Sa-Token实现网关统一鉴权和内部服务外网隔离

已于 2024-03-15 09:54:33 修改
阅读量1.6k 收藏 8
点赞数 1
分类专栏: Java 文章标签: 微服务 springcloud gateway
于 2023-09-05 15:26:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mangooo0/article/details/132693227
版权

🎈 1 参考文档

网管关统一鉴权 | sa-token.cc

🥩2 微服务中使用Sa-Token依赖引入说明

2.1 Sa-Token依赖

对于网关服务,大体来讲分为两种:

  • 一种是基于Servlet模型的,如:Zuul,我们需要引入的是:sa-token-spring-boot-starter
  • 一种是基于Reactor模型的,如:SpringCloud Gateway、ShenYu 等等,我们需要引入的是:sa-token-reactor-spring-boot-starter并且注册全局过滤器!

注意:切不可直接在一个项目里同时引入这两个依赖,否则会造成项目无法启动

2.1.1 基于Servlet模型

<!-- Sa-Token 权限认证,在线文档:https://sa-token.cc -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.35.0.RC</version>
</dependency>

注意:如果你使用的是 SpringBoot 3.x,只需要将 sa-token-spring-boot-starter 修改为 sa-token-spring-boot3-starter 即可。

2.1.2 基于Reactor模型

<!-- Sa-Token 权限认证(Reactor响应式集成),在线文档:https://sa-token.cc -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-reactor-spring-boot-starter</artifactId>
    <version>1.35.0.RC</version>
</dependency>

注意:如果你使用的是 SpringBoot 3.x,只需要将 sa-token-reactor-spring-boot-starter 修改为 sa-token-reactor-spring-boot3-starter 即可。

2.2 Redis依赖

无论使用哪种序列化方式,你都必须为项目提供一个 Redis 实例化方案,因为我们需要和各个服务通过Redis来同步数据。

2.2.1 jdk 默认序列化方式

优点:兼容性好,缺点:Session 序列化后基本不可读,对开发者来讲等同于乱码。

<!-- Sa-Token 整合 Redis (使用 jdk 默认序列化方式) -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-redis</artifactId>
    <version>1.35.0.RC</version>
</dependency>
<!-- 提供Redis连接池 -->
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-pool2</artifactId>
</dependency>

2.2.2 jackson 序列化方式

优点:Session 序列化后可读性强,可灵活手动修改,缺点:兼容性稍差。

<!-- Sa-Token 整合 Redis (使用 jackson 序列化方式) -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-redis-jackson</artifactId>
    <version>1.35.0.RC</version>
</dependency>
<!-- 提供Redis连接池 -->
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-pool2</artifactId>
</dependency>

🚀3 和jwt集成

3.1 引入依赖

<!-- Sa-Token 整合 jwt -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-jwt</artifactId>
    <version>1.35.0.RC</version>
</dependency>
  1. 注意: sa-token-jwt 显式依赖 hutool-jwt 5.7.14 版本,保险起见:你的项目中要么不引入 hutool,要么引入版本 >= 5.7.14 的 hutool 版本。
  2. hutool 5.8.13 和 5.8.14 版本下会出现类型转换问题,关联issue

3.2 配置秘钥

application.yml 配置文件中配置 jwt 生成秘钥:

sa-token:
    # jwt秘钥 
    jwt-secret-key: asdasdasifhueuiwyurfewbfjsdafjk

3.3 注入jwt实现

根据不同的整合规则,插件提供了三种不同的模式,你需要选择其中一种注入到你的项目中

@Configuration
public class SaTokenConfigure {
    // Sa-Token 整合 jwt (Simple 简单模式)
    @Bean
    public StpLogic getStpLogicJwt() {
        return new StpLogicJwtForSimple();
    }
    
    // Sa-Token 整合 jwt (Mixin 混入模式)
    @Bean
    public StpLogic getStpLogicJwt() {
        return new StpLogicJwtForMixin();
    }
    
    // Sa-Token 整合 jwt (Stateless 无状态模式)
    @Bean
    public StpLogic getStpLogicJwt() {
        return new StpLogicJwtForStateless();
    }
}

