Feign接口内部调用进行权限校验

最新推荐文章于 2023-07-17 02:39:23 发布
最新推荐文章于 2023-07-17 02:39:23 发布
阅读量2.2k 收藏 1
点赞数 1
分类专栏: springcould
FZY
本文链接:https://blog.csdn.net/qq_18671415/article/details/118293851
版权

在目前微服务的体系下,我们服务url的访问有两种,一种是从网关(gateway,zuul)路由进来,还有一种就是通过feign接口内部调用,那么结合spring-security就存在以下几种场景:
1.外部请求从gateway访问,需要鉴权(任何CURD的操作).这是目前最常见的方式,用户正常登录提供token访问接口,我们不再需要做其他处理.
2.外部请求从gateway访问,不需要鉴权(eg:刷新验证码,短信验证码获取…). 此时我们需要将放行的接口加入到ignore-urls配置里,可以不需要做鉴权处理
3.内部服务使用feign调用,不需要鉴权(根据id查询信息…). 也需要将url加入到ignore-urls中,配置放行,但是这样一来,不仅仅是这个服务可以访问这个接口,其他服务也可以,甚至是外部请求也可以访问到,这样就会有很大的安全问题.

鉴于上述第三种情况,我们配置了ignore-url和Feign,此时该接口不需要鉴权,服务内部通过Feign访问,服务外部通过url也可以访问,所以我们需要加入一种@RequestHeader(CommonConstants.WHERE)的处理方式。即在接口方法中,对头部进行判断,只有请求带上相应的Header参数时,才允许通过访问,否则抛出异常。那这时候其实我们在外网通过Gateway访问的时候,也可以手动带上这个Header参数,来达到这个目的。所以我们便在Gateway中设置了一个GlobalFilter过滤器,对来自外网通过Gateway手动拼接的参数进行过滤与清洗,具体代码见com.lfs.gateway.filter.LfsRequestGlobalFilter:

@Override
public Mono filter(ServerWebExchange exchange, GatewayFilterChain chain) {
// 1. 请求头中where 参数删除
ServerHttpRequest request = exchange.getRequest().mutate()
.headers(httpHeaders -> httpHeaders.remove(CommonConstants.WHERE)).build();

    // 2. 重写StripPrefix
    addOriginalRequestUrl(exchange, request.getURI());
    String rawPath = request.getURI().getRawPath();
    String newPath = "/" + Arrays.stream(StringUtils.tokenizeToStringArray(rawPath, "/")).skip(1L)
            .collect(Collectors.joining("/"));
    ServerHttpRequest newRequest = request.mutate().path(newPath).build();
    exchange.getAttributes().put(REQUEST_URL_ATTR, newRequest.getURI());
    return chain.filter(exchange.mutate().request(newRequest.mutate().build()).build());
}

下面是Inner注解的代码:

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface Inner {
/**
* 是否AOP统一处理(可以理解为是否仅允许Feign之间调用)
*
* @return false, true
*/
boolean value() default true;

/**
* 需要特殊判空的字段(预留)
*
* @return {}
*/
String[] field() default {};
}
接下来是框架中加入环绕切面:

@Slf4j
@Aspect
@AllArgsConstructor
public class SecurityInnerAspect {
private final HttpServletRequest request;

@SneakyThrows
@Around("@annotation(inner)")
public Object around(ProceedingJoinPoint point, Inner inner) {
String header = request.getHeader(CommonConstans.WHERE);
if (inner.value() && !StrUtil.equals(CommonConstans.IN, header)) {
log.warn(“访问接口 {} 没有权限”, point.getSignature().getName());
throw new BizException(“Access is denied”);
}
return point.proceed();
}
}
合理的使用@Inner注解

在我们的代码中,可以直接使用Inner注解的,下面结合Feign做一个简单的示例,比如获取用户信息这个接口:

在接口上使用@Inner注解,使得url无需鉴权
/**
* 获取指定用户全部信息
*
* @return 用户信息
/
@Inner
@GetMapping("/info/{userId}")
public Result getUserInfo(@PathVariable Integer userId) {
SysUser user = userService.getOne(Wrappers.query()
.lambda().eq(SysUser::getUserId, userId));
if (user == null) {
return Result.fail(null, String.format(“用户信息为空 %s”, userId));
}
return Result.success(userService.findUserInfo(user));
}
编写Feign接口
@FeignClient(contextId = “userService”, value = CommonConstans.USER_SERVER)
public interface UserService {
/*
* 通过用户id查询用户、角色信息
*
* @param 用户id
* @param from 调用标志
* @return R
/
@GetMapping("/user/info/{userId}")
R getUserInfo(@PathVariable(“userId”) Integer userId
, @RequestHeader(CommonConstants.WHERE) String where);
}
Feign-Client中调用接口,带上CommonConstants.IN参数为内部识别
/*
* 用户密码登录
*
* @param userId用户名
* @return
* @throws UsernameNotFoundException
*/
@Override
@SneakyThrows
public UserDetails loadUserByUserId(Integer userId) {
R result = userService.getUserInfo(userId, CommonConstants.IN);
UserDetails userDetails = getUserDetails(result);
cache.put(userId, userDetails);
return userDetails;
}

