtils.isEmpty(username)))
        {
            throw new InnerAuthException("没有设置用户信息,不允许访问 ");
        }
        return point.proceed();
    }

    /**
     * 确保在权限认证aop执行前执行
     */
    @Override
    public int getOrder()
    {
        return Ordered.HIGHEST_PRECEDENCE + 1;
    }
}

上面代码中主要作用是当用户访问需要内部权限认证的接口时进行判断用户是否具有访问需要内部认证的接口。

但是我在源码中发现一个问题。

// 用户信息验证
if (innerAuth.isUser() && (StringUtils.isEmpty(userid) || StringUtils.isEmpty(username)))
{
	throw new InnerAuthException("没有设置用户信息,不允许访问 ");
}

在上面代码中,当前仅当 innerAuth.isUsertrue时,StringUtils.isEmpty(userid) || StringUtils.isEmpty(username)的判断结果才会生效。比如当 innerAuth.isUserfalse时,不管 useridusername字段是否为空都不会抛出 InnerAuthException("没有设置用户信息,不允许访问 ")异常。

而在声明@InnerAuth 接口时,isUser变量默认为 false 。而在若依-微服务中发现所有添加了 @InnerAuth注解的接口都没有对 isUser进行重新赋值。

下面为 @InnerAuth注解的声明。

/**
 * 内部认证注解
 * 
 * @author ruoyi
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface InnerAuth
{
    /**
     * 是否校验用户信息
     */
    boolean isUser() default false;
}

下面为所有添加了 @InnerAuth注解的接口

/**
 * 获取当前用户信息
 */
@InnerAuth
@GetMapping("/info/{username}")
public R<LoginUser> info(@PathVariable("username") String username)

/**
 * 注册用户信息
 */
@InnerAuth
@PostMapping("/register")
public R<Boolean> register(@RequestBody SysUser sysUser)

@InnerAuth
@PostMapping
public AjaxResult add(@RequestBody SysLogininfor logininfor)

@InnerAuth
@PostMapping
public AjaxResult add(@RequestBody SysOperLog operLog)

既然自定义了权限认证,那也少不了全局异常处理。

SpringBoot项目中实现全局异常处理很简单,只需要使用 @RestControllerAdvice@ExceptionHandler注解。

具体使用方式:

/**
 * 全局异常处理器
 * 
 * @author ruoyi
 */
@RestControllerAdvice
public class GlobalExceptionHandler
{
    private static final Logger log = LoggerFactory.getLogger(GlobalExceptionHandler.class);

