微服务架构整合Sa-Token实现网关鉴权及鉴权服务

最新推荐文章于 2024-08-13 14:35:44 发布
最新推荐文章于 2024-08-13 14:35:44 发布
阅读量1.4k 收藏 6
点赞数 1
文章标签: 架构 微服务 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57334678/article/details/134402251
版权

微服务架构整合Sa-Token实现网关鉴权及鉴权服务

这个项目是自己做的一个练手项目,使用SpringCloudAlibaba微服务架构,在做鉴权模块的时候想起来之前在网上看见的Sa-Token项目,被称为国产鉴权之光故查阅了他们的文档实现了一套鉴权服务
一整套使用下来发现SaToken还是比较迎合国内程序员的编码习惯,与SpringSecurity那一套繁琐的过滤链责任链模式不同,SaToken主要还是依靠调方法类中的方法来实现登入,登出,鉴权等一系列流程

项目架构

image.png

image.png

代码实现

引入依赖,由于是微服务项目,我们用户信息必须存储在Redis上,SaToken已经为我们提供了SaToken整合Redis的依赖,无需我们手动实现代码 ,注意由于GateWay网关是基于WebFlux实现的与我们平常的MVC项目引入的依赖不同,SaToken的官方文档中也已经提及

<!--Sa-token-->
<!-- Sa-Token 权限认证(Reactor响应式集成), 在线文档:https://sa-token.cc -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-reactor-spring-boot-starter</artifactId>
    <version>1.37.0</version>
</dependency>

<!-- Sa-Token 整合 Redis (使用 jackson 序列化方式) -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-redis-jackson</artifactId>
    <version>1.37.0</version>
</dependency>
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-pool2</artifactId>
</dependency>

网关中的鉴权拦截器SaToken也已经为我们留下拓展点,我们只需要实现我们自己的业务逻辑即可 代码如下

package com.titi.apigateway.config;

import cn.dev33.satoken.reactor.filter.SaReactorFilter;
import cn.dev33.satoken.router.SaRouter;
import cn.dev33.satoken.stp.StpUtil;
import cn.dev33.satoken.util.SaResult;
import com.titi.titicommon.enums.AppHttpCodeEnum;
import com.titi.titicommon.result.ResponseResult;
import org.springframework.beans.factory.ObjectProvider;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.boot.autoconfigure.http.HttpMessageConverters;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.converter.HttpMessageConverter;

import java.util.stream.Collectors;

@Configuration
public class SaTokenFilterConfiguration {
    @Bean
    public SaReactorFilter getSaReactorFilter() {
        return new SaReactorFilter()
                // 拦截地址
                .addInclude("/**")    /* 拦截全部path */
                // 开放地址
                .addExclude("/favicon.ico")
                // 鉴权方法:每次访问进入
                .setAuth(obj -> {
                    // 登录校验 -- 拦截所有路由,并排除/auth/** 用于开放登录
                    SaRouter.match("/**", "/auth/**", r -> StpUtil.checkLogin());
                    // 权限认证 -- 不同模块, 校验不同权限
                    SaRouter.match("/passenger/**", r -> StpUtil.checkPermission("passenger"));
                    SaRouter.match("/driver/**", r -> StpUtil.checkPermission("driver"));
                    SaRouter.match("/admin/**", r -> StpUtil.checkPermission("admin"));
//                  SaRouter.match("/orders/**", r -> StpUtil.checkPermission("orders"));
// 更多匹配 ...  */
                })
                // 异常处理方法:每次setAuth函数出现异常时进入
                .setError(e -> {
                    return SaResult.error(e.getMessage());
               });
    }

    /**
     * 由于网关没有引入springMVC依赖,所以使用feign的时候需要手动装配messageConverters
     * @param converters
     * @return
     */
    @Bean
    @ConditionalOnMissingBean
    public HttpMessageConverters messageConverters(ObjectProvider<HttpMessageConverter<?>> converters) {
        return new HttpMessageConverters(converters.orderedStream().collect(Collectors.toList()));
    }
}

