2021-04-26

最新推荐文章于 2024-03-29 09:37:21 发布
最新推荐文章于 2024-03-29 09:37:21 发布
阅读量140 收藏
点赞数
原文链接:https://hs.huanhuanhuishou.com/
版权

  SpringCloud Alibaba微服务实战三十 | 统一资源服务器配置模块

  如果要实现微服务授权,一般会构建一个独立的资源服务器配置模块,否则每个后端业务都需要进行资源服务器的配置,那本节内容我们就来完成此功能。

  由于间隔时间较久,建议先阅读下面两篇相关文章回顾一下。

  SpringCloud Alibaba微服务实战十九 - 集成RBAC授权

  SpringCloud Alibaba微服务实战二十八 - 网关授权VS微服务授权

  话不多说我们直接开始代码改造。

  认证服务器改造

  首先我们需要改造认证服务器,需要认证服务器在构建用户权限的时候使用的是权限标识字段。对于代码而言只需要 UserDetailServiceImpl#loadUserByUsername()中修改即可。

  @Override

  public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {

  //获取本地用户

  SysUser sysUser = sysUserMapper.selectByUserName(userName);

  if(sysUser != null){

  //获取当前用户的所有角色

  List roleList = sysRoleService.listRolesByUserId(sysUser.getId());

  sysUser.setRoles(roleList.stream().map(SysRole::getRoleCode).collect(Collectors.toList()));

  List roleIds = roleList.stream().map(SysRole::getId).collect(Collectors.toList());

  //获取所有角色的权限

  List permissionList = sysPermissionService.listPermissionsByRoles(roleIds);

  //基于方法拦截.只需放入用户权限标识即可

  List permissionMethodList = permissionList.stream()

  .map(SysPermission::getPermission)

  .collect(Collectors.toList());

  sysUser.setPermissions(permissionMethodList);

  //构建oauth2的用户

  return buildUserDetails(sysUser);

  }else{

  throw new UsernameNotFoundException("用户["+userName+"]不存在");

  }

  }

  网关改造

  网关服务器不再需要进行用户权限校验,所以我们需要将相关校验逻辑全部删除。

  @Configuration

  public class SecurityConfig {

  @Bean

  SecurityWebFilterChain webFluxSecurityFilterChain(ServerHttpSecurity http) throws Exception{

  http

  .httpBasic().disable()

  .csrf().disable();

  return http.build();

  }

  }

  独立资源服务器配置模块

  完成了上面两步后就到了最重要的步骤了,需要建立一个独立的资源服务器配置模块,用于其他模块引用。

  首先我们得建立一个单独的资源服务模块 cloud-component-security-starter ,如下为改造后的代码结构图。

  

 

  然后,要让一个普通后端服务成为资源服务器,需要有一个配置类继承 ResourceServerConfigurerAdapter并进行相关配置,那在我们独立的资源服务器模块我们首先得创建一个这样的配置类,这个比较简单,只需从之前的模块中拷贝一份出来。

  public class CloudResourceServerConfigure extends ResourceServerConfigurerAdapter {

  private CustomAccessDeniedHandler accessDeniedHandler;

  private CustomAuthenticationEntryPoint exceptionEntryPoint;

  private TokenStore tokenStore;

  @Value("${security.oauth2.resource.id}")

  private String resourceId ;

  @Autowired(required = false)

  public void setAccessDeniedHandler(CustomAccessDeniedHandler accessDeniedHandler) {

  this.accessDeniedHandler = accessDeniedHandler;

  }

  @Autowired(required = false)

  public void setExceptionEntryPoint(CustomAuthenticationEntryPoint exceptionEntryPoint) {

  this.exceptionEntryPoint = exceptionEntryPoint;

  }

  @Autowired(required = false)

  public void setTokenStore(TokenStore tokenStore) {

  this.tokenStore = tokenStore;

  }

  @Override

  public void configure(HttpSecurity http) throws Exception {

  http

  .authorizeRequests()

  .requestMatchers(EndpointRequest.toAnyEndpoint()).permitAll()

  .antMatchers(

  "/v2/api-docs/**",

  "/swagger-resources/**",

  "/swagger-ui.html",

  "/webjars/**"

  ).permitAll()

  .anyRequest().authenticated()

  .and()