    /**
     * 权限异常
     */
    @ExceptionHandler(PreAuthorizeException.class)
    public AjaxResult handlePreAuthorizeException(PreAuthorizeException e, HttpServletRequest request)
    {
        String requestURI = request.getRequestURI();
        log.error("请求地址'{}',权限校验失败'{}'", requestURI, e.getMessage());
        return AjaxResult.error(HttpStatus.FORBIDDEN, "没有权限,请联系管理员授权");
    }
}
一天无聊
关注
  • 6
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
若依集成jwt实现登录授权访问(单体版)
猿小白的博客
03-22 2061
这个应用场景很常见,比如,我们需要为app或者小程序提供授权登录API接口,这时候就可以用到jwt来实现改业务场景。 目录 一、添加jwt依赖文件 二、增加jwt登录方法 三、下载jwt整合插件包 四、增加测试接口 五、jwt登录接口测试 (1)获取token ​(2)测试接口 一、添加jwt依赖文件 ruoyi-framework\pom.xml添加jwt依赖 <!-- jwt jar--> <dependency> <groupId>co.
study-spring:春天学习项目笔记
02-15
标题“study-spring:春天学习项目笔记”表明这是一个关于学习Spring框架的项目,而“个人学习Spring项目笔记”则暗示了这是一份个人整理的学习资料,可能包含了对Spring框架的理解、实践经验和问题解决思路。...
若依框架解读(微服务版)——2.模块间的调用逻辑(ruoyi-api模块)(OpenFeign)(@innerAuth
hwp_ing的博客
11-21 8311
fallbackFactory = RemoteUserFallbackFactory.class调用失败时候的降级策略,一般会打印返回错误日志信息。我们以RemoteUserService接口为例子:其中contextId = "remoteUserService"名称,其中rouyi–api模块是远程调用也就是提取出来的openfeign的接口。通过自定义注解+AOP来拒绝外部请求。api模块当中有几个提取出来的OpenFeign的接口。我们可以了解到一共有这么多服务,我们先启动这三个服务。
若依内部服务验证详解
卡伦啊
04-07 3934
声明为面向切面的注解和生命由spring注入的 @Aspect @Component 对所有带入 @InnerAuth 注解的方法 进行切面 @Around("@annotation(innerAuth)") 多个注解匹配时的执行顺序 implements Ordered 可以携带两个参数 point 切面的信息 innerAuth 注解的配置 ProceedingJoinPoint point, InnerAuth innerAuth 直接判断header参数 目前..
bugfix:若依框架下对某个url接口权限放行,登陆后调用却提示403无权限
最新发布
wenxuankeji的博客
05-11 903
bugfix:若依框架下对某个url接口权限放行,登陆后调用却提示403无权限
【自学】若依系统-----权限控制
qq_41597232的博客
05-26 2536
文章目录1. 数据表2. sql查询3. 首页菜单权限核心代码4. 菜单管理功能5. 流程 1. 数据表 2. sql查询 <select id="selectMenusByUserId" parameterType="Long" resultMap="SysMenuResult"> select distinct m.menu_id, m.parent_id, m.menu_name, m.url, m.visible, m.is_refresh, ifnull(m.perms,'
若依 Spring Security 自定义认证集成
weixin_46491484的博客
01-25 1587
若依默认集成了账号、密码,验证码登录,我们现在自定义认证接口 编写自定义token,后续用,继承 AbstractAuthenticationToken public class UserIdAuthenticationToken extends AbstractAuthenticationToken { private final Object principal; public UserIdAuthenticationToken(Object principal) {
若依权限管理,数据隔离实现保姆级教程
sunnycjy_的博客
02-17 2857
该篇博文针对学习若依权限相关时的一些设置和问题的记录。
若依自定义接口并设置权限验证
qq_52469048的博客
10-29 1194
若依自定义接口并设置权限验证
springsecurity学习笔记
12-13
- 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和AccessDecisionManager。 - 使用@Secured和@PreAuthorize注解进行方法级别的访问控制。 - 配置和使用RememberMe服务以实现自动登录功能。 - ...
狂神的全部笔记资源文件
10-06
【标题】"狂神的全部笔记资源文件"涵盖了狂神在IT学习过程中的全面笔记,主要涉及Java语言、Spring框架、MyBatis、前端技术以及分布式服务等方面。 【描述】"学习资源"提示我们,这些文件是用于提升编程技能和理论...
基于java开发的在线教育系统-源码
10-02
3. 在线学习:提供视频播放、课件下载、在线笔记等功能。系统可能利用HTML5的Media元素支持多媒体播放,并使用WebSocket实现实时互动。 4. 讨论区:用户可以发起话题、回复讨论,促进知识交流。这通常通过集成论坛...
微服务架构,使用spring security,通过PreAuthorize注解控制权限,各个服务读取所有的值,存入数据库
CoderOu
02-08 2982
思路: 1、首先将此功能写在公共模板,每一个服务都会依赖公共模板,都将获得此功能。 2、其次,利用springboot的ApplicationListener机制,监听ApplicationStartedEvent事件(springboot启动完成),利用spring来读取所有的注解的值,然后解析出对应我们想要的值 3、然后使用FeignClient调用到远程对应的服务 4、存储的时候进行判断,是否已经存在了,如果存在了,就不在添加了 各个项目的架构不一致,核心还是获取到注解的所有值,只需要核心关注第一步
若依框架】登录,token,自定义session,鉴权等前后端流程解读
热门推荐
kouryoushine的博客
08-13 1万+
背景 之前虽然讲了login,getInfo,getRoutes的三个接口,但从设计的角度来讲,这3个接口并没有完整实现一个功能。这里重点讲解若依框架对于自定义session,token校验,权限验证三个方面的实现。这些对于自己实现一个简单的后端框架有不错的参考意义 功能说明 登录功能\login及token的生成 权限过滤校验 自定义session 前端如何配合 可以参考上一篇博客 登录及token生成 主要解决的是用户登录、生成token和session的场景 前端 用户登录页输入usernam
若依分离版集成积木报表-权限token传递(二)
ly401732069的博客
09-13 2445
若依分离版集成积木报表-权限token传递
若依的使用(第三方登录、@Anonymous?、前端通用方法)
weixin_54048131的博客
08-19 2554
当我们的url为 /{getget} 的时候,会被替换为/*,当我们的url为/{getget}/{abc}的时候,会被替换为/*/*。关于依赖,说的是什么呢?我们所说的包名修改,是一次性修改ruoyi的全部包名,因为发现很多人有这样的需求,下载别人的代码,想要改成自己公司的包名,结果一改就各种出现问题,程序都起不来了,气死。我们知道,Vue.use(plugins),会去自动调用plugins中的install方法,在install方法中,发现Vue.prototype上面装了一些东西。
从零搭建若依(Ruoyi-Vue)管理系统(11)--整合Spring Security
Gang-bb的博客
05-25 3044
文章目录1.添加依赖2. 添加用户信息3. 配置Spring Security4. 需要添加的功能类5. 配置代码6. 测试一些功能 本章先按照若依中源码实现的配置和功能进行搭建,后续会有一些改变 本章结束后对应的节选代码文件:Gangbb-Vue-11-SpringSecurity https://github.com/Gang-bb/Study-Record/tree/main/Gangbb-Vue 历史遗留TODO: 第四章 登录日志还未实现。(到登录和权限模块完成) LogAspect从缓存
python学习笔记--皮大庆
08-14
《Python学习笔记》是由皮大庆编写的一本关于Python语言学习的教材。在这本书中,作者详细介绍了Python语言的基础知识、语法规则以及常用的编程技巧。 首先,作者简要介绍了Python语言的特点和优势。他提到,Python是一种易于学习和使用的编程语言,受到了广大程序员的喜爱。Python具有简洁、清晰的语法结构,使得代码可读性极高,同时也提供了丰富的库和模块,能够快速实现各种功能。 接着,作者详细讲解了Python的基本语法。他从变量、数据类型、运算符等基础知识开始,逐步介绍了条件语句、循环控制、函数、模块等高级概念。同时,作者通过大量的示例代码和实践案例,帮助读者加深对Python编程的理解和应用。 在书中,作者还特别强调了编写规范和良好的编程习惯。他从命名规范、注释风格、代码缩进等方面指导读者如何写出清晰、可读性强的Python代码。作者认为,良好的编程习惯对于提高代码质量和提高工作效率非常重要。 此外,作者还介绍了Python的常用库和模块。他提到了一些常用的库,如Numpy、Pandas、Matplotlib等。这些库在数据处理、科学计算、可视化等领域有广泛的应用,帮助读者更好地解决实际问题。 总的来说,《Python学习笔记》是一本非常实用和全面的Python学习教材。通过学习这本书,读者可以系统地学习和掌握Python编程的基础知识和高级应用技巧,为以后的编程学习和工作打下坚实的基础。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值