Spring Security【四】微服务权限方案

最新推荐文章于 2023-07-13 17:02:14 发布
最新推荐文章于 2023-07-13 17:02:14 发布
阅读量947 收藏 1
点赞数
分类专栏: Spring Security 文章标签: spring boot spring security 安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rex1129/article/details/114589484
版权

视频链接:SpringSecurity框架教程
文章源码:https://github.com/geyiwei-suzhou/spring-security

认证授权过程

单点登录 sso
(1)如果是基于Session,那么Spring-Security会对cookie里的sessionid进行解析,找到服务器存储的session信息,然后判断当前用户是否符合请求的要求
(2)如果是token,则是解析出token,然后将当前请求加入到Spring-security管理的权限信息中去

过程分析
将token返回给前端,前端将token存入到cookie中,访问后端是将token放入header中,后端Spring Security取到token获取权限列表,比对是否有操作权限

需求分析

微服务权限管理案例主要功能:

  1. 登录(认证)
  2. 添加角色
  3. 为角色分配菜单
  4. 添加用户
  5. 为用户分配角色
数据模型
  1. 权限管理数据模型
  • 菜单:id,name
  • 角色:id,name
  • 用户:id,name
  • 角色菜单关系表:id,cid,rid
  • 用户角色关系表:id,uid,rid

建表语句下载, 提取码: bhfc

  1. 案例涉及技术说明

    • Maven:创建父工程:管理项目依赖版本
      创建子模块:使用具体依赖
    • Spring Boot:本质就是Spring
    • MyBatisPlus 操作数据库框架
    • Spring Cloud:
      (1)Gateway 网关
      (2)注册中心 Nacos

    其他技术:

    • Redis
    • Jwt
    • Swagger

    前端技术

搭建项目工程
  1. 创建父工程 acl_parent:管理依赖版本
  2. 在父工程创建子模块
    (1)common
    * service_base:权限配置
    * spring_security:权限配置
    (2)infrastructure
    * api_gateway:网关
    (3)service
    * service_acl:权限管理微服务模块
整合网关和前端
  1. 网关:
    修改api_gateway/application.properties中mysql、redis参数
  2. 前端
    修改 config/dev.env.js、login.js 参数
    BASE_API: '"http://localhost:8222"'

    url: '/admin/acl/login'
url: '/admin/acl/index/info'
url: '/admin/acl/index/logout'
url: '/admin/acl/index/menu'
启动测试
  1. 启动Redis
  2. 启动Nacos
  3. 启动后端 api_gateway、service_acl
  4. 启动前端: npm run dev
  5. 访问:用户名 admin、密码 111111
认证流程详解

认证过程

  1. UsernamePasswordAuthenticationFilter

(1)第一步 过滤的方法,判断提交方式是否是post提交 AbstractAuthenticationProcessingFilter.doFilter
(2)第二步 调用子类的方法进行身份认证 认证成功之后把认证信息封装到对象里面 Authentication
UsernamePasswordAuthenticationFilter.attemptAuthentication 方法
子类中 attemptAuthentication 方法:判断post请求,获取提交的用户名密码、构造成对象标记为未认证,把请求一些属性信息设置到对象里,调用方法进行身份认证(调用userDetailsService
(3)第三步 session策略处理 sessionStrategy.onAuthentication
(4)第四步
1 认证失败抛出异常,执行认证失败的方法 unsuccessfulAuthentication
ExceptionTranslactionFilter
2 认证成功,调用认证成功的方法 successfulAuthentication
2. ProviderManager

权限访问流程详解

ExceptionTranslationFilter过滤器和FilterSecurityInterceptor过滤器

  1. ExceptionTranslationFilter
    (1)前端请求,直接放行
    (2)如果抛出异常,进行捕获,进行处理
  2. FilterSecurityInterceptor
    (1)判断请求是否有权限
    (2)进行springmvc处理
认证信息共享

认证信息
(1)认证成功的方法,把认证信息对象方法对象中
successfulAuthentication

SecurityContextHolder.getContext().setAuthentication(authResult);

(2)SecurityContext对象
对Authentication进行封装
(3)SecurityContextHolder
使用ThreadLocal和线程绑定
(4)SecurityContextPersistenceFilter

geyiwei-suzhou
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security3动态权限
06-15
struts2 + spring3 + hibernate3 + spring security3 + mysql + tomcat sys_users;sys_roles;sys_authorities;sys_resources;sys_users_roles;sys_roles_authorities;sys_authorities_resources; PS:此项目运行不...
SpringCloud微服务权限控制(一)概述
热门推荐
weihao_的博客
09-27 6万+
从单体应用到SOA应用再到Spring Cloud微服务构架,应用的安全访问都是非常重要的问题,怎么样设计微服务权限控制?首先,权限控制可以分为三个部分:用户认证,服务权限,用户权限。 用户认证 用户认证,简单的讲,可以简化为应用对用户登录状态的认证。传统的单体应用,使用session来进行用户认证,但是这种方式已经不适合微服务的场景了;微服务的结构下,可以通过分布式session来解决,也...
别再让你的微服务裸奔了,基于 Spring Session & Spring Security 微服务权限控制
SpringForAll的博客
10-29 749
微服务架构 网关:路由用户请求到指定服务,转发前端 Cookie 包含的 Session 信息; 用户服务:用户登录认证(Authentication),用户授权(Authority),用户管理(Redis Session Management) 其他服务:依赖 Redis 用户信息进行接口请求验证 用户 - 角色 - 权限表结构设计 权限权限表最小粒度的控制单个功能,例如用...
SpringSecurity微服务权限解决方案
ybb_ymm的专栏
04-16 1112
微服务(或称微服务架构)是一种云 原 生 架构方法,在单个应用包含众多松散耦合而且可单独部署的小型组件或服务。这些服务通常拥有自己的技术栈,包括数据库和数据管理模型;通过一个 rest api、事件流和 消 息 代 理组合彼此通信;以及 按照业务能力进行组织,具有通常称为有界上下文的服务分隔线。
SpringSecurity微服务权限方案
Java追求者的博客
05-26 717
1. 什么是微服务 1.1 微服务由来 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集式管理。 1.2 微服务优势 (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对
SpringSecurity--权限管理架构介绍
qq_53868937的博客
07-13 1479
也有很多公司选择⾃定义权限,即⾃⼰开发权限管理。但是⼀个系统的安全,不仅 仅是登录和权限控制这么简单,我们还要考虑种各样可能存在的⽹络政击以及防彻 策略,从这个⻆度来说,开发者自己实现安全管理也并⾮是⼀件容易的事情,只有 ⼤公司才有⾜够的⼈⼒物⼒去⽀持这件事情。
springSecurity 微服务权限方案
xxx_live_anyd的博客
11-05 1728
springSecurity 微服务权限方案
SpringSecurity 微服务权限管理
weixin_43328816的博客
04-30 1466
1.什么是微服务微服务的优势: 微服务的每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来说比较好解决。 微服务每个模块都可以使用不同的存储方式(比如Redis,mysql)数据库也是单个模块对应自己的数据库 微服务每个模块都可以使用不同的开发技术,开发模式增加灵活 微服务的本质 2.微服务认证与授权过程: 3.微服务权限管理数据模型 ...
SpringSecurity踩坑记录-登录成功404
Know Destiny的博客
11-28 1846
方法入口:org.springframework.web.servlet.resource.ResourceHttpRequestHandler的handleRequest方法。①:org.springframework.web.servlet.resource.ResourceHttpRequestHandler的handleRequest方法。继续往上走:(1)org.springframework.web.HttpRequestHandler.handleRequest()方法。
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
IDEA + SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证,security过滤请求资源,用户登录获取用户角色权限,过滤用户非法请求等
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
Spring security权限管理
weixin_47072986的博客
04-02 3679
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。​ 使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
谷粒学院SpringSecurity认证流程详解
小鲁蛋的博客
03-19 1142
CSRF攻击依靠的是Cookie所携带的认证信息,但是在前后端分离的项目我们的认证信息其实是token,而token并不是存储Cookie,并且需要前端代码去把token设置到请求头才可以,所以CSRF攻击也就不用担心了。:提供核心用户信息。如果在对用户信息,密码验证的过程抛出异常,此时会判断用户信息是否从缓存得到,考虑到数据是不实时的,重新通过retrieveUser方法去取出用户信息,再次重复进行检查验证。我们系统会有许多用户,确认当前是哪个用户正在使用我们系统就是登录认证的最终目的。
初学springSecurity登入登出404各种失败,在配置上理解的坑
qq28117036的博客
05-14 6705
formLogin()的过滤链的配置 关于登入的配置,有以下几种API loginPage("/loginPage") //自定义的 登入页面,如果不指定,springSecurity就会用自带的很丑的login页面 loginProcessingUrl()// 这是登入处理的跳转url(如果配置,相当于在登入请求,横切入一个跳转url,也就是从一条完整的登入请求url间,再加入一个) // 情况1: formLogin().defaultSuccessUrl("/success").failure
spring security 前后端开发 后台登录报 404
lugangfeng123的博客
07-16 4726
这篇文章是在spring security框架下,在前后端分离开发项目,使用登录窗口进行登录,遇到了以下问题 从前端,查找发现 代码运行到地址匹配就出错,那么可以锁定问题根源在于前端地址请求,后端无法响应。 从后端spring seurity配置类查找,发现TokenWebSecurityConfig类configure方法存在问题 public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapte...
史上最全的微服务权限控制方案
m0_73311735的博客
12-31 1735
1、将shrio和网关gateway放在同一个服务,但是这就带来一个问题,众所周知,shrio的数据心realm需要用到用户服务当的数据(查询用户、角色、权限之间的关系及数据),因此这里shrio就需要使用服务发现组件(我这里用的dubbo)去发现用户服务,但是用户服务的登录又需要用到shrio的认证,到这里可能有人要说了,可以在用户服务再去远程调用shrio服务啊,如果这种方法可以的话大家就可以用这种方法就不用往下看了…所以这就造成两个服务耦合在一块儿去了,这种方法直接pass掉。
springsecurity微服务
最新发布
08-11
微服务是一种架构模式,它将一个大型的应用程序拆分成多个小型的独立服务,每个服务负责一个特定的业务功能。微服务具有独立部署、运行和升级的能力,同时通过松耦合的结构和统一的整体表现,实现了应用的敏捷开发和部署。123 #### 引用[.reference_title] - *1* *2* *3* [springSecurity 微服务权限方案](https://blog.csdn.net/xxx_live_anyd/article/details/127699171)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值