SaToken为了兼容不同业务场景,将获取权限与获取当前用户角色的方法也开放给我们使用者,是需要实现对应的接口再注册到Spring中即可
这里的逻辑大家根据自己的系统实现即可,一般思路是从缓存或者数据库中的表获取对应userId下的权限或者角色信息
这里获取到的权限大家Debug源码的时候可以看到请求经过SaToken的鉴权过滤器的时候底层会调用这两个方法来获取用户权限来鉴权

package com.titi.apigateway.config;

import cn.dev33.satoken.stp.StpInterface;
import cn.dev33.satoken.stp.StpUtil;
import cn.hutool.core.collection.CollUtil;
import com.titi.feign.client.UserServiceClient;
import com.titi.titicommon.DTO.UserPermissionDto;
import com.titi.titicommon.result.ResponseResult;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import javax.annotation.Resource;
import java.util.Arrays;
import java.util.Collections;
import java.util.List;
import java.util.Objects;
import java.util.stream.Collectors;

/**
 * 自定义权限验证接口扩展 
 */
@Component
public class StpInterfaceImpl implements StpInterface {

    @Resource
    private UserServiceClient userServiceClient;

    @Override
    public List<String> getPermissionList(Object loginId, String loginType) {
        // 返回此 loginId 拥有的权限列表
        //调用远程服务获取权限列表
        ResponseResult<List<UserPermissionDto>> userPermission = userServiceClient.getUserPermission(Long.parseLong(loginId.toString()));
        List<UserPermissionDto> permissList = userPermission.getData();
        if (CollUtil.isEmpty(permissList)){
            return null;
        }
        return permissList.stream().map(UserPermissionDto::getPermission).collect(Collectors.toList());
    }

    @Override
    public List<String> getRoleList(Object loginId, String loginType) {
        // 返回此 loginId 拥有的角色列表
        return null;
    }

}

授权登入部分

这里我抽象除了Auth服务用于多种身份下的角色登入,因为我的系统包括乘客端,司机端,管理员端,正常来说为了系统的可拓展性我应该再加一张角色表来做权限校验,但是由于是练手项目就怎么简单怎么来了,我只是用了单权限表来做
为了保证Auth服务尽量轻量级大部分的业务逻辑我都写在User服务中使用Feign进行远程调用
从代码中可以看出来在登入逻辑校验通过后我们只需要将用户的userId交给StpUtil工具类SaToken就会帮我们做例如Token生成,Token时效性设置,Token同步Redis,生成存放Token的Cookie返回给前端,还是非常方便的

package com.titi.auth.controller;

import cn.dev33.satoken.stp.StpUtil;
import cn.hutool.core.bean.BeanUtil;
import cn.hutool.core.util.ReUtil;
import cn.hutool.core.util.StrUtil;
import com.titi.feign.client.SMSServiceClient;
import com.titi.feign.client.UserServiceClient;
import com.titi.titicommon.DO.TitiUser;
import com.titi.titicommon.DTO.SMSUserVerifyRequest;
import com.titi.titicommon.DTO.TitiUserDto;
import com.titi.titicommon.DTO.UserVerifyRequest;
import com.titi.titicommon.constants.AuthConstants;
import com.titi.titicommon.constants.RegexConstants;
import com.titi.titicommon.enums.AppHttpCodeEnum;
import com.titi.titicommon.exception.BussinessException;
import com.titi.titicommon.result.ResponseResult;
import org.springframework.beans.BeanUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.validation.annotation.Validated;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

import javax.annotation.Resource;
import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;

@RestController
public class PassengerUserController {

    @Autowired
    private UserServiceClient userServiceClient;

    @Autowired
    private SMSServiceClient smsServiceClient;

    @Resource
    private StringRedisTemplate stringRedisTemplate;

    /**
     * 登入注册二合一接口
     * @param titiUserDto
     * @param httpServletRequest
     * @return
     */
    @PostMapping("/doLogin")
    public ResponseResult doLoginOrRegister(@RequestBody TitiUserDto titiUserDto, HttpServletRequest httpServletRequest){
        //调用用户服务来进行登入或者注册登入
        ResponseResult login = userServiceClient.login(titiUserDto);
        if (!login.getCode().equals(200)){
            return ResponseResult.errorResult(login.getCode(),login.getErrorMessage());
        }
        Long userId = (Long) login.getData();
        StpUtil.login(userId);
        return ResponseResult.okResult(StpUtil.getTokenInfo());
    }

