java-security拦截时同时调用多个接口,其中随机部分接口校验不通过问题的定位和解决

最新推荐文章于 2023-08-17 00:02:34 发布
最新推荐文章于 2023-08-17 00:02:34 发布
阅读量852 收藏
点赞数
分类专栏: 技术 spring 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37701372/article/details/105423741
版权

前言:

又是普通的一天。最近在搞权限配置,用的是Spring security,token是用的jwt,通过服务中心签发token,业务层进行权限的配置。

问题:

权限这块配置上去了,发现在同时调用多个请求的时候,经常会有1到n个接口报错,报错显示是认证未通过。并且单个接口测试都没问题。

先说最终的问题原因:

由于每次作token校验的时候,会使用jjwt的parse方法进行解析, 解析时需要传入rsa的公钥,而这公钥是需要每次进行临时写入系统文件之后再读取的,由于并发量高(也就几个),对同一文件的多个写入冲突了,导致获得公钥失败,从而导致解析失败。
以下是获得公钥的方法:

public static PublicKey getPublicKey() throws Exception {

        ClassPathResource resource = new ClassPathResource("rsa/rsa_public_key");
        // 临时目录
        String tempPath = System.getProperty("java.io.tmpdir") + System.currentTimeMillis() + ".rsa_public_key";
        File f = new File(tempPath);
        if (!f.exists()) {
            InputStream inputStream = null;
            try {
                inputStream = resource.getInputStream();
                IOUtils.copy(inputStream, new FileOutputStream(f));
                inputStream.close();
            } catch (IOException e) {
                System.out.println("fuckfuckfuck");
                e.printStackTrace();
            }
        }else{
            log.info("公钥已存在.公钥目录临时存储路径" + tempPath);
        }

        return getPublicKey(readFile(f));
    }

解决办法:

由于多次对同一文件进行写入,还得写入临时文件,效率还比较低,效率低就算了,还造成了这样的问题,索性改成创建静态变量维护byte[],这样就解决了:

 private static byte[] PUBLIC_KEY;

    static {
        ClassPathResource resource = new ClassPathResource("rsa/rsa_public_key");
        // 临时目录
        String tempPath = System.getProperty("java.io.tmpdir") + ".rsa_public_key";
        File f = new File(tempPath);
        if (!f.exists()) {
            try {
                IOUtils.copy(resource.getInputStream(), new FileOutputStream(f));
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
        try {
            PUBLIC_KEY = readFile(f);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
     public static PublicKey getPublicKey() throws Exception {
        return getPublicKey(PUBLIC_KEY);
    }

问题的定位、解决过程

人生就像一场旅行 不必在意目的地 在乎的是沿途的风景和看风景的心情-利群

同理,相比与一个问题的解决,其实问题的定位、和解决的过程也是很重要的,它能够指导你下次碰到其他问题时也能自己去解决。(这也是为什么我们要不断总结、反思)我在这次走了很多弯路,一度认为自己没法解决了,于是请教同事,才找到了解决问题的路,跟着这条路走,问题果然解决了,那么接下来再走一遍这条路。

我们security里添加了两个filter,应对两种不同的token参数,而这个情况是在用户token的过滤时发生的,看下代码:

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Value("${jwt.header}")
    private String token_header;

    @Resource
    private JwtUtils jwtUtils;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        String auth_token = request.getHeader(this.token_header);
//        final String auth_token_start = "safept ";
//        if (StringUtils.isNotEmpty(auth_token) && auth_token.startsWith(auth_token_start)) {
//            auth_token = auth_token.substring(auth_token_start.length());
//        }
        if (StringUtils.isEmpty(auth_token)) {
            // 不按规范,不允许通过验证
            chain.doFilter(request, response);
//            auth_token = null;
            return;
        }