🚀4 实现鉴权接口

关于数据的获取,建议以下方案三选一:

  1. 在网关处集成ORM框架,直接从数据库查询数据。
  2. 先从Redis中获取数据,获取不到时走ORM框架查询数据库。
  3. 先从Redis中获取缓存数据,获取不到时走RPC调用子服务 (专门的权限数据提供服务) 获取。

放到登录服务中:

/**
 * 自定义权限验证接口扩展
 */
@Component
public class StpInterfaceImpl implements StpInterface {
    @Autowired
    private MenuService menuService;

    @Autowired
    private RoleService roleService;

    @Autowired
    private ThreadPoolConfig threadPoolConfig;

    /**
     * 返回一个账号所拥有的权限码集合
     *
     * @param loginId
     * @param loginType
     * @return
     */
    @Override
    public List<String> getPermissionList(Object loginId, String loginType) {
        List<String> res = (List<String>) StpUtil.getTokenSession().get("PERMISSION-LIST");
        if (res == null) {
            CompletableFuture<List<String>> permissionFuture = CompletableFuture.supplyAsync(() -> {
                List<MenuVO> menuVOList = menuService.getPermissionList(Convert.toLong(loginId),null);
                return menuVOList.stream().map(MenuVO::getPermission).collect(Collectors.toList());
            }, threadPoolConfig.USER_ROLE_PERM_THREAD_POOL);
            try {
                return permissionFuture.get();
            } catch (InterruptedException | ExecutionException e) {
                throw new RuntimeException(e);
            }
        }
        return res;
    }

    /**
     * 返回一个账号所拥有的角色标识集合
     *
     * @param loginId
     * @param loginType
     * @return
     */
    @Override
    public List<String> getRoleList(Object loginId, String loginType) {
        List<String> res = (List<String>) StpUtil.getTokenSession().get("ROLE-LIST");
        if (res == null) {
            CompletableFuture<List<String>> roleFuture = CompletableFuture.supplyAsync(() -> {
                // 返回此 loginId 拥有的权限列表
                List<RoleVO> roles = roleService.getRoleByUserId(Convert.toLong(loginId));
                return roles.stream().map(RoleVO::getRoleKey).collect(Collectors.toList());
            }, threadPoolConfig.USER_ROLE_PERM_THREAD_POOL);
            try {
                return roleFuture.get();
            } catch (InterruptedException | ExecutionException e) {
                throw new RuntimeException(e);
            }
        }
        return res;
    }
}

其他子服务:

/**
 * 自定义权限验证接口扩展
 */
@Component
public class StpInterfaceImpl implements StpInterface {
    /**
     * 返回一个账号所拥有的权限码集合
     *
     * @param loginId
     * @param loginType
     * @return
     */
    @Override
    public List<String> getPermissionList(Object loginId, String loginType) {
        return (List<String>) StpUtil.getTokenSession().get("PERMISSION-LIST");
    }

    /**
     * 返回一个账号所拥有的角色标识集合
     *
     * @param loginId
     * @param loginType
     * @return
     */
    @Override
    public List<String> getRoleList(Object loginId, String loginType) {
        return (List<String>) StpUtil.getTokenSession().get("ROLE-LIST");
    }
}

🚀5 注册全局过滤器

然后在网关处注册全局过滤器进行鉴权操作

@Configuration
public class SaTokenConfigure{
    /**
     * Sa-Token 整合 jwt (Simple 简单模式)
     *
     * @return
     */
    @Bean
    public StpLogic getStpLogicJwt() {
        return new StpLogicJwtForSimple();
    }

