satoken指定接口跳过网关拦截不做校验

已于 2023-05-06 11:42:34 修改
阅读量2.1k 收藏 1
点赞数
分类专栏: 随笔 文章标签: java 开发语言
于 2023-05-06 11:41:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47649585/article/details/130523388
版权
文章介绍了如何配置Sa-Token全局过滤器,包括设置拦截和开放的URL,定义预认证函数,以及自定义鉴权和异常处理方法。特别地,它使用了notMatch来跳过特定路由路径的权限检查,如在网关断言路由路径aaaaa下,不检查bbbb方法路径的权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.satoken过滤器配置类
  /**
     * Sa-Token全局过滤器
     *
     * @return
     */
    @ConditionalOnProperty(prefix = "", name = "", havingValue = "")
    @Bean
    public SaReactorFilter getSaReactorFilter() {
        return new SaReactorFilter()
                // 拦截的url
                .addInclude("/**")
                // 开放的url
                .addExclude("")
                // 前置函数:在每次认证函数之前执行
                .setBeforeAuth(obj -> {
                    // 如果是预检请求,则立即返回到前端
                    SaRouter.match(SaHttpMethod.OPTIONS)
                            .free(r -> { }).back();
                })
                // 鉴权方法
                .setAuth(obj -> {
                    // 权限认证
                    SaRouter.match("/aaaaa/**")
                            .notMatch("/aaaaa/bbbbb/**")
                            .check(r -> StpUtil.checkLogin());
                })
                // 异常处理方法:每次setAuth函数出现异常时进入
                .setError(e -> {}
                );
    }
2.网关断言路由路径:

在这里插入图片描述

3.接口路径:

在这里插入图片描述

注:通过notMatch跳过,其中aaaaa为网关断言路由路径,bbbbb为方法请求路径,/**表示该controller路径下的所有方法

SpringCloud Alibaba二十五 | 网关Restful接口拦截
飘渺Jam的博客
01-14 1400
前言之前在 集成RBAC授 的文章中提到了SpringCloud可以「基于路径匹配器授」在网关层进行用户校验,这种方式的实现原理是Springcloud Gateway接受到请求...
绕过接口参数签名验证
07-11 2908
在一些关键业务接口,系统通常会对请求参数进行签名验证,一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中,如果没办法绕过签名校验,那么就无法进一步深入。微信小程序的前端代码很容易被反编译,一旦签名加密算法和密钥暴漏,找到参数的排序规则,那么就可以篡改任意数据并根据算法伪造签名。下面我们将通过两个简单的小程序参数签名绕过的案例,来理解签名逆向的过程。01、常见签名算法...
SaToken - 3. 路由拦截 - Session会话
人生需要动态规划 学习需要贪心算法
01-15 1102
SaToken - 3. 路由拦截 - Session会话。
satoken通过网关路由设置多个接口无需验证的方式
lanerwang的博客
03-21 2699
satoken通过网关路由设置多个接口无需验证的方式 SatokenConfigure
【Sa-Token】学习笔记 01 - SaToken介绍快速上手
最新发布
少年你真的要止步于此嘛
03-26 1033
本文主要介绍是Sa-Token介绍功能集成配置和登录。
SaToken实现微服务内部接口调用免认证(无web上下文的情况下)
比尔·马云的博客
08-23 2823
SaToken,非web上下文,服务内部免认证
解决satoken前端登录后,后端校验登录状态失败的问题
c_afield的博客
04-24 3810
解决satoken前端登录后,后端校验登录状态失败的问题问题描述猜测原因解决办法 问题描述 前端登录后,后端显示了登录信息并返回了token值,之后前端再调用另一个方法,后端拦截器进行请求拦截,判断当前用户是否登录,结果返回的是false,导致无法调用该方法。 猜测原因 用过swagger2和postman分别测试,二者都能正确访问方法,且拦截器中判断登录返回的是true,于是猜测是跨域问题,想到了cookie,后端判断是否登录可能是从网页当中的cookie获取相关信息进行判断,于是我分别查看三种测试方法下
使用satoken[未能读取到有效Token]
weixin_48009857的博客
09-14 1万+
cn.dev33.satoken.exception.NotLoginException: 未能读取到有效Token
上传文件请求绕过网关
qq_37457564的博客
09-04 4036
一、问题描述 1.本例中,我需要请求上传文件微服务的接口,并且绕过Zuul网关。因为请求会携带图片。如果再通过网关的话,会非常浪费资源。 2.图片上传是文件的传输,如果也经过Zuul网关的代理,文件就会经过多次网路传输,造成必要的网络负担。在高并发时,可能导致网络阻塞,Zuul网关可用。这样整个系统就瘫痪了。所以文件上传需要绕过网关。 二、解决方案 1.Zuul的路由过滤 Zuul中...
feign调用走网关全局拦截_Feign Interceptor 拦截器实现全局请求参数
weixin_35962351的博客
01-14 1600
背景在第三方API对接中通常所有接口都需要在Header或Param放置固定参数(Token、开发者Key等),因为是SpringCloud开发,一般HTTP工具采用Feign。如果选择每个方法都copy相应字段,显得较为冗余。这个时候就可以使用Feign的Interceptor功能。实现Talk is cheap,show me the code.下面选择一个具体场景,需要某个FeignClie...
SpringCloud利用网关拦截Token验证(JWT方式)
plpldog的博客
12-09 2497
关于JWT的内容,请看以下链接,主要看它的原理,以及缺点! https://blog.csdn.net/memmsc/article/details/78122931 步骤1:前端传userName+password到后端,后端为springcloud架构,经过网关拦截拦截请求,拦截器在项目启动的时候@Component进行加载。 步骤2:如果是第一次登陆,放行,进入JWT的加密生成To...
如何将访问的接口去掉token验证
FYW_1121的博客
08-14 1万+
如何将访问的接口去掉token验证 项目应用:springboot oath2 完成此操作需要修改两个模块的application.yml文件修改,一个是getway网关的yml文件,另一个则是接口所在模块的yml文件
【Sa-Token|3】Sa-Token集成到现有微服务详细介绍
颜淡慕潇
06-21 877
用户中心:继续处理用户登录和注册,并通过 Sa-Token 生成和验证 Token。各个项目:通过网关服务转发请求和校验 Token,需要改变现有的业务逻辑。网关服务:统一拦截请求并校验 Token,实现集中管理和验证。这种方式可以最小化改造工作量,实现单点登录的目标。
Spring Cloud Gateway统一拦截服务请求,避免绕过网关请求服务
热门推荐
小飞侠的博客
05-25 2万+
网关作为整个系统的访问入口,我们希望外部请求系统服务都需要通过网关访问,禁止通过ip端口直接访问,特别是一些重要的内部服务(外部无法直接访问的服务)
微服务架构整合Sa-Token实现网关服务
m0_57334678的博客
11-14 1970
微服务架构整合SaToken
sa-token 注解式
Iloveskr
12-31 2647
一.sa-token注解式 首先配置注解式拦截器 /** * @author Fetter * @ClassName SaTokenConfigure.java * @Description 拦截器 * @createTime 2021年12月31日 11:39:00 */ @Configuration public class SaTokenConfigure implements WebMvcConfigurer { // 注册Sa-Token的注解拦截器,打开注解式功能
编写经过网关但无需验证token的接口
m0_61137688的博客
05-15 393
公司最近有新需求,需要编写一个通过设备编号(imei编号)获取到绑定设备的医院名称,过由于该接口是让合作公司的录制视频的机器给视频加水印来使用的,想通过网关繁琐的验证,也就是想通过我公司的登录流程想直接获取到医院名称信息。了解到需求后和cto沟通,觉得医院名称是非常隐私的信息,所以我决定直接绕过网关接口,直接发送get请求获取需要信息。最后让运维部署就ok了。
SpringCloud整合Sa-Token登录认证+Gateway网关拦截
良月柒
05-19 3379
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 10分钟。来自:blog.csdn.net/yangjiaaiLM/article/details/126739846Sa-Token介绍:Sa-Token 是一个轻量级 Java 限认证框架,主要解决:登录认证、限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关 等一系列限相关问题本文章框架使...
前后端分离,使用sa-token作为安全框架快速搭建一个微服务项目
2301_78646673的博客
04-29 2043
之前的项目是一个基于B2C的单体商城项目。使用到的技术栈有spring boot3.1.5、MySQL8.0.30、redis7.0.10,使用minio作为项目的文件上传,使用spring security作为项目的安全框架;使用vue3+element-plus开发前端,并最终将整个项目部署到nginx上。本次重新拆分这个单体项目,使之成为一个微服务项目。
satoken拦截生效
01-14
### 关于SaToken拦截器配置生效的原因分析 当遇到`excludePathPatterns`部分生效的情况时,这通常意味着即使指定了某些路径应被排除在外,这些路径仍然受到拦截器的影响。具体原因可能涉及多个方面。 对于全局注册配置中的`excludePathPatterns`起作用的问题,在尝试多种解决方案之后发现,问题根源在于Spring框架如何处理预检请求(即OPTIONS请求)。由于此类请求会携带任何认证信息,因此在到达`SaInterceptor`之前就已经因为缺少必要的身份验证令牌而导致了必要的拦截行为[^2]。 针对上述情况的一种有效解决策略是在应用层面增加对HTTP OPTIONS方法类型的特殊处理逻辑,确保这类请求能够绕过常规的身份验证流程: ```java import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS"); } } ``` 另外一种常见的场景是与API文档工具集成时出现问题,比如Knife4j。为了使Swagger UI等相关资源可以正常加载而受安全机制干扰,应当仔细检查并调整路径模式匹配规则,确保所有静态文件和服务端点都被正确地列入白名单内[^3]。 最后值得注意的是,在使用Spring Cloud Gateway作为网关服务的情况下,还需要额外关注其自身的路由设置是否会对下游微服务的安全性造成影响。特别是当涉及到跨域资源共享(CORS)政策以及代理转发规则的时候,可能会间接引起类似的限控制失效现象[^4]。 通过以上措施应该可以帮助定位并修复SaToken拦截器配置中存在的漏洞或足之处,从而恢复预期的功能表现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陪雨岁岁年年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值