怎么处理整合了shiro的应用的RPC接口鉴权问题

已于 2024-06-23 14:45:59 修改
阅读量551 收藏 4
点赞数 9
文章标签: rpc java 网络协议
于 2024-06-22 03:17:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heyl163_/article/details/139872942
版权

这篇文章分享一下:当一个服务提供者整合了shiro安全框架来实现权限访问控制时,服务消费者通过feign请求服务提供者的接口时的鉴权不通过问题。

问题描述

博主有一个项目pms(权限管理系统),使用了shiro框架来实现鉴权功能,使用的是shiro内置的perms过滤器。

 而服务消费者端,通过feign访问RPC接口,很显然,由于是不同的项目,鉴权肯定是失败的。

package cn.edu.sgu.www.cms.feign.impl;

import cn.edu.sgu.www.cms.dto.PermissionInitDTO;
import cn.edu.sgu.www.cms.entity.Permission;
import cn.edu.sgu.www.cms.entity.User;
import cn.edu.sgu.www.cms.feign.FeignService;
import cn.edu.sgu.www.cms.restful.JsonResult;
import org.springframework.cloud.openfeign.FeignClient;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;

import java.util.List;
import java.util.Set;

/**
 * 权限平台feign接口
 * @author heyunlin
 * @version 1.0
 */
@FeignClient(name = "pms")
public interface PmsFeignService extends FeignService {

    /**
     * 根据用户名查询用户信息
     * @param username 用户名
     * @param service 应用名
     * @return JsonResult<User>
     */
    @RequestMapping(value = "/user/selectByUsername", method = RequestMethod.GET)
    JsonResult<User> selectByUsername(
            @RequestParam("username") String username,
            @RequestParam("service") String service
    );

    /**
     * 权限数据初始化
     * @param permissionInitDTO 权限信息
     * @return JsonResult<Void>
     */
    @RequestMapping(value = "/permission/resources", method = RequestMethod.POST)
    JsonResult<Void> resources(PermissionInitDTO permissionInitDTO);

    /**
     * 查询应用的非匿名子权限
     * @param service 应用名
     * @return JsonResult<List<Permission>>
     */
    @RequestMapping(value = "/permission/selectPermissions", method = RequestMethod.GET)
    JsonResult<List<Permission>> selectPermissions(@RequestParam("service") String service);

    /**
     * 查询应用的匿名子权限
     * @param service 应用名
     * @return JsonResult<List<String>>
     */
    @RequestMapping(value = "/permission/selectAnonymityPermissions", method = RequestMethod.GET)
    JsonResult<List<String>> selectAnonymityPermissions(@RequestParam("service") String service);

    /**
     * 通过用户名查询用户权限
     * @param username 用户名
     * @param service 应用名
     * @return JsonResult<Set<String>>
     */
    @RequestMapping(value = "/permission/selectUserPermissions", method = RequestMethod.GET)
    JsonResult<Set<String>> selectUserPermissions(
            @RequestParam("username") String username,
            @RequestParam("service") String service
    );
}

而在服务消费者启动过程中,需要向pms查询当前应用的权限,所以导致feign请求报错,项目无法启动问题。

package cn.edu.sgu.www.cms.config;

import cn.edu.sgu.www.cms.entity.Permission;
import cn.edu.sgu.www.cms.feign.impl.PmsFeignService;
import cn.edu.sgu.www.cms.restful.JsonResult;
import cn.edu.sgu.www.cms.shiro.UserRealm;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.List;
import java.util.Map;

/**
 * Shiro配置类
 * @author heyunlin
 * @version 1.0
 */
@Configuration
public class ShiroConfig {

    @Value("${spring.application.name}")
    private String service;

    /**
     * 登录页面地址
     */
    private String loginPage = "/login.html";

    /**
     * 未授权的URL
     */
    private String unauthorizedUrl = "/user/unauthorized";

    private final PmsFeignService feignService;

    @Autowired
    public ShiroConfig(PmsFeignService feignService) {
        this.feignService = feignService;
    }

