Soul网关-day08

最新推荐文章于 2023-01-11 09:28:05 发布
最新推荐文章于 2023-01-11 09:28:05 发布
阅读量335 收藏
点赞数
分类专栏: Soul网关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21364629/article/details/112993741
版权

Soul网关-day08

Soul-plugin-sofa测试(三)

​ 接第7天的话题,可以看到token为null以后直接返回errorResponse的类为 StatelessAuthFilter。这个类是框架定义的,那么我们是在哪里将这个Filter集成进我们的shiro框架呢?

​ eclipse和idea中都提供了调用查询的功能,这里可以看到:是在org.dromara.soul.admin.shiro.config.ShiroConfiguration中的

@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(
        @Qualifier("shiroSecurityManager") final DefaultWebSecurityManager securityManager,
        @Qualifier("whiteList") final List<String> whiteList)

这个方法将ShiroFilterFactoryBean交给Spring托管,在这个方法中定义了一个filterMap;将StatelessAuthFilter塞进这个map中(key为statelessAuth),再将这个map塞进factoryBean的filter中。这个Filter定义了过滤器的行为;紧接在后的就是定义过滤器的作用域了,具体实现代码如下:

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

        for (String s : whiteList) {
            filterChainDefinitionMap.put(s, "anon");
        }

        filterChainDefinitionMap.put("/**", "statelessAuth");
        factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

可以看到,在上述代码中,whiteList中定义的所有路径都不进行过滤操作(anon),而除了whiteList中的所有路径,都需要经过statelessAuth这个过滤器的过滤,所以这就能解释为什么有些请求路径可以被直接访问,而有些路径则不行,而whiteList是在soul-admin的配置文件中进行配置的:

application.yml:
	soul:
	  jwt:
    	key: 2095132720951327
      shiro:
    	white-list: /,/favicon.*,/static/**,/index**,/plugin,/platform/**,/websocket,/configs/**,/soul-client/**

​ ShiroConfiguration中还定义了:securityManager,并将自定义的shiroRealm作为Realm塞进了securityManager;ShiroRealm中主要定义了两个方法:

protected AuthorizationInfo doGetAuthorizationInfo(final PrincipalCollection principalCollection)
protected AuthenticationInfo doGetAuthenticationInfo(final AuthenticationToken authenticationToken)

​ 其中doGetAuthenticationInfo是在shiro登陆时被调用的

​ doGetAuthorizationInfo方法是在一下两个阶段被调用的:

1:调用SecurityUtils.getSubject().isPermitted(String str)方法时会调用doGetAuthorizationInfo方法,

2:在配置文件中配置有类似/**=roles["user"]或者/**=perms[“user”](/**路径是开发者自行定义)的配置的时候会调用doGetAuthorizationInfo方法,这个时候有两种情况:
  2.1:当当前没有用户登录时shiro会帮我们跳转到login.jsp(默认会找根目录下的login.jsp)
  2.2:当前有登录用户时shiro会自动判定当前登录用户的角色或者权限符合访问当前访问路径,如果不符合那么将跳转到开发者所配置的未授权提示页面( <property name="unauthorizedUrl" value="/unauthorized.jsp"/>),这种调用情下doGetAuthorizationInfo方法只会被调用一次,除非更换了当前登录用户。

而在ShiroRealm的doGetAuthenticationInfo方法可以看到:

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(final AuthenticationToken authenticationToken) {
        StatelessToken token = (StatelessToken) authenticationToken;
        if (token == null || token.getToken() == null) {
            return null;
        }

        String userName = JwtUtils.getIssuer(token.getToken());

        token.setUserName(userName);

        return new SimpleAuthenticationInfo(userName, token.getToken(), this.getName());
    }

从命名猜测,这里是将得到的 jwt token校验、解码后得到user的名称,为shiro管理的authenticationToken的userName属性赋予得到用户名。

​ 但似乎确实没太大关联,抓包以后可以看到:

在这里插入图片描述

而whiteList上只配置了/plugin这个路径,这个请求路径:/plugin/all必然会被statelessAuth这个过滤器所拦截,在statelessAuth这个类上的onAccessDenied方法上的逻辑是:

   //得到httpRequest
   HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
   //判断是否为Options的请求,如果是,则直接返回true;
   if (StringUtils.equals(HttpMethod.OPTIONS.name(), httpServletRequest.getMethod())) {
            return true;
        }
		//从request中获取X-Access-Token这个属性
        String tokenValue = httpServletRequest.getHeader(HEAD_TOKEN);
        if (StringUtils.isBlank(tokenValue)) {
            log.error("token is null.");
            unionFailResponse(servletResponse);
            return false;
        }
		//只有获取到了这个属性,才能构建出一个StatelessToken
        StatelessToken token = new StatelessToken();
        token.setToken(tokenValue);

        Subject subject = getSubject(servletRequest, servletResponse);

        try {
            //用token进行登录
            subject.login(token);
        } catch (Exception e) {
            log.error("token is warning. token : {}.", tokenValue, e);
            unionFailResponse(servletResponse);
            return false;
        }

        return true;

从上面的抓包很明显看出:并没有这个属性。大概需要求助了…问下如何构建这个request请求的。还不知道这个request请求到底哪出了问题…

qq_21364629
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Soul网关源码学习系列之【admin后台管理Ⅰ-login】
weixin_45577053的博客
02-03 806
soul-admin模块源码分析 用户登录 在登录页面点击登录,通过浏览器控制台可以看到请求的地址是http://localhost:9095/platform/login?userName={username}&password={pwd} 然后找到方法入口:这里通过dashboardUserService.login拿到一个返回的VO。 @GetMapping("/login") public SoulAdminResult loginDashboardUser(final S
soul响应式API网关-其他
06-12
安装环境:JDK 1.8+Mysql模块:soul-admin : 插件和其他信息配置的管理后台soul-bootstrap : 用于启动项目,用户可以参考soul-client : 用户可以使用springMvc,dubbo,springCloud快速访问soul-common : 框架的通用类...
SpringBoot+Shiro实现登陆拦截功能
loliDapao的博客
04-01 443
上一章讲到使用自定义的方式来实现用户登录的功能,这章采用shiro来实现用户登陆拦截的功能。 首先介绍下ShiroApache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理,以下是shiro的整体的框架: Subject: 即"用户",外部应用都是和Subject进行交互的,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义...
Apache ShenYu Admin JWT认证绕过漏洞(CVE-2021-37580)
weixin_44047654的博客
01-11 463
Apache ShenYu Admin JWT认证绕过漏洞(CVE-2021-37580)
Soul网关整合Spring Cloud 使用和存在的问题
my java博客园
06-11 801
1.首先引入新建立spring boot项目,maven加入依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.
shiro登陆失败提示_shiro 无状态权限认证
weixin_39617669的博客
12-25 335
shiro 无状态权限认证pom <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> ​ <dependen...
springcloud项目+soul网关
06-11
SpringCloud项目结合Soul网关是一个现代化的微服务架构实现,它将SpringBoot和SpringCloud的优势与Soul网关的强大功能相结合,为开发者提供了一种高效、便捷的分布式系统开发方式。下面我们将深入探讨这个项目的相关...
