gateway-统一权限-认证

最新推荐文章于 2024-08-06 19:21:15 发布
最新推荐文章于 2024-08-06 19:21:15 发布
阅读量499 收藏 1
点赞数
分类专栏: 面试 学习路线 阿里巴巴 文章标签: gateway java 开发语言 intellij-idea c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/egegerhn/article/details/125109064
版权
本文详细介绍了如何构建一个多平台权限控制的系统,包括基础名词概念、认证鉴权流程、数据库设计以及实现细节。系统采用RBAC模型,通过角色和资源进行权限控制,实现了基于角色和资源的访问控制。用户信息、企业信息、角色和资源的关系清晰,通过Spring Cloud Gateway进行权限的验证和过滤。认证流程涉及用户登录、角色和权限的匹配,确保了系统安全。
摘要由CSDN通过智能技术生成

int## 基础名词概念
**权限:**属于系统的安全范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全控制策略用户可以访问而且只能访问自己被授权的资源,主要包括用户身份认证和请求鉴权两部分,简称认证鉴权
认证判断一个用户是否为合法用户的处理过程,最常用的简单身份认证是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确
在这里插入图片描述

鉴权:即访问控制,控制谁能访问那些资源;进行身份认证后需要分配权限可访问的系统资源,对于某些资源没有权限是无法访问的,如下图所示

在这里插入图片描述
权限控制:用户是某个角色、或拥有某个资源时,才可访问系统资源我们称之为权限控制,权限控制分为下列2类型:
基于角色
RBAC基于角色的访问控制是以角色为中心进行访问控制,比如:主体的角色为总经理可以查询企业运营报表,查询员工薪资信息等,访问控制流程如下:
在这里插入图片描述
基于资源
RBAC基于资源的访问控制,是以资源中心进行访问控制,企业中常用的权限管理方法,实现思路是:将系统操作的每个URL配置在资源表中,将资源对应到角色,将角色分配给用户,用户访问系统功能通过Filter进行过滤,过滤器获取到用户的url,只要访问的url是用户分配角色中的URL是用户分配角色的url则进行访问,其具体流程如下:
在这里插入图片描述
匿名资源:无需认证鉴权就可以访问的资源
公共资源:只需登录既可以访问的资源

多平台权限控制

xxxx作为一个SaaS平台,商家提供运营主体信息后,运营平台会为商家开通系统,各个商家平台都需要在运营平台的管理下去工作:
1、运营平台可以管理所有商家平台的企业信息
2、运营平台可以管理所有商家平台的资源信息
3、运营平台可以管理所有商家平台的角色信息
4、运营平台可以管理商家平台的用户信息

第二章 基础信息简介

在开始做权限开发之前我们需要看下权限设计的数据库结构:
在这里插入图片描述
通过上图,我们可以得到如下的信息:
一个企业可以有多个用户
一个用户可以有多个角色
一个角色可以有多个资源
这个是经典的权限设计,也就是:企业,用户,角色,资源通过它们可以来完成整个权限的控制。

企业信息

商家想申请入驻平台,首先在申请页面【也可以后端录入】进行信息填写,填写完成【运营平台】对商家资质进行审核,审核通过后商家即可入职使用,如图所示:

在这里插入图片描述
数据库结构设计

CREATE TABLE `tab_enterprise` (
  `id` bigint(18) NOT NULL,
  `enterprise_id` bigint(18) NOT NULL COMMENT '商户ID【系统内部识别使用】',
  `enterprise_name` varchar(200) COLLATE utf8_bin NOT NULL COMMENT '企业名称',
  `enterprise_no` varchar(32) COLLATE utf8_bin NOT NULL COMMENT '工商号',
  `province` varchar(32) COLLATE utf8_bin NOT NULL COMMENT '地址(省)',
  `area` varchar(32) COLLATE utf8_bin NOT NULL COMMENT '地址(区)',
  `city` varchar(32) COLLATE utf8_bin NOT NULL COMMENT '地址(市)',
  `address` varchar(200) COLLATE utf8_bin NOT NULL COMMENT '详细地址',
  `status` varchar(8) COLLATE utf8_bin NOT NULL COMMENT '状态(试用:trial,停用:stop,正式:official)',
  `proposer_Id` bigint(18) DEFAULT NULL COMMENT '申请人Id',
  `enable_flag` varchar(18) CHARACTER SET utf8 NOT NULL COMMENT '是否有效',
  `created_time` datetime NOT NULL COMMENT '创建时间',
  `updated_time` datetime NOT NULL COMMENT '创建时间',
  `expire_time` datetime NOT NULL COMMENT '到期时间 (试用下是默认七天后到期,状态改成停用)',
  `web_site` varchar(100) COLLATE utf8_bin DEFAULT NULL COMMENT '商户门店web站点',
  `sharding_id` bigint(18) NOT NULL COMMENT '分库id',
  `app_web_site` varchar(100) COLLATE utf8_bin DEFAULT NULL COMMENT '商户h5web站点',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_bin COMMENT='企业账号管理';