    /**
     * 配置安全管理器
     * @param userRealm UserRealm
     * @return DefaultWebSecurityManager
     */
    @Bean
    public DefaultWebSecurityManager securityManager(UserRealm userRealm, CacheManager cacheManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

        // 设置缓存管理器
        securityManager.setCacheManager(cacheManager);
        // 把UserRealm注册到安全管理器
        securityManager.setRealm(userRealm);

        return securityManager;
    }

    /**
     * 配置Shiro过滤器工厂
     * @param securityManager 安全管理器
     * @return ShiroFilterFactoryBean
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        // 注册安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        /*
         * 设置登录页面的地址
         * 当用户访问认证资源的时候,如果用户没有登录,就会跳转到指定的页面
         */
        shiroFilterFactoryBean.setLoginUrl(loginPage);

        /*
         * 设置访问未授权资源时重定向的地址
         * 当用户访问需要授权才能访问资源的时候,如果用户没有该权限,就会跳转到指定的地址
         */
        shiroFilterFactoryBean.setUnauthorizedUrl(unauthorizedUrl);

        // 定义资源访问规则
        Map<String, String> filterMap = new LinkedHashMap<>();

        /*
         * 定义需要认证才能访问的资源
         */
        filterMap.put("/", "authc");
        filterMap.put("/index.html", "authc");
        filterMap.put("/html/*.html", "authc");
        // knife4j
        filterMap.put("/doc.html", "authc");
        filterMap.put("/v2/api-docs", "authc");
        filterMap.put("/swagger-resources", "authc");

        /*
         * 定义不需要认证就能访问的资源
         */
        filterMap.put(loginPage, "anon");
        filterMap.put("/user/login", "anon");
        filterMap.put(unauthorizedUrl, "anon");

        // 查询当前服务的所有匿名子权限
        JsonResult<List<String>> jsonResult = feignService.selectAnonymityPermissions(service);

        if (jsonResult.isSuccess()) {
            List<String> data = jsonResult.getData();

            for (String url : data) {
                filterMap.put(url, "anon");
            }
        }

        /*
         * 定义需要指定权限才能访问的资源
         */
        // 查询当前服务的所有非匿名子权限
        JsonResult<List<Permission>> result = feignService.selectPermissions(service);

        if (result.isSuccess()) {
            List<Permission> list = result.getData();

            for (Permission permission : list) {
                filterMap.put(permission.getUrl(), "perms[" + permission.getValue() + "]");
            }
        }

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);

        return shiroFilterFactoryBean;
    }

}

之前就遇到了这个问题,但是一直没有管,因为当时还没有想到什么解决的办法。

今天写项目,又遇上了,真气人~

解决方案

博主想到的是通过设置一个请求头,通过过滤器鉴权时先判断请求头是否正确,正确的话直接返回true,不再进行后续的操作。

于是在feign的官网看一下有没有能设置请求头的方法,果然,找到一个请求拦截器可以达到这个效果~

添加请求头

定义一个RequestInterceptor,给请求设置一个请求头perms。

package cn.edu.sgu.www.cms.feign;

import feign.RequestInterceptor;
import feign.RequestTemplate;
import org.springframework.stereotype.Component;

/**
 * @author heyunlin
 * @version 1.0
 */
@Component
public class RequestHeaderInterceptor implements RequestInterceptor {

    @Override
    public void apply(RequestTemplate template) {
        template.header("perms", "12345");
    }

}

自定义过滤器

在服务生产者项目pms中定义一个过滤器PermsFilter,名字见名知义,就是shiro的perms过滤器。

重写shiro的perms过滤器(PermissionsAuthorizationFilter)的鉴权方法,先判断请求头是否为指定的值,如果是就跳过鉴权,直接返回true。

这样就避免了其他应用访问本应用的接口导致的鉴权失败问题了~

package cn.edu.sgu.www.pms.filter;

import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * 定义PermsFilter过滤器(覆盖shiro的perms过滤器)
 * @author heyunlin
 * @version 1.0
 */
@Slf4j
public class PermsFilter extends PermissionsAuthorizationFilter {