    @PostMapping("/logout")
    public ResponseResult doLogout(){
        if (StpUtil.isLogin()) {
            StpUtil.logout(StpUtil.getLoginId());
        }
        return ResponseResult.okResult(null);
    }

    @PostMapping("/sendVerifyCode")
    public ResponseResult sendVerifyCode(@RequestBody @Validated UserVerifyRequest userVerifyRequest, HttpServletRequest httpServletRequest){
        SMSUserVerifyRequest smsUserVerifyRequest = new SMSUserVerifyRequest();
        BeanUtils.copyProperties(userVerifyRequest,smsUserVerifyRequest);
        smsUserVerifyRequest.setIp(httpServletRequest.getRemoteAddr());
        String verifyTypeKey = AuthConstants.verifyMap.get(userVerifyRequest.getVerifyType());
        if (StrUtil.isBlank(verifyTypeKey)){
            throw new BussinessException(AppHttpCodeEnum.PARAM_INVALID);
        }
        smsUserVerifyRequest.setVerifyType(verifyTypeKey);
        //60s内只能接收一次验证码,使用Redis加锁来实现
        if (Boolean.TRUE.equals(stringRedisTemplate.hasKey(verifyTypeKey + userVerifyRequest.getPhone()))) {
            throw new BussinessException(AppHttpCodeEnum.SMS_TIME_LIMIT);
        }
        //调用短信服务来发送信息
        return smsServiceClient.sendVerifyCode(smsUserVerifyRequest);
    }
}

GateWay重写转发请求携带Token转发给服务

有些业务场景中,我们在GateWay网关鉴权完毕分发请求给服务的时候,服务中的某些场景还需要使用用户信息,但是此时由于GateWay转发请求前端传来的Token已经丢失,这个时候我们可以在GateWay中增加一个全局过滤器在请求转发之前重写一次转发请求,在转发请求中携带上用户信息,这边我直接携带的就是userId了因为是内部服务调用也不用担心安全问题
`

package com.titi.apigateway.filter;

import cn.dev33.satoken.stp.StpUtil;
import com.titi.titicommon.constants.AuthConstants;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

@Component
public class AuthorizeFilter implements GlobalFilter {
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest newRequest = exchange
                .getRequest()
                .mutate()
                .header(AuthConstants.HTTP_LOGIN_HEADER, StpUtil.getLoginId(-1L).toString())
                .build();
        ServerWebExchange finalRequest = exchange.mutate().request(newRequest).build();
        return chain.filter(finalRequest);
    }
}

