若依内部服务验证详解

最新推荐文章于 2025-03-15 16:50:32 发布
最新推荐文章于 2025-03-15 16:50:32 发布
阅读量4.4k 收藏 3
点赞数
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnkalunren/article/details/124010392
版权

声明为面向切面的注解和生命由spring注入的

@Aspect
@Component

对所有带入 @InnerAuth 注解的方法 进行切面

    @Around("@annotation(innerAuth)")

多个注解匹配时的执行顺序

implements Ordered

可以携带两个参数 point 切面的信息  innerAuth 注解的配置

ProceedingJoinPoint point, InnerAuth innerAuth

直接判断header参数  目前可能为不安全的

package com.ruoyi.common.security.aspect;

import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.core.Ordered;
import org.springframework.stereotype.Component;
import com.ruoyi.common.core.constant.SecurityConstants;
import com.ruoyi.common.core.exception.InnerAuthException;
import com.ruoyi.common.core.utils.ServletUtils;
import com.ruoyi.common.core.utils.StringUtils;
import com.ruoyi.common.security.annotation.InnerAuth;

/**
 * 内部服务调用验证处理
 * 
 * @author ruoyi
 */
@Aspect
@Component
public class InnerAuthAspect implements Ordered
{
    @Around("@annotation(innerAuth)")
    public Object innerAround(ProceedingJoinPoint point, InnerAuth innerAuth) throws Throwable
    {
        String source = ServletUtils.getRequest().getHeader(SecurityConstants.FROM_SOURCE);
        // 内部请求验证
        if (!StringUtils.equals(SecurityConstants.INNER, source))
        {
            throw new InnerAuthException("没有内部访问权限,不允许访问");
        }

        String userid = ServletUtils.getRequest().getHeader(SecurityConstants.DETAILS_USER_ID);
        String username = ServletUtils.getRequest().getHeader(SecurityConstants.DETAILS_USERNAME);
        // 用户信息验证
        if (innerAuth.isUser() && (StringUtils.isEmpty(userid) || StringUtils.isEmpty(username)))
        {
            throw new InnerAuthException("没有设置用户信息,不允许访问 ");
        }
        return point.proceed();
    }

    /**
     * 确保在权限认证aop执行前执行
     */
    @Override
    public int getOrder()
    {
        return Ordered.HIGHEST_PRECEDENCE + 1;
    }
}

