@Inner 注解原理和使用

于 2024-05-30 16:48:00 发布
阅读量927 收藏 25
点赞数 32
分类专栏: 1、Spring Cloud 文章标签: java 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61916154/article/details/139328384
版权

一 、Inner 的诞生

结合 Security 就存在以下几种url访问应用场景:

  1. 外部从 Gateway 访问,需要鉴权(eg.CURD 操作)。这种是最常使用的,用户登录后正常访问接口,不需要我们做什么处理(可能有的接口需要加权限字段)。
  2. 外部从 Gateway 访问,不需要鉴权(eg.短信验证码)。需要我们将 uri 加入到 security.oauth2.client.ignore-urls 配置中,可以不需要鉴权访问
  3. 内部服务间用 Feign 访问,不需要鉴权(eg.Auth 查询用户信息)。也是需要我们将 uri 加入security.oauth2.client.ignore-urls 配置中,那与第二种的区别就是这种情况下大多数都是服务可以请求另一个服务的所有数据,不受约束,那我们如果仅仅只配置 ignore-url 的话,外部所有人都可以通过 url 请求到我们内部的链接,安全达不到保障。

鉴于上述第三种情况,我们配置了 ignore-url 和 Feign,此时该接口不需要鉴权,服务内部通过 Feign 访问,服务外部通过 url 也可以访问,所以 项目中,加入了一种@RequestHeader(SecurityConstants.FROM)的处理方式。即在接口方法中,对头部进行判断,只有请求带上相应的 Header 参数时,才允许通过访问,否则抛出异常。那这时候其实我们在外网通过 Gateway 访问的时候,也可以手动带上这个 Header 参数,来达到这个目的。所以我们便在 Gateway 中设置了一个 GlobalFilter 过滤器:
这个过滤器在处理 HttpRequest 的时候,会删除从外部请求头里的 SecurityConstants.FROM 这个参数。此时的效果就是,这个 URL 从外部访问不需要鉴权,但由于 Gateway 的过滤,最终到达我们接口方法时,由于缺少头部信息,被拒绝访问;而服务间通过 Feign 访问,不经过 Gateway,则可以正常访问。

那原始的处理方法和处理逻辑就是这样:首先将 uri 加入 ingore-url,然后在接口的方法和 Feign 的接口参数中写上 RequestHeader 参数,最后在 Feign-Client 中带上这个 SecurityConstants.FROM 参数。使用 AOP 将此步骤抽离出来,成为了 Inner。

二、Inner 的处理流程

统一的 ignore-url 处理
首先我们来看看这个注解的代码
package com.hzjt.gczjt.common.security.annotation;

import java.lang.annotation.*;

/**
服务调用鉴权注解
*/
@Target({ ElementType.METHOD, ElementType.TYPE })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface Inner {

/**

是否AOP统一处理

@return false, true
*/
boolean value() default true;

/**

需要特殊判空的字段(预留)

@return {}
*/
String[] field() default {};

}

首先,在我们项目加载阶段,我们获取有 Inner 注解的类和方法,然后获取我们配置的 uri,经过正则替换后面的可变参数为*,然后将此 uri 加入到 ignore-url 中。此时我们就能达到所有 Inner 配置的方法/类上的接口地址,都统一在项目加载阶段自动帮我们加到 ignore-url 中,不需要我们手动配置,免去了很多开发工作,同时也能避免我们忘记配置,而浪费开发时间。

核心代码如下:

import cn.hutool.core.util.ReUtil;
import com.hzjt.gczjt.common.security.annotation.Inner;
import lombok.Getter;
import lombok.RequiredArgsConstructor;
import lombok.Setter;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.InitializingBean;
import org.springframework.boot.autoconfigure.condition.ConditionalOnExpression;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.AnnotationUtils;
import org.springframework.web.context.WebApplicationContext;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.mvc.method.RequestMappingInfo;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import java.util.Optional;
import java.util.regex.Pattern;

@Slf4j
@Configuration
@RequiredArgsConstructor
@ConditionalOnExpression(“!’${security.oauth2.client.ignore-urls}’.isEmpty()”)
@ConfigurationProperties(prefix = “security.oauth2.client”)
public class PermitAllUrlProperties implements InitializingBean {

private static final Pattern PATTERN = Pattern.compile(“\{(.*?)\}”);

private final WebApplicationContext applicationContext;

@Getter
@Setter
private List ignoreUrls = new ArrayList<>();