实现细节
对于这个功能的CRUD这里就不做赘述,这里主要思考2个问题:
为什么我们要为商家绑定域名?
通过一个图来分析下整个的工作流程
在这里插入图片描述
员工在浏览器中发起ppsk.shop.eehp.cn的访问请求
阿里云域名解析会把ppsk.shop.eehp网址解析到阿里云ECS服务器101.101.108.2
阿里云ECS服务器【101.101.108.2】宿主机会把信息转发到docker-nginx服务器
docker-nginx服务器配置的serverName【*.shop.eehp.cn】转发到gateway服务
gateway服务根据ppsk.shop.eehp.cn兑换企业号100001
根据企业号100001访问目标的商家A
域名和企业号如何建立关联
在security模块的initEnterpriseWeb方法,这里主要有四个方法:
init:初始化企业站点信息到redis,此方法上有==@PostConstruct==注解,表示项目启动时即加载信息
addWebSiteforRedis:添加缓存中的站点,当我们【新增】企业主体信息时调用此方法
deleteWebSiteForRedis:移除缓存中的站点,当我们【删除,仅用】企业主体信息时调用此方法
updateWebSiteforRedis:更新缓存中的站点,当我们修改禁用企业主体信息时调用此方法

/**
 * @ClassName initEnterpriseWebSIteInfo.java
 * @Description 初始化企业站点信息到redis
 */
@Component
public class InitEnterpriseSite {

    @Autowired
    IEnterpriseService enterpriseService;

    @Autowired
    RedissonClient redissonClient;

    /**
     *获得两时间的秒间隔
     */
    public Long secondInterval(Date date1, Date date2) {
        long secondInterval = (date2.getTime() - date1.getTime()) / 1000;
        return secondInterval;
    }

    /***
     * @description 初始化企业站点信息到redis
     */
    @PostConstruct
    public void init(){
        QueryWrapper<Enterprise> queryWrapper = new QueryWrapper<>();
        queryWrapper.lambda().eq(Enterprise::getEnableFlag, SuperConstant.YES)
            .and(wrapper->wrapper
                .eq(Enterprise::getStatus,SuperConstant.TRIAL)
                .or()
                .eq(Enterprise::getStatus,SuperConstant.OFFICIAL));
        List<Enterprise> list = enterpriseService.list(queryWrapper);
        List<EnterpriseVo> enterpriseVos = BeanConv.toBeanList(list, EnterpriseVo.class);
        for (EnterpriseVo enterpriseVo : enterpriseVos) {
            String webSiteKey = SecurityCacheConstant.WEBSITE+enterpriseVo.getWebSite();
            RBucket<EnterpriseVo> webSiteBucket = redissonClient.getBucket(webSiteKey);
            String appWebSiteKey = SecurityCacheConstant.APP_WEBSITE+enterpriseVo.getAppWebSite();
            RBucket<EnterpriseVo> appWebSiteBucket = redissonClient.getBucket(appWebSiteKey);
            Long secondInterval = this.secondInterval(new Date(), enterpriseVo.getExpireTime());
            if (secondInterval.longValue()>0){
                webSiteBucket.set(enterpriseVo,secondInterval, TimeUnit.SECONDS);
                appWebSiteBucket.set(enterpriseVo,secondInterval, TimeUnit.SECONDS);
            }
        }
    }

