springcloud如何做权限管理(springsecurity)

最新推荐文章于 2024-08-04 11:07:52 发布
最新推荐文章于 2024-08-04 11:07:52 发布
阅读量5.7k 收藏 19
点赞数 3
分类专栏: java 文章标签: java jwt 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37635053/article/details/103563571
版权

springcloud如何做权限管理(springsecurity+auth2)?

先看一张脉络图:
在这里插入图片描述
现在呢一步一步开始做:

第一步:配置zuul网关

在zuul网关里带上请求头,不做拦截

@Component
@Slf4j
public class AuthFilter extends ZuulFilter {

	/**
     * 具体的过滤逻辑
     * 本例中,检查请求的参数中是否传了token这个参数,如果没传,则请求不被路由到具体的服务实例,
     * 直接返回响应,状态码为401
     * @return
     */
	@Override
	public Object run() {
		//过滤器过滤
		System.out.println("………preHandle……………");

		RequestContext requestContext = RequestContext.getCurrentContext();
		HttpServletRequest request = requestContext.getRequest();
		String header = request.getHeader("Authorization");
		if (null != header && !"".equals(header)) {
			requestContext.addZuulRequestHeader("header", header);

		}
		return null;
	}

	 /**
     * 表示该过滤器是否过滤逻辑,如果是ture,则执行run()方法;如果是false,则不执行run()方法.
     * @return
     */
	@Override
	public boolean shouldFilter() {
		return true;
	}

	/**
     * 过滤顺序,值越小,越早执行该过滤器
     * @return
     */
	@Override
	public int filterOrder() {
		// 过滤的顺序
		return 0;
	}

	/**
     * Zuul有一下四种过滤器
     * "pre":是在请求路由到具体的服务之前执行,这种类型的过滤器可以做安全校验,例如身份校验,参数校验等
     * "routing":它用于将请`在这里插入代码片`求路由到具体的微服务实例,在默认情况下,它使用Http Client进行网络请求
     * "post":它是在请求已被路由到微服务后执行,一般情况下,用作收集统计信息,指标,以及将响应传输到客户端
     * "error":它是在其他过滤器发生错误时执行
     */
	@Override
	public String filterType() {
		return "pre";
	}

}

注意:requestContext.addZuulRequestHeader(“header”, header);这句需要避开敏感词汇,例如Authorization等。

第二步:配置具体微服务(两个微服务都差不多,这里以其中一个为例)

①导包:

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

②写一个类WebSecurityConfig放开所有请求,因为导包后所有请求都不通过了。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.
                authorizeRequests().
                antMatchers("/**").
                permitAll().
                anyRequest().
                authenticated().
                and().
                csrf().
                disable();

    }
}

③写拦截器配置类,放开部分不需要的拦截:

@Configuration
@EnableWebSecurity
public class InterceptorConfig extends WebMvcConfigurationSupport {
    @Autowired
    private JwtInterceptor jwtInterceptor;
    protected void addInterceptors(InterceptorRegistry registry) {
        //注册拦截器要声明拦截器对象和要拦截的请求
        System.out.println("进入InterceptorConfig类的addInterceptors方法!");
        registry.addInterceptor(jwtInterceptor)
                .addPathPatterns("/**").
                excludePathPatterns("/**/login/**").
                excludePathPatterns("/**/regist/**").
                excludePathPatterns("/**/captcha/**");
    }
}

④配置拦截器,做真正核心拦截内容

@Component
public class JwtInterceptor implements HandlerInterceptor {
    @Autowired
    private JwtUtil jwtUtil;
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("………preHandle……………");
        //拦截器只是负责把头请求头中包含token的令牌进行一个解析验证。
        if (null == request ||
                null == request.getHeader("header") ||
                !request.getHeader("header").startsWith("Bearer ")) {
            outPutErrorResult(response);
            return false;

        }
        String token = request.getHeader("header").substring(7);
        System.out.println("token:" + token);
        if (StringUtils.isEmpty(token)) {
            outPutErrorResult(response);
            return false;
        }
        try {
            Claims claims = jwtUtil.parseJwt(token);
        } catch (Exception e) {
            e.printStackTrace();
            outPutErrorResult(response);
            return false;
        }

        return true;
    }

    public void outPutErrorResult(HttpServletResponse response) {
        ServletOutputStream output = null;
        try {
            output = response.getOutputStream();
            output.write(("{\"status\":\"error\",\"msg\":\"请登录账号@!\",\"code\":\"500\"}").getBytes());
            output.close();
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (null != output) {
                try {
                    output.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
    }
}

这里需要指出,
Claims claims = jwtUtil.parseJwt(token);
之所以可以这么判断token,是因为这里的token生成方式是采用jjwt方式生成的,所以可以按此方式解析。
参看token生成方法:
导包:

<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
        </dependency>

  public String createJWT(String id, String subject, String roles) {
        long nowMinius = System.currentTimeMillis();
        JwtBuilder builder = Jwts.
                builder().setId(id).
                setSubject(subject).
                setIssuedAt(new Date()).
                signWith(SignatureAlgorithm.HS256, key).claim("roles", roles);
        if (ttl > 0) {
            builder.setExpiration(new Date(nowMinius + ttl));
        }
        return builder.compact();
    }

    public void setTtl(long ttl) {
        this.ttl = ttl;
    }

    /**
     * 解析JWT
     *
     * @param jwtStr
     * @return
     */
    public Claims parseJwt(String jwtStr) {
        return Jwts.parser().setSigningKey(key).parseClaimsJws(jwtStr).getBody();
    }
第三步:写一个类SecuringRequestInterceptor,在微服务相互调用时带上请求头,要不然会被拦截(每个业务微服务都要写)。
@Component
public class SecuringRequestInterceptor implements RequestInterceptor {
    @Override
    public void apply(RequestTemplate requestTemplate) {
        获取上一个请求保存的RequestAttributes,能获取到当前的HttpServletRequest
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder
                .getRequestAttributes();
        //获取request域
        HttpServletRequest request = attributes.getRequest();
        //获取头部信息
        Enumeration<String> headerNames = request.getHeaderNames();
        //把头部信息里面的信息装进去requestTemplate
        if (headerNames != null) {
            while (headerNames.hasMoreElements()) {
                String name = headerNames.nextElement();
                System.out.println("name:"+name);
                String values = request.getHeader(name);
                System.out.println("values:"+values);
                requestTemplate.header(name, values);
            }
        }
    }
}

到这里基本没问题了,

第四步 再写一个抽象类AbstractController.java方便其他类使用用户名用户id用户角色等内容。(非必须)
 @Autowired
    protected HttpServletRequest request;
    @Autowired
    private JwtUtil jwtUtil;
    
public abstract class AbstractController {

    @Autowired
    protected HttpServletRequest request;
    @Autowired
    private JwtUtil jwtUtil;

    public SysLogUserVo UserInfo(){
        SysLogUserVo svuv = new SysLogUserVo();
        String header = request.getHeader("header");
        String token = header.substring(7);
        try {
            Claims claims = jwtUtil.parseJwt(token);
            svuv.setAccounts(claims.getSubject());
            svuv.setId(Integer.parseInt(claims.getId()));
            svuv.setRole_name((String) claims.get("roles"));

        } catch (Exception e) {
            e.printStackTrace();
        }
        return svuv;
    }
}