    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        String perms = ((HttpServletRequest) request).getHeader("perms");

        if (perms != null) {
            log.debug("发现请求头perms");

            if (perms.equals("12345")) {
                log.debug("发现请求头perms,当前请求为授权应用发起的请求,跳过鉴权~");

                return true;
            }
        } 

        return super.isAccessAllowed(request, response, mappedValue);
    }

}

注册过滤器到shiro

将刚刚创建的过滤器注册到shiro,博主直接把原来的perms过滤器覆盖掉了。

// 自定义过滤器
Map<String, Filter> filterMap = new HashMap<>();

filterMap.put("perms", new PermsFilter());

shiroFilterFactoryBean.setFilters(filterMap);

好了,文章就分享到这里了,希望看完之后对你有所帮助~

沐雨橙风ιε
关注
  • 9
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
从零实现RPC框架之:4协议设计
xsjzn的博客
04-30 1444
前言 一提到协议,最先想到的可能是 TCP 协议、UDP 协议等等,这些网络传输协议的实现以及应用层的HTTP协议。 其实rpc协议和http协议都属于应用层协议 可能你会问:“前面你不是说了 HTTP 协议跟 RPC 都属于应用层协议,那有了现成的 HTTP 协议,为啥不直接用,还要为 RPC 设计私有协议呢?” 这还要从 RPC 的作用说起,相对于 HTTP(1.1/1.0) 的用处,RPC 更多的是负责应用间的通信,所以性能要求相对更高。但 HTTP 协议的数据包大小相对请求数据本身要大很多,又需要加
RPC 接口的设计原则
Lucky小黄人的博客
03-13 531
主要参考拉勾教育潘新宇老师的《23讲搞定后台架构实战》,文末是所参考的具体文章链接。 1、RPC 接口 防备上游、做好自己、怀疑下游。 定义新的接口时需要考虑未来兼容性,如果接口上线后再想要修改,则需要花费较高的成本。 1.1 第一个原则:增加接口调用鉴权 增加鉴权后,调用方申请权限时可以沟通好预期,明确接口功能和调用方的意图,避免流量过高打挂服务,或者传参出错等。 1.2 第二个原则:接口里的...
Golang | Go RPC & TLS 鉴权
雨下一整晚real的博客
12-29 1049
RPC () 是一种远程通信协议,用于让不同服务之间进行通信。相比 HTTP,RPC 在传输信息时会减少一些额外的信息。HTTP 是实现 RPC 的一种手段,RPC 常见的实现有很多,比如 Dubbo、gRPC、Hessian 等。远程过程调用,实际上最终是一个调用。相比于本地调用,RPC 还需要知道对向的地址信息。本地调用就如同两个人面对面交流,RPC 则像是两个人打电话,需要知道对方的手机号码,但是并不关心语音怎么编码、传输、解码的过程。提供服务的一端,我们称为服务端,就好比是接听电话的一端。
基于JWT 和 Shiro接口权限认证
最新发布
ewii12567的博客
05-20 892
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
Java - 微服务整合Shiro和JWT解决OpenFeign携带Token问题
Zong_0915的博客
11-26 1797
一般情况下,我们微服务之间的服务调用可以通过OpenFeign来完成,但是它默认情况下,是不会把当前请求的相关请求头带过去的。解决,我们可以写一个拦截器。的情况下,服务调用就会出现这个问题。在发送请求之前都会调用该接口的。那这种情况下,在整合
Spring与Shiro整合及加载权限表达式问题
08-25
Spring与Shiro整合及加载权限表达式问题 Spring与Shiro整合是一种常见的身份验证和授权机制,Shiro提供了强大的权限控制机制,而Spring是一个流行的Java框架。这篇文章主要介绍了如何将Spring与Shiro整合,並加载...
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目中集成 Shiro 框架来实现身份验证和授权管理的过程。Shiro 是一个功能强大且灵活的身份验证和授权框架,可以帮助开发者...
Spring Boot 整合 Shiro+Thymeleaf过程解析
08-25
