07.资源白名单token过期问题

最新推荐文章于 2024-06-07 19:37:47 发布
最新推荐文章于 2024-06-07 19:37:47 发布
阅读量93 收藏
点赞数
文章标签: java github 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/refrain6666/article/details/134792915
版权

在我的项目中,在网关中统一认证,资源服务器只进行鉴权。有些资源是开放的,不需要认证即可访问,这些资源定义在白名单当中:

/auth/**=
/**/open/**=
/checkcode/**=

但是出现这样一个问题:

若请求没有携带token,则访问一切正常。因为网关处不需要认证,资源服务器也没有token进行解析

但是如果请求携带了一个过期的token,那么就出现了问题,网关还是不会认证,但是资源服务器对token进行解析后防线token过期了。

解决方法:

在网关处的过滤器中,将白名单的请求的请求头中的token置为空:

/**
 * @author Mr.M
 * @version 1.0
 * @description 网关认证过虑器
 * @date 2022/9/27 12:10
 */
@Component
@Slf4j
public class GatewayAuthFilter implements GlobalFilter, Ordered {



    //白名单
    private static List<String> whitelist = null;

    static {
        //加载白名单
        try (
                InputStream resourceAsStream = GatewayAuthFilter.class.getResourceAsStream("/security-whitelist.properties");
        ) {
            Properties properties = new Properties();
            properties.load(resourceAsStream);
            Set<String> strings = properties.stringPropertyNames();
            whitelist= new ArrayList<>(strings);

        } catch (Exception e) {
            log.error("加载/security-whitelist.properties出错:{}",e.getMessage());
            e.printStackTrace();
        }


    }

    @Autowired
    private TokenStore tokenStore;


    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        String requestUrl = exchange.getRequest().getPath().value();
        AntPathMatcher pathMatcher = new AntPathMatcher();
        //白名单放行
        for (String url : whitelist) {
            if (pathMatcher.match(url, requestUrl)) {
                //将请求头中的令牌删除
                ServerHttpRequest request = exchange.getRequest().mutate().header("Authorization", "").build();
                exchange = exchange.mutate().request(request).build();

                return chain.filter(exchange);
            }
        }

        //检查token是否存在
        String token = getToken(exchange);
        if (StringUtils.isBlank(token)) {
            return buildReturnMono("没有认证",exchange);
        }
        //判断是否是有效的token
        OAuth2AccessToken oAuth2AccessToken;
        try {
            oAuth2AccessToken = tokenStore.readAccessToken(token);

            boolean expired = oAuth2AccessToken.isExpired();
            if (expired) {
                return buildReturnMono("认证令牌已过期",exchange);
            }
            return chain.filter(exchange);
        } catch (InvalidTokenException e) {
            log.info("认证令牌无效: {}", token);
            return buildReturnMono("认证令牌无效",exchange);
        }

    }

    /**
     * 获取token
     */
    private String getToken(ServerWebExchange exchange) {
        String tokenStr = exchange.getRequest().getHeaders().getFirst("Authorization");
        if (StringUtils.isBlank(tokenStr)) {
            return null;
        }
        String[] s = tokenStr.split(" ");
        if(s.length<2){
            return "";
        }
        String token=s[1];
        if (StringUtils.isBlank(token)) {
            return null;
        }
        return token;
    }




    private Mono<Void> buildReturnMono(String error, ServerWebExchange exchange) {
        ServerHttpResponse response = exchange.getResponse();
        String jsonString = JSON.toJSONString(new RestErrorResponse(error));
        byte[] bits = jsonString.getBytes(StandardCharsets.UTF_8);
        DataBuffer buffer = response.bufferFactory().wrap(bits);
        response.setStatusCode(HttpStatus.UNAUTHORIZED);
        response.getHeaders().add("Content-Type", "application/json;charset=UTF-8");
        return response.writeWith(Mono.just(buffer));
    }