  .csrf().disable();

  }

  @Override

  public void configure(ResourceServerSecurityConfigurer resources) {

  DefaultAccessTokenConverter accessTokenConverter = new DefaultAccessTokenConverter();

  UserAuthenticationConverter userTokenConverter = new CustomUserAuthenticationConverter();

  accessTokenConverter.setUserTokenConverter(userTokenConverter);

  if (exceptionEntryPoint != null) {

  resources.authenticationEntryPoint(exceptionEntryPoint);

  }

  if (accessDeniedHandler != null) {

  resources.accessDeniedHandler(accessDeniedHandler);

  }

  resources.resourceId(resourceId).tokenStore(tokenStore);

  }

  }

  现在有了资源服务器配置,那其他模块如何引入这个配置类呢?

  这里我们可以借助SpringBoot的Enable模块驱动能力,通过@EnableXXX注解导入配置类。

  我们创建一个自定义注解类 EnableCloudResourceServer,其他模块通过 @EnableCloudResourceServer注解即可导入资源服务器配置

  @Target({ElementType.TYPE})

  @Retention(RetentionPolicy.RUNTIME)

  @Documented

  @EnableResourceServer //开启资源服务器

  @Import({CloudResourceServerConfigure.class, TokenStoreConfigure.class})

  public @interface EnableCloudResourceServer {

  }

  最后我们知道微服务授权是基于方法拦截,基于方法拦截我们就需要开启 @EnableGlobalMethodSecurity,并且需要将我们自定义的权限注解功能迁移过来。所以我们再创建一个配置类用于配置上述功能。

  @EnableGlobalMethodSecurity(prePostEnabled = true)

  public class CloudSecurityAutoConfigure extends GlobalMethodSecurityConfiguration {

  @Bean

  @ConditionalOnMissingBean(name = "accessDeniedHandler")

  public CustomAccessDeniedHandler accessDeniedHandler() {

  return new CustomAccessDeniedHandler();

  }

  @Bean

  @ConditionalOnMissingBean(name = "authenticationEntryPoint")

  public CustomAuthenticationEntryPoint authenticationEntryPoint() {

  return new CustomAuthenticationEntryPoint();

  }

  @Override

  protected MethodSecurityExpressionHandler createExpressionHandler() {

  return new CustomMethodSecurityExpressionHandler();

  }

  }

  经过上面的改造,一个独立的资源服务器创建成功了,现在剩下的就是对微服务的改造。

  微服务改造

  在maven中删除原oauth2.0的相关配置,引入自定义 cloud-component-security-starter

  com.jianzh5.cloud

  cloud-component-security-starter

  删除所有资源服务器相关代码(此过程略)

  修改主启动类,通过 @EnableCloudResourceServer引入资源服务器配置

  @EnableDiscoveryClient

  @SpringCloudApplication

  @EnableCloudResourceServer

  public class AccountServiceApplication {

  public static void main(String[] args) {

  SpringApplication.run(AccountServiceApplication.class, args);

  }

  }

  在需要拦截的Controller方法中添加自定义权限拦截注解 @PreAuthorize("hasPrivilege('queryAccount')")

  当然也可以使用SpringSecurity原生注解 @PreAuthorize("hasAuthority('queryAccount')") ,两者作用一样。

  @GetMapping("/account/getByCode/{accountCode}")

  @PreAuthorize("hasPrivilege('queryAccount')")

  //@PreAuthorize("hasAuthority('queryAccount')")

  public ResultData getByCode(@PathVariable(value = "accountCode") String accountCode){

  AccountDTO accountDTO = accountService.selectByCode(accountCode);

  return ResultData.success(accountDTO);

  }

  测试

  我们访问一个没有权限的方法会出现如下错误提示,表明独立资源服务器成功配置

  

 

  {

  "status": 500,

  "message": "不允许访问",

  "data": null,

  "success": false,

  "timestamp": 1619052359563

  }

  提示:@PreAuthorize 注解的异常,抛出AccessDeniedException异常,不会被accessDeniedHandler捕获,而是会被全局异常捕获

  如果需要自定义 @PreAuthorize错误异常,可以通过全局的 @RestControllerAdvice进行异常拦截

  拦截后的自定义异常如下:

  

 

