Soul网关-day08

最新推荐文章于 2023-01-11 09:28:05 发布
原创 最新推荐文章于 2023-01-11 09:28:05 发布 · 423 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Soul网关-day08

Soul-plugin-sofa测试(三)

​ 接第7天的话题,可以看到token为null以后直接返回errorResponse的类为 StatelessAuthFilter。这个类是框架定义的,那么我们是在哪里将这个Filter集成进我们的shiro框架呢?

​ eclipse和idea中都提供了调用查询的功能,这里可以看到:是在org.dromara.soul.admin.shiro.config.ShiroConfiguration中的

@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(
        @Qualifier("shiroSecurityManager") final DefaultWebSecurityManager securityManager,
        @Qualifier("whiteList") final List<String> whiteList)

这个方法将ShiroFilterFactoryBean交给Spring托管,在这个方法中定义了一个filterMap;将StatelessAuthFilter塞进这个map中(key为statelessAuth),再将这个map塞进factoryBean的filter中。这个Filter定义了过滤器的行为;紧接在后的就是定义过滤器的作用域了,具体实现代码如下:

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

        for (String s : whiteList) {
            filterChainDefinitionMap.put(s, "anon");
        }

        filterChainDefinitionMap.put("/**", "statelessAuth");
        factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

可以看到,在上述代码中,whiteList中定义的所有路径都不进行过滤操作(anon),而除了whiteList中的所有路径,都需要经过statelessAuth这个过滤器的过滤,所以这就能解释为什么有些请求路径可以被直接访问,而有些路径则不行,而whiteList是在soul-admin的配置文件中进行配置的:

application.yml:
	soul:
	  jwt:
    	key: 2095132720951327
      shiro:
    	white-list: /,/favicon.*,/static/**,/index**,/plugin,/platform/**,/websocket,/configs/**,/soul-client/**

​ ShiroConfiguration中还定义了:securityManager,并将自定义的shiroRealm作为Realm塞进了securityManager;ShiroRealm中主要定义了两个方法:

protected AuthorizationInfo doGetAuthorizationInfo(final PrincipalCollection principalCollection)
protected AuthenticationInfo doGetAuthenticationInfo(final AuthenticationToken authenticationToken)

​ 其中doGetAuthenticationInfo是在shiro登陆时被调用的

​ doGetAuthorizationInfo方法是在一下两个阶段被调用的:

1:调用SecurityUtils.getSubject().isPermitted(String str)方法时会调用doGetAuthorizationInfo方法,

2:在配置文件中配置有类似/**=roles["user"]或者/**=perms[“user”](/**路径是开发者自行定义)的配置的时候会调用doGetAuthorizationInfo方法,这个时候有两种情况:
  2.1:当当前没有用户登录时shiro会帮我们跳转到login.jsp(默认会找根目录下的login.jsp)
  2.2:当前有登录用户时shiro会自动判定当前登录用户的角色或者权限符合访问当前访问路径,如果不符合那么将跳转到开发者所配置的未授权提示页面( <property name="unauthorizedUrl" value="/unauthorized.jsp"/>),这种调用情下doGetAuthorizationInfo方法只会被调用一次,除非更换了当前登录用户。

而在ShiroRealm的doGetAuthenticationInfo方法可以看到:

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(final AuthenticationToken authenticationToken) {
        StatelessToken token = (StatelessToken) authenticationToken;
        if (token == null || token.getToken() == null) {
            return null;
        }

        String userName = JwtUtils.getIssuer(token.getToken());

        token.setUserName(userName);

        return new SimpleAuthenticationInfo(userName, token.getToken(), this.getName());
    }

从命名猜测,这里是将得到的 jwt token校验、解码后得到user的名称,为shiro管理的authenticationToken的userName属性赋予得到用户名。

​ 但似乎确实没太大关联,抓包以后可以看到:

在这里插入图片描述

而whiteList上只配置了/plugin这个路径,这个请求路径:/plugin/all必然会被statelessAuth这个过滤器所拦截,在statelessAuth这个类上的onAccessDenied方法上的逻辑是:

   //得到httpRequest
   HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
   //判断是否为Options的请求,如果是,则直接返回true;
   if (StringUtils.equals(HttpMethod.OPTIONS.name(), httpServletRequest.getMethod())) {
            return true;
        }
		//从request中获取X-Access-Token这个属性
        String tokenValue = httpServletRequest.getHeader(HEAD_TOKEN);
        if (StringUtils.isBlank(tokenValue)) {
            log.error("token is null.");
            unionFailResponse(servletResponse);
            return false;
        }
		//只有获取到了这个属性,才能构建出一个StatelessToken
        StatelessToken token = new StatelessToken();
        token.setToken(tokenValue);

        Subject subject = getSubject(servletRequest, servletResponse);

        try {
            //用token进行登录
            subject.login(token);
        } catch (Exception e) {
            log.error("token is warning. token : {}.", tokenValue, e);
            unionFailResponse(servletResponse);
            return false;
        }

        return true;

从上面的抓包很明显看出:并没有这个属性。大概需要求助了…问下如何构建这个request请求的。还不知道这个request请求到底哪出了问题…

浅谈访问控制(2)--Shiro
eastfish702的博客
09-13 1147
Apache Shiro是Java的一个安全框架, 其核心功能主要包括认证(Authentication)和访问控制(Authorization). 大体看了一下Shiro的访问控制部分, 发现其实现的功能还是比较清晰和简单的. 本章我们会由浅入深地分析Shiro框架中的访问控制功能, 并在最后结合个人经验给出一些使用建议.
Soul网关源码学习系列之【admin后台管理Ⅰ-login】
weixin_45577053的博客
02-03 948
soul-admin模块源码分析 用户登录 在登录页面点击登录,通过浏览器控制台可以看到请求的地址是http://localhost:9095/platform/login?userName={username}&password={pwd} 然后找到方法入口:这里通过dashboardUserService.login拿到一个返回的VO。 @GetMapping("/login") public SoulAdminResult loginDashboardUser(final S
Soul网关-day07
qq_21364629的博客
01-21 439
Soul网关-day07 Soul-plugin-sofa测试(二) ​ 在day05的时候,出现了一个bug,是由于2.2.1的版本没有sofa相关的插件;所以更新到了最新的版本,但最新版本在运行过程中报了一个错误,就是: o.d.s.a.shiro.bean.StatelessAuthFilter : token is null. ​ 可以看到是在StatelessAuthFilter处: public class StatelessAuthFilter extends AccessC
SpringBoot+Shiro实现登陆拦截功能
loliDapao的博客
04-01 556
上一章讲到使用自定义的方式来实现用户登录的功能,这章采用shiro来实现用户登陆拦截的功能。 首先介绍下ShiroApache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理,以下是shiro的整体的框架: Subject: 即"用户",外部应用都是和Subject进行交互的,subject记录了当前操作用户,将用户的概念理解为当前操作的主体,可能是一个通过浏览器请求的用户,也可能是一个运行的程序。 Subject在shiro中是一个接口,接口中定义...
解决springboot集成shiro登录时出现报错org.apache.shiro.authc.IncorrectCredentialsException
LynneZoe的博客
04-10 3674
1.错误说明 简答来说错误就是:错误的登陆凭证异常 2.错误产生的原因 这里我做的是登陆验证,所以要进行用户名密码的校验,shrio登陆成功的凭证不就是用户名和密码都要正确吗?需要注意的是,在注册时候将明文密码通过自定义的加密方式进行了加密,所以这里验证,也是要将明文密码进行相同的加密再验证,不过shrio都封装好了的 ...