在 Spring Boot 应用程序中整合 Shiro 和 Thymeleaf 需要将 Shiro 和 Thymeleaf 整合到同一个应用程序中。首先,需要添加 Shiro 和 Thymeleaf 相关的依赖项。然后,需要编写配置类来配置 Shiro 的安全管理器和 ...
spring boot整合shiro安全框架过程解析
08-25
"spring boot整合shiro安全框架过程解析" ...spring boot整合shiro安全框架是一个非常重要的知识点,我们需要掌握shiro的核心概念,掌握shiro的配置文件和自定义realm的编写方法,确保我们的应用程序的安全性。
SpringBoot整合Shiro的代码详解
08-29
SpringBoot 整合 Shiro 代码详解 SpringBoot 是一个基于 Java 的开源框架,提供了快速构建生产级别的应用程序的能力。Shiro 是一个权限框架,提供了很方便的权限认证和登录的功能。本文将详细介绍如何将 ...
RPC概念与理解(一)
拾一二的博客
02-15 1747
RPC(Remote Procedure Call)叫作远程过程调用,是一个计算机通信协议,它是利用网络从远程计算机上请求服务,可以理解为把程序的一部分放在其他远程计算机上执行
关于Dubbo的Rpc调用服务提供者方鉴权
weixin_45596022的博客
04-28 1250
1.思路分析 利用dubbo的SPI机制,写一个Filter继承Dubbo的Filter。 在invoke方法里面通过invoker获取到服务消费者的ip和服务名 拿到ip和服务名之后和白名单进行比对。 关于服务名的获取,通过dubbo上下文,Attachment。 2.代码实现 1.创建文件org.apache.dubbo.rpc.Filter validation=com.filter.ValidationFilter 2.配置文件配置 validation.ips=121.199.31.160,
微服务架构下的安全认证与鉴权
EAWorld
06-19 2981
转载本文需注明出处:微信公众号EAWorld,违者必究。本文目录:一、单体应用 VS 微服务二、微服务常见安全认证方案三、JWT介绍四、OAuth 2.0 介绍五、思考总...
区块链中“鸡肋”的RPC漏洞
Fly_鹏程万里
01-08 1340
一、前言——NEO RPC漏洞之争 12月1日下午16:34,腾讯湛卢实验室宣布发现NEO的RPC漏洞。官微发文如下: 而NEO官方微博,在四个小时之后迅速回应腾讯,回应如下。 谁对谁错?公链RPC模块安全情况到底如何? 二、RPCRPC漏洞介绍 首先介绍下RPC。远程过程调用(Remote Procedure Call)是一个计算机通信协议。该协议允许运行于一台计算机的程序调...
SpringBoot整合shiro+鉴权过程+登录接口
weixin_45136521的博客
12-05 1014
加入maven依赖 <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>${shiro.version}</version> </dependency> <dependency> <g.
java api鉴权_单一入口的API接口使用shiro如果进行权限鉴权
weixin_31819459的博客
02-28 902
自定义过滤器,重写isAccessAllowed自定义realm,重写doGetAuthorizationInfo我需要根据链接参数不同进行授权,就是通过这种方法的。public class CustomRealm extends AuthorizingRealm下面是授权代码/*** 获取权限*/@Overrideprotected AuthorizationInfo doGetAuthoriz...
分布式 - 公司使用什么RPC框架,聊聊你理解的RPC原理
热门推荐
简单记录一下。
10-12 23万+
不啰嗦,我们直接开始! 引言 以前在做一个规模不大的系统的时候,用的是单体架构,一台服务器部署上一个应用和数据库也就够了。 但是现代化互联网公司业务逐渐扩大,服务逐渐细分,很多服务之间需要通过远程分布式接口调用通讯,即不同的服务不是部署在同一个服务器上,比如订单服务在 A 服务上,付款服务在另一个服务上,有同步调用、也有异步调用,这个时候我们就需要远程调用不同的服务,使用的时候调用远程服务就像调用本地服务一样,引入一个 jar 包,就能通过this.xxx( ) 一样调用远程服务,这背后的机制就是通.
shiro分布式鉴权
08-11
对于这个问题,可以参考引用和引用中提供的相关文档和示例代码来实现Shiro分布式鉴权的功能。首先,可以查看jsets-shiro-spring-boot-starter项目详情以了解如何在Spring Boot项目中集成Shiro。并且可以参考jsets-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值