soul API网关 v2.2.1
12-28
为您提供soul API网关下载,soul是一个以Java进行开发的可扩展,高性能,响应式的API网关。功能特点:1、提供了诸如限流、熔断、转发和路由监控等插件;2、与HTTP、Restful、websocket、dubbo和springCloud无缝对接...
Soul Forum-开源
06-27
它是由Yazz,也就是Matias Targa,一个来自WWW.Soul-Project.COM.AR的开发者所精心打造的开源论坛脚本。这款软件以其独特而壮观的设计以及丰富的功能系统,吸引了众多用户和开发者的眼球。 首先,我们来探讨一下...
Soul Reaper-开源
04-26
Soul Reaper:开源 RPG 平台初探》 Soul Reaper 是一款开源的在线游戏平台,特别设计为Player vs. Browser Game(PBBG),它融合了角色扮演(RPG)元素,允许用户通过战斗和训练来积累经验值,提升等级。这款游戏...
springboot + shiro , 无权限操作org.apache.shiro.authz.UnauthorizedException: Subject does not have permis
热门推荐
RanGe的博客
03-04 1万+
使用springboot+shiro框架对controller中方法进行鉴权时, 在shiro配置文件中设置如下内容不起作用 // 鉴权页面,认证不通过跳转 shiroFilterFactoryBean.setUnauthorizedUrl("/error403"); 这里配置了当用户没有权限访问时, 跳转到error403界面, 但是我现在就是想要的是, 当用户没有权限访问时, 跳转到一个我自...
解决springboot集成shiro登录时出现报错org.apache.shiro.authc.IncorrectCredentialsException
m0_67402013的博客
04-29 2117
1.错误说明 简答来说错误就是:错误的登陆凭证异常 2.错误产生的原因 用户名和密码与数据库不匹配,数据库密码是加密加盐的,检查了一下,注册时候的自定义加密方式和shrio验证时候自定义验证 这是我自定义的加密方式,也是用的shrio自带的SimpleHash 写验证方式的时候是这样的 一个进行了3次Hash值计算一个2次,所以对不上,再有,我自己对SimpleHash这个方法的参数没了解清楚,看了一下源码 所以修改之后 这样之后就正常了,验证通过能正常登陆了 ...
无状态shiro认证组件(禁用默认session)
aipiannian6725的博客
07-24 746
准备内容 简单的shiro无状态认证   无状态认证拦截器 import com.hjzgg.stateless.shiroSimpleWeb.Constants; import com.hjzgg.stateless.shiroSimpleWeb.realm.StatelessToken; import org.apache.shiro.web.filter....
学习Spring Boot:(十三)配置 Shiro 权限认证
weixin_30748995的博客
05-06 402
经过前面学习 Apache Shiro ,现在结合 Spring Boot 使用在项目里,进行相关配置。 正文 添加依赖 在 pom.xml 文件中添加 shiro-spring 的依赖: <dependency> <groupId>org.apache.shir...
Soul 网关源码分析(四)sign 插件
头脑快乐
01-19 540
在上一节中,我们尝试dubbo插件将http协议转换成dubbo协议,今天我们来看看 sign 插件是如何实现请求鉴权的。 流程演示 我们先试试没有添加sign插件时,是否能正常请求接口: ➜ ~ curl localhost:9195/dubbo/findAll {"code":200,"message":"Access to success!","data":{"name":"hello world Soul Alibaba Dubbo , findAll","id":"-803129909"}}
过滤器和拦截器的区别:
weixin_42383680的博客
09-15 143
拦截器和过滤器的区别 过滤器和拦截器的区别:   ①拦截器是基于java的反射机制的,而过滤器是基于函数回调。   ②拦截器不依赖与servlet容器,过滤器依赖与servlet容器。   ③拦截器只能对action请求起作用,而过滤器则可以对几乎所有的请求起作用。   ④拦截器可以访问action上下文、值栈里的对象,而过滤器不能访问。   ⑤在action的生命周期中,拦截器可以多次被调用,而过滤器只能在容器初始化时被调用一次。   ⑥拦截器可以获取IOC容器中的各个bean,而过滤器就不行,这点
微服务 认证授权中心搭建 Token使用案例 redis JWT 1
qq_50909707的博客
05-13 2370
目录 一、依赖 二、配置 三、启动类 四、授权功能配置 五、网络安全配置 六、测试token 一、依赖 <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId> &lt
soul-table 分页
最新发布
07-25
对于 soul-table 分页,您可以按照以下步骤进行操作: 1. 首先,确定您想要分页的数据来源(如数据库表、API 接口等)。 2. 在您的前端页面中,引入 soul-table 组件,并配置相应的数据源和列定义。 3. 根据您的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值