现在"/info/{userId}" 这个uri从网关外部我们访问是报错的(一般来说服务都是走网关暴露接口),而Feign内部带上参数是可以正常访问的.

huayang183
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
如何基于springcloud模拟RPC调用Feign
08-19
主要介绍了如何基于springcloud模拟RPC调用Feign),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
通过feign远程调用header包含中文被拦截问题
forgetmetoo的博客
04-01 1062
应用中使用springboot+springcloud的微服务框架,采用feign调用外部接口,由于header中存在中文,导致对方接收失败,记录一下排查过程,整理思路的同时,也希望能够为将来工作带来一些启发。
Feign解决服务之间调用传递token
qq_29860591的博客
03-06 1509
现在的微服务基本就是SpringSecurity+Oauth2做的授权和认证,假如多个服务直接要通过Fegin调用,会报错401 a、有做权限处理的服务接口直接调用会造成调用时出现http 401未授权的错误,继而导致最终服务的http 500内部服务器错误 b、解决方式:最方便的就是往请求头里加上token,一起带过去; Feign有提供一个接口,RequestInterceptor...
Feign调用出现权限问题 feign.FeignException$Unauthorized: [401] during [GET] to[....]
热门推荐
zh_feiy的博客
09-25 1万+
使用Spring Cloud + Spring Security Oauth2.0 + JWT 做分布式认证的时候,内部微服务调用的时候出现权限问题 这种情况为没有认证就请求了资源服务器的资源,解决办法为使用Feign的时候把请求的认证信息传递过去,或者资源服务那边开放一些接口。不过开放接口的话情况有点多,所以就选择把token携带过去了。feign提供了一个名为RequestInterceptor得拦截器,可以在请求的时候指定请求头 @Configuration public class FeignCo
SpringSecurityFeign拦截器的使用
qq_42640067的博客
01-30 2796
我们在接入了SpringSecurity之后,请求的时候都会在header中带上JWT令牌,这样才能访问资源。假设这样一个情景:已经完成了认证服务的认证,前端页面的header现在是带着JWT令牌的,前端需要访问A服务,而在A服务中,需要通过Feign来远程调用B服务,A、B服务都是接入了SpringSecurity的。以下为图示: 前端请求A服务的时候,header中是带了token的,因为A服务需要认证,认证通过。 A服务远程调用B服务,如果不做处理的话,因为B服务也需要认证,这时A服务是无法成功调
Feign服务之间的鉴权问题
ruantiao3440的博客
05-23 2026
Feign服务调服务传递数据的时候,需要带token验证的,而调用那个用户服务的时候被用户服务方拦截然后没有token进不去接口,很明显的是因为没有token导致,那么Feign里面有提供一个接口叫做RequestInterceptor,只要实现这个接口,简单做一些处理,比如说我们验证请求头的token叫Access-Token,我们就先取出当前请求的token,然后放到feign请求头上,再去请求接口。 解决方案: 直接上代码 public class AuthRequestInterceptor i.
只要 3 个注解,优雅的实现微服务鉴权!
竹林幽深
04-17 610
经过第①步,鉴权已经下放给下游服务了,那么下游服务如何进行拦截鉴权呢?@Secured关于这三个注解就不再详细介绍了,有兴趣的可以去查阅官方文档。陈某这里并不打算使用的内置的三个注解实现,而是自定义了三个注解,如下:/*** @author 公众号:码猿技术专栏* @description 登录认证的注解,标注在controller方法上,一定要是登录才能的访问的接口*//*** @author 公众号:码猿技术专栏。
oauth2 绕过登录认证即可调取接口
weixin_43839457的博客
03-04 4920
最近公司想开发官网,之前的项目使用oauth2,所有接口都需要登录认证。官网接口空顶无法登录后再调取,所以想开放某些接口用于首页直接使用。
spring拦截器的使用
weixin_44324669的博客
03-15 522
一:新建拦截器的类 SpringMVC的拦截器HandlerInterceptorAdapter对应提供了三个preHandle,postHandle,afterCompletion方法。 preHandle在业务处理器处理请求之前被调用。 postHandle在业务处理器处理请求执行完成后,生成视图之前执行。 afterCompletion在DispatcherServlet完全处理完请求后被调用,可用于清理资源等 。 所以要想实现自己拦截器,需要继承HandlerInterceptorAdapter并重
SpringBoot如何使用feign实现远程接口调用和错误熔断
08-25
主要介绍了SpringBoot如何使用feign实现远程接口调用和错误熔断,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Cloud Feign接口返回流的实现