    /***
     * @description 添加缓存中的站点
     * @param enterpriseVo 企业号
     * @return:
     */
    public void addWebSiteforRedis(EnterpriseVo enterpriseVo){
        String webSiteKey = SecurityCacheConstant.WEBSITE+enterpriseVo.getWebSite();
        RBucket<EnterpriseVo> webSiteBucket = redissonClient.getBucket(webSiteKey);
        String appWebSiteKey = SecurityCacheConstant.APP_WEBSITE+enterpriseVo.getAppWebSite();
        RBucket<EnterpriseVo> appWebSiteBucket = redissonClient.getBucket(appWebSiteKey);
        Long secondInterval = this.secondInterval(new Date(), enterpriseVo.getExpireTime());
        if (secondInterval.longValue()>0){
            webSiteBucket.trySet(enterpriseVo,secondInterval, TimeUnit.SECONDS);
            appWebSiteBucket.trySet(enterpriseVo,secondInterval, TimeUnit.SECONDS);
        }
    }

    /***
     * @description 移除缓存中的站点
     * @param enterpriseVo 企业号
     * @return:
     */
最低0.47元/天 解锁文章
egegerhn
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微服务权限解决方案,Cloud Gateway+Oauth2实现统一认证和鉴权
一入Java深似海
07-09 2万+
最近发现了一个很好的微服务权限解决方案,可以通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本文将详细介绍该方案的实现,希望对大家有所帮助! 前置知识 我们将采用Nacos作为注册中心,Gateway作为网关,使用nimbus-jose-jwtJWT库操作JWT令牌 应用架构 我们理想的解决方案应该是这样的,认证服务负责认证,网关负责校验认证和鉴权,其他API服务负.
Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权!
qq_43649937的博客
01-23 3516
Gateway OAuth2.0
【第16章】Spring Cloud之Gateway全局过滤器(安全认证)
最新发布
zjg
08-06 1077
我们已经接入了网关,所有的外部访问需要通过网关才能访问到我们的微服务,这一章我们在网关层进行统一的安全认证,保障服务安全和数据安全。在前面的的【第3章】SpringBoot实战篇之登录接口(含JWT和拦截器)已经实现了对用户身份的认证,思路是差不多的,我们这里通过网关层的过滤器来简单实现下。
gateway权限统一认证
sunny-blog
03-09 2229
## 使用Redis做Token校验(包含自刷新) 前言: ​ 之前使用过JWT TOKEN, 所生成的TOKEN过于繁琐, 且在用户维度操作上并不能满足业务需求. JWT TOKEN自刷新,请点击此文章了解! 自定义TOKEN实现流程图: 需求: 1. Token过期时间为60分钟, 若用户正在持续操作则应该为token续期 2. 当用户登陆后,应该可以根据Token获取对应的用户,且在系统中用户只能在一个地方登陆 3. Token对应的权限应该可以进行统一鉴权 创建Token数据模型: /* tok
Spring Cloud Gateway 整合OAuth2.0 实现统一认证授权
Lyndon的专栏
04-24 3537
gateway 认证服务
微服务API聚合网关 An Aggregation API Gateway-fizz-gateway-node.zip
11-07
3. **身份验证与授权**:API Gateway可以集成OAuth 2.0、JWT等认证机制,对请求进行身份验证和权限检查,确保只有合法用户和操作才能访问服务。 4. **数据转换**:不同的微服务可能使用不同的数据格式,如JSON、...
ims_nacos_gateway+shiro完成认证权限、日志等-Nacos版.rar
06-09
2.spring-gateway作为网关,具备熔断,负载,限流,统一操作日志,认证权限拦截等功能 ; 3.shiro+redis作为认证授权服务 oaa,提供为网关feign接口,用来验证权限 。 注意: 1.nacos1.1.4的安装包和naocs的配置文件也...
ims_cloud_gateway+shiro完成认证权限、日志等-Euraka版.rar
06-09
