基于dubbo过滤器,隐式传参实现服务鉴权,字段控制

最新推荐文章于 2024-05-15 11:16:26 发布
最新推荐文章于 2024-05-15 11:16:26 发布
阅读量1k 收藏 3
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csgarten/article/details/115775002
版权

一 原理

基于dubbo全局过滤器

首先在项目src\main\resources\META-INF

新建文件夹dubbo,在下面新建以过滤器包名为文件名的文件com.alibaba.dubbo.rpc.Filter

配置文件里面配置两个过滤器

AuthFilter=com.base.dubbo.filter.AuthFilter
DubboServiceFilter=com.base.dubbo.filter.DubboServiceFilter

服务鉴权过滤器

package com.base.dubbo.filter;

import com.alibaba.dubbo.common.Constants;
import com.alibaba.dubbo.common.extension.Activate;
import com.alibaba.dubbo.rpc.*;
import com.zto.base.config.AuthFilterConfig;
import com.zto.base.dubbo.cache.DubboFilterCache;
import com.zto.base.model.BaseInterfaceAppModel;
import com.zto.base.service.CacheServiceImpl;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import tk.mybatis.mapper.util.StringUtil;

import java.util.Map;
import java.util.Objects;

import static com.base.dubbo.cache.DubboFilterCache.CHECKTOKEN;


/**
 * @desc: 全局的鉴权
 * @author: mark
 * @since: 2020/9/9 16:08
 **/
@Activate(group = Constants.PROVIDER, order = -30000)
public class AuthFilter implements Filter {

    //全局鉴权是否开启
    private AuthFilterConfig authFilterConfig;

    /**
     * dubbo通过setter方式自动注入
     **/
    public void setAuthFilterConfig(AuthFilterConfig authFilterConfig) {
        this.authFilterConfig = authFilterConfig;
    }

    //1-开启
    public static final String ON = "1";
    //0-关闭
    public static final String OFF = "0";

    private static Logger log = LoggerFactory
            .getLogger(AuthFilter.class);

    @Override
    public Result invoke(Invoker<?> invoker, Invocation invocation) throws RpcException {
        if (OFF.equals(authFilterConfig.getOpen())) {
            return invoker.invoke(invocation);
        }
        //全局开关
        log.info("dubbo鉴权全局过滤器开启!");
        Map<String, String> attachments = invocation.getAttachments();
        String appId = attachments.get("appid");
        String appKey = attachments.get("appkey");
        log.info("appId:{}:,appKey:{}", appId, appKey);

        //从缓存查询mdm_interface_app有没有appId
        String methodName = invocation.getMethodName();
        if (methodName == null || "$invoke".equalsIgnoreCase(methodName)) {
            methodName = (String) invocation.getArguments()[0];
        }
        //头里面有没有传,不传的放行
        if (Objects.isNull(appId)) {
            log.info("头里面没有传appId,放行");
            return invoker.invoke(invocation);
        }
        String str = attachments.get("path");
        String interfaceClass = str.substring(str.lastIndexOf(".") + 1, str.length());
        log.info("methodName:{}", methodName);
        BaseInterfaceAppModel model = DubboFilterCache.cache.get(CacheServiceImpl.generateKey(interfaceClass, methodName, appId));
        //缓存里面是否有,没有则放行
        //如果配置不校验缓存进行放行
        if (Objects.isNull(model) || !CHECKTOKEN.equals(model.getCheckToken())) {
            return invoker.invoke(invocation);
        }
        //appKey是否匹配
        if (!StringUtil.isEmpty(appKey) && model.getTokens().contains(appKey)) {
            return invoker.invoke(invocation);
        }
        log.error("接口没有调用权限,请求方Ip:{}, 方法{}", RpcContext.getContext().getRemoteAddressString(), methodName);
        return new RpcResult(new Throwable("没有访问权限"));
    }


}

接口信息使用本地缓存

package com.zto.base.dubbo.cache;

import com.base.bean.MdmAppResponseParameter;
import com.base.model.BaseInterfaceAppModel;

import java.util.HashMap;
import java.util.List;
import java.util.Map;
import java.util.concurrent.ConcurrentHashMap;

/**
 * @desc: dubbo接口鉴权本地缓存, 每个应用启动时候需要初始化
 * @author: mark
 * @since: 2020/9/10 9:16
 **/
public class DubboFilterCache {

    /**
     * @Desc: 接口的本地缓存
     * @author mark
     * @date 2020/9/10 14:20
     * @param
     * @return
     */
    public static Map<String, BaseInterfaceAppModel> cache = new HashMap<>();

