SpringSecurity之微服务权限方案

最新推荐文章于 2024-07-23 16:12:48 发布
最新推荐文章于 2024-07-23 16:12:48 发布
阅读量498 收藏 1
点赞数
分类专栏: SpringSecurity学习笔记 文章标签: SpringSecurity 微服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hcyxsh/article/details/115462701
版权

文章目录

SpringSecurity之微服务权限方案

一 微服务认证与授权实现思路

1. 认证授权过程分析

(1)如果是基于 Session,那么 Spring-security 会对 cookie里的 sessionid进行解析,找到服务器存储的 session信息,然后判断当前用户是否符合请求的要求。
(2)如果是 token,则是解析出 token,然后将当前请求加入到 Spring-security 管理的权限信息中去
(3)认证授权流程图 在这里插入图片描述
说明:
如果系统的模块众多,每个模块都需要进行授权与认证,所以我们选择基于 token 的形式进行授权与认证。
① 用户根据用户名密码认证成功,然后获取当前用户角色的一系列权限值,并以用户名为 key,权限列表为 value 的形式存入 redis 缓存中
② 根据用户名相关信息生成 token 返回,浏览器将 token 记录到 cookie 中,每次调用 api 接口都默认将 token 携带到 header 请求头中
③ Spring-security 解析 header 头获取 token 信息,解析 token 获取当前用户名
④ 根据用户名就可以从 redis 中获取权限列表,这样 Spring-security 就能够判断当前 请求是否有权限访问

2 权限管理数据模型

三个对象,五张表
在这里插入图片描述

3 JWT介绍

(1)JWT是随机生成的字符串标识,它由三部分组成:头信息,有效载荷(包括用户信息)和签名哈希,三者之间通过 . 进行分隔
在这里插入图片描述

二 具体代码实现

1 项目结构图

在这里插入图片描述

2 编写核心安全配置类

Spring Security 的核心配置就是继承 WebSecurityConfigurerAdapter 并注解 @EnableWebSecurity 的配置。这个配置指明了用户名密码的处理方式、请求路径、登录 登出控制等和安全相关的配置

@Configuration 
@EnableWebSecurity 
@EnableGlobalMethodSecurity(prePostEnabled = true) 
public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter{     
	// 自定义查询数据库用户名密码和权限信息     
	private UserDetailsService userDetailsService;     
	//token 管理工具类(生成 token )     
	private TokenManager tokenManager;     
	// 密码管理工具类     
	private DefaultPasswordEncoder defaultPasswordEncoder;     
	//redis 操作工具类     
	private RedisTemplate redisTemplate;     
	@Autowired     
	public TokenWebSecurityConfig(UserDetailsService userDetailsService,DefaultPasswordEncoder defaultPasswordEncoder,TokenManager tokenManager, RedisTemplate redisTemplate) {         
		this.userDetailsService = userDetailsService;         
		this.defaultPasswordEncoder = defaultPasswordEncoder;         
		this.tokenManager = tokenManager;         
		this.redisTemplate = redisTemplate;     
	}     
	/**      
	* 配置设置      
	* */     
	// 设置退出的地址和 token , redis 操作地址    
	 @Override     
	 protected void configure(HttpSecurity http) throws Exception {         
	 	http.exceptionHandling()                 
	 		.authenticationEntryPoint(new UnauthorizedEntryPoint())                 	
	 		.and()
	 		.csrf().disable()                 
	 		.authorizeRequests()                 
	 		.anyRequest().authenticated()                 
	 		.and()
	 		.logout().logoutUrl("/admin/acl/index/logout")                 
	 		.addLogoutHandler(new TokenLogoutHandler(tokenManager,redisTemplate))
	 		.and()                 
	 		.addFilter(new TokenLoginFilter(authenticationManager(),tokenManager, redisTemplate))                 
	 		.addFilter(new TokenAuthenticationFilter(authenticationManager(), tokenManager,redisTemplate))
	 		.httpBasic();     
	 	}     
	 	/**      
	 	* 密码处理 
	 	* */     
	 	@Override     
	 	public void configure(AuthenticationManagerBuilder auth) throws Exception {         
	 			
	 		auth.userDetailsService(userDetailsService)
	 		.passwordEncoder(defaultPasswordEnc oder);     
	 	}     
	 	/**      
	 	* 配置哪些请求不拦截      
	 	* */     
	 	@Override     
	 	public void configure(WebSecurity web) throws Exception {         
	 		web.ignoring()
	 			.antMatchers("/api/**" , "/swagger-ui.html/**);    
	 	} 
}
3 创建认证授权相关的工具类