spring-gateway作为网关,具备熔断,负载,限流,统一操作日志,认证权限拦截等功能 ,过滤器统一异常捕获; shiro+redis作为认证授权服务 oaa,提供为网关feign接口,用来验证权限 。 方案二: zuul作为网关,具备...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringCloud(八):API网关整合OAuth2认证授权服务
03-27
SpringCloud(八):API网关整合OAuth2认证授权服务。
gateway 入门】9、基础安全设置:认证和授权
weixin_52938153的博客
06-03 1409
"Gateway" 是一个多义词,在不同的领域有不同的意义。它在计算机网络中是连接不同网络的设备或节点,能在不同协议、数据格式和体系结构之间进行转换,使得不同网络之间能够互相通信;在电子商务中是处理和授权在线支付的服务,确保交易安全顺利进行;在旅游和交通中指的是主要的出入口或枢纽,如国际机场。无论在哪个领域,Gateway 的核心概念都是作为“连接”和“通道”,它是实现两个不同系统或区域之间互动的重要桥梁。
尚医通(十四)Spring Cloud GateWay网关 | 跨域 | 权限认证
Knight
02-15 1120
尚医通(十四)Spring Cloud GateWay网关 | 跨域 | 权限认证
Spring Gateway使用JWT实现统一身份认证
王广帅--游戏开发技术
05-23 1854
主要介绍JWT Token在网关统一鉴权中的使用
Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!
weixin_47600724的博客
12-29 3333
接下来我们就可以搭建网关服务了,它将作为Oauth2的资源服务、客户端服务使用,对访问微服务的请求进行统一的校验认证和鉴权操作。我们首先来搭建认证服务,它将作为Oauth2的认证服务使用,并且网关服务的鉴权功能也需要依赖它。最后我们搭建一个API服务,它不会集成和实现任何安全相关逻辑,全靠网关来保护它。接下来我们来演示下微服务系统中的统一认证鉴权功能,所有请求均通过网关访问。
微服务架构-服务网关(Gateway)-权限认证(分布式session替代方案)
姜皓的博客
04-10 2494
这一节我们就探讨一下Gateway在分布式环境中的一个具体用例-用户鉴权
SpringCloud微服务实战——搭建企业级开发框架(二十三):Gateway+OAuth2+JWT实现微服务统一认证授权
全栈程序猿的专栏
10-23 3169
  OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该token(令牌)在限定时间、限定范围访问指定资源。   OAuth2中使用token验证用户登录合法性,但token最大的问题是不携带用户信息,资源服务器无法在本地进行验证,每次对于资源的访问,资源服务器都需要向认证服务器发起请求,一是验证token的有效性,二是获取token对应的用户信息。如果有大量的此类请求,无疑处理效率是很低,且认证
5.微服务项目实战---Gateway--服务网关,实现统一认证、鉴权、监控、路由转发等
王不困的博客
04-25 2924
如果没有网关的存在,我们只能在客户端记录每个微服务的地址,然后分别去调用。自己编写过滤器来实现的,那么我们一起通过代码的形式自定义一个过滤器,去完成统一权限校验。内置的过滤器已经可以完成大部分的功能,但是对于企业开发的一些业务功能处理,还是需要我们。网关是所有请求的公共入口,所以可以在网关进行限流,而且限流的方式也很多,我们本次采用前。中最基本的组件之一,表示一个具体的路由信息载体。,断言的作用是进行条件判断,只有断言都返回真,才会真正的执行路由。链的方式提供了网关基本的功能,例如:安全,监控和限流。
spring cloud gateway实现统一认证
04-30
Spring Cloud Gateway 是一个非常流行的微服务网关,在微服务架构设计中有着重要的作用,可以用来实现各种功能,例如路由转发、负载均衡、流量控制、限流等;除此之外,Spring Cloud Gateway 还能够支持统一认证,即只需要一次认证,就能够访问所有的微服务,这对于复杂的微服务架构来说非常的有用。 实现统一认证的实现方法如下: 1. 接入认证中心:首先需要在 Spring Cloud Gateway 中接入一个认证中心,比如使用 Spring Security 或 OAuth2 进行认证,实现单点登录。 2. 统一身份验证:在用户登录认证成功之后,会生成一个 token,Spring Cloud Gateway 会通过这个 token 来进行用户身份认证。而在微服务中,只需要进行简单的 token 验证就能够获取到用户信息,并进行相应的操作。 3. 统一资源管理:在认证中心中进行配置,指定可以访问的资源,进而限制了用户访问微服务的范围。这样就能够确保只有获得了相应权限的用户才能够访问微服务。 4. 日志跟踪:Spring Cloud Gateway 还能够记录每个请求的详细信息和用户信息,进而进行日志跟踪和监控,这对于故障排除和性能优化非常重要。 总之,实现 Spring Cloud Gateway统一认证,能够提供更好的安全性,同时提高开发效率,显著降低了微服务的管理难度,减轻了微服务的管理负担。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值