    //是否校验,0不需要 1需要
    public static final Byte CHECKTOKEN = 1;

    public static Map<String, Long> appMap = new HashMap<>();

    static {
        appMap.put("base-center-outlet-api", 1L);
        appMap.put("base-center-emp", 2L);
        appMap.put("base-center-area", 3L);
        appMap.put("base-center-config", 4L);
    }

    /**
     * 服务应用方信息(key),value(返参)
     **/
    public static Map<String/*interfaceClass:method:appId */, List<MdmAppResponseParameter>> interfaceAppAttrMap = new ConcurrentHashMap<>();

    /**
     * 获取应用方返参信息
     *
     * @param key
     * @return
     */
    public static List<MdmAppResponseParameter> getMdmEntityAttr(String key) {
        return interfaceAppAttrMap.get(key);
    }

    /**
     * 修改或者新增应用方信息
     *
     * @return
     */
    public static void setMdmEntityAttr(String key, List<MdmAppResponseParameter> obj) {
        interfaceAppAttrMap.put(key, obj);
    }

    /**
     * 删除应用方信息
     *
     * @return
     */
    public static void delMdmEntityAttr(String key) {
        interfaceAppAttrMap.remove(key);
    }
}

字段过滤

package com.base.dubbo.filter;

import com.alibaba.dubbo.common.Constants;
import com.alibaba.dubbo.common.extension.Activate;
import com.alibaba.dubbo.rpc.*;
import com.alibaba.fastjson.JSONObject;
import com.base.bean.MdmAppResponseParameter;
import com.base.config.ResponseFilterConfig;
import com.base.constant.FieldSensitiveLevelConstant;
import com.base.dubbo.cache.DubboFilterCache;
import com.base.service.CacheServiceImpl;
import com.titans.common.util.JsonUtil;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.util.StopWatch;

import java.util.ArrayList;
import java.util.List;

/**
 * @author mark
 * @ClassName: DubboServiceFilter
 * @Description: 返参安全级别过滤/返参字段过滤
 * @date 2020/8/25  17:13
 * @Version 1.0
 */
@Activate(group = {Constants.PROVIDER})
public class DubboServiceFilter implements Filter {

    //1-开启
    public static final String ON = "1";
    //0-关闭
    public static final String OFF = "0";

    private final static Logger log = LoggerFactory.getLogger(DubboServiceFilter.class);

    //全局鉴权是否开启
    private ResponseFilterConfig responseFilterConfig;

    /**
     * dubbo通过setter方式自动注入
     **/
    public void setResponseFilterConfig(ResponseFilterConfig responseFilterConfig) {
        this.responseFilterConfig = responseFilterConfig;
    }

    @Override
    public Result invoke(Invoker<?> invoker, Invocation invocation) {
        if (OFF.equals(responseFilterConfig.getOpen())) {
            return invoker.invoke(invocation);
        }
        Result result = null;
        Long takeTime = 0L;
        try {
            Long startTime = System.currentTimeMillis();
            StopWatch sw = new StopWatch("task");
            sw.start("process");
            result = invoker.invoke(invocation);
            sw.stop();
            sw.start("json-converter");
            //从缓存查询返参信息
            String methodName = invocation.getMethodName();
            if (methodName == null || "$invoke".equalsIgnoreCase(methodName)) {
                methodName = (String) invocation.getArguments()[0];
            }
            String str = invocation.getAttachments().get("path");
            String interfaceClass = str.substring(str.lastIndexOf(".") + 1, str.length());
            String appId = invocation.getAttachments().get("appid");
            log.info("methodName:{}", methodName);
            List<MdmAppResponseParameter> mdmEntityAttr = DubboFilterCache.getMdmEntityAttr(CacheServiceImpl.generateKey(interfaceClass, methodName, appId));
            //获取返参需要过滤的字段
            List<String> securityAttrNames = new ArrayList<>();
            if (mdmEntityAttr != null && mdmEntityAttr.size() > 0) {
                mdmEntityAttr.forEach(mdm -> {
                    if (FieldSensitiveLevelConstant.NOT_AVAILABLE.equals(mdm.getSensitiveLevel()) || mdm.getIsSelect() == 0) {
                        securityAttrNames.add(mdm.getAttrCode());
                    }
                });
            }
            if (securityAttrNames.size() == 0) {
                return result;
            }
            String tmpStr = JSONObject.toJSONString(result, new SecurityResponseFilter(securityAttrNames));
            JSONObject jsonObject = JSONObject.parseObject(tmpStr);
            Object o = jsonObject.get("result");
            result = new RpcResult(o);
            sw.stop();
            System.out.println(sw.prettyPrint());
            if (result.getException() instanceof Exception) {
                throw new Exception(result.getException());
            }
            takeTime = System.currentTimeMillis() - startTime;