  {

  "status": 2003,

  "message": "没有权限访问该资源",

  "data": null,

  "success": false,

  "timestamp": 1619052359563

  }

qq_16392495
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springcloud_component:springCloud组件
05-02
Spring Cloud下基于OAUTH2认证授权的实现 在Spring Cloud需要使用OAUTH2来实现多个微服务的统一认证授权,通过向OAUTH服务发送某个类型的grant type进行集中认证和授权,从而获得access_token,而这个token是受其他微服务信任的,我们在后续的访问可以通过access_token来进行,从而实现了微服务的统一认证授权。 本示例提供了几大部分: microsservice-discovery-eureka-service:服务注册和发现的基本模块 microsservice-oauth2-server:OAUTH2认证授权中心 microsservice-order-service:普通微服务,用来验证认证和授权 microservice-order-service-ribbon-hystrix:普通微服务,用来验证order服务的负载均衡和
CBM219X UMPToolV7200(2021-04-26).zip
07-06
CBM219X UMPToolV7200(2021-04-26) 是一个专门针对CBM219X设备的更新工具,它提供了对设备的管理和维护功能,帮助用户进行固件升级、系统优化以及故障排查。这个工具的版本号为V7200,表明它是2021年4月26日发布的,...
SpringCloud 组件入门
jdassd的博客
06-15 187
SpringCloud 是在 SpringBoot 的基础上实现构建微服务中需要的 服务发现注册、配置中心、消息总线、负载均衡、断路器、数据监控 等操作的解决方案。SpringCloud 的版本号不是使用数字命名的,而是伦敦的地铁站名称。原则为:消费者 Consumer 调用提供者 Provider 提供的服务;提供一个服务中心作为中介。类似于房东与租客通过中介进行联系。房东提供的房源需要进行注册,而租客需要通过中介获取房源信息。服务提供方需要定期续约,以保障提供的服务存在(确保房屋存在);服务消费方也需要
SpringCloud常用注解总结
热门推荐
kang神的博客
06-03 1万+
公司正在用springcloud微服务改造老项目,为了方便查找和学习,汇总一些常用的注解。使用过程中定期更新。 SpringCloud常用注解总结: @Controller 控制层,里面有多个连接 @Service 业务层,一般对于接口和实现 @Qualifier 如果一个接口有多个实现,那么注入时候加上唯一标示 @Repository 一般的dao层 @Autowired 自动注入依赖 @Com...
探索Spring Cloud Components:微服务架构的新利器
最新发布
gitblog_00089的博客
03-29 559
探索Spring Cloud Components:微服务架构的新利器 项目地址:https://gitcode.com/shmilyah/spring-cloud-components 在现代软件开发中,Spring Cloud以其强大的微服务治理能力深受开发者喜爱。而spring-cloud-components项目则是对Spring Cloud生态的一种补充和增强,旨在提供更便捷、易用的微...
SpringCloud Alibaba微服务实战十三 - Oauth2.0安全认证
AlbenXie的博客
11-07 1165
导读:在SpringCloud体系架构中,我们需要部署一个单独的网关服务对外提供访问入口,然后网关服务根据配置好的规则将请求转发至具体的后端服务,本章内容主要是给我们的微服务加上网关SpringCloud Gateway。 前言 我们有了三个服务account-service,product-service,order-service。现在有客户端WEB应用或APP应用需要访问后端服务获取数据那么就需要在客户端维护好三个服务的访问路径。 这样的架构会有如下几个典型的问题: 每个微服务都需要配置单
Chipsbank APTool量产工具最新版CBM219X-UMPToolV7200(2021-04-26)
04-27
Chipsbank APTool量产工具最新版CBM219X-UMPToolV7200(2021-04-26)
程序员的数学系列书籍介绍-2021-04-26(B).pdf
04-26
程序员的数学系列书籍是一系列为软件开发人员设计的专业数学参考书,旨在帮助程序员深化对数学知识的理解,并将其应用于实际的编程工作之中。这些书籍覆盖了数学领域中的多个重要分支,包括但不限于逻辑和证明、集合...
第2章 简单程序设计(C++版)_第四节 标准数据类型-2021-04-26.pdf
07-06
