因自定义注解白名单过滤造成gateway解析不到用户ID的问题

已于 2022-12-27 15:56:30 修改
阅读量404 收藏
点赞数
分类专栏: JAVA 文章标签: java 白名单 gateway token uid
于 2022-12-27 15:50:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/netuser1937/article/details/128455654
版权

@IgnoreUrlsAnnon("/list")
@IgnoreUrlsAnnon("/test")
自定义注解:慎用/list、/test等通用名称,会过滤掉所有/list、/test等方法的token获取。
getApiUserId():取不到值,会被过滤掉。
getUidByToken(httpServletRequest):可以取到值。
getApiUserIdNew():可以取到值。

BaseController.java

    /**
     * 获得 C端登录人用户id
     *
     * @return result
     */
    protected Integer getApiUserId() {
        int intHeader = request.getIntHeader(JwtAdminInfo.apiUserId);
        return Math.max(intHeader, 0);
    }

    /**
     * 获得 C端登录人用户id
     *
     * @return result
     */
    protected Long getApiUserIdNew() {
        String token = request.getHeader(Header.AUTHORIZATION.getValue());
        if (StrUtil.isEmpty(token)) {
            return 0L;
        }
        Claims claimsFromToken = JwtTokenUtil.getClaimsFromToken(token);
        String apiUserId = claimsFromToken.get(JwtAdminInfo.apiUserId).toString();
        return Long.valueOf(apiUserId);
    }

TestController.java 

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.Header;
import com.alibaba.fastjson.JSON;
import BaseController;
import JwtAdminInfo;
import JwtTokenUtil;
import io.jsonwebtoken.Claims;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;
import lombok.extern.slf4j.Slf4j;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.web.bind.annotation.*;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.util.Enumeration;
import java.util.Map;

/**
 * @author author
 */
@Api(tags = {"C端--token解析测试"})
@RestController
@RequestMapping("/api/test")
@Slf4j
public class TestController extends BaseController {
    @Resource
    private RedisTemplate<String, String> redisTemplate;

    @PostMapping("/test")
    @ApiOperation("测试")
    public void test(HttpServletRequest httpServletRequest) {
        TestRequest testRequest = new TestRequest();
        //token解析用户ID--方法一
        Long apiUserId = getApiUserId().longValue();
        //token解析用户ID--方法二
        Long uid = getApiUserIdNew();
        log.info("token获取的uid:[{}], gateway获取的uid:[{}]", uid, apiUserId);
        testRequest.setUid(uid);
        if (!apiUserId.equals(uid)) {
            log.error("token获取的uid:[{}], gateway获取的uid:[{}]", uid, apiUserId);
            // 临时添加日志到redis用于gateway错误排查
            addRedisLog(testRequest, httpServletRequest);
        }
    }

    //token解析用户ID -- 方法二
    private Long getUidByToken(HttpServletRequest httpServletRequest) {
        String token = httpServletRequest.getHeader(Header.AUTHORIZATION.getValue());
        if (StrUtil.isEmpty(token)) {
            return 0L;
        }
        Claims claimsFromToken = JwtTokenUtil.getClaimsFromToken(token);
        String apiUserId = claimsFromToken.get(JwtAdminInfo.apiUserId).toString();
        return Long.valueOf(apiUserId);
    }

    /**
     * 临时添加到redis的用于排查gateway问题的日志
     *
     * @param testRequest
     * @param httpServletRequest
     */
    private void addRedisLog(TestRequest testRequest, HttpServletRequest httpServletRequest) {
        //token解析用户ID -- 方法二
        Long newApiUserId = getUidByToken(httpServletRequest);
        Map<String, Object> map = new HashMap<>();
        Enumeration<String> enumeration = httpServletRequest.getHeaderNames();
        while (enumeration.hasMoreElements()) {
            String key = enumeration.nextElement();
            map.put(key, httpServletRequest.getHeader(key));
        }
        map.put("uid", "token获取的uid:[" + newApiUserId + "], gateway获取的uid:[" + getApiUserId() + "],");
        map.put("TestRequest", testRequest);
        redisTemplate.opsForValue().set("TestError::uid-"
                .concat(newApiUserId.toString())
                .concat("-")
                .concat(String.valueOf(System.currentTimeMillis())), JSON.toJSONString(map));
    }
}

TestRequest.java

import io.swagger.annotations.ApiModelProperty;
import lombok.Data;

/**
 * @author author
 */
@Data
public class TestRequest {
    @ApiModelProperty(value = "用户ID")
    private Long uid;
}

JwtAdminInfo.java

public class JwtAdminInfo {
    public static final String apiUserId = "apiUserId";
}

 JwtTokenUtil.java

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.Map;