        } catch (Exception e) {
            log.error("DubboServiceFilter Exception:{},request{},curr error:{},msg:{}", invocation.getClass(),
                    invocation.getArguments(), e.toString(), e.getCause());
            result = new RpcResult(e);

            return result;
        } finally {
            log.info("method:[{}],request:{},response:{},takeTime:{} ms",
                    invocation.getMethodName(), invocation.getArguments(), JsonUtil.toJSON(result),
                    takeTime);
        }
        return result;
    }
}

参数过滤,基于json

package com.base.dubbo.filter;

import com.alibaba.fastjson.serializer.ValueFilter;

import java.util.List;

/**
 * @author mark
 * @ClassName: SecurityResponseFilter
 * @Description: 响应参数过滤
 * @date 2020/8/27  20:27
 * @Version 1.0
 */
public class SecurityResponseFilter implements ValueFilter {
    private List<String> securityAttrNames;

    public SecurityResponseFilter(List<String> securityAttrNames) {
        this.securityAttrNames = securityAttrNames;
    }

    @Override
    public Object process(Object object, String name, Object value) {
        for (String san : securityAttrNames) {
            if (san.equals(name)) {
                return "";
            }
        }
        return value;
    }
}

 

马克Markorg
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dubbo的技术文档
12-03
dubbo的技术文档,适合dubbo的初学者使用。。。。。。
基于dubbo实现服务发布与订阅demo
06-13
【标题】:“基于dubbo实现服务发布与订阅demo” 在分布系统中,服务的发布与订阅是关键组件,它使得各个服务之间能够有效地通信。Dubbo是一个高性能、轻量级的Java服务框架,由阿里巴巴开源,它提供了服务注册...
服务Token设计的几种方案
m0_73735578的博客
04-02 425
根据需求积分服务提供了一个给用户添加积分的API,如果你的API是通过获取的当前登录用户ID增加的积分,那么面对场景二时你需要重新编写一个给用户添加积分的API,因为当前登录的是后台管理员而不是用户(代码复用率较低)缺点:A服务调用B服务时,B服务需要写一个内部调用的Controller接口A服务才能通过Fegin调用到B服务,增加了代码量(这里的设计方案是内部调用与外部调用Controller是分开的)各位服务都有自己的,当然也可以通过jar包的方统一各服务
Dubbo底层原理
最新发布
m0_57801749的博客
05-15 890
Dubbo底层原理
Dubbo Filter机制概述
2401_84046677的博客
04-23 774
阿里伤透我心,疯狂复习刷题,终于喜提offer 哈哈~好啦,不闲扯了1、JAVA面试核心知识整理(PDF):包含JVMJAVA集合JAVA多线程并发,JAVA基础,Spring原理微服务,Netty与RPC,网络,日志,ZookeeperKafkaRabbitMQ,Hbase,MongoDB设计模负载均衡数据库一致性哈希JAVA算法数据结构,加密算法,分布缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算共30个章节。2、Redis学习笔记及学习思维脑图。
Idea+maven+spring-cloud项目搭建系列--11-2 dubbo&日志记录&数据统一封装
拽着尾巴的鱼儿的博客
03-10 1023
Idea+maven+spring-cloud项目搭建系列--11-2 dubbo&日志记录&数据统一封装
Dubbo的tokenfilter
rocklee的专栏
04-06 1101
  Dubbo仅仅能防止consumer没拿到token就与provider通讯, token的方分两种,一种是provider和consumer指定一个token,然后调用时通过这个token核对,相同的才谓之“合法调用”;另一种是随机token,每调用一次consumer从自治中心拿一个唯一的token再调用。不管怎样这个所谓的也只限于consumer能不能调用provider,跟provider某个api是否能被调用这种无能为力。 ...
springboot-dubbo之api服务接口
lss0555的博客
12-02 1855
流程步骤 1、配置文件 在bootstrap.yml增加是否开启配置等操作 # magical: dubbo: auth: #是否开启Dubbo服务 enabled: true 2、服务配置 @Data @RefreshScope @Component(DubboAuthProperties.BEAN_NAME) @ConfigurationProperties(DubboAuthProperties.PREFIX) public class Dubb