    /**
     * 注册 [Sa-Token全局过滤器]
     *
     * @return
     */
    @Bean
    public SaReactorFilter getSaReactorFilter() {
        return new SaReactorFilter()
                // 拦截地址 - 拦截全部path
                .addInclude("/**")
                // 开放地址
                .addExclude("/favicon.png")
                // 鉴权方法:每次访问进入
                // 全局认证函数
                .setAuth(obj -> {
                    SaRouter
                            // 拦截的所有接口
                            .match("/**")
                            // 忽略所有登陆相关接口
                            .notMatch("/account/**")
                            // 忽略所有个人信息相关接口
                            .notMatch("/manage/profile/**")
                            // 忽略获得文件下载链接相关接口
                            .notMatch("/file/fileTransfer/getFileUrl/**")
                            // 忽略获取站点信息列表相关接口
                            .notMatch("/manage/config/get")
                            // 忽略获取所有的公告相关接口
                            .notMatch("/manage/notice/list")
                            // 忽略所有接口文档相关接口
                            .notMatch("/doc.html",
                                    "/doc.html*",
                                    "/doc.html/*",
                                    "/webjars/**",
                                    "/img.icons/**",
                                    "/swagger-resources/**",
                                    "/**/v2/api-docs")
                            // 要执行的校验动作,可以写完整的 lambda 表达式
                            .check(r -> StpUtil.checkLogin());
                })
                // 异常处理函数
                .setError(e -> {
                    return ResultResponse.fail().message(e.getMessage());
                })
                // 前置函数:在每次认证函数之前执行
                .setBeforeAuth(obj -> {
                    // ---------- 设置跨域响应头 ----------
                    SaHolder.getResponse()
                            // 允许指定域访问跨域资源
                            .setHeader("Access-Control-Allow-Origin", "*")
                            // 允许所有请求方式
                            .setHeader("Access-Control-Allow-Methods", "POST, GET, PUT, DELETE, OPTIONS")
                            // 有效时间
                            .setHeader("Access-Control-Max-Age", "3600")
                            // 允许的header参数
                            .setHeader("Access-Control-Allow-Headers", "*");
                    // 如果是预检请求,则立即返回到前端
                    SaRouter.match(SaHttpMethod.OPTIONS)
                            .free(r -> System.out.println("--------OPTIONS预检请求,不做处理--------"))
                            .back();
                });
    }
}

🚀6 使用Same-Token模块提供的身份校验能力,完成服务间的权限认证

6.1 网关处添加Same-Token

为网关添加全局过滤器:此过滤器会为Request请求头追加 Same-Token 参数,这个参数会被转发到子服务。

/**
 * 全局过滤器,为请求添加 Same-Token 
 */
@Component
public class ForwardAuthFilter implements GlobalFilter {
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest newRequest = exchange
                .getRequest()
                .mutate()
                // 为请求追加 Same-Token 参数 
                .header(SaSameUtil.SAME_TOKEN, SaSameUtil.getToken())
                .build();
        ServerWebExchange newExchange = exchange.mutate().request(newRequest).build();
        return chain.filter(newExchange);
    }
}

6.2 在子服务里校验参数

在子服务添加过滤器校验参数。

/**
 * Sa-Token 权限认证 配置类 
 */
@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {
    // 注册 Sa-Token 全局过滤器 
    @Bean
    public SaServletFilter getSaServletFilter() {
        return new SaServletFilter()
                .addInclude("/**")
                .addExclude("/favicon.ico")
                .setAuth(obj -> {
                    // 校验 Same-Token 身份凭证     —— 以下两句代码可简化为:SaSameUtil.checkCurrentRequestToken(); 
                    String token = SaHolder.getRequest().getHeader(SaSameUtil.SAME_TOKEN);
                    SaSameUtil.checkToken(token);
                })
                .setError(e -> {
                    return SaResult.error(e.getMessage());
                })
                ;
    }
}

启动网关与子服务,访问测试:

如果通过网关转发,可以正常访问,直接访问子服务会提示:无效Same-Token:xxx

6.3 服务间内部调用鉴权

有时候我们需要在一个服务调用另一个服务的接口,这也是需要添加Same-Token作为身份凭证的

在服务里添加 Same-Token 流程与网关类似,我们以RPC框架 Feign 为例:

6.3.1 首先在调用方添加 FeignInterceptor

/**
 * feign拦截器, 在feign请求发出之前,加入一些操作 
 */
@Component
public class FeignInterceptor implements RequestInterceptor {
    // 为 Feign 的 RCP调用 添加请求头Same-Token 
    @Override
    public void apply(RequestTemplate requestTemplate) {
        requestTemplate.header(SaSameUtil.SAME_TOKEN, SaSameUtil.getToken());
        