在这里插入图片描述
(1))DefaultPasswordEncoder:密码处理的方法

@Component 
public class DefaultPasswordEncoder implements PasswordEncoder { 
 	public DefaultPasswordEncoder() {         
 		this(-1);     
 	}     
 	/**      
 	* @param strength      
 	* *       the log rounds to use, between 4 and 31      
 	* */     
 	public DefaultPasswordEncoder(int strength) { 
    }     
    public String encode(CharSequence rawPassword) {         
    	return MD5.encrypt (rawPassword.toString());    
    }     
    public boolean matches(CharSequence rawPassword, String encodedPassword) {         
    	return encodedPassword.equals(MD5.encrypt(rawPassword.toString()));     
    }
}

(2)TokenManager:token 操作的工具类

@Component 
public class TokenManager {     
	private long tokenExpiration = 24*60*60*1000;     
	private String tokenSignKey = "123456";     
	public String createToken(String username) {         
		String token = Jwts. builder ().setSubject(username)                 
							.setExpiration(new Date(System.currentTimeMillis () + tokenExpiration))                 
							.signWith(SignatureAlgorithm. HS512 ,tokenSignKey)
							.compressWith(CompressionCodecs. GZIP)
							.compact();         
							return token;     
	}     
	public String getUserFromToken(String token) {         
		String user = Jwts. parser()
			.setSigningKey(tokenSignKey)
			.parseClaimsJws(token)
			.getBody()
			.getSu bject();        
		 return user;    
	}     
	public void removeToken(String token) {         
	//jwttoken 无需删除,客户端扔掉即可。     
	} 
}

(3)TokenLogoutHandler:退出实现

public class TokenLogoutHandler implements LogoutHandler {     
	private TokenManager tokenManager;     
	private RedisTemplate redisTemplate;     
	public TokenLogoutHandler(TokenManager tokenManager, RedisTemplate redisTemplate) {         
		this.tokenManager = tokenManager;         
		this.redisTemplate = redisTemplate;     
	}     
	@Override     
	public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {         
		String token = request.getHeader("token");         
		if (token != null) {            
			 tokenManager.removeToken(token);             
			 // 清空当前用户缓存中的权限数据             
			 String userName = tokenManager.getUserFromToken(token);
			 redisTemplate.delete(userName);         
		}         
			ResponseUtil.out (response, R. ok ());     		
	} 
}

(4)UnauthorizedEntryPoint:未授权统一处理

public class UnauthorizedEntryPoint implements AuthenticationEntryPoint {     
	@Override     
	public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException,ServletException { 
		 ResponseUtil. out (response, R. error ());     
	} 
}
4 创建认证授权实体类

在这里插入图片描述
(1)SecutityUser 实体类

@Data 
@Slf4j 
public class SecurityUser implements UserDetails {     
	// 当前登录用户     
	private transient User currentUserInfo;     
	// 当前权限     
	private List<String> permissionValueList;     
	public SecurityUser() {}     
	public SecurityUser(User user) {         
		if (user != null) {             
			this.currentUserInfo = user;         
		}     
	}     
	@Override     
	public Collection<? extends GrantedAuthority> getAuthorities() { 
 
 		Collection<GrantedAuthority> authorities = new ArrayList<>();         
 		for(String permissionValue : permissionValueList) {
 			if(StringUtils. isEmpty (permissionValue)) 
 				continue;             
 			SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permissionValue);             
 			authorities.add(authority);        
 		}         
 		return authorities;     
 	}     
 	@Override     
 	public String getPassword() {         
 		return currentUserInfo.getPassword();     
 	}     
 	@Override     
 	public String getUsername() {         
 		return currentUserInfo.getUsername();     
 	}     
 	@Override     
 	public boolean isAccountNonExpired() {         
 		return true;     
 	}     
 	@Override     
 	public boolean isAccountNonLocked() {         
 		return true;     
 	}     
 	@Override     
 	public boolean isCredentialsNonExpired() {         
 		return true;     
 	}     
 	@Override     
 	public boolean isEnabled() {         
 		return true;     
 		} 
 }

(2)User实体类

@Data 
@ApiModel(description = "用户实体类") 
public class User implements Serializable {    
	private String username;    
	private String password;    
	private String nickName;    
	private String salt; //加密的盐值   
	private String token; //token字符串
}
5 创建认证和授权的filter