其他类想获取用户信息只需继承这个类就可以了

神雕大侠mu
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringCloud微服务整合Spring Security进行统一鉴权
lyy的博客
04-15 3291
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要这一步。
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringCloud分布式架构权限管理
cyc3552637的博客
09-25 1万+
概述 本文讨论分布式架构权限管理的两种情况,一种是针对统一授权访问的,一种是跨平台接口访问的。 虽然分布式架构会业务的切割,将整体的业务切割为独立的子业务或者子平台,但是同一平台下往往会有统一的授权和单点登录,客户端而言平台是整体的,这种是统一授权访问的权限管理。但是也会遇到多平台协作的情况,这种情况不用考虑其他平台的架构,只需要为其提供数据接口跟其对接就可以,这种情况就要考虑跨平台接口访问...
springcloud集成Spring Security
youxmm的博客
07-21 1411
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则和访问控制。通常用于测试或者开发环境,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储和验证。存在严重的安全风险,因为密码可以很容易地被窃取和滥用。建议不要在生产环境使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。
Spring Cloud 系列文章之八:Spring Cloud Security 在微服务架构的应用
阿里渣渣java研发组-群主
06-08 355
Spring Cloud SecuritySpring Security 的扩展,专注于为微服务架构提供安全解决方案。它集成了 OAuth2 和 JWT 等标准,为微服务提供安全保护,支持服务间的安全通信和单点登录(SSO)。
微服务架构Spring Cloud概述和基本讲解
热门推荐
张彦峰的博客
02-14 164万+
微服务架构Spring Cloud概述和基本讲解
Spring Cloud(十二):Spring Cloud Security
Men-DD
11-23 3832
设置用户名密码(内存、UserDetailsService、WebSecurityConfigurerAdapter、基于DB) 自定义登录页面 登录认证流程 自定义成功失败 会话管理 会话控制 会话超时 会话并发控制 集群session 安全会话cookie RememberMe 退出登录 CSRF 用户授权 web授权 访问控制的url匹配 内置的访问控制 自定义403处理 基于表达式的访问控制 方法授权 JSR-250注解 @Secured注解 支持表达式的注解 授权原理 授权流程 实现原理 主线源码
springcloud整合Security
weixin_43914685的博客
08-10 8151
Security核心配置 创建ngroute-framework工程作为 Security核心配置 1.引入pom <!-- spring security 安全认证 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependen
SpringCloud 整合 Spring Security 认证鉴权【SpringCloud系列6】
代码小疯子
03-21 3006
SpringCloud 大型系列课程正在制作,欢迎大家关注与提意见。程序员每天的CV 与 板砖,也要知其所以然,本系列课程可以帮助初学者学习 SpringBooot 项目开发 与 SpringCloud 微服务系列项目开发本文章是系列文章的一篇本文章实现的是 auth-api 生成令牌的功能。
springcloud 入门(10) Spring Security 安全与权限
做一个有思想的技术人
12-24 4098
spring security
快速上手Spring Cloud 十一:微服务架构下的安全与权限管理
沛哥儿的专栏
03-27 2349
微服务架构下的安全与权限管理是一个复杂而持续的过程,需要我们不断学习和实践新技术、新方案。通过加强安全意识、引入安全工具、建立应急响应机制、实施多层次防御策略以及跨团队协同与安全责任共担等措施,我们可以不断提升微服务架构的安全性,为业务的稳定发展提供有力保障。在未来,随着技术的不断发展和业务的持续变化,我们需要持续关注微服务架构安全领域的新技术趋势和创新实践,以便更好地应对新的挑战和机遇。
Spring Cloud整合SpringSecurity实现简单权限认证访问
ayhg1的博客
06-30 1631
一、需要准备的工程 cslcp-eureka cslcp-gateway cslcp-security cslcp-1(服务1) cslcp-2(服务2) cslcp-s(台) 1. 前端发送请求后端进行数据验证(token)整套流程 2.前台调用多个服务原理 3.前台调用单个服务原理 二、cslcp-1工程 工程目录结构 主要添加了 ResourceServerConfig类,修改了yml配置,新增了pom依赖!之前的工程代码可以参考: SpringCloud微服务–使用使用restTemplat
基于Spring Cloud权限管理系统【可毕业设计、可商用框架】
06-23
- 基于 Spring Cloud 2021 、Spring Boot 2.7、 OAuth2 的 RBAC **权限管理系统** - 基于数据驱动视图的理念封装 element-ui,即使没有 vue 的使用经验也能快速上手 - 提供对常见容器化支持 Docker、Kubernetes、...
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 间件 服务注册和发现采用 nacos
基于springcloud+security+oauth2.0实现的权限管理系统.zip
10-08
《基于SpringCloud+Security+OAuth2.0的权限管理系统实现详解》 在现代企业级应用开发权限管理和安全控制是至关重要的组成部分。本系统基于SpringCloudSecurity和OAuth2.0三大技术栈构建,旨在提供一个高效、...
基于 OAuth2.0 的 Spring Cloud 权限管理系统
03-10
整体接入OAuth2 提供标准专业的权限管理深度封装 spring security oauth2 只需要继承封装类,即可接入OAuth2 6. ORM 全面使用 Mybatis Plus 3,采用lambda 重构 7. 全面重构业务代码 使用lambda、stream、 lombok ...
枚举工具类
qq_43049583的博客
08-04 331
java枚举工具类
等待唤醒机制两种实现方法-阻塞队列
最新发布
泰勒今天想展开的博客
08-04 366
桌子上有面条-》吃货执行桌子上没面条-》生产者制造执行。
社区养老服务小程序的设计
Karen198的博客
07-31 697
管理员账户功能包括:系统首页,个人心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
springsecurity springcloud
08-03
SpringSecuritySpringCloud是两个独立的框架,但它们可以一起使用来构建安全的分布式系统SpringSecurity是一个用于身份验证和授权的框架,可以帮助我们保护应用程序的安全性。而SpringCloud是一个用于构建分布式系统的框架,它提供了一系列的工具和组件,用于处理分布式系统的各种问题,例如服务发现、负载均衡、配置管理等。 在引用[1]提到的文章,作者介绍了他对SpringSecurity的深入研究和源码分析的经历。他从最初只会简单接入SpringSecurity,到深入了解整个体系,深入源码,逐步提升了自己的技能。这也说明了SpringSecurity的重要性和价值。 在引用[2]提到了SpringSecurity OAuth2的默认过滤器链和自定义过滤器链。默认的过滤器链只处理特定的请求,而自定义的过滤器链则处理其他请求。需要注意的是,自定义过滤器并没有解析Token的过滤器,这可能导致即使加了Token,权限满足的情况下,仍然返回403未授权的错误。在SpringSecurity OAuth2体系SpringSecurity主要负责授权操作,而认证操作通常由资源服务器处理。 在引用[3]提到了整合SpringCloudSpringSecurity OAuth2的搭建流程。作者通过这篇文章梳理了整个流程,帮助读者理清思路。这对于那些想要构建安全的分布式系统的开发者来说是非常有价值的。 综上所述,SpringSecuritySpringCloud是两个独立的框架,但可以一起使用来构建安全的分布式系统SpringSecurity负责身份验证和授权,而SpringCloud提供了一系列工具和组件来处理分布式系统的各种问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

神雕大侠mu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值