@Override
public void afterPropertiesSet() {

 RequestMappingHandlerMapping mapping = applicationContext.getBean(RequestMappingHandlerMapping.class);
 Map<RequestMappingInfo, HandlerMethod> map = mapping.getHandlerMethods();

 map.keySet().forEach(info -> {
     HandlerMethod handlerMethod = map.get(info);

     // 获取方法上边的注解 替代path variable 为 *
     Inner method = AnnotationUtils.findAnnotation(handlerMethod.getMethod(), Inner.class);
     Optional.ofNullable(method).ifPresent(inner -> info.getPatternsCondition().getPatterns()
             .forEach(url -> ignoreUrls.add(ReUtil.replaceAll(url, PATTERN, "*"))));

     // 获取类上边的注解, 替代path variable 为 *
     Inner controller = AnnotationUtils.findAnnotation(handlerMethod.getBeanType(), Inner.class);
     Optional.ofNullable(controller).ifPresent(inner -> info.getPatternsCondition().getPatterns()
             .forEach(url -> ignoreUrls.add(ReUtil.replaceAll(url, PATTERN, "*"))));
 });
}

}

三、统一的安全性处理

我们使用一个 Spring-AOP,在对所有 Inner 注解的方法做一个环绕增强的切点,进行统一的处理。在上面我们提到的 Inner 的 value 参数,当该参数为 true 时,我们对方法的入参进行判断,仅当符合我们定制的入参规则时(项目是用的@RequestHeader(SecurityConstants.FROM) 与SecurityConstants.FROM_IN做比较),我们对它进行放行,不符合时,抛出异常;当 value 为 false 时,咱不做任何处理,此时 Inner 仅起到了一个 ignore-url 的作用。

@Slf4j
@Aspect
@AllArgsConstructor
public class GczjtSecurityInnerAspect {
    
private final HttpServletRequest request;

@SneakyThrows
@Around(“@annotation(inner)”)
public Object around(ProceedingJoinPoint point, Inner inner) {

 String header = request.getHeader(SecurityConstants.FROM);
 if (inner.value() && !StrUtil.equals(SecurityConstants.FROM_IN, header)) {
     log.warn("访问接口 {} 没有权限", point.getSignature().getName());
     throw new AccessDeniedException("Access is denied");
 }
 return point.proceed();
}

}

通过这两步呢,我们首先是在加载时通过找到 Inner 注解,将相应的 uri 加入到 ignore-url 中,达到自动化配置的目的;之后我们又使用切面对 Inner 的方法进行环绕处理,达到安全控制。对比之前的处理方式,现在我们使用一个@Inner注解,就能很快的满足上面说的两种场景,大大节省了我们的开发时间。

四、合理的使用@Inner 注解

,下面结合 Feign 做一个简单的示例,示例场景就是我们的用户密码登录中的一环:

1、在接口上使用@Inner注解,使得 url 无需鉴权
/**

 * 获取指定用户全部信息
 * @return 用户信息
 */
@Inner
@GetMapping("/info/{username}")
public R info(@PathVariable String username) {
    SysUser user = userService.getOne(Wrappers.<SysUser>query().lambda().eq(SysUser::getUsername, username));
    if (user == null) {
        return R.failed(null, String.format("用户信息为空 %s", username));
    }
    return R.ok(userService.findUserInfo(user));
}
2、 编写feign接口
@FeignClient(contextId = “remoteUserService”, value = ServiceNameConstants.UPMS_SERVICE)
public interface RemoteUserService {

/**
 * 通过用户名查询用户、角色信息
 * @param username 用户名
 * @param from 调用标志
 * @return R
 */
@GetMapping("/user/info/{username}")
R<UserInfo> info(@PathVariable("username") String username, @RequestHeader(SecurityConstants.FROM) String from);

}
3、 Feign-Client 中调用接口,带上SecurityConstants.FROM_IN参数为内部识别
/**
 * 用户密码登录
 * @param username 用户名
 * @return
 * @throws UsernameNotFoundException
 */
@Override
@SneakyThrows
public UserDetails loadUserByUsername(String username) {
    Cache cache = cacheManager.getCache(CacheConstants.USER_DETAILS);
    if (cache != null && cache.get(username) != null) {
        return (GczjtUser) cache.get(username).get();
    }

    R<UserInfo> result = remoteUserService.info(username, SecurityConstants.FROM_IN);
    UserDetails userDetails = getUserDetails(result);
    cache.put(username, userDetails);
    return userDetails;
}