/**
 * JwtToken生成的工具类
 * JWT token的格式:header.payload.signature
 * header的格式(算法、token的类型):
 * {"alg": "HS512","typ": "JWT"}
 * payload的格式(用户名、创建时间、生成时间):
 * {"sub":"wang","created":1489079981393,"exp":1489684781}
 * signature的生成算法:
 * HMACSHA512(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
 */
public class JwtTokenUtil {
    public static String prefix = "JwtToken:";
    private static String secret = "test_12345678910987654321";

    /**
     * 根据负责生成JWT的token
     */
    public static String generateToken(Map<String, Object> claims) {
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate())
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    /**
     * 从token中获取JWT中的负载
     */
    public static Claims getClaimsFromToken(String token) {
        Claims claims = null;
        try {
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            e.fillInStackTrace();
        }
        return claims;
    }

    /**
     * 生成token的过期时间
     */
    public static Date generateExpirationDate() {
        return new Date(33156026044000l);
    }

    /**
     * 从token中获取登录用户名
     */
    public static String getUserNameFromToken(String token) {
        String username;
        try {
            Claims claims = getClaimsFromToken(token);
            username = claims.getSubject();
        } catch (Exception e) {
            username = null;
        }
        return username;
    }

    /**
     * 判断token是否已经失效
     */
    private static boolean isTokenExpired(String token) {
        Date expiredDate = getExpiredDateFromToken(token);
        return expiredDate.before(new Date());
    }