【云原生】Prometheus 服务自动发现使用详解
congge
07-21 7251
Prometheus服务自动发现使用详解
自定义注解+拦截器/AOP切面 实现权限管理
xyouzi的博客
11-07 428
自定义注解+拦截器/AOP切面 实现权限管理
若依框架解读(微服务版)——2.模块间的调用逻辑(ruoyi-api模块)(OpenFeign)(@innerAuth
热门推荐
hwp_ing的博客
11-21 1万+
fallbackFactory = RemoteUserFallbackFactory.class调用失败时候的降级策略,一般会打印返回错误日志信息。我们以RemoteUserService接口为例子:其中contextId = "remoteUserService"名称,其中rouyi–api模块是远程调用也就是提取出来的openfeign的接口。通过自定义注解+AOP来拒绝外部请求。api模块当中有几个提取出来的OpenFeign的接口。我们可以了解到一共有这么多服务,我们先启动这三个服务
@inner 注解的使用和说明
qq_45584501的博客
06-15 8556
Inner的诞生 Pig种Url的访问大致分为两种,一种是由Gateway网关从外网路由进来,一种是内网通过Feign进行内部服务调用。那我们结合Security就存在以下几种应用场景: 外部从Gateway访问,需要鉴权(eg.CURD操作)。这种是最常使用的,用户登录后正常访问接口,不需要我们做什么处理(可能有的接口需要加权限字段)。 外部从Gateway访问,不需要鉴权(eg.短信验证码)。需要我们将uri加入到security.oauth2.client.ignore-urls配置中,可以不需
若依RUOYI-Cloud 【Feign服务调用】
m0_65572741的博客
03-15 1295
查看官方文档进行使用,这里贴一个官方文档的feign调用服务调用 | RuoYi。
学习笔记-若依-微服务-自定义权限认证流程
一天无聊
09-14 7223
刚开始接触若依-微服务时,我一直以为它使用了Spring Security,然后就一直在源代码中查找相关的配置,发现怎么也找不到。仔细阅读 ruoyi-common-security模块才知道若依-微服务并没有使用 Spring Security 。这也是我第一次知道原来 Spring AOP 还能这么使用,之前在学习Spring 的时候,只知道 AOP 的特点是切面编程,以及基本的使用方式,并没有在项目中使用过。 以下是学习笔记,如果有问题,请多谢指出。 若依-微服务并没有采用 Spring Secu.
@Inner 注解原理和使用
19.2.04.157N的博客
05-30 2060
首先,在我们项目加载阶段,我们获取有 Inner 注解的类和方法,然后获取我们配置的 uri,经过正则替换后面的可变参数为*,然后将此 uri 加入到 ignore-url 中。此时我们就能达到所有 Inner 配置的方法/类上的接口地址,都统一在项目加载阶段自动帮我们加到 ignore-url 中,不需要我们手动配置,免去了很多开发工作,同时也能避免我们忘记配置,而浪费开发时间。即在接口方法中,对头部进行判断,只有请求带上相应的 Header 参数时,才允许通过访问,否则抛出异常。
Spring aop与SpringBoot自定义注解
weixin_44344234的博客
01-28 981
用一个SpringBoot自定义注解的例子,说一说Spring aop的实际应用
js验证框架之RealyEasy验证详解
10-22
**JavaScript验证框架RealyEasy验证详解** 在网页开发中,表单验证是非常重要的一环,它确保用户输入的数据符合预设的规则,从而避免无效数据的提交。RealyEasy验证框架是一个轻量级的JavaScript库,它利用...
51单片机读写内部EEPROM详解.zip_51单片机读写内部EEPROM详解_exceptn1i_improveopf_原理
09-15
51单片机读写内部EEPROM详解 此文档共包含三个程序。 第一个程序最简单易懂,看懂了基本就会读写51单片机内部EEPROM了。 第二个程序和第一个读写EEPROM原理差不多,包含有LCD1602操作方法,有写字符串的方法。 第...
嵌入式系统中eFlash控制器的Verilog RTL设计与验证详解
最新发布
04-24
使用场景及目标:适用于需要深入了解eFlash控制器内部工作机制的研发人员,帮助他们掌握Verilog代码实现、状态机设计、权限管理和验证方法,从而提高设计效率和产品质量。 其他说明:文章提供了大量实际代码片段和...
详解:Kerberos身份验证技术.docx
10-30
### 详解:Kerberos身份验证技术 #### 1. Kerberos身份验证概述 Kerberos身份验证是一种广泛采用的安全协议,旨在为网络环境中不同实体(例如客户端与服务器)之间的通信提供安全保障。它通过一系列复杂但高效的...
UserAgentUtils-1.21.jar
10-14
获取浏览器信息,浏览器版本,操作系统等 String agentStr = ServletUtils.getRequest().getHeader("User-Agent"); UserAgent userAgent = UserAgent.parseUserAgentString(agentStr); userAgent.getBrowser().getName() userAgent.getOperatingSystem().getName()
服务认证方案
TrustNature
02-23 1344
服务认证参与者: springcloud gateway、auth、system、redis 1、网关对于auth a) 网关负责生成验证码,校验验证码(针对如下URL) private final static String[] VALIDATE_URL = new String[] { "/auth/login", "/auth/register" }; b) 网关对于所有U...
ruoyi-common-security源码分析
m0_51571683的博客
11-07 944
当前前后端分离架构逐渐成为主流,尤其是以spring-cloud为代表的微服务架构流行之后,传统的spring security已经有些跟不上时代,在微服务架构中,很多第三方的开源权限框架有着简单易用,适配性好的特点,可以在其基础上进行二次开发,具有很不错的应用价值,这里选取ruoyi-security的源码进行分析,学习微服务架构的鉴权逻辑。
【若依SpringCloud】学习笔记二(ruoyiCloud token生成及验证
qq_43463977的博客
04-10 2143
ruoyiCloud登录验证并生成token
若依(ruoyi-cloud)脚手架
qq_20768585的博客
01-01 666
一直想做一款后台管理系统,看了很多优秀的开源项目但是发现没有合适的。于是利用空闲休息时间开始自己写了一套后台系统。如此有了若依。她可以用于所有的Web应用程序,如网站管理后台,网站会员中心,CMS,CRM,OA。所有前端后台代码封装过后十分精简易上手,出错概率低。同时支持移动客户端访问。系统会陆续更新一些实用功能。性别男,若依是给女儿取的名字(寓意:你若不离不弃,我必生死相依)若依是一套全部开源的快速开发平台,毫无保留给个人及企业免费使用。导入依赖参考ruoyi-api-system。
java http请求头部工具类
letterss的博客
05-20 1987
/** * 权限相关通用常量 * * @author ws */ public class SecurityConstants { /** * 令牌自定义标识 */ public static final String TOKEN_AUTHENTICATION = "Authorization"; /** * 令牌前缀 */ public static final String TOKEN_PREFIX = "Bearer..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值