【Spring Security】Spring Security Oauth2用户授权及token的传递

最新推荐文章于 2022-10-09 08:00:14 发布
最新推荐文章于 2022-10-09 08:00:14 发布
阅读量1.7k 收藏 4
点赞数 2
分类专栏: spring cloud 文章标签: spring jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37362891/article/details/103741063
版权

在这里插入图片描述

前言

上边分享如何实现网关鉴权介绍,那么问题来了,所有用户进来可以是不同的角色,不同的权限,这里后端怎么控制呢。

方法授权

需求分析

方法授权要完成的是provider访问根据jwt令牌完成对方法的授权,具体流程如下:

  1. 生成Jwt令牌时在令牌中写入用户所拥有的权限我们给每个权限起个名字,例如某个用户拥有如下权限:
    batman:访问providerhello接口
  2. hello方法上添加注解PreAuthorize,并指定此方法所需要的权限,它就表示要执行这个方法需要拥有batman权限。hello2表示要拥有batman2权限才能访问。
     @Override
    @PreAuthorize("hasAuthority('batman')")
    public String hello() {
        return "hello world oauth2";
    }

    @Override
    @PreAuthorize("hasAuthority('batman2')")
    public String hello2() {
        return "hello world oauth2";
    }
  1. 当请求有权限的方法时正常访问
  2. 当请求没有权限的方法时则拒绝访问

jwt令牌包含权限

修改provider服务的UserDetailServiceImpl类,下边的代码中 permissionList列表中存放了用户的权限,并且将权限标识按照中间使用逗号分隔的语法组成一个字符串,最终提供给Spring security。(这里将权限写死了,大家可以遵循RABC原则建关系表,从数据库中查询角色权限)

//TODO从数据库获取权限
        List<FooMenu> permissions = userext.getPermissions();
        List<String> user_permission = new ArrayList<>();
        permissions.forEach(item -> user_permission.add(item.getCode()));
        user_permission.add("batman");
        String user_permission_string = StringUtils.join(user_permission.toArray(), ",");

方法授权测试

重启provider服务,使用postman测试,GET 请求 http://batman.com:18085/security-provider/security/hello ,注意加上Authorization

在这里插入图片描述

GET 请求http://batman.com:18085/security-provider/security/hello2

在这里插入图片描述

小结

  1. ResourceServerConfig类上添加注解,如下:
//激活方法上的PreAuthorize注解
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
  1. 在方法添加授权注解
@PreAuthorize("hasAuthority('???')")
  1. 如果方法上不添加授权注解表示此方法不需要权限即可访问。

服务token传递

定义Feign拦截器

微服务之间使用feign进行远程调用,采用feign拦截器实现远程调用携带JWT。

创建 FeignClientInterceptor

public class FeignClientInterceptor implements RequestInterceptor {
    @Override
    public void apply(RequestTemplate requestTemplate) {
        try {
            //使用RequestContextHolder工具获取request相关变量
            ServletRequestAttributes attributes = (ServletRequestAttributes)
                    RequestContextHolder.getRequestAttributes();
            if (attributes != null) {
                //取出request
                HttpServletRequest request = attributes.getRequest();
                Enumeration<String> headerNames = request.getHeaderNames();
                if (headerNames != null) {
                    while (headerNames.hasMoreElements()) {
                        String name = headerNames.nextElement();
                        String values = request.getHeader(name);
                        if (name.equals("authorization")) {
                            //System.out.println("name="+name+"values="+values);
                            requestTemplate.header(name, values);
                        }
                    }
                }
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