结语

SaToken的使用体验还是非常不错的,不愧是国产项目,简单易上手以及提供了很多拓展点供用户拓展,大家可以试一下呀

LinkJii
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
【项目实战】Sa-Token 鉴权注解一览
本本本添哥
06-02 93
Sa-TokenSAToken)是一个轻量级的Java权限认证框架。Sa-TokenSAToken)提供了一系列注解来简化权限控制的实现
satoken指定接口跳过网关拦截不做校验
m0_47649585的博客
05-06 1405
【代码】satoken指定接口跳过网关拦截不做校验。
使用 Sa-Token 的全局过滤器解决跨域问题(三种方式全版)
shengzhang_的博客
06-22 3137
在 web 开发中,跨域绝对是比较折磨新同学的一个问题,本文将讲解三种常见的跨域情形,并讲解如何使用 Sa-Token 框架解决跨域问题。
Sa-Token|2】Sa-Token微服务中的使用
颜淡慕潇
06-18 3757
负责用户认证和 Token 生成。: 负责用户信息管理。: 负责订单管理。
Spring-Cloud-Gateway 整合 Sa-Token 全局过滤器之路由匹配
m0_51810668的博客
06-01 1784
Sa-Token 全局过滤器的接口匹配应当模块化,粒度要合适,不应过于集中,也不宜过于零散。
横空出世!一套基于最新版Spring Cloud的微服务实战项目!
最新发布
竹林幽深
08-13 150
mall-swarm是一套微服务商城系统,采用了 Spring Cloud 2023 & Alibaba、Spring Boot 3.2、Sa-Token、MyBatis、Elasticsearch、Docker、Kubernetes等核心技术,同时提供了基于Vue的管理后台方便快速搭建系统。mall-swarm在电商业务的基础集成了注册中心、配置中心、监控中心、网关等系统功能。文档齐全,附带全套Spring Cloud教程。
微服务环境下sa-token session同步
c_afield的博客
04-04 673
微服务是分布式的实现网关和授权服务分别是两个独立的服务,查看官方文档,我们应该实现分布式session的同步,引入官方的redis依赖,并且两个服务都需要引入,自此sa-token框架会帮我们在redis中同步session,不需要你做更多的操作,这里注意的是网关gateway采用的webflux框架,不同于授权服务的springboot框架,引入的sa-token依赖是不同的,官网也指出了这一点。,并且后续想要在网关进行权限验证,就必须获得当前请求会话中登录的id去数据库查询对应的角色权限。
Sa-Token实现网关统一鉴权和内部服务外网隔离
ManGooo0的博客
09-05 1816
无论使用哪种序列化方式,你都必须为项目提供一个 Redis 实例化方案,因为我们需要和各个服务通过Redis来同步数据。优点:兼容性好,缺点:Session 序列化后基本不可读,对开发者来讲等同于乱码。优点:Session 序列化后可读性强,可灵活手动修改,缺点:兼容性稍差。注意:切不可直接在一个项目里同时引入这两个依赖,否则会造成项目无法启动。有时候我们需要在一个服务调用另一个服务的接口,这也是需要添加。根据不同的整合规则,插件提供了三种不同的模式,你需要。参数,这个参数会被转发到子服务
Sa-Token|3】Sa-Token集成到现有微服务详细介绍
颜淡慕潇
06-21 669
用户中心:继续处理用户登录和注册,并通过 Sa-Token 生成和验证 Token。各个项目:通过网关服务转发请求和校验 Token,不需要改变现有的业务逻辑。网关服务:统一拦截请求并校验 Token实现集中管理和验证。这种方式可以最小化改造工作量,实现单点登录的目标。
前后端分离,使用sa-token作为安全框架快速搭建一个微服务项目
2301_78646673的博客
04-29 1291
之前的项目是一个基于B2C的单体商城项目。使用到的技术栈有spring boot3.1.5、MySQL8.0.30、redis7.0.10,使用minio作为项目的文件上传,使用spring security作为项目的安全框架;使用vue3+element-plus开发前端,并最终将整个项目部署到nginx上。本次重新拆分这个单体项目,使之成为一个微服务项目。
JAVA项目 畅购商城 微服务网关限流&鉴权
JAVA开发者@邢先生
02-12 910
第3章 微服务网关限流&鉴权 课程目标 掌握微服务网关Gateway的系统搭建 掌握网关限流的实现 能够使用BCrypt实现对密码的加密与验证 了解加密算法 能够使用JWT实现微服务鉴权 1.微服务网关Gateway 1.1 微服务网关概述 不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题: 客户端会多次请求不同的微服务,增加了客户端的复杂性 存在跨域请求,在一定场景下处理相对复杂 认证复杂,每个服务都需
微服务-鉴权
02-25
微服务鉴权介绍(初级入门)。涵盖微服务鉴权介绍及常用方式组合
微服务】springboot 整合 SA-Token 使用详解