        // 如果希望被调用方有会话状态,此处就还需要将 satoken 添加到请求头中
        // requestTemplate.header(StpUtil.getTokenName(), StpUtil.getTokenValue());
    }
}

6.3.2 在调用接口里使用此Interceptor

/**
 * 在调用接口里使用 Interceptor
 */
@FeignClient(name = "netdisk-file", configuration = FeignInterceptor.class)
public interface FileFeignService {
    @RequestMapping("/file/getUserFile/{userFileId}")
    ResultResponse<Boolean> getUserFile(@PathVariable Long userFileId);
}
Cau1i
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HCIE-Cloud笔试
stqer的博客
07-01 1778
前言: 目录按照HCIE-Cloud官方培训教材V2.0进行制定,通过笔试考点挂钩HCIE-Cloud官方培训教材V2.0中的知识,相互强化记忆 1、优点:基本笔试的知识分类,是按照该教材的目录大纲分类。 2、缺点:该教材知识点不能全覆盖到笔试考点,换言之,笔试考点超过教材中的内容,需要引入其他书本。 3、资料:HCIE-Cloud培训教材及实验V2.0 链接:https://pan.baidu.com/s/14J6mLz1lOFPXqGKMw9379Q 提取码:2nyh 4、认证概述: HCIE-Clou
springCloud整合gateway、satoken认证(包括问题解释)
qq_74184002的博客
05-08 2396
于springcloud的gateway介绍我就不赘述了,上的相文章很多。Gateway简介及使用-CSDN博客Sa-Token是一款轻量级的Java限认证框架,可以用来解决登录认证、限认证、Session会话、单点登录、OAuth2.0、微服务等一系列限相问题。框架集成简单、最简单的可以使用一个依赖即可完成,API设计优雅,通过Sa-Token,你将以一种极其简单的方式实现系统的限认证部分。相信看到这里的同学已经对他有了初步的了解,下面我们直接开始进行整合。
SpringCloud整合GateWay+Sa-Token做登录验证(干货)
m0_73625251的博客
05-17 1657
等一系列限相问题,在这里我就不详细介绍了,想要了解的同学可以去查看官方文档 https://sa-token.cc/doc.html。
前后端分离,使用sa-token作为安全框架快速搭建一个微服务项目
2301_78646673的博客
04-29 1105
之前的项目是一个基于B2C的单体商城项目。使用到的技术栈有spring boot3.1.5、MySQL8.0.30、redis7.0.10,使用minio作为项目的文件上传,使用spring security作为项目的安全框架;使用vue3+element-plus开发前端,并最终将整个项目部署到nginx上。本次重新拆分这个单体项目,使之成为一个微服务项目。
实现服务集成satoken在gateway处统一
weixin_45472167的博客
05-22 3128
使用sa-token实现gateway统一
Sa-token深入
cxl0209的博客
03-13 1342
1.Sa-Token-SSO 单点登录模块 什么是单点登录?解决什么问题? 举个场景,假设我们的系统被切割为N个部分:商城、论坛、直播、社交…… 如果用户每访问一个模块都要登录一次,那么用户将会疯掉, 为了优化用户体验,我们急需一套机制将这N个系统的认证授互通共享,让用户在一个系统登录之后,便可以畅通无阻的访问其它所有系统。 单点登录——就是为了解决这个问题而生! 简而言之,单点登录可以做到: 在多个互相信任的系统中,用户只需登录一次,就可以访问所有系统。 架构选型 Sa-Token-SSO 由简入难划分
RuoYi-Cloud-Plus SaToken
weixin_46665411的博客
05-09 1123
管理员拥有所有限src/main/java/com/ruoyi/system/service/impl/SysPermissionServiceImpl.java#getMenuPermission()配置白名单src/main/java/com/ruoyi/gateway/config/properties/IgnoreWhiteProperties.java。内src/main/java/com/ruoyi/gateway/filter/ForwardAuthFilter.java。
016-从零搭建微服务-认证中心(七)
csp732171109的博客
07-18 252