08-25
主要介绍了Spring Cloud Feign接口返回流的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Feign 调用其他微服务接口时,url地址匹配错误
01-20
feign调用方法: @RequestMapping(value = /resources/ocircuit/textInfo, method = {RequestMethod.GET}, produces = text/plain;charset=utf-8) String getOcircuitTextRouteInfo(@PathVariable(name = resID) String resID); 期望调用方法 @ApiOperation(value = 根据光路id查询光路的路由描述信息(局缆名称拼接)) @GetMapping(value = /resou
spring cloud feign实现远程调用服务传输文件的方法
08-27
主要介绍了spring cloud feign实现远程调用服务传输文件的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nacos oaut服务地址_GitHub - zhang1g2/open-cloud: 微服务开放平台-基于SpringCloud2.0+,SpringSecurity,Oauth2,nacos服务...
weixin_39530833的博客
12-20 149
微服务开放平台简介搭建基于OAuth2的开放平台、为APP端提供统一接口管控平台、为第三方合作伙伴的业务对接提供授信可控的技术对接平台.统一API网关、访问鉴权、参数验签、外部调用更安全.分布式架构,基于服务发现,Fegin(伪RPC)方式内部调用,更便捷.深度整合SpringCloud+SpringSecurity+Oauth2,更细粒度、灵活的ABAC权限控制....
【spring 技术】基于springboot实现微服务之间FeignClient调用,免认证的功能
dylan的博客
11-30 3696
【spring 技术】基于springboot实现微服务之间FeignClient调用,免认证的功能,涉及OAuth2的拦截器OAuth2FeignRequestInterceptor 和AccessTokenContextRelay,即可实现内部feign调用免认证,也可以实现内部接口避免对外暴露
解决Nacos显示服务已注册,但RestTemplate和OpenFeign调用失败:UnknownHostException
最新发布
暗诺星刻的博客
07-17 4681
最近笔者进行 Spring Cloud Alibaba 版本升级的时候,发生了一个奇怪的事情:Nacos 显示服务已注册,但 RestTemplate 和 OpenFeign调用却一直失败。具体来说,笔者的两个服务,均在 Nacos 网页管理页面中显示各自的服务名,但一个服务使用 OpenFeign 调用另一个服务时,一直失败,OpenFeign 的 fallback 类方法一直被触发,而且没有抛出任何异常。
Fegin拦截器实现权限校验
sjy_2010的专栏
04-04 754
因业务需要调用另一个微服务接口,每次必须在头部携带令牌信息:Authorization 一、fegin远程接口定义 package com.song.cocoa.dmp.service.feign; import com.song.cocoa.dmp.config.AuthorizationInterceptor; import com.song.cocoa.dmp.config.FeignConfig; import com.song.cocoa.dmp.model.dto.AdvertCro
七:微服务调用组件Feign
Xx__WangQi的博客
04-12 1443
目录 JAVA 项目中如何实现接口调用? 1. 什么是Feign 1.1 优势 1.2 Feign的设计架构 1.3 Ribbon&Feign对比 1.4Feign单独使用 2. Spring Cloud Alibaba快速整合Feign 3. Spring Cloud Feign的自定义配置及使用 3.1 日志配置 3.2 契约配置 3.3 通过拦截器实现认证 3.4 超时时间配置 3.5 客户端组件配置 3.5.1 配置Apache HttpClient 3..
feign调用内部接口
06-13
Feign可以用于调用内部接口,只需要在Feign接口上添加注解@FeignClient,并指定要调用的服务名称即可。同时,需要在配置文件中添加该服务的地址和端口。例如: ``` @FeignClient(name = "my-service") public interface MyServiceClient { @PostMapping("/api/my-service/do-something") String doSomething(); } ``` 在调用接口时,Feign会自动向注册中心查询my-service服务的地址,并通过该地址和端口访问接口

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huayang183

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值