在这里插入图片描述
(1))TokenLoginFilter:认证的 filter

public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {     
	private AuthenticationManager authenticationManager;     
	private TokenManager tokenManager;     
	private RedisTemplate redisTemplate;     
	public TokenLoginFilter(AuthenticationManager authenticationManager, TokenManager tokenManager, RedisTemplate redisTemplate) {         
		this.authenticationManager = authenticationManager;         
		this.tokenManager = tokenManager;         
		this.redisTemplate = redisTemplate;         
		this.setPostOnly(false);         
		this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/admin/acl/login","POST"));     
	}     
	@Override    
	 public Authentication attemptAuthentication(HttpServletRequest req, HttpServletResponse res) throws AuthenticationException {         
	 	try {             
	 		User user = new ObjectMapper().readValue(req.getInputStream(), User.class); 
 			return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword(), new ArrayList<>()));         
 		} catch (IOException e) {             
 			throw new RuntimeException(e);         
 		}     
	} 
 
    /**      
    * 登录成功      
    * */     
    @Override     
    protected void successfulAuthentication(HttpServletRequest req, HttpServletResponse res, FilterChain chain,                                             Authentication auth) throws IOException, ServletException {         
    	SecurityUser user = (SecurityUser) auth.getPrincipal();         
    	String token = tokenManager.createToken(user.getCurrentUserInfo().getUsername());         
    	redisTemplate.opsForValue().set(user.getCurrentUserInfo().getUsername(), user.getPermissionValueList());         
    	ResponseUtil. out (res, R. ok ().data("token", token));     
    }     
    /**      
    * 登录失败      
    * */     
    @Override     
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response,                                               AuthenticationException e) throws  IOException, ServletException {         
    	ResponseUtil. out (response, R. error ());     
    } 
 }

(2)TokenAuthenticationFilter:授权 filter

public class TokenAuthenticationFilter extends BasicAuthenticationFilter {     
	private TokenManager tokenManager;     
	private RedisTemplate redisTemplate;     
	public TokenAuthenticationFilter(AuthenticationManager authManager, TokenManager tokenManager,RedisTemplate redisTemplate) {         
		super(authManager);         
		this.tokenManager = tokenManager;         
		this.redisTemplate = redisTemplate;     
	}     
	@Override     
	protected void doFilterInternal(HttpServletRequest req,  HttpServletResponse res, FilterChain chain)             throws IOException, ServletException {         
		logger.info("================="+req.getRequestURI());         
		if(req.getRequestURI().indexOf("admin") == -1) {             
			chain.doFilter(req, res);             
			return;         
		}         
		UsernamePasswordAuthenticationToken authentication = null;         
		try {             
			authentication = getAuthentication(req);         
		} catch (Exception e) {             
			ResponseUtil. out (res, R. error ());         
		}         
		if (authentication != null) {             
			SecurityContextHolder. getContext ().setAuthentication(authentication);         
		} else {             
			ResponseUtil. out (res, R. error ());         
		} 
		chain.doFilter(req, res);     
	}     
	private UsernamePasswordAuthenticationToken  getAuthentication(HttpServletRequest request) {         
		// token 置于 header 里         
		String token = request.getHeader("token");         
		if (token != null && !"".equals(token.trim())) {             
			String userName = tokenManager.getUserFromToken(token);             
			List<String> permissionValueList = (List<String>) redisTemplate.opsForValue().get(userName);             
			Collection<GrantedAuthority> authorities = new ArrayList<>();             
			for(String permissionValue : permissionValueList) {                 
				if(StringUtils. isEmpty (permissionValue)) continue;                 
				SimpleGrantedAuthority authority = new  SimpleGrantedAuthority(permissionValue);                 
				authorities.add(authority);            
			}             
			if (!StringUtils. isEmpty (userName)) {                 
				return new UsernamePasswordAuthenticationToken(userName, token, authorities);             
			}             
			return null;         
		}         
		return null;     
	} 
}
6 UserDetailsService
@Service("userDetailsService")
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserService userService;

    @Autowired
    private PermissionService permissionService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据用户名查询数据
        User user = userService.selectByUsername(username);
        //判断
        if(user == null) {
            throw new UsernameNotFoundException("用户不存在");
        }
        com.atguigu.security.entity.User curUser = new com.atguigu.security.entity.User();
        BeanUtils.copyProperties(user,curUser);