访问接口::http://mingyue-gateway:9100/system/sysUser/getSysUserInfoByUsername?测试 【前情回顾】中的接口,如:http://mingyue-gateway:8000/sysUser/getSysUserInfoByUsername?username=mingyue,返回如下。:http://mingyue-gateway:9100/system/sysUser/getSysUserInfoByUsername?
云原生系列3-Kubernetes
ma1782072的博客
12-21 2079
k8s缩写是因为k和s之间有八个字符。k8s是基于容器技术的分布式架构方案。官:https://kubernetes.io/zh-cn/Google在 2014年开源了Kubernetes项目,Kubernetes是一个用于自动化部署、扩展和管理容器化应用程序的开源系统。同样类似的容器编排工具还有docker swarm等,但kubernetes应用最为广泛,社区更为活跃。为什么要使用 Kubernetes?
HCIE-Cloud题库
stqer的博客
08-09 3698
⒉.使用华为BCManagerbAckup进行数据备份并采用LAN-Free组模式,当用户备份一台虚拟机时,生产存储会执行什么操作?A.向备份存储发送备份数据(正确答案)B.向备份服务器发送备份数据C.向虚拟化环境发送备份数据D.向备份代理发送备份数据4.FusionCompute与FusionSphereOpenStack对接的,FusionCompute的管理络必须与FusionSphereOpenStack的哪个络互通?A.external om(正确答案).........
SpringBoot(51) 整合Sa-Token实现限认证
08-17
SpringBoot(51) 整合Sa-Token实现限认证
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架,Sa-Token框架。 jdk使用1.8 mysql 8.0
sa-token封装了一下
03-15
,通过查看pom.xml可以了解项目的依赖系和构建过程,这对于学习和复用这个封装好的sa-token实现非常有帮助。对于熟悉Java和Spring Boot的开发者来说,这个项目提供了一个很好的实践案例,展示了如何将sa-token...
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台源代码
06-16
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台 ...Sa-Token:一个轻量级 java 限认证框架,让变得简单、优雅! 限认证使用Jwt,支持多终端认证系统。 支持加载动态限菜单,多方式轻松限控制
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统
03-08
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统,可以用于常见的的 Web 应用程序,比如站管理后台等。.zip 适合学习/练手、毕业设计、课程设计、期末/期中/大作业、工程实训、相项目/...
服务&服务注册 专题
jylee的博客
07-22 1055
服务消费者找到服务提供者的这种机制称为服务发现,又或者服务注册服务发现组件应具备以下功能:服务注册表:服务注册表是服务发现组件的核心(其实就是类似于上面的registry表),它用来记录各个微服务的信息,例如微服务的名称、IP、端口等。服务注册表提供查询API和管理API,查询API用于查询可用的微服务实例,管理API用于服务的注册和注销;服务注册与服务发现:服务注册是指微服务在启动时,将自己的信息注册到服务发现组件上的过程。服务发现是指查询可用微服务列表及其络地址的机制;
服务专题
jylee的博客
07-22 1098
服务是一种分布式架构,分布式架构就是把服务做拆分,在我们的传统单体架构中,我们把所有的服务都写在一起,随着业务的扩大我们的代码耦合度会变得越来越高,后期维护起来也很不方便。微服务就是把模块拆分,把我们整个项目拆解分成许多独立的子项目,每个子项目之间独立开发和部署,子项目也有自己独立的功能,这些独立的子项目就形成了微服务,不同的子项目就进而形成一个服务集群。
SpringBoot-23 SpringBoot微服务的监控与运维
最新发布
qq_24428851的博客
07-24 1045
与大部分应用和系统一样,微服务的开发、发布与部署只占其生命周期的一小部分,应用和系统运维才是重中之重。而运维过程中,监控工作更是占据重要位置。运维的目的之一是为了保证系统的平稳运行,进而保障公司业务能持续对服务,为了达到这一目的,我们需要对系统的状态进行持续地观测,以期望一有风吹草动就能发现并作出应对,监控作为一种手段,就是以此为生。我们会从以下多个层面对。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值