热门推荐
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 3781
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-Token和Spring WebFlux集成Sa-Token这两个常用的开发框架。......
SpringBoot整合Sa-Token
weixin_44864594的博客
07-14 3381
SpringBoot整合Sa-Token入门介绍技术理论技术实践 入门介绍 Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0 等一系列权限相关问题 框架集成简单、开箱即用、API设计清爽,功能十分强大 技术理论 Sa-Token对于权限登录有着更为简洁的API,省下了很多繁琐的固定要写的代码 能做些什么? 登录验证 —— 单端登录、多端登录、同端互斥登录、七天内免登录 权限验证 —— 权限认证、角色认证、会话二级认证 Sessio
Sa-Token + SpringBoot 实现登录鉴权
BUG指挥课堂
07-17 665
Sa-Token是一个轻量级Java权限认证框架。主要解决的问题如下:登录认证权限认证单点登录OAuth2.0分布式Session会话微服务网关鉴权等一系列权限相关问题。Sa-Token框架是一个轻量级的登录、鉴权框架,有利于我们开发。Sa-Token框架的官方文档:https://sa-token.cc/doc.html#/
Spring Cloud Gateway 集成Sa-Token
Trouvailless的博客
08-15 3539
Sa-Token作者提供了这么一个牛皮的框架。其文档地址Sa-Token。以上,就是集成Sa-Token的步骤,如果有什么问题,欢迎指正。后面会深入Sa-Token源码,了解更多的使用方法和设计思想,敬请期待。
【SpringCloud-Alibaba系列教程】13.gateway网关结合Sa-token进行登录鉴权
怀特博客
03-03 4755
引出问题 在介绍【SpringCloud-Alibaba系列教程】10.gateway网关的时候文章末尾简单说了一下实现鉴权功能,本文结合比较火的sa-token权限框架,进行整合实现登录逻辑。看到本文,建议按照发文顺序阅读,方便理解我写的部分以及内容,本文实现的需求就是,首先进行统一在网关登录,然后调用shop-auth,然后在进行访问商品微服务shop-product,如果没登录,就查询不到进行相关提示,如果登录了就可以查询到了,现在我们开始。 我们开始吧 首先我们再次借用上次的图。 大家可以看到
微服务下的用户鉴权方案
qq_33920904的博客
08-27 2140
上一章讲了微服务下的用户身份认证《SpringCloud Gateway 身份认证》,这次主要讲如何进行鉴权。 相对上一章的身份认证代码略有改动 Java下常用的安全框架主要有Spring Security和shiro,都可提供非常强大的功能,但学习成本较高。在微服务鉴权多多少少都会对服务有一定的入侵性。 为了降低依赖,减少入侵,让鉴权功能相对应用服务透明,我们采用网关拦截资源请求的方式进行鉴权。 一、整体架构 用户鉴权模块位于API GateWay服务中,所有的API资源请求都需要从此通过。 做身份
springcloud整合sa-token
09-06
SpringCloud是基于Spring框架的分布式系统开发框架,它提供了丰富的分布式系统解决方案。而Sa-Token是一个轻量级的Java权限认证与授权框架,提供了简单易用的权限控制功能。 在SpringCloud中整合Sa-Token可以为我们的分布式系统提供更加安全可靠的权限认证与授权机制。具体步骤如下: 1. 在SpringCloud的微服务架构中,将Sa-Token配置为一个独立的授权认证中心,可以独立部署,也方便对其进行管理和维护。 2. 在每个微服务中引入Sa-Token的依赖,通过配置Sa-Token的相关属性,实现微服务的用户登录与认证。同时,可以使用Sa-Token提供的注解进行权限控制,例如@RequiresPermissions注解可以对接口或方法进行权限校验。 3. 在微服务之间进行访问时,可以通过Sa-TokenToken验证机制,对调用方进行身份认证。因此,每个微服务需要验证并解析Token,以确保请求方的合法性。 4. Sa-Token提供了灵活的权限授权机制,可以根据业务需求配置不同的角色和权限管理。在SpringCloud中,我们可以根据微服务的不同职能划分角色,为每个角色分配相应的权限。通过角色与权限的配置,实现对不同微服务接口的精确控制。 通过将Sa-Token整合到SpringCloud中,我们可以实现整个系统的统一权限管理。无论是对用户的认证与授权,还是对接口的权限控制,都可以通过Sa-Token轻松实现。这不仅提高了系统的安全性,同时也简化了系统的开发与维护工作。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LinkJii

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值