gateway 集成springsecurity 登录时webfilter获取post请求参数

已于 2022-04-28 16:27:33 修改
阅读量1.9k 收藏 4
点赞数
文章标签: spring gateway
于 2022-04-28 16:05:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32892445/article/details/124475706
版权

gateway 集成springsecurity 登录时获取post请求参数

1. 配置一个过滤器,手动转换body数据,修改request,这个过滤器需要放在真正操作post参数的filter之前,这个过滤器也只拦截登录方法

@Component
public class CacheBodyWebFilter extends AbstractMatchWebFilter {
    @Override
    protected Mono<Void> doFilter(ServerWebExchange exchange, WebFilterChain chain) {
        HttpMethod method = exchange.getRequest().getMethod();
        if (method == null || method.matches("GET") || method.matches("DELETE")) {
            return chain.filter(exchange);
        }
        return DataBufferUtils.join(exchange.getRequest().getBody()).map(dataBuffer -> {
            byte[] bytes = new byte[dataBuffer.readableByteCount()];
            dataBuffer.read(bytes);
            DataBufferUtils.release(dataBuffer);
            return bytes;
        }).defaultIfEmpty(new byte[0]).flatMap(bytes -> {
            DataBufferFactory dataBufferFactory = exchange.getResponse().bufferFactory();
            ServerHttpRequestDecorator decorator = new ServerHttpRequestDecorator(exchange.getRequest()) {
                @Override
                public Flux<DataBuffer> getBody() {
                    if (bytes.length > 0) {
                        return Flux.just(dataBufferFactory.wrap(bytes));
                    }
                    return Flux.empty();
                }
            };
            return chain.filter(exchange.mutate().request(decorator).build());
        });
    }

    @Override
    protected boolean shouldFilter(ServerWebExchange serverWebExchange) {
        String requestUrl = serverWebExchange.getRequest().getURI().getPath();
        return super.match(requestUrl, "/login");
    }
}

此处是获取参数的工具方法:

public class RequestUtils {
     public static Map<String,String> getFormMap(ServerHttpRequest serverHttpRequest){
            Flux<DataBuffer> body = serverHttpRequest.getBody();
            AtomicReference<String> bodyRef = new AtomicReference<>();
            Consumer<? super DataBuffer> c = (b -> {
                CharBuffer charBuffer = StandardCharsets.UTF_8.decode(b.asByteBuffer());
                DataBufferUtils.release(b);
                bodyRef.set(charBuffer.toString());
            });
            body.subscribe(c);

            String rspStr = bodyRef.get();
            if(StringUtils.isEmpty(rspStr)){
                return null;
            }
            return getFormMap(rspStr);
    }

    private static Map<String, String> getFormMap(String body) {
        if(StringUtils.isEmpty(body)){
            return null;
        }
        Map<String,String> map = new HashMap<>();
        String[] params= body.split("&");  // name=123&age=11 ==>  ['name=123','age=11']
        for(String param : params){
            String[] par = param.split("="); // name=123 ==>  ['name','123']
            if(par!=null && par.length>1){
                map.put(par[0],par[1]);
            }
        }
        return map;
    }
}

2.需要获取请求参数的过滤器。(我这里是需要实现控制登录失败的次数)

@Component
public class LoginTimesFilter extends AbstractMatchWebFilter {

	    @Override
	    protected Mono<Void> doFilter(ServerWebExchange serverWebExchange, WebFilterChain webFilterChain){
	        //获取post请求的参数map
	        Map<String, String> formMap = RequestUtils.getFormMap(serverWebExchange.getRequest());
	      	//我这里主要是处理登录失败次数限制。。。。
	      	.....
	      	
	    }
   }

3.之前的CacheBodyWebFilter因为已经读取了body,所以后边springsecurity加载用户的ReactiveUserDetailsService.findByUsername就无法自动获取用户名称了

public class ReactiveUserDetailsServiceImpl implements ReactiveUserDetailsService {
    @Override
    public Mono<UserDetails> findByUsername(String username) {
 			//此处username 为空     		
    }
}

此时需要重写 ServerAuthenticationConverter ,手动获取请求参数

public class FormLoginAuthenticationConverter extends ServerFormLoginAuthenticationConverter {


    private ServerHttpBasicAuthenticationConverter serverHttpBasicAuthenticationConverter = new ServerHttpBasicAuthenticationConverter();

