也该来学习微服务网关与用户身份识别,SpringSecurity原理和实战(1)

于 2024-05-01 17:57:05 发布
阅读量25 收藏 8
点赞数 19
分类专栏: 程序员 文章标签: 学习 微服务 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ghfgjfg679/article/details/138376858
版权

//具体的验证令牌方法

@Override

public Authentication authenticate(Authentication authentication) throws AuthenticationException

{

DemoToken token = (DemoToken) authentication;

//从数据源map中获取用户密码

String rawPass = map.get(token.getUserName());

//验证密码,如果不相等,就抛出异常

if (!token.getPassword().equals(rawPass))

{

token.setAuthenticated(false);

throw new BadCredentialsException(“认证有误:令牌校验失败” );

}

//验证成功

token.setAuthenticated(true);

return token;

}

/**

*判断令牌是否被支持

*@param authentication 这里仅仅DemoToken令牌被支持

*@return

*/

@Override

public boolean supports(Class<?> authentication)

{

return authentication.isAssignableFrom(DemoToken.class);

}

}

DemoAuthProvider模拟了一个简单的数据源并且加载了两个用户。在其authenticate验证方法中,将入参DemoToken令牌中的用户名和密码与模拟数据源中的用户信息进行匹配,若匹配成功,则验证成功。

演示程序的第三步:定制一个过滤器类,从请求中获取用户信息并组装成定制凭证/令牌,交给认证管理者。在生产场景中,认证信息一般为某个HTTP头部信息(如Cookie信息、Token信息等)。本演示程序中的过滤器类为DemoAuthFilter,从请求头中获取token字段,解析之后组装成DemoToken令牌实例,提交给AuthenticationManager进行验证。DemoAuthFilter的代码如下:

public class DemoAuthFilter extends OncePerRequestFilter

{

//认证失败的处理器

private AuthenticationFailureHandler failureHandler = new AuthFailureHandler();

//authenticationManager是认证流程的入口,接收一个Authentication令牌对象作为参数 private AuthenticationManager authenticationManager;

@Override

protected void doFilterInternal(HttpServletRequest request,

HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException

{

AuthenticationException failed = null;

try

{

Authentication returnToken=null;

boolean succeed=false;

//从请求头中获取认证信息

String token = request.getHeader

(SessionConstants.AUTHORIZATION_HEAD);

String[] parts = token.split(“,” );

//组装令牌

DemoToken demoToken = new DemoToken(parts[0],parts[1]);

//提交给AuthenticationManager进行令牌验证

returnToken = (DemoToken) this.getAuthenticationManager()

.authenticate(demoToken);

//获取认证成功标志

succeed=demoToken.isAuthenticated();

if (succeed)

{

//认证成功,设置上下文令牌

SecurityContextHolder.getContext().setAuthentication

(returnToken);

//执行后续的操作

filterChain.doFilter(request, response);

return;

}

} catch (Exception e)

{

logger.error(“认证有误”, e);

failed = new AuthenticationServiceException(“请求头认证消息格式错误”,e );

}

if(failed == null)

{

failed = new AuthenticationServiceException(“认证失败”);

}

//认证失败了

SecurityContextHolder.clearContext();

failureHandler.onAuthenticationFailure(request, response, failed);