现在”/info/{username}” 这个 uri 从网关外部我们访问是报错的(一般来说服务都是走网关暴露接口),而 Feign 内部带上参数是可以正常访问的。

Myovlmx
关注
  • 32
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java基础语法
weixin_49227264的博客
07-14 123
思维导图 变量、常量 常量 常量类型 说明 字符串常量 用双引号括起来的内容,如:“Hello” 数字常量 整数或小数,如:666,5.21 字符常量 用双引号括起来的内容,如:‘A’,‘我’ 布尔常量 布尔值,表真假 空常量 一个特殊常量,空值 变量 定义:在程序运行过程中,其值可以发生改变的量。变量就是系统分配的一块内存单元,用来存储各种类型的数据。 定义格式:数据类型 变量名 = 值;(不赋值也可以,则数据类型 变量名;) 重新赋值格式:变量名 = 变量值; 变量使
@inner 注解使用和说明
qq_45584501的博客
06-15 7176
Inner的诞生 Pig种Url的访问大致分为两种,一种是由Gateway网关从外网路由进来,一种是内网通过Feign进行内部服务调用。那我们结合Security就存在以下几种应用场景: 外部从Gateway访问,需要鉴权(eg.CURD操作)。这种是最常使用的,用户登录后正常访问接口,不需要我们做什么处理(可能有的接口需要加权限字段)。 外部从Gateway访问,不需要鉴权(eg.短信验证码)。需要我们将uri加入到security.oauth2.client.ignore-urls配置中,可以不需
SpringCloud整合spring security+ oauth2+Redis实现认证授权
write less , do more
10-15 2万+
在微服务构建中,我们一般用一个父工程来通知管理依赖的各种版本号信息。父工程pom文件如下: 构建eureka注册中心 在SpringCloud微服务体系中服务注册中心是一个必要的存在,通过注册中心提供服务的注册和发现。具体细节可以查看我之前的博客,这里不再赘述。我们开始构建一个eureka注册中心,对应的yml配置文件如下: 对应的项目启动类代码如下: 至此,一个单体的服务注册中心搭建完成。上文我们已经完成了注册中心的搭建,接下来我们开始搭建认证授权中心。我们同样在父工程下面新建一个子工程,作为认证授权中心
Java —— 内部类(Inner类)
qq_41204918的博客
05-14 1027
内部类即为在其他类内部定义的子类,根据位置、是否被 static 修饰、是否有类名分为以下四种。 1.成员内部类 同成员变量一样,属于类的全局成员,可以用权限修饰符、static、final、abstract 修饰,在其中可以调用外部类的属性、方法,还可在其中定义内部类。 创建非静态内部类的对象时,必须先创建外部类的对象,通过外部类的对象调用内部类的构造器 class A{ //外...
@Inner使用原理
热门推荐
ujm097的博客
06-16 2万+
外部从Gateway访问,需要鉴权(eg.CURD操作)。这种是最常使用的,用户登录后正常访问接口,不需要我们做什么处理(可能有的接口需要加权限字段)。 外部从Gateway访问,不需要鉴权(eg.短信验证码)。需要我们将uri加入到security.oauth2.client.ignore-urls配置中,可以不需要鉴权访问 内部服务间用Feign访问,不需要鉴权(eg.Auth查询用户信息)。也是需要我们将uri加入到security.oauth2.client.ignore-urls配置中,...
PigX开源佩格@Inner注解大坑
GCC_124的博客
12-21 2216
当在类似如下@PathVariable的接口上添加@Inner(value = false)注解
【pig-cloud项目】关于@Inner和@PreAuthorize的理解,以及微服务内外部间的调用认证鉴权理解
键上艺术家
10-27 4778
学习pig-cloud项目时遇到了微服务内外部间的调用认证鉴权理解这个问题,总理解不了文档中的文字,然后看过源码,并用代码测试后,理解并总结一下,怕自己忘记,脑子不够用~ (ಥ﹏ಥ)
inner使用
weixin_47467938的博客
08-20 2400
通过使用inner注解使得目标对内外接口调用进行了限制,这样避免接口对外暴漏安全问题,只能通过内部调用才能使用,浏览器不能直接访问接口。 @Inner @PostMapping public R save(@Valid @RequestBody SysLog sysLog) { return new R<>(sysLogService.save(sysLog)); } ...
javainner的用法_[java] 深入理解内部类: inner-classes
weixin_29133985的博客
02-27 403