    @Override
    public Mono<Authentication> convert(ServerWebExchange exchange) {
        String uri = exchange.getRequest().getURI().getPath();
        if("/login".equals(uri)){  //登录操作才对body做特殊操作,其他请求直接调用原有请求
            UsernamePasswordAuthenticationToken authentication = createAuthentication(exchange);
            if(authentication==null){
                return Mono.empty();
            }
            return Mono.just(authentication);
        }else{ //非登录操作,基本不用在网关里读取body,默认方法就行
            return serverHttpBasicAuthenticationConverter.convert(exchange);
        }
    }

    private UsernamePasswordAuthenticationToken createAuthentication(ServerWebExchange exchange) {
    	//获取post请求的参数map
        Map<String, String> formMap = RequestUtils.getFormMap(exchange.getRequest());
        if(CollectionUtils.isEmpty(formMap)){
            return null;
        }
        String username = formMap.get("username");
        String password = formMap.get("password");
        return new UsernamePasswordAuthenticationToken(username, password);
    }
}

把ServerAuthenticationConverter放入AuthenticationWebFilter

 SecurityWebFilterChain chain = http.build();
        Iterator<WebFilter> weIterable = chain.getWebFilters().toIterable().iterator();
        while (weIterable.hasNext()) {
            WebFilter f = weIterable.next();
            if (f instanceof AuthenticationWebFilter) {
                AuthenticationWebFilter webFilter = (AuthenticationWebFilter) f;
                //将自定义的AuthenticationConverter添加到过滤器中
                webFilter.setServerAuthenticationConverter(new FormLoginAuthenticationConverter());
            }
        }