    @Override
    public int getOrder() {
        return 0;
    }
}
refrain6666
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
请求时token过期自动刷新token操作
10-14
主要介绍了请求时token过期自动刷新token操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
SpringCloud Gateway网关 全局过滤器[header token] 实现用户鉴权,白名单
小哇
01-28 2291
前提:先保证Gateway网关项目 和 Nacos注册中心 等可以正常访问和调用,搭建方法可查看博文https://blog.csdn.net/qq_41712271/article/details/113358022 业务流程 核心代码 package cn.huawei.filter; import org.apache.commons.lang.StringUtils; import org.springframework.cloud.gateway.filter.GatewayFilterCh
生成token以及白名单过滤
2302_77595648的博客
01-19 523
/ 尝试从localStorage中获取名为"expireTime"的数据项 const storedExpireTime = localStorage.getItem('expireTime');// 检查当前时间是否已经超过存储的过期时间戳 if (currentTime > storedExpireTime) { // 如果超过了,清除localStorage中的token, user_id和expireTime localStorage.removeItem('token');
Spring Boot接入SaToken简单使用
running17的博客
03-20 1725
Spring Boot接入SaToken简单使用
token在前后端分离的应用(不包含分布式)
weixin_59766629的博客
11-09 98
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且==安全==的,特别适用于==分布式站点的单点登录(SSO)场景==。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。官网:jwt的结构Header。
gateway配合yml文件定义白名单配置全局拦截器验证jwt的token
weixin_55695475的博客
11-30 529
【代码】gateway配合yml文件定义白名单配置全局拦截器验证jwt的token
自定义spring security oauth2 /oauth/token以及token失效/过期的返回内容格式
热门推荐
qq_37634156的博客
06-12 1万+
在整合Spring Security Oauth2的时候,获取token的接口/oauth/token的返回内容格式为固定的,如下图所示:而token过期或者无效的返回参数格式如下图所示:实际在我们的项目中有时候会要求自定义返回内容格式,下面分别介绍获取tokentoken失效/过期的自定义返回内容格式。 2、创建获取token接口返回值的转换类 创建一个类来完成对获取token接口的返回参数进行转换成我们自定义的格式,这里使用到了@JsonSerialize注解,该注解主要用于数据转换,不知
Android token过期刷新处理的方法示例
08-26
主要介绍了Android token过期刷新处理的方法示例,本文详细的介绍了2种方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
.Net微信开发之如何解决access_token过期问题
10-22
主要为大家详细介绍了.Net微信开发之如何解决access_token过期问题的方法,感兴趣的小伙伴们可以参考一下
Vue 拦截器对token过期处理方法
08-28
下面小编就为大家分享一篇Vue 拦截器对token过期处理方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
204.获取access_token
01-06
access_token是公众号的全局唯一接口调用凭据,公众号调用各接口时都需使用access_token开发者需要进行妥善保存。access_token的存储至少要保留512个字符空间。access_token的有效期目前为2个小时,需定时刷新,...
java环境部署
JiuMeilove的博客
06-04 394
如果你电脑已经下载了 jdk ,那你可以跳过这一步了我这里下载的是java21 你们可以选择自己需要下载的游览进去的页面是这样子的(相比以前这个页面发生很大变化了),可以看见目前 jdk 已经发行到 17 了,jdk 它又分了三个个操作系统,一个是 Linux、一个是 macOS、以及 windows,如果你是在 windows 操作系统上,那当然就下载 windows 对应的 jdk,其次的话就是还会区分你操作系统的处理器是 32 位的还是 64 位的,可以点击 我的电脑 - 属性 查看。
finereport 9.0 Tomcat 集群-来自帆软
chenmingfa110的博客
06-07 575
APACHE_HOME %为你的安装目录。对于每个新来的session,Apache按照节点配置中的lbfactor比重选择访问节点,如果某节点node1不能访问,则寻找下一可访问节点,并且将此node1就在该访问session的访问黑名单中,以后该session的访问直接不考虑node1,即使node1又可以访问了。注:由于这里三个tomcat全在一台机器上,所以需要修改三种类型的端口号,如果是在不同的机器上,则只需要修改AJP13的connector的port,其他端口号不需要修改。
java中Overload和Override的区别
codedadi的博客
06-04 579
当调用Dog对象的makeSound方法时,将执行Dog类中的方法,而不是Animal类中的方法。定义:在子类中,有一个与父类同名、同参数列表、同返回类型(或协变返回类型)的方法,则称子类中的该方法为父类同名方法的重写。子类方法的访问权限不能低于父类方法的访问权限(如父类方法为public,则子类方法也必须是public)。Override(重写):子类与父类之间,方法名、参数列表和返回类型(或协变返回类型)相同。定义:在同一个类中,方法名相同但参数列表(参数类型、参数数量或参数顺序)不同的多个方法。
Spring异步任务@Async的默认线程池执行器是如何初始化的
简放视野的专栏
06-03 640
Spring异步任务@Async的默认线程池执行器,是从哪里来?是如何初始化的? 【结论】异步任务@Async的默认线程池执行器是通过TaskExecutionAutoConfiguration#applicationTaskExecutor自动注入的。
拼图小游戏
lazy_girl_666的博客
06-03 720
把A对象的属性值完全拷贝给B对象,也叫对象拷贝,对象复制。
线程池的工作原理
qq_42301955的博客
06-05 546
线程池总结
SpringBoot项目启动提示端口号占用
最新发布
点滴汇聚,智在积累。——Danny
06-07 89
通过netstat查看当前端口号并没有被占用啊,那可能是使用了系统保留端口,通过。1、换个端口(不在系统保留端口的范围)于是换个端口号试试,还是提示占用。2、关闭hyper-v。
Springboot vue3 elementplus 景点评论数据分析与可视化系统源码
scian22的博客
06-04 442
系统演示:链接:https://pan.baidu.com/s/1J056R4rYji_mc4gwteZEzg?
storage.set 设置token过期时间
05-01
因此,在存储 token 时,我们需要设置一个过期时间,避免使用过期token 造成安全问题。 在使用 storage.set 方法设置过期时间时,我们需要先获取当前时间戳,并在此基础上加上 token 的有效期,得到 token 过期...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值