运行:javac ReflectionTest.javajava ReflectionTest 'Student$Counting'输出为:class Student$Counting {public Student$Counting(Student, int);public void actionPerformed(java.awt.event.ActionEvent);private int ...
Inner canon of yellow emperor
01-05
不过,要注意的是,电子书籍的保护和版权问题,合法使用和分享这些资源是非常重要的。 总的来说,《黄帝内经》的电子版为现代人提供了便利的学习途径,使这一古典医学巨著得以跨越时空,继续照亮中医的道路。无论是...
caffe-source-code-analysis:对caffe源代码中一些重要的文件进行注释和分析
03-24
本项目是对Caffe源代码进行深入理解和注解,帮助开发者更好地掌握其工作原理,从而优化模型、调试问题或者进行二次开发。 1. **源代码结构** Caffe的源代码主要分为以下几个部分: - `include/`:包含了Caffe的...
Java通过反射查看类的信息示例
08-25
通过 Class 对象可以获取类的注解,例如使用 getAnnotations() 方法可以获取类的所有注解。 六、实战示例 下面是一个完整的示例代码,演示了如何使用反射机制获取类的信息: import java.util.*; import java....
MyBatis-Plus-Join为简化开发工作、提高生产率而生 对 MyBatis-Plus 多表查询的扩展
最新发布
12-16
在提供的 `mybatis-plus-join-master` 压缩包中,包含了 MyBatis-Plus Join 功能的源码和示例,你可以通过学习和研究这些内容来深入了解其工作原理使用方法。这个扩展可能包括了示例工程、配置文件、实体类和 ...
2011 广州 面试笔试题:.doc
09-01
6. 三大框架Struts、Spring和Hibernate通常使用的版本分别是Struts2.18、Hibernate3.64和Spring2.53,但现代应用中可能使用更高版本或自定义封装。 7. Struts负责Web层交互,Hibernate处理数据层,Spring提供IOC和...
(2021.11.23)@Inner与@Inner(value = false)
weixin_41952600的博客
11-23 5616
@Inner与@Inner(value = false) 是什么 基于微服务架构SpringCloud OAuth无Token的接口调用。 区别 @Inner是对内部调用公开,拦截外部调用 @Inner是对外部暴露 相同点 两者都会舍弃token鉴权,如果代码中需要用到token,建议不要使用。 ...
java基础:Annotation(注解)
Lzinner的博客
05-22 312
1.注解的简单介绍 1.从jdk5.0开始,java增加了对于元数据(MetaData)的支持,也就是Annotation(注解) 2.Annotation也就是代码里的特殊标记,这些标记可以在编译类加载,运行时被读取,并且执行相应的处理。通过使用Annotation,程序员可以在不改变原有逻辑的情况下在源文件中嵌入一些补充信息 3.Annotation可以像修饰符一样被使用,可以用于修饰包,...
日常工作中遇到问题
从小做起,从我做起
07-27 543
日常工作总结 问题记录
(六)SpringCloud+Security+Oauth2--自定义注解实现接口权限放行
Instanceztt的博客
12-06 2512
在前面的配置中我们在查询用户相关的接口时,由于还没有获得token,就通过permitAll()对/user相关的接口全部放行,那么我们在日常开发中会设计到有些接口不需要token也能访问,比如我们在引入swagger后有些接口就不需要相应的token这时候我们可以在配置中增加相应配置放开权限,这种针对的是比较固定的一些,那么如何自定义在自己接口中随便去加接口权限放行呢实现思路 由此没有token接口也能正常访问了
@Inner(value = false)注解和@PreAuthorize注解冲突怎么办
04-28
@Inner(value = false)注解和@PreAuthorize注解可能会冲突,因为它们都是Spring Security框架中的注解,用于控制访问权限。@Inner注解用于标识该接口或方法是否只能被内部调用,而@PreAuthorize注解则用于根据表达式控制方法的访问权限。 如果这两个注解冲突,可以考虑使用@PreAuthorize注解来代替@Inner注解,因为@PreAuthorize注解可以实现@Inner注解的功能,并且可以更加灵活地控制访问权限。例如,可以在@PreAuthorize注解使用SpEL表达式来判断当前用户是否具有访问权限。 如果你想使用这两个注解,可以考虑在方法级别使用@Inner注解,在类级别使用@PreAuthorize注解。这样可以确保方法级别的@Inner注解不会被@PreAuthorize注解覆盖。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值