        String username = jwtUtils.getUsernameFromToken(auth_token);

        if (jwtUtils.containToken(username, auth_token) && username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            SysUser userDetail = jwtUtils.getUserFromToken(auth_token);
            RequestHolder.addUser(userDetail);
            if (jwtUtils.validateToken(auth_token, userDetail)) {
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetail, null, userDetail.getAuthorities());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                logger.info(String.format("Authenticated userDetail %s, setting security context", username));
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        }
        chain.doFilter(request, response);
    }
}

基于之前对security filter链的理解,可以知道,用户登陆认证失败,其实就是这边的authentication没有设置进去导致的,导致其没有set进去可能会是上面的三个判断失败导致:

 if (StringUtils.isEmpty(auth_token)) {
            // 不按规范,不允许通过验证
            chain.doFilter(request, response);
            return;
        }

token每次传入都正确,所以这边不会是原因。

剩下两个就是上面的两个if:

      if (jwtUtils.containToken(username, auth_token) && username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

第三个判断条件不用看,就是当目前无authentication时再set,如果有的话,其实就是已经获得用户登陆认证了。

以及

if (jwtUtils.validateToken(auth_token, userDetail)) {

然后看里面的几个方法:

jwtUtils.containToken(username, auth_token)

  public boolean containToken(String userName, String token) {
        if (userName != null && tokenMap.containsKey(userName) && tokenMap.get(userName).equals(token)) {
            return true;
        }
        return false;
    }

之前维护了一个tokenMap存储用户信息,实际上是没有必要的。并且在负载均衡的情况下可能会出问题,果断把这玩意给去了。

username != null

String username = jwtUtils.getUsernameFromToken(auth_token);

public SysUser getUserFromToken(String token) {
        SysUser userDetail;
        try {
            final Claims claims = getClaimsFromToken(token);
            long userId = Long.parseLong(String.valueOf(claims.get(CLAIM_KEY_USER_ID)));
            String username = claims.getSubject();
            List<String> authNameList = (List<String>) claims.get(CLAIM_KEY_AUTHORITIES);
            List<SysAuth> auths = new ArrayList<>();
            for (String s : authNameList) {
                SysAuth auth = new SysAuth();
                auth.setName(s);
                auths.add(auth);
            }
            userDetail = new SysUser();
            userDetail.setAuths(auths);
           业务代码省略...
        } catch (Exception e) {
            userDetail = null;
        }
        return userDetail;
    }

再看关键的getClaimsFromToken方法:

private Claims getClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser()
                    .setSigningKey(getPublicKey())
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            e.printStackTrace();
            claims = null;
        }
        return claims;
    }

这边调用的是jjwt包里的parser方法,通过传入公钥进行token的签名认证,并获得body数据。看起来好像没什么问题,那么继续看getPublicKey()方法:
上面也已经列过了,这里再列一遍

public static PublicKey getPublicKey() throws Exception {

        ClassPathResource resource = new ClassPathResource("rsa/rsa_public_key");
        // 临时目录
        String tempPath = System.getProperty("java.io.tmpdir") + System.currentTimeMillis() + ".rsa_public_key";
        File f = new File(tempPath);
        if (!f.exists()) {
            InputStream inputStream = null;
            try {
                inputStream = resource.getInputStream();
                IOUtils.copy(inputStream, new FileOutputStream(f));
                inputStream.close();
            } catch (IOException e) {
                System.out.println("fuckfuckfuck");
                e.printStackTrace();
            }
        }else{
            log.info("公钥已存在.公钥目录临时存储路径" + tempPath);
        }

        return getPublicKey(readFile(f));
    }

可以发现,它是写通过ClassPathResource获得相对路径下的公钥文件,然后写入系统文件里,最终通过readFile方法拿到由公钥转换成的byte[],再调用getPublicKey方法,获得一个序列化的key。而这边的写入,可能就是线程不安全的!