    /**
     * 从token中获取过期时间
     */
    private static Date getExpiredDateFromToken(String token) {
        Claims claims = getClaimsFromToken(token);
        return claims.getExpiration();
    }
}
相思比梦长
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
这一次搞懂Spring自定义标签以及注解解析原理说明
09-07
在Spring框架中,自定义标签和注解解析是两个关键的特性,它们使得代码与配置的集成更紧密,简化了应用程序的开发。本篇文章将深入探讨Spring如何处理这两种类型的元数据。 首先,让我们来理解Spring如何解析...
nest context.switchToHttp().getRequest() 获取不到user
junjiahuang的博客
05-26 219
context.switchToHttp().getRequest() 获取不到user
gateway配合yml文件定义白名单配置全局拦截器验证jwt的token
最新发布
weixin_55695475的博客
11-30 658
【代码】gateway配合yml文件定义白名单配置全局拦截器验证jwt的token
GateWay网关应用案例(跨域、限流、黑白名单)
Hbger的博客
11-15 1万+
Spring Cloud Gateway是基于Spring Boot 2.x,Spring WebFlux和Project Reactor 构建的。属于异步非阻塞架构 Spring Cloud Gateway与Spring Data 和Spring Securit 技术不能同时使用 Spring Cloud Gateway基于Spring Boot和Spring Webflux提供的Netty运行。它在传统的Servlet容器中或用WAR的方式构建时不起作用 网关基本的功能 :鉴权、流量控制、熔断、路径重写
GateWay中添白名单
Town
02-19 1万+
最近开发中有一个鉴权的操作,最后需要进行添白名单的,废话不多说,直接上代码吧, 这是我的项目结构 applicaton启动类: import org.springframework.boot.SpringApplication; import org.springframework.cloud.client.SpringCloudApplication; import org.spr...
java SpringBoot自定义注解,及自定义解析器实现对象自动注入操作
08-24
Java SpringBoot 自定义注解及自定义解析器实现对象自动注入操作 在 Java SpringBoot 框架中,自定义注解和自定义解析器是非常重要的概念,它们可以帮助开发者轻松地实现对象自动注入操作。下面,我们将详细介绍 ...
spring aop 自定义注解保存操作日志到mysql数据库 源码
11-25
3、对spring aop认识模糊的,不清楚如何实现Java 自定义注解的 4、想看spring aop 注解实现记录系统日志并入库等 二、能学到什么 1、收获可用源码 2、能够清楚的知道如何用spring aop实现自定义注解以及注解的逻辑...
自定义注解实现拦截sql.rar
10-08
Java开发中,自定义注解是一种非常强大的工具,它允许我们为代码添元数据,以便在运行时或编译时进行处理。本示例中,“自定义注解实现拦截SQL”是关于如何通过注解来动态修改执行的SQL语句,以在其中增特定的...
浅谈Spring自定义注解从入门到精通
08-25
浅谈Spring自定义注解从入门到精通 在业务开发过程中,我们经常会遇到形形色色的注解,但是框架自有的注解并不是总能满足复杂的业务需求。这时,我们可以自定义注解来满足我们的需求。根据注解使用的位置,文章将...
巧用网关白名单实现接口免鉴权
沙漠里的豆子
07-28 1810
场景描述:一般系统中提供的接口都是经过统一配置鉴权的,比如不登录不能访问。但是,一些接口是需要开放给客户用的,我称作open API。当然,使用白名单也不仅仅局限于对外开放接口这个场景,也不仅仅局限于使用在鉴权过滤器上。实际需求可以结合自己的业务场景,使用不同的过滤器。如果使用的是网关过滤器,在校验后应该再次过滤器,也就是经过2次;,如果你的系统集成了gateway也可以使用网关过滤器,然后自定义过滤器实现。在你的本地的配置文件或者是nacos的配置文件中新增以下配置。从白名单中删除,用网关过滤器演示。
Spring Cloud Gateway-自定义异常处理
Throwable
07-01 6050
前提 我们平时在用SpringMVC的时候,只要是经过DispatcherServlet处理的请求,可以通过@ControllerAdvice和@ExceptionHandler自定义不同类型异常的处理逻辑,具体可以参考ResponseEntityExceptionHandler和DefaultHandlerExceptionResolver,底层原理很简单,就是发生异常的时候搜索容器中已经存在的异常处理器并且匹配对应的异常类型,匹配成功之后使用该指定的异常处理器返回结果进行Response的渲染,如果找不
后台获取不到请求头中token信息的解决方法
weixin_45151960的博客
11-03 8586
项目要做单点登录功能,于是在shiro的基础上入了自定义的Filter,使用JWT自定义生成和校验token信息。功能写好后自己在postman中测试了效果,将token放在Headers中请求后台接口(如下图,还发现问题),结果是测试成功开心的告诉前端可以对接了。过了一会,前端说接口一直返回token为空的错误信息。然后我就开始debug测试,发现前端发来请求头中确实有找到token,但是Network。
企业微信接口错误代码大全
热门推荐
weixin_64051447的博客
03-10 2万+
42012 | jsapi_ticket不可用,一般是有正确调用接口来创建jsapi_ticket| 如果是agentConfig使用,请特别注意是否是使用" 获取应用身份的ticket"来获取jsapi_ticket|| 302004 | 组织架构不合法(1不是一棵树,2 多个一样的partyid,3 partyid空,4 partyid name 空,5 同一个父节点下有两个子节点 部门名字一样 可能是以上情况,请一一排查) | - |消费code使用的access_token是否有该应用权限。
java通过自定义注解执行指定的类方法
LH-java
02-20 1万+
用于三方调用接口的统一入口,入口类GateWay扫描指定包下的service类,遍历该类中自定义注解的方法,通过不同参数执行指定的方法。 1、自定义注解 @Target({ElementType.FIELD, ElementType.METHOD}) //声明自定义的注解使用在方法上 @Retention(RetentionPolicy.RUNTIME)//注解不仅被保存到class文件中...
Spring cloud gatway 源码解析之注解类 03
louie_zhao的博客
03-24 1222
注解类的功能 Spring cloud gateway框架中一共有三个注解类 分别是ConditionalOnEnabledFilter,ConditionalOnEnabledGlobalFilter,ConditionalOnEnabledPredicate 根据名字可以知道,他们主要的功能是 当开启 filter, gloable filter,Predicate 的才会动态组装Bean. 其中每一个注解类都对应一个condition的子类,OnEnabledFilter ,OnEnab...
拦截器白名单设置swagger后依旧被拦截问题记录
二郎神的博客
01-25 2506
在用拦截器验证token做验证时,发现每次刷新swagger页面时,都会被拦截器所拦截,检查拦截器白名单未发现问题,后通过Debug有所发现 然后在页面按F12打开swagger控制台发现了"/","/csrf"两个404接口,发现这两个报错接口还swagger-resources或V2的前缀,确定了就是这两个接口被拦截 然后网上搜了一下,发现这两个接口是swagger 2.9.2版本自的,2.9.x版本都有的一个小问题,然后将项目中swagger 2.9.2的包将为2.8.0,400和被.
SpringMvc使用注解的方式添白名单
wb785074651的博客
06-28 1786
最近,要和别的同事进行接口调试,然后暴露的接口不要登录验证.需要在拦截器的方法中添一个白名单. 1.先编写接口PassPath @Documented @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface UrlPass { } 2.在需要的方法上面添注解@PassPath 3.在拦截器中对注解进行处理 @Override public boolean preHandl
Java注解详解以及如何实现自定义注解
write less , do more
04-30 8137
概念:说明程序的。给计算机看的 注释:用文字描述程序的。给程序员看的 定义:注解(Annotation),也叫元数据。一种代码级别的说明。它是JDK1.5及以后版本引入的一个特性,与类、接口、枚举是在同一个层次。它可以声明在包、类、字段、方法、局部变量、方法参数等的前面,用来对这些元素进行说明,注释。
深度解析:Spring自定义标签与注解解析机制
"这篇文章主要探讨了Spring框架中自定义标签和注解解析的原理,旨在帮助读者深入理解Spring如何处理这些元数据。作者先提到了上一篇文章中关于默认标签解析的内容,然后转向自定义标签的解析,特别是`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值