注入到spring容器

    @Bean
    public FeignClientInterceptor feignClientInterceptor() {
        return new FeignClientInterceptor();
    }
it噩梦
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jmeter 接口测试实践之 token 传参
Shinranyao的博客
11-24 1899
什么是JMeter? JMeter 是一个纯 Java 的开源测试工具。通过模拟浏览器行为,它向 Web 或应用程序服务器发送请求以请求不同的负载。 JMeter 最初是为测试 Web 应用程序而设计的,但后来扩展到测试其他功能,例如基于各种技术的功能测试,性能测试,回归测试,压力测试,数据库服务器测试。 本篇主要讲如何用 Jmeter 做接口测试,还是挺多公司用它做接口测试,因为它很方便。一般包括的操作有 http 脚本编辑(发 get/post 请求、cookie 设置、header 设置、权限认
Spring Security如何优雅的增加OAuth2协议授权模式
09-07
Spring Security,作为一款强大的安全框架,提供了对OAuth2的支持,使得开发者可以方便地在项目中集成OAuth2授权。本文将探讨如何在Spring Security中优雅地增加OAuth2协议授权模式,以应对各种复杂的业务需求。 在...
spring security中@PreAuthorize注解的使用
08-23 4827
添加依赖<!-- oauth --><dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId></dependency><de...
org.springframework.security.oauth2 的 /oauth/token apiPost 需要的参数是 application/x-www-form-urlenc
jonathan_joestar的博客
03-20 559
org.springframework.security.oauth2 的 /oauth/token apiPost 需要的参数是 application/x-www-form-urlencoded 形式的 不能是 json的
Spring Security(十二):认证(OAuth2)-用户名密码登录获取token
人不风流枉少年
06-27 1万+
上文讲了授权码模式,了解授权码模式可以很好的了解授权模式,但实际开发中也需要 "用户名+密码"方式来获取授权,本文将"用户名密码"这种方式接入到标准的OAuth2流程中,登录成功后返回token,根据token访问其它接口。 1. pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://mav...
Spring Security中使用token
超频化石鱼的博客
09-12 1万+
单点登录与多点登录 单点登录:同一个账号在同一时间只有一个token有效。一旦生成新的token,所有旧token失效。 多点登录:同一个账号在同一时间可多次登录,每次登陆都会获得一个token。这些token的有效期是隔离的,不受新生成token的影响。 对于token,若要实现单点登录,则必须将所有token保存在服务端。这实际上与token服务端不负责保存的本质相悖。若要实现单点登录,建议使用session。 下面将实现多点登录。 原理与思路 Spring Security的认证与授权是分开的:
Spring Security OAuth2认证授权示例详解
08-25
通过以上讲解,我们可以看到Spring Security OAuth2如何帮助开发者构建安全的认证和授权系统,以及如何使用OAuth2授权协议来保护用户数据。理解这些概念和配置细节对于开发涉及用户数据交换和安全访问控制的现代Web...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Spring Security OAuth2 授权码模式的实现
08-18
Spring Security OAuth2 授权码模式是 OAuth 2.0 授权流程中的一种常见模式,该模式要求用户登录并对第三方应用(客户端)进行授权,出示授权码交给客户端,客户端凭授权码换取 access_token(访问凭证)。...
Spring Security OAuth2 实现登录互踢的示例代码
08-19
Spring Security OAuth2 是一个基于 OAuth2 协议的身份验证框架,提供了丰富的身份验证机制和授权机制。本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例代码,通过示例代码详细介绍了如何实现用户单一...
spring oauth2 实现用户名密码登录、手机号验证码登录返回token
一个正在崛起的小码农
01-08 3万+
文章目录介绍实现功能用户名密码登录步骤编写成功处理器配置成功处理器手机号验证码登录步骤重写SmsCodeAuthenticationSecurityConfig测试用户名密码登录手机号验证码登录项目源码 介绍 spring oauth2提供了授权码,密码等模式。登录成功之后返回token。但在app中,需要用户名和密码或者是手机号验证码登录成功之后也返回token。下面将对这两种模式登录成功之后返...
SpringSecurity整合springBoot、redis token动态url权限校验
mofsfely2的博客
02-18 3477
背景 简单先说一下需求吧,这样也好让看的人知道到底适不适合自己。 1、实现自定义的登录认证。 2、登录成功,生成token并将token 交由redis管理。 3、登录后对用户访问的接口进行接口级别权限认证。 springSecurity提供的注解权限校验适合的场景是系统中仅有固定的几个角色,且角色的凭证不可修改(如果修改需要改动代码)。 @PreAuthorize("hasAuthority('ROLE_TELLER')") public Account post(Account account, do
认证和授权:前后端分离状态下使用Spring Security实现安全访问控制
最新发布
Java精选
10-09 711
本文使用的springboot版本是2.1.3.RELEASE一、简要描述默认情况下,spring security登录成功或失败,都会返回一个302跳转。登录成功跳转到主页,失败跳转到登录页。如果未认证直接访问受保护资源也会跳转到登录页 。而在前后端分离项目中,前后端是通过json数据进行交互,前端通过ajax请求和后端进行交互,ajax是无法处理302跳转的,所以我们希望不管是未登录还是登录成...
token的传参方式
不是秋刀鱼的秋的博客
07-11 5597
token传递方式分为参数传递和请求头(header)中传递两种 客户端发送请求(带有token),后台GateWay担任Security_OAuth2的资源服务器,对请求进行拦截,如下 springSecurityFilterChain 是springSecurity的filter @Bean SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) { //认证处理器 ReactiveAuthentica
oauth2使用授权码模式(authorization code)获取access_token
热门推荐
吴国凯的博客
05-05 3万+
oauth2获取access_token的几种方式: 简化模式(implicit):在redirect_url中传递access_token,oauth客户端运行在浏览器中。 密码模式(password):将用户名和密码传过去,直接获取access_token。 客户端模式(client credentials):用户向客户端注册,然后客户端以自己的名义向“服务端”获取资源。 授权码模式(aut...
gateway-02 springcloud集成oauth2,网关验证token
weixin_46420029的博客
03-04 2436
Spring Cloud Gateway限流 在Spring Cloud Gateway中,有Filter过滤器,因此可以在“pre”类型的Filter中自行实现上述三种过滤器。但是限流作为网关最基本的功能,Spring Cloud Gateway官方就提供了RequestRateLimiterGatewayFilterFactory这个类,适用Redis和lua脚本实现了令牌桶的方式。具体实现逻辑在RequestRateLimiterGatewayFilterFactory类中,lua脚本在如下图所示的文
springsecurity-oauth2令牌 access_token验证
clonetx的博客
06-21 4146
springsecurity oauth2 令牌access_token验证源码分析
SpringSecurity 实现token 认证
qq_45535340的博客
06-07 4575
实现token 认证
SpringSecurity OAuth2 获取Token端点TokenEndpoint、Token授权TokenGranter接口 详解
向心行者
01-09 1万+
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时知道,当授权端点AuthorizationEndpoint生成授权码时,就会重定向到客户端的请求地址,这个时候,客户端就会拿着授权码再来授权服务器换取对应的Token,这篇内容,我们就详细分析如何使用授权码code换取Token的。在前面文章中,我们可以了解到客户端是通过“/oauth/token”来换取token的,该接口对应TokenEndpoint类的postAccessToken()方法,我们这篇文章就围绕
OAuth2单点登录与SpringSecurity实现解析
SpringSecurity结合OAuth2实现SSO时,会涉及一系列组件,如TokenEndpoint处理令牌请求,TokenRequest客户端详细信息服务,ClientDetailsService用于读取第三方应用授权,Authentication代理用户授权TokenGranter...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值