        //根据用户查询用户权限列表
        List<String> permissionValueList = permissionService.selectPermissionValueByUserId(user.getId());
        SecurityUser securityUser = new SecurityUser();
        securityUser.setCurrentUserInfo(curUser);
        securityUser.setPermissionValueList(permissionValueList);
        return securityUser;
    }
}
7 整合权限管理

有关具体实现参考项目源码

8 整合网关
  1. 配置文件
# 端口号
server.port=8222
# 服务名
spring.application.name=service-gateway
# nacos服务地址
spring.cloud.nacos.discovery.server-addr=127.0.0.1:8848
# 使用服务发现路由
spring.cloud.gateway.discovery.locator.enabled=true

# 配置路由规则
spring.cloud.gateway.routes[0].id=service-acl
# 设置路由uri  lb://注册服务名称
spring.cloud.gateway.routes[0].uri=lb://service-acl
# 具体路径规则
spring.cloud.gateway.routes[0].predicates= Path=/*/acl/**
  1. 主启动类
@SpringBootApplication
@EnableDiscoveryClient
public class ApiGatewayApplication {
    public static void main(String[] args) {
        SpringApplication.run(ApiGatewayApplication.class, args);
    }
}
  1. 解决跨域
@Configuration
public class CorsConfig {

    //解决跨域
    @Bean
    public CorsWebFilter corsWebFilter() {
        CorsConfiguration config = new CorsConfiguration();
        config.addAllowedMethod("*");
        config.addAllowedOrigin("*");
        config.addAllowedHeader("*");

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(new PathPatternParser());
        source.registerCorsConfiguration("/**",config);