soul网关-11-monitor插件
nemointellego的专栏
01-27 1051
前几篇笔记学习了soul网关的一些插件,今天来学习一下soul网关的monitor插件,它可以监控自身运行状态(JVM相关),请求的响应迟延,QPS、TPS等相关metrics。 首先看一下关于monitor插件的架构图 在架构图中出现了一些不太熟悉的东西,比如Prometheus、Metrics。先来学习一下这两个概念。 使用Aspect记录日志 在日常的项目中,如果想在日志里面记录一下请求的具体参数、请求的耗时等,一般使用的方式是Aspect。 我们就以soul-example-http为例,看下怎么
soul网关-5-普通springboot项目接入soul网关的原理
nemointellego的专栏
01-18 1039
如果有多个产品线售卖API,那么他们都会有一些共性的需求,例如签名认证、限速等,为了避免每个产品线重复开发,那么可以实现一个网关系统来统一提供这些功能。 那么大致的流程是这样的: 1.产品线将自己要售卖的API注册到网关管理后台 2.网关管理后台将数据同步到网关系统 3.用户购买了某产品线的API之后,调用API。请求是统一发往网关的。 4.网关对用户请求进行代理,转发给相应的产品线 前几篇笔记里面,学习了soul网关divide插件如何进行请求代理和数据同步机制之websocket,对上述步骤里面的2
soul网关-4-sign插件签名认证
nemointellego的专栏
01-18 1568
一个网关的下游是多个业务线,如果这些业务线都有鉴权的需求,那么可以使用网关的鉴权功能,没必要每个业务线都自己实现一套鉴权的代码。除非是与业务强相关的鉴权,是那种不具有普适性的需求。 soul网关的鉴权功能是在sign插件模块,作为一个插件,是可以启用或者不启用的。我们来看下soul网关sign模块的大致功能。 1.首先将环境启动一下,启动soul-admin管理后台、启动网关soul-bootstrap、启动示例的springboot项目soul-example-http 2.admin管理后台的sign
soul网关-18-数据同步机制之nacos
nemointellego的专栏
02-04 544
关于soul网关的数据同步机制,已经从源码里面大致了解了websocket数据同步、http长轮询数据同步、zookeeper数据同步,今天来看一下soul网关是怎么使用nacos进行数据同步的。 先来了解一下nacos,根据nacos官方文档的介绍,可以知道: Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。 Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心
Soul 网关(一)---- 架构设计简介、soul-adminsoul-bootstrap
Loving you
01-15 5592
Soul 网关(一) Soul 是一个异步的,高性能的,跨语言的,响应式的API网关。今天先来整体了解一下 Soul 的结构。 Soul 架构图 两大部分:Soul-AdminSoul 网关管理系统) 和 Soul-Cluster(网关Soul 集群) soul-admin (soul 网关的管理系统) soal-admin 依赖 MySQL,首先我们创建 soul 数据库,创建所需要的表,一共 12 个。 然后启动 soul-admin soul-admin 默认端口 9095 ,访问 http
org.apache.shiro.authc.UnknownAccountException错误,亲测可用
Bernie_7的博客
07-24 1537
踩坑记录 springboot整合shiro之后,测试登录报错【org.apache.shiro.authc.UnknownAccountException】 登录成功与否都报错。 错误原因 找了别人的博客都不行,自己debug走排坑。发现登录的时候Realm的认证方法走了两次。 等于说登录方法被拦截了,登陆之前走了一次,登录的时候又走了一次 登录之前走的Realm认证方法,里面token啥都没有或者已经过期了,所有拿不到东西,拿不到东西数据库就查不到数据,那你的user类就是null,就会报这个错 解决方
Apache ShenYu Admin JWT认证绕过漏洞(CVE-2021-37580)
weixin_44047654的博客
01-11 827
Apache ShenYu Admin JWT认证绕过漏洞(CVE-2021-37580)
Soul网关整合Spring Cloud 使用和存在的问题
my java博客园
06-11 900
1.首先引入新建立spring boot项目,maven加入依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.
前后端分离,SpringBoot拦截器中,获取的请求头tokenNULL问题解决
qq_45708267的博客
10-17 1万+
一、背景: 在做前后端分离时,牵扯到跨域,但是已经设置了跨域 前端设置了允许携带Cookie axios.defaults.withCredentials = true; 后端也配置了跨域: @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { //项目中的所有接口都支持跨域