}

}

为了使得过滤器能够生效,必须将过滤器加入Web容器的HTTP过滤处理责任链&#x

最低0.47元/天 解锁文章
ghfgjfg679
关注
  • 19
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
redis decr 防止超卖_秒杀常见问题(超卖问题)
weixin_39524247的博客
12-03 3557
问题描述秒杀系统优化以及解决超卖问题_dazou的博客-CSDN博客_秒杀超卖解决方案​blog.csdn.net在众多抢购活动中,在有限的商品数量的限制下如何保证抢购到商品的用户数不能大于商品数量,也就是不能出现超卖的问题;还有就是抢购时会出现大量用户的访问,如何提高用户体验效果也是一个问题,也就是要解决秒杀系统的性能问题。解决超卖问题每一个用户只能抢购一件商品的限制;在数据库减库存时加上库存数...
SpringCloud自定义注解实现用户权限拦截
12-16 2164
我们平时在开发的时候,通常使用过滤器,拦截器,网等等实现用户权限的校验、白名单的拦截等,今天我们在springcloud中使用自定义注解的方式来实现用户必须登录的情况下才能访问某个接口或者controller。 1.定义好注解: package com.meiyibao.annotation; import java.lang.annotation.ElementType;...
600万订单每秒Disruptor +SpringBoot,如何解决消息不丢失?
最新发布
架构师尼恩
03-01 1652
Disruptor是英国外汇交易公司LMAX开发的一个高性能队列,研发的初衷是解决内存队列的延迟问题(在性能测试中发现竟然与I/O操作处于同样的数量级)。基于Disruptor开发的系统单线程能支撑每秒600万订单,2010年在QCon演讲后,获得了业界注。2011年,企业应用软件专家Martin Fowler专门撰写长文介绍Disruptor。2011年,Disruptor还获得了Oracle官方的Duke大奖。
服务架构下如何获取用户信息并认证?
unber的博客
12-18 1830
在传统的单体项目中,我们对用户的认证通常就在项目里面,当拆分成服务之后,一个业务操作会涉及多个服务。那么怎么对用户做认证?服务中又是如何获取用户信息的?这些操作都可以在 API 网中实现。
SpringSecurity自定义多Provider时提示No AuthenticationProvider found for问题的解决方案与原理(三)
半斤米粉闯天下的博客
08-29 5282
SpringSecurity 5.6.X 自定义多Provider时No AuthenticationProvider found for问题的排查与修复
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring Security、OAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网以及服务之间的权限认证和授权机制。 首先,Spring Security是Spring框架的一个模块,专门...
服务网|Zuul1.0和2.0我们该如何选择?
01-27
在今年5月中,Netflix终于开源了它的...从Netflix的官方博文[附录1]中,我们获得的信息也比较令人振奋:TheCloudGatewayteamatNetflixrunsandoperatesmorethan80clustersofZuul2,sendingtraffictoabout100(andgrowing)...
服务网gateway集成security
07-13
当与Spring Cloud Gateway结合时,Security可以负责处理用户的登录、权限校验等安全问题,使得服务架构中的安全策略得以统一。 集成Spring Cloud Gateway和Spring Security的过程主要包括以下几个步骤: 1. **...
【完整版11章】SpringCloud+Kubernetes 服务容器化交付实战
01-17
课程分享——SpringCloud+Kubernetes 服务容器化交付实战,完整版11章,附源码。 课程专注于服务的容器化持续交付实战。你可以理解Spring Cloud基础,掌握服务的搭建,持续集成,持续测试,持续部署,深入...
转载 Spring Cloud入门教程(十一):服务安全(Security)
HYhhhhhhh的博客
05-16 632
Spring Cloud入门教程系列: Spring Cloud入门教程(一):服务治理(Eureka) Spring Cloud入门教程(二):客户端负载均衡(Ribbon) Spring Cloud入门教程(三):声明式服务调用(Feign) Spring Cloud入门教程(四):服务容错保护(Hystrix) Spring Cloud入门教程(五):API服务网(Zuul) 上 Spring Cloud入门教程(六):API服务网(Zuul) 下 Spring Cloud入门教程(七):分布
SpringSecurity 如何进行邮箱登录(手机登录)
weixin_43535259的博客
05-28 5683
SpringSecurity 授权流程 简而言之,       默认的 用户名密码登录 就是 登录的时候 被对应的UsernamePasswordAuthenticationFilter拦截下来,然后通过前端传过来的Username,Password组成一个叫UsernamePasswordAuthenticationToken 的东西...
匿名认证(Anonymous Authentication)
呜呼哈
04-05 4231
通常认为采用“默认拒绝”是一种良好的安全实践,在这种情况下,您可以明确指定允许的内容,并禁止其他内容。定义未经身份验证的用户可以访问的内容也是类似的情况,特别是对于 web 应用程序。许多站点要求用户必须对除了一些 url (例如主页和登录页面)以外的任何内容进行身份验证。在这种情况下,为这些特定 url 定义访问配置属性比为每个安全资源定义访问配置属性更容易。换句话说,有时候说 role_something 是默认需要的,并且只允许该规则的某些异常,比如用于应用程序的登录、注销和主页。您还可以从过滤器链中
SpringSecurity-基于服务的认证与权限访问
萌萌虎的博客
08-18 2054
服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,服务架构风格是一种 使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。(JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519。...
14-SpringSecurity:前后端分离项目中用户名与密码通过RSA加密传输
Heartsuit的博客
09-02 3022
背景 登录认证几乎是所有互联网应用的必备功能,传统的用户名-密码认证方式依然流行,如何避免用户名、密码这类敏感信息在认证过程中被嗅探、破解? 这里将传统的用户名、密码明文传输方式改为采用 RSA 的非对称加密算法密文传输,即使认证请求被网络抓包,只要私钥安全,则认证流程中的用户信息相对安全; 一般是生成RSA的密钥对之后,公钥存储在前端或后端(登录时每次请求后端返回公钥)进行加密,私钥存储在后端用于解密; 曾在实际的应用中看到过动态生成密钥对的做法,即公钥-私钥都是动态生成,每次请求都不一样,这与固定公
从零开始搭建高负载java架构(05)——gateway网节点(权限验证篇)
lyz2015lyz的博客
05-11 1845
【注意】另外,如果要通过数据库或redis查找用户信息,可以重载实现ReactiveUserDetailsService的接口findByUsername,从其他数据源里查出user数据转成UserDetails对象,如果除了用户名和密码,还有其他额外的用户信息需要保存,可以重置UserDetails类,添加额外的信息。
springsecurity oauth2在资源服务器获取令牌信息
qq_24258617的博客
12-02 701
** springsecurity oauth2在资源服务器获取令牌信息 ** 【学习笔记,代码自己敲,思想非原创】 前提:认证服务器AuthorizationConfig中使用jwt,并可以成功签发令牌,携带Bearer令牌访问资源服务器。 第一种-直接解析请求头令牌。 /** * CustomerJwt是自定义的类,用来保存用户信息 * SignedJWT和JWTClaimsSet来自nimbus-jose-jwt */ public static CustomerJwt getJwtClai
rest-framework源码解析--TokenAuthentication
Sthons的博客
09-04 426
首先,在token验证模块中,我们看到的是这一函数: def get_model(self): if self.model is not None: return self.model from rest_framework.authtoken.models import Token return Token 这里我们先不看 if 语句,直接去看 Token (如下图) class Token(...
Springboot +spring security,实现RememberMe和实现原理分析
weixin_40991408的博客
05-24 834
Springboot +spring security,实现RememberMe和实现原理分析
服务鉴权中心之网配置springsecurity+oauth2
07-15
总之,配置Spring Security OAuth2可以有效地实现服务鉴权中心之网的权限管理和访问控制,提高系统的安全性和可维护性。 ### 回答2: 服务鉴权中心作为一个独立的服务单元,负责管理和维护整个服务体系的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值