        return new CorsWebFilter(source);
    }
}
勉之~
关注
专栏目录
Spring Security 6.x 系列【44】微服务篇之统一身份认证实现方案
记录知识、锤炼自我
05-26 1617
微服务架构中,前后端分离基于JSON进行数据交互,前端不仅有浏览器,还会有APP、H5、小程序等。 微服务中的后台应用一般都会按功能职责拆分为很多个独立应用,比如一个电商系统,会拆分为用户、订单、商品、库存、支付、商家管理等。一个大型项目后台应用可能有成千上万个,每个独立服务的职责都是单一的,对于登录认证来说,也是需要一个独立的服务,不可能每个服务实例都提供登录功能。
springcloud 微服务鉴权_浅谈Spring Cloud下微服务权限方案
weixin_29315091的博客
12-30 552
背景从传统的单体应用转型Spring Cloud的朋友都在问我,Spring Cloud下的微服务权限怎么管?怎么设计比较合理?从大层面讲叫服务权限,往小处拆分,分别为三块:用户认证、用户权限、服务校验。用户认证传统的单体应用可能习惯了session的存在,而到了Spring cloud的微服务化后,session虽然可以采取分布式会话来解决,但终究不是上上策。开始有人推行Spring Cloud...
SpringCloud微服务架构实战:商家权限体系设计及开发
tutouchengxuyua的博客
01-30 430
商家管理后台与sso设计 在本文的电商平台实例中,商家是这个平台的主角,商家管理后台是专门为这个主角提供的一个安全可靠的操作平台。在商家管理后台中,商家可以进行商品管理、订单管理、物流管理、会员管理、评价管理等各个方面的管理工作。这些管理功能及其服务功能分别由不同的微服务项目实现,并通过不同的应用进行部署。现在我们要做的,就是将这些分布在不同应用中的管理功能,组成一个具有相同访问控制设计的管理后台。 单点登录(Single Sign On,SSO)设计可以将这种分散的应用,通过统一的访问控制和权限管理,
Day47_Spring SecuritySpring Security微服务使用
weixin_45014721的博客
07-13 3056
文章目录一、知识补充1.单点登录:2.认证授权过程分析3.使用token的流程二、分析p21讲了本案例的需求说明p22讲了本案例用到的5张表p24搭建了项目工程p26后没有看· 学习视频:SpringSecurity 一、知识补充 1.单点登录: 单点登录:微服务中有众多模块,你在某一个模块完成登录验证后就不需要在其它模块进行登录验证了 2.认证授权过程分析 (1)基于 Session,如果基于 Session,那么 Spring-security 会对 cookie 里的 sessionid 进行解析,找
微服务安全——SpringSecurity6详解
最新发布
qq_44027353的博客
07-23 2096
本文使用的是Security6的版本,先介绍SpringSecurity的使用,然后再去介绍OAuth2。 SpringSecurity也只是入门知识版本:SpringBoot3.1.4、Security6.1.4创建一个简单的SpringBoot应用引入依赖 编写一个简单的Controller 启动项目后测试接口调用引入Spring Security依赖之后 ,访问 API 接口时,需要首先进行登录,才能进行访问。测试 http://localhost:8080/admin/demo ,会跳转到登录界面需
SpringSecurity系列文章 (五)Spring Security微服务中授权思路
kay三石
01-19 1271
CSRF(Cross-site request forgery) 跨站请求伪造,也成为on-click attack 通常缩写为CSRF 或者XSRF, CSRF利用的是网站对用户浏览器的信任。XSS利用的是用户对指定网站的信任。 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份
SpringSecurity 微服务权限管理
weixin_43328816的博客
04-30 1533
1.什么是微服务微服务的优势: 微服务的每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来说比较好解决。 微服务每个模块都可以使用不同的存储方式(比如Redis,mysql)数据库也是单个模块对应自己的数据库 微服务每个模块都可以使用不同的开发技术,开发模式增加灵活 微服务的本质 2.微服务认证与授权过程: 3.微服务权限管理数据模型 ...
Spring Security【四】微服务权限方案
博客
03-09 995
视频链接:SpringSecurity框架教程 文章源码:https://github.com/geyiwei-suzhou/spring-security 认证授权过程
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 4110
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来
微服务动态权限管理方案Spring Cloud Gateway+Spring Cloud Security
weixin_43349057的博客
03-08 2226
基于Spring Cloud Gateway和Spring Cloud Security微服务用户动态权限管理方案
SpringCloud微服务整合Spring Security OAuth2
lyy的博客
04-12 3208
要记得引入common后也要做必要的配置,比如nacos,相关配置可见博客:https://blog.csdn.net/qq_41076797/article/details/128509393、https://blog.csdn.net/qq_41076797/article/details/128508723;外面请求进来先通过网关进行身份认证,未登录的去登录,已登录的网关找到auth进行鉴权,通过才放行到具体的普通功能性微服务。代码会在后面给出,因为这段代码在后面的配置文件中。
【分布式微服务专题】SpringSecurity快速入门
qq_32681589的博客
01-01 1999
系列上一篇文章:《官方介绍:Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于 Spring 的应用程序。Spring Security 是一个框架,侧重于为 Java 应用程序提供身份验证和授权。与所有 Spring 项目一样,Spring 安全性的真正强大之处,在于它很容易扩展以满足定制需求Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
SpringSecurity微服务架构下的方案
一名蒟蒻的博客
07-23 1361
五、SpringSecurity微服务架构下的方案 1、微服务的概述 微服务概述: 微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,这些服务可以使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 微服务优势 微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来说比较好解决。 微服务每个模块都可以使用不同的存储方式(比如有的用 redis,有的用 mysql等),数据库也是单个模块对应自己的数据库。 微服务每个模块都可
微服务加密与授权:SpringSecurity
weixin_43516093的博客
01-30 857
1.导包:spring-boot-starter-security 2.添加配置类 注释: 3.添加加密方法如 BCryptPasswordEncoder 4.根据登陆密码进行匹配 由于相同的密码加密后不相同,所以先根据用户名查询出用户信息,然后再跟输入的密码进行匹配,代码如下 认证: 常见的认证机制 1.HTTP Basic Auth:每次发送请求时都会带上用户名和密码 2Cookie Au...
Spring Security独立微服务
lifeOn的博客
06-18 891
1、数据库设计 2、代码实现
SpringSecurity微服务权限解决方案
ybb_ymm的专栏
04-16 1282
微服务(或称微服务架构)是一种云 原 生 架构方法,在单个应用中包含众多松散耦合而且可单独部署的小型组件或服务。这些服务通常拥有自己的技术栈,包括数据库和数据管理模型;通过一个 rest api、事件流和 消 息 代 理组合彼此通信;以及 按照业务能力进行组织,具有通常称为有界上下文的服务分隔线。
SpringSecurity微服务权限方案-编写代码(认证和授权过滤器)
Leon_Jinhai_Sun的博客
05-24 189
SpringSecurity实战:微服务时代的首选安全框架
"SpringSecurity是Java企业级开发中的安全管理框架,尤其在微服务场景下成为首选方案。它涵盖了身份认证和授权两大核心功能,是Spring生态系统的一部分,能够与Spring Boot、Spring Cloud等无缝集成,并且对OAuth2有...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值