别忘了validateToken方法:

 public Boolean validateToken(String token) {
//        final Date created = getCreatedDateFromToken(token);
        return (!isTokenExpired(token)
//                && !isCreatedBeforeLastPasswordReset(created, userDetail.getLastPasswordResetDate())
        );
    }

 private Boolean isTokenExpired(String token) {
        final Date expiration = getExpirationDateFromToken(token);
        return expiration.before(new Date());
    }

public Date getExpirationDateFromToken(String token) {
        Date expiration;
        try {
            final Claims claims = getClaimsFromToken(token);
            expiration = claims.getExpiration();
        } catch (Exception e) {
            expiration = null;
        }
        return expiration;
    }

代码很好理解,最终也是会调用getClaimsFromToken方法去解析token。所以问题的核心就是getPublicKey()方法的线程不安全性。找到症结了,就可以对症下药了,药方已在上面开出。

总结:

碰到问题,要有追根溯源的意识,这点以后还要多多加强。

ToryXu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java调用接口失败重调_java接口调用失败的退避策略
weixin_33121737的博客
02-13 1937
码农公社 210.net.cn210= 102410月24日一个重要的节日--码农(程序员)节退避策略简介在开发过程中我们经常会遇到调用接口失败的情况。遇到这种情况,我们有候需要重试机制,常用的重试(退避)策略有:固定的间间隔重试一次,最多重试N次:比如我现在一个接口调用失败了,不是立马返回失败,而是hold住线程,每隔2秒重新调下接口,最多调5次,只要其中一次成功了就直接返回。如果...
java filter 返回错误消息_springmvc 自定义过滤器 过滤失败返回自定义的信息
weixin_33603105的博客
02-24 2170
1、我们项目中会经常使用带springmvc 的拦截器来校验当前请求的前置规则,比如是不是有访问权限,参数合法等。2、拦截器说明:我的项目是自定义类继承org.springframework.web.servlet.handler.HandlerInterceptorAdapter,然后实现其中的三个前置、后置和最后渲染的拦截方法。主要业务一般写在preHandle(request,respons...
java filter 返回错误消息_java filter 导致错误310
weixin_28683065的博客
02-24 511
filter代码:packagecom.src.tool;importjava.io.IOException;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax.servlet....filter代码:package com.src.tool;...
Spring security4.1.4 如何实现api接口和页面的双重拦截
s297165331的专栏
01-29 4504
dileber先暂缓一下,最近在作服务器认证方面的东西 首先讲一下spring Security入和对接口和页面同拦截 beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/sch
java 接口安全性_java如何保证接口的安全性
weixin_36336256的博客
02-16 3901
在开发过程中,肯定会有和第三方或者app端的接口调用。在调用候,如何来保证非法链接或者恶意攻击呢,下面我们一起来了解一下java如何保证接口的安全性。希望看完后对你有所帮助。1.签名根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head中的token,校验是否合法(和数据库或者redis中记录的是否一致,在登录或者初始化的候,存入数据库/...
浅谈Java 三种方式实现接口校验
08-29
Java接口校验Java开发中一个非常重要的topic,本文将为大家介绍Java三种方式实现接口校验,包括AOP、MVC拦截器等方式,并对每种方式的实现进行详细的分析和讲解。 一、AOP方式实现接口校验 AOP(Aspect-Oriented...
uaa-security:企业级多场景认证实战
03-29
uaa-security框架通过统一的接口处理各种认证请求,实现了对用户的登录、登出、令牌管理和权限校验等操作,确保了系统的安全性。 1. **用户账户管理**:uaa维护着用户账户信息,包括用户名、密码、角色和权限等。它...
springmvc用于方法鉴权的注解拦截器的解决方案代码
08-28
为了解决这个问题,可以在`web.xml`中配置Servlet映射,使Tomcat只处理特定扩展名的静态资源,例如`.jpg` 和 `.png`: ```xml <servlet-mapping> <servlet-name>default</servlet-name> <url-pattern>*.jpg</url-...