Dubbo3高级特性】「提升系统安全性」通过令牌进行服务验证及服务控制实战指南
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
11-06 864
通过令牌验证在注册中心控制限,以决定要不要下发令牌给消费者, 可以防止消费者绕过注册中心访问提供者, 另外通过注册中心可灵活改变授,而不需修改或升级提供者。
Dubbo的学习与总结(一)- -初识
lf_214的博客
03-28 988
公司要对现有的组织架构重新进行划分,将一些现有的项目根据功能拆分,来应对业务量不断增长对系统的压力。通过比较,最终选择Dubbo作为服务的框架。 主要考虑以下几点: 资料文档比较全,Dubbo是阿里提供的,绝对国产开源。 Java主导,公司项目服务的提供和调用都以Java为主。 解决现有问题,Dubbo的许多机制服务管理和监控、版本控制、负载均衡等,可以解决公司现有的一些问题。 可靠稳定,许多公司
dubbo过滤器_puml_framerk4_过滤器uml_
10-03
1. **Dubbo过滤器机制**:了解过滤器服务调用中的位置,如何通过`@Filter`注解注册过滤器,以及过滤器的生命周期方法,如`invoke`和`destroy`。 2. **Puml使用**:学习如何使用Puml编写UML图,特别是序列图或状态...
基于Dubbo框架构建分布服务
02-26
我们可以非常容易地通过Dubbo来构建分布服务,并根据自己实际业务应用场景来选择合适的集群容错模,这个对于很多应用都是迫切希望的,只需要通过简单的配置就能够实现分布服务调用,也就是说服务提供方...
基于dubbo中Listener的实现方法
08-29
"基于dubbo中Listener的实现方法" "dubbo"是一个流行的开源Java RPC框架,由阿里巴巴公司开发,提供了高性能、低延迟的远程调用能力。在dubbo中,Listener是一个重要的组件,负责处理服务提供者的事件监听和消息...
dubbo接口测试_接口测试平台:Dubbo接口支持
weixin_39794385的博客
11-29 229
▼关注测试君 | 会上瘾Dubbo具体的Java调用方可以考这篇文章《Dubbo接口泛化调用》。列表展示大概如下:前端配置页,则是对入进行二次封装。返回结果的处理部分,与http请求基本一致bean文件@DatapublicclassDubboCase{/**主键id*/privateintid;/**创建人*/privateStringcreaterName...
关于Dubbo的Rpc调用服务提供者方
weixin_45596022的博客
04-28 1246
1.思路分析 利用dubbo的SPI机制,写一个Filter继承Dubbo的Filter。 在invoke方法里面通过invoker获取到服务消费者的ip和服务名 拿到ip和服务名之后和白名单进行比对。 关于服务名的获取,通过dubbo上下文,Attachment。 2.代码实现 1.创建文件org.apache.dubbo.rpc.Filter validation=com.filter.ValidationFilter 2.配置文件配置 validation.ips=121.199.31.160,
dubbo
u012919352的博客
08-20 3084
dubbo 1、预备知识 ​ 说明:以下只使用于使用 InternalThread 的情况,使用Thread的不建议使用InternalThreadLocal 1. InternalThreadLocalMap ​ 常用属性: ​ Object[] indexedVariables: 对象数据用于数据存储; ​ static final AtomicInteger NEXT_INDEX:用于记录InternalThreadLocal实例位于数组中的位置。 2. InternalThr
dubbo之令牌验证
weixin_34236869的博客
09-19 384
防止消费者绕过注册中心访问提供者 在注册中心控制限,以决定要不要下发令牌给消费者 注册中心可灵活改变授,而不需修改或升级提供者 可以全局设置开启令牌验证 <!--随机token令牌,使用UUID生成--> <dubbo:provider token="true" /> <!--固定token令牌,相当于密码--> <d...
十二:Dubbo高级特性(三)
qq_36364521的博客
03-30 427
图中Consumer中的过滤器为ConsumerContextFilter,会将RpcContext中设置的数绑定到invoker中,通过RPC递到Provider,Provider中的过滤器为ContextFilter,会将invoker中的绑定的数获取到 重新设置到RpcContext上。 ...
Dubbo服务治理
imduan的博客
10-15 1408
|现象 | 问题 | 解决方案| | 服务越来越多|URL配置管理, F5硬件单点压力大 | 注册中心, 服务动态发现 | |服务间依赖关系复杂 | | 自动绘制服务依赖| | | |
dubbo调用服务实现类使用过滤器
05-27
是的,Dubbo调用服务实现类可以使用过滤器Dubbo过滤器是在服务提供者或消费者端执行的拦截器,可以对请求和响应进行处理。过滤器可以用来实现各种功能,比如日志记录、安全检查、数校验等。Dubbo框架提供了多种内置的过滤器,如EchoFilter、ClassLoaderFilter、ExceptionFilter等,也支持自定义过滤器。要使用过滤器,需要在Dubbo配置文件中配置filter标签,并指定要使用的过滤器类。例如: ``` <dubbo:provider filter="logFilter" interface="com.xxx.XxxService" ref="xxxService"/> ``` 这样就会在服务提供者端使用名为logFilter的自定义过滤器。在过滤器类中,需要实现Filter接口,并实现before和after方法,在before方法中处理请求,在after方法中处理响应。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值