在C++编程语言中,了解数据类型是编写程序的基础。C++提供了多种数据类型,包括标准数据类型,这些是构成程序中变量和常量的基石。标准数据类型主要分为整型、实型(浮点型)、字符型三大类,它们在计算机中分别占用...
高质发展,智能制造[2021-04-26](22页).pdf
05-21
【智能制造新蓝图与新四化】 智能制造是全球制造业的发展趋势,它涵盖了自动化、信息化、网络化和智能化四大核心能力,这四大能力被统称为"新四化"。新四化不仅代表了智能制造的最新发展路径,也揭示了制造业向高...
麦丁艾特 基于空间固有磁场特征的多源融合室内外一体化智能精确定位_公开版[2021-04-26](18页).pdf
05-21
文档资料“麦丁艾特 基于空间固有磁场特征的多源融合室内外一体化智能精确定位_公开版[2021-04-26](18页).pdf”揭示了一个先进的定位技术,它利用空间固有磁场特征与多源数据融合,实现室内外一体化的智能精确定位...
2019年中国智能可穿戴设备行业研究报告[2021-04-26](33页).pdf
05-18
《2019年中国智能可穿戴设备行业研究报告》是一份深度剖析中国智能可穿戴设备行业的专业文献,由头豹研究院的“人工智能系列深度研究”团队完成。报告编码为[19RI0796],旨在揭示该行业的发展趋势、市场规模以及主要...
【EM】【RFID论坛ppt】EM - “RFID+”时代到来 数据采集更智能、更多元[2021-04-26](26页).pdf
05-06
"RFID+”时代标志着电子标签(RFID)技术的创新与拓展,它将传统的数据采集方式提升到一个全新的水平,使数据收集更加智能化和多元化。这个概念由EM Microelectronic提出,该公司在低功耗、微型化和时间精度方面是...
2021-2022收藏的精品资料Oracle日期函数大全.docx
09-16
SELECT (MONTHS_BETWEEN(TO_DATE('2002-08-26', 'yyyy-mm-dd'), TO_DATE('20011201', 'yyyymmdd'))) AS 月份差 FROM DUAL; ``` 以上就是关于Oracle日期时间函数的一些详细介绍和使用示例,希望对你有所帮助。
微服务权限终极解决方案,Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!
乌龟的专栏
08-10 5985
这篇文章主要向大家介绍微服务权限终极解决方案,Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。 标签:gitgithubwebredisspringapi缓存安全服务器restful 最近发现了一个很好的微服务权限解决方案,能够经过认证服务进行统一认证,而后经过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本
Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!
weixin_47600724的博客
12-29 3120
接下来我们就可以搭建网关服务了,它将作为Oauth2的资源服务、客户端服务使用,对访问微服务的请求进行统一的校验认证和鉴权操作。我们首先来搭建认证服务,它将作为Oauth2的认证服务使用,并且网关服务的鉴权功能也需要依赖它。最后我们搭建一个API服务,它不会集成和实现任何安全相关逻辑,全靠网关来保护它。接下来我们来演示下微服务系统中的统一认证鉴权功能,所有请求均通过网关访问。
@Component注解的用法
qq690452074的专栏
08-12 823
遇到的问题 踩到一个坑,有一个接口,在这个接口的实现类里,需要用到@Autowired注解,一时大意,没有在实现类上加上@Component注解,导致了Spring报错,找不到这个类 一旦使用关于Spring的注解出现在类里,例如我在实现类中用到了@Autowired注解,被注解的这个类是从Spring容器中取出来的,那调用的实现类也需要被Spring容器管理,加上@Component @Component("conversionImpl") //其实默认的spring中的Bean id...
@Component和@ComponentScan
ruoxiyun的博客
05-10 1万+
@Component @component (将普通JavaBean实例化到spring容器中,Spring容器统一管理,用起来不用自己new了,相当于配置文件中的<bean id="" class=""/>) @ComponentScan Spring和SpringBoot中的@Component 和@ComponentScan注解用法介绍和注意事项 - MRs.甘的博客 - CSD...
aptoolv7200(2021-04-26)
10-07
这个版本的软件于2021年4月26日发布。 aptool v7200 增加了很多新功能和改进。首先,它提供了更强大的编程接口和工具,使开发人员可以更轻松地创建和调试应用程序。例如,它可能有更好的代码编辑器,语法检查器和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值