SpringBoot 使用Shiro权限框架自定义拦截器检查token失效
热门推荐
Langeldep的专栏
11-09 1万+
  创建一个类,继承自UserFilter,实现OnAccessDenied函数即可。 package io.tenglu.modules.sys.shiro; import org.apache.shiro.web.filter.authc.UserFilter; import org.apache.shiro.web.servlet.ShiroHttpServletRequest; ...
绕过SSL双向校验抓取Soul App的数据包
zhangmiaoping23的专栏
04-14 2135
原文链接:https://blog.csdn.net/qq_38316655/article/details/104176882
Android系统应用的抓包与防护
nini_boom的博客
08-18 1237
最近对抓包这块比较感兴趣,在被问到抓包时的一些问题:证书、单向认证、双向认证怎么处理,以及绕过背后的原理时,一时很难说清个大概,于是整理了下思绪,将这些知识进行总结和整理,末尾再对一个APP进行实战抓包。 一、单向认证与双向认证 先熟悉几个概念: 对称加密与非对称加密 对称加密:加密和解密使用同一个秘钥。加密和解密速度很快,常见的如AES。 非对称加密:加密和解密使用不同秘钥,这两个秘钥成双成对,叫做公钥和秘钥。数据使用公钥加密后,使用私钥进行解密,使用私钥加密,那就用公钥解密。一般是把公钥给别人,.
shiro登陆失败提示_shiro 无状态权限认证
weixin_39617669的博客
12-25 417
shiro 无状态权限认证pom <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> ​ <dependen...
学习Spring Boot:(十三)配置 Shiro 权限认证
weixin_30748995的博客
05-06 458
经过前面学习 Apache Shiro ,现在结合 Spring Boot 使用在项目里,进行相关配置。 正文 添加依赖 在 pom.xml 文件中添加 shiro-spring 的依赖: <dependency> <groupId>org.apache.shir...
Soul网关
最新发布
03-19
### Soul 网关概述 Soul 网关是一款高性能、可扩展的微服务网关,其设计灵感来源于 Kong 和 Spring Cloud Gateway 等优秀开源项目[^2]。它支持多种协议和插件化功能,能够满足复杂的业务需求。 #### 特点 Soul 网关具有以下显著特点: - **高可用性和性能**:基于 WebFlux 框架构建,提供异步非阻塞的能力,从而提升系统的吞吐量和响应速度[^4]。 - **灵活的插件机制**:通过插件形式实现各种中间层逻辑处理,例如限流、熔断、日志记录等功能[^1]。 - **多协议支持**:除了 HTTP 协议外,还支持 Dubbo、gRPC 等其他通信协议[^5]。 #### 架构图 以下是 Soul 网关的核心架构概览: ```plaintext +-------------------+ | Admin UI | +---------+--------+ | v +---------+--------+ | Data Sync | -----> Redis/MQ (消息队列) +---------+--------+ | v +---------+--------+ | Plugin | +---------+--------+ | v +---------+--------+ | Gateway Engine | +---------+--------+ ``` 该架构展示了如何通过管理界面配置规则并实时同步到网关引擎中执行相应操作[^3]。 #### 安装与部署指南 为了快速上手 Soul 网关,可以按照如下方式准备开发环境: 1. 下载官方发布的最新版本源码或者二进制包; 2. 配置必要的依赖组件(如 MySQL 数据库用于存储元数据;Redis 或 Kafka 实现动态更新推送); 3. 启动应用后访问默认端口 `8080` 查看运行状态。 #### 示例代码片段 下面是一个简单的 Spring Boot 应用集成 Divide 插件的例子来展示如何定义路由规则: ```java import org.springframework.context.annotation.Bean; import org.springframework.stereotype.Component; @Component public class SoulConfig { @Bean public DivideRule divideRule() { DivideRule rule = new DivideRule(); rule.setContextPath("/example"); rule.setUrlList(Collections.singletonList("http://localhost:9090")); return rule; } } ``` 此段程序设置了当匹配路径 `/example` 的请求会转发给目标服务器监听于 `http://localhost:9090` 地址的服务实例上去完成后续调用过程。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值