这样登录的请求就完成了获取post请求参数,处理,登录的过程,而其他的请求则不受影响

uf_deen
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
Spring Security 实现短信验证码登录功能
08-19
主要介绍了Spring Security 实现短信验证码登录功能,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Cloud Gateway 整合Spring Security
最新发布
杜海的博客
03-08 581
Security中用户信息需存放在 UserDetails 中,UserDetails 是一个接口,可以使用Security已经实现的 org.springframework.security.core.userdetails.User,也可以实现 UserDetails 接口自定义用户信息类。/***/@Data/*** token*//***//***//***//*** location*//***//***//*** 用户名。
spring-gateway实现登录验证码校验的代码,百分百可用
06-23
实现spring-gateway登录验证码校验,使用randomstr参数作为每次生成验证码图片的唯一标识,验证码Kaptcha插件
spring_gateway_security_webflux.rar
07-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gateway采用的是纯Webflux方式,所以原有的Spring基于传统拦截器、过滤器的方式无法正常使用SpringSecurity。 3.因此,本项目根据WebFlux的方式,进行了整合,实现了登录和权限验证。
Spring security Oauth2自定义check_token返回解析参数(自定义UserAuthenticationConverter
qq_42315935的博客
11-16 1万+
Oauth2自定义check_token返回解析参数(自定义UserAuthenticationConverter) 首先来看Oauth 解析token流程 而DefaultAccessTokenConverter使用DefaultUserAuthenticationConverter来解析token信息 可以看到DefaultAccessTokenConverter可以设置 UserAuthenticationConverter,因为我们可以自定义AccessTokenConverter替换也可以自定
Gateway 整合 Spring Security鉴权
qq_42394862的博客
09-03 1万+
Gateway 整合 Spring Security鉴权
微服务:gateway+security+nacos实现微服务的认证授权方案
LJWWD的博客
02-07 5033
用户通过客户端访问项目,前端项目会部署在nginx上,加载静态文件直接从nginx上返回即可。当用户在客户端操作,需要调用后端的一些服务接口。这些接口会通过Gateway网关,网关进行一定的处理(jwt合法性校验,黑名单、白名单,过滤一部分请求)之后再转发给具体的微服务。具体的资源服务会对请求进行解析,判断当前登录用户是否有权限调用该资源的接口。
Spring Cloud原理分析系列#Gateway#GlobalFilter vs GatewayFilter vs WebFilter
kimichen123的专栏
10-29 7001
背景 最近在项目中看之前代码,发现一个网关filter模块大量使用各种Filter,但是深入分析感觉这些filter做的事情大多都是过滤、拦截、校验、转发、日志、改写等工作,所以想整理一篇文章分析分析这几个Filter背后的what、why、how。 先看一下官网介绍Gateway的调用顺序,可以看到不管是GlobalFilter还是GatewayFilter都是在filter执行过程中执行的。 什么是GlobalFilter GlobalFilter 接口...
微服务网关gateway集成security
07-13
微服务网关gateway集成security案例代码
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
SpringSecurity OAuth2 关于 UserAuthenticationConverter
程序员劝退师的博客
10-07 2615
前言 之前写了一大堆关于SpringSecurity OAuth2的相关文章,本以为可以告一段落了,但是有了解到一个新东西,之前没注意到的,就是UserAuthenticationConverter,本章就来看看这是个啥玩意!我们知道授权服可以提供两种格式的Token,一种是默认的字符串,另一种是JWT格式的字符串,关于JWT格式Token我这里就不多逼逼是什么意思勒,我们认证服采用JWT格式主要就是为了提高Token校验的性能,如果我们采用默认的字符串的话默认需要调用认证服进行token检查,就是通过Ht
SpringSecurity身份认证方式及底层源码学习
酱酱的博客
05-22 480
SpringSecurity分为两种 HttpBasic 是弹窗认证方式。 HttpForm 是表单认证方式。 它们都有默认的页面来使用。 1. 首先我们需要创建配置类,此类需要加上@EnableWebSecurity证明 启动springSecurity过滤链功能,需要重写两个方法 /** 身份认证过滤器 2. 认证信息提供方式(用户名,密码,当前用户的资源权限) 3. 可采的内存存储方式,也可采用数据库方式等。 */ configure(AuthenticationManagerBuilder
避坑指南(三):Spring Security Oauth2框架如何初始化AuthenticationManager
银河架构师的博客
01-13 7898
说明 顾名思义,即为“身份认证管理器”, 说白了,就是各种类型登录方式、或者Authentication(*AuthenticationToken)辅助认证Provider的管理对象。 比如,如果只是采用表单登录认证,那么完全可以使用默认的AuthenticationManager,认证用户势必要提供UserDetailsService、PasswordEncoder,如此一来,系统会根...
Spring gateway配置Spring Security实现统一权限验证与授权
热门推荐
王广帅--游戏开发技术
12-02 2万+
在使用Spring Cloud 进行微服务,分布式开发,网关是请求的第一入口,所以一般把客户端请求的权限验证统一放在网关进行认证与鉴权。因为Spring Cloud Gateway使用是基于WebFlux与Netty开发的,所以与传统的Servlet方式不同。而且网关一般不会直接请求数据库,不提供用户管理服务,所以如果想在网关处进行登陆验证与授权就需要做一些额外的开发了。 需求设求 众所周知,一...
Spring Authorization Server 1.1 扩展实现 OAuth2 密码模式与 Spring Cloud 的整合实战
有来技术
10-24 6018
本文基于开源微服务商城项目 youlai-mall、Spring Boot 3 和 Spring Authorization Server 1.1 版本,演示了如何扩展密码模式,以及如何将其应用于 Spring Cloud 微服务实战。
spring cloud gateway整合security实现统一权鉴
本作者:想花
11-06 3850
方法,返回对象包含数据库查询出的用户账号和密码,然后和用户录入的账号密码比较验证。当登录成功后会把token返回给前端,后续的调用业务接口都会把token携带上进行。因为gateway框架使用的是netty的webflux技术,不是springmvc的servlet。上图的是否 2、3是我自定义的角色,在查询数据库用户账户密码候,也查询了角色,并且一起封装到。security有两个版本,一个是sevlet,一个是webflux。当验证完成账户密码成功后,进行权限验证,判断请求的路径。
如何在spring gatewayfilter中使用ServerHttpRequest 获取请求参数
03-29
可以使用以下代码在spring gatewayfilter获取请求参数: ```java import org.springframework.cloud.gateway.filter.GatewayFilter; import org.springframework.cloud.gateway.filter.GatewayFilterChain; import org.springframework.core.Ordered; import org.springframework.http.server.reactive.ServerHttpRequest; import org.springframework.stereotype.Component; import org.springframework.web.server.ServerWebExchange; import reactor.core.publisher.Mono; @Component public class CustomFilter implements GatewayFilter, Ordered { @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { ServerHttpRequest request = exchange.getRequest(); String paramValue = request.getQueryParams().getFirst("paramName"); // 使用paramValue进行相关操作 return chain.filter(exchange); } @Override public int getOrder() { return 0; } } ``` 在上述代码中,`ServerWebExchange`对象包含了请求和响应的所有信息,包括`ServerHttpRequest`对象,可以通过该对象获取请求参数。在这里,我们使用了`getQueryParams()`方法来获取查询参数,并使用`getFirst()`方法获取参数值。然后可以使用得到的参数值进行相关操作。最后,调用`chain.filter(exchange)`方法将请求转发给下一个过滤器或目标服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值