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程是 SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 SpringSecurity 基本原理 ---------------...
Struts2拦截器登录验证实例
08-30
- 当请求到达Action,Struts2会按照定义好的拦截器链顺序逐个调用拦截器,每个拦截器都有机会处理请求,直到最后一个拦截调用`ActionInvocation`的`invoke()`方法,这将执行实际的Action。 2. **创建自定义...
Java中提升接口性能的一些方法
ACGkaka的博客
05-01 3758
Java中提升接口性能的一些方法
Spring Security拦截配置
2301_79108888的博客
08-17 1950
除了基于角色和URL模式的拦截配置Spring Security还支持自定义过滤器链。这允许我们添加自定义过滤器来处理特定的安全需求。创建一个实现了Filter接口的自定义过滤器类,实现doFilter方法来自定义处理逻辑。配置,将自定义过滤器注册到Spring Security中的过滤器链中。// ...省略其他配置...@Bean// ...省略其他配置...在上述示例代码中,我们创建了一个名为CustomFilter的自定义过滤器,并将其注册到URL模式为。
Spring Security学习——核心原理
Benson的博客
01-29 417
Spring Security学习——核心原理       Spring SecuritySpring生态系统的一个安全组件,而且和Spring MVC整合非常方便。Spring Security最基本的原理是基于J2EE的拦截器原理,拦截器会形成一个拦截器链,这是一种责任链设计模式。Spring Security使用实现的一些拦截器来对访问的url进行拦截,通过对缓存中的角色进行相应判定后决
java中同调用多个第三方接口
qq_40642294的博客
01-05 4367
java中同调用多个第三方接口
java de 线程池
tayloramanda的博客
09-16 695
线程池: java.util.concurrent.Executors提供了一个 java.util.concurrent.Executor接口的实现用于创建线程池 作用:解决处理器单元内多个线程执行的问题,它可以显著减少处理器单元的闲置间,增加处理器单元的吞吐能力。 使用情况: 假设一个服务器完成一项任务所需间为: T1 创建线程间, T2 在线程中执行任务的间, T3 销毁线程间。 如果:T1 + T3 远大于 T2,则可以采用线程池,以提高服务器性能。 组成部分: ...
java异步线程池同请求多个接口数据
weixin_30362083的博客
10-02 3396
一、主要使用类 1.ExecutorService java线程池类 申明方式:ExecutorService exc = Executors.newFixedThreadPool(requestParameterArray.length()); 参数:requestParameterArray.length()是请求线程的总数量,其中每一个...
反编译apk添加短信验证接口_Spring Boot手把手教学(15):RESTful api接口如何开启登录鉴权拦截和放行...
weixin_39717367的博客
11-23 594
1 前言2 JWT2.1 什么是JWT2.2 JWT组成部分2.3 maven依赖2.4 JWT实现原理2.5 JJWT实现方法2.6 JWT读取2.7 工具类方法3 用户登录接口服务3.1 用户表 user.sql3.2 UserController3.3 UserService3.4 UserServiceImpl3.5 UserMapper3.6 UserMapper.xml4 用...
Java面向对象的实现----接口
wy200144的博客
03-28 543
1.接口的关键字是interface,类通过implements来实现接口,一个类可以实现多个接口。 //一个类可以实现多个接口 public class C implements A,B{ @Override //重写方法 } 2.定义属性和方法,不能定义构造器 属性:所有属性都是常量,都是pubic static final,值不能修改,必须有初始值。 方法:①所有的public方法都是抽象方法 ②未书写作用域默认public ③非公开方法可以有实现体。接口中要想有方法实现,必..
java对get参数校验失败_Spring 参数校验的异常处理
weixin_35565522的博客
02-28 1599
对于不同的参数解析方式,Spring 抛出的异常也不同,而且这些异常没有继承关系,异常的内部也各不相同,只能对每种异常单独处理。感觉这块地方 spring 没有设计好,处理起来比较麻烦。跟参数相关的异常主要有三个需要手动处理。org.springframework.validation.BindExceptionorg.springframework.web.bind.MethodArgument...
java调用ws-security+axis实现的webservice安全接口 调用
最新发布
12-28
Java调用WS-Security Axis实现的WebService安全接口,首先需要在Java代码中引入Axis相关的库,然后创建一个WebService客户端来调用目标WebService。在创建WebService客户端的过程中,需要配置WebService的安全凭据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值