使用spring boot gateWay跳过某些服务鉴权

已于 2024-05-16 14:28:59 修改
阅读量241 收藏
点赞数 2
分类专栏: Java gateway 鉴权 文章标签: spring boot gateway 后端 java
于 2024-05-16 14:28:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scdn_wyy/article/details/138959560
版权
Java 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
gateway
1 篇文章 0 订阅
订阅专栏
鉴权
1 篇文章 0 订阅
订阅专栏

目标:项目中使用spring boot gateway时会对服务请求进行鉴权,虽然可以在gateway服务的白名单中配置从而跳过鉴权,当可能存在某些接口不能向外暴露的情况,此时通过代码进行跳过鉴权的功能。
实现:在gateway中添加过滤器,实现GlobalFilter接口重写filter方法,并配置一个万能token(服务鉴权获取token,此时没有token,我们可以手动生成一个万能token保存起来,例如:在redis中设置一个不会过期的万能token),然后在跳转其他过滤器。
代码如下:

@Component
public class SkipAuthGlobalFilter  implements GlobalFilter, Ordered {

    @Resource
    private RedisUtil redisUtil;
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        RequestPath path = exchange.getRequest().getPath();
        String s = path.toString();
        if (s.contains("web/ec")) {
            // 假设你的令牌通常在Authorization头中
            String authorizationHeader = exchange.getRequest().getHeaders().getFirst(HttpHeaders.AUTHORIZATION);

            if (authorizationHeader == null || !authorizationHeader.startsWith("Bearer ")) {
                ServerHttpRequest request = exchange.getRequest();
                // 如果没有有效的令牌,分配默认令牌
                String token = SnowFlake.nextId();
                redisUtil.set("longToken",token);
                String defaultToken = token;
                ServerHttpRequest newRequest = request.mutate()
                        .header(HttpHeaders.AUTHORIZATION, "Bearer " + defaultToken)
                        .build();
                ServerWebExchange build = exchange.mutate().request(newRequest).build();
                return chain.filter(build);
            }else {
                return chain.filter(exchange);
            }
        } else {
            // 如果不是跳过鉴权的请求,则正常进行鉴权逻辑
            // 如果鉴权成功,则继续调用下一个过滤器或路由
            return chain.filter(exchange);
        }
    }


    @Override
    public int getOrder() {
        // 确保这个全局过滤器是在Spring Cloud Gateway的其他过滤器之前
        return -30000;
    }
}

上面代码中获取请求路径,判断是否包含【web/ec】如果满足条件则我们会手动赋值一个token并传入Authorization头,这里token使用雪花算法生产,具体实现可参考自己项目,使用上面提到的万能token。
赋值完成后,会重新生成一个serverHttpRequest类并转化为新的ServerWebExchange传入下一个过滤器。

getOrder方法中返回值的大小决定了过滤器执行的先后顺序
例如:我当前项目的一个过滤器是-200,这个过滤器会进行具体的鉴权
但是我这个新写的过滤器要在他之前执行,所以我的返回值就要比-200小来保证先执行我的过滤器

最后:不建议对服务请求跳过鉴权,否则没办法保证安全性,只是只对某些特定的需求进行处理。比如用户想不登录访问几个页面,此时就可以针对特定的接口跳过鉴权进行处理。

scdn_wyy
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在构建分布式系统时,Spring Cloud Gateway 作为微服务架构中的边缘服务或 API 网关,扮演着至关重要的角色。它负责路由请求到相应的微服务,并可以提供过滤器功能,如限流、熔断等。而Spring Security 则是 Java ...
详解Spring boot Admin 使用eureka监控服务
08-28
"Spring Boot Admin 使用 Eureka 监控服务详解" 本篇文章主要介绍了如何使用 Spring Boot Admin 结合 Eureka 服务注册和发现功能来监控服务。下面将详细介绍 Spring Boot Admin 的搭建过程和关键配置。 Eureka ...
spring cloud gateway 某些路由中跳过全局过滤器
02-24 9320
Spring Cloud Gateway中GlobalFilter可以方便的全局拦截或统计,有时候希望在某些路由中可以跳过GlobalFilter,可以通过GatewayFilter与GlobalFilter组合来实现。 1. 新建项目 新建一个 Spring Cloud Gateway的项目,添加对应的依赖 2. GlobalFilter https://www.jianshu.com...
gateway网关细粒度至 指定接口 免鉴权实现
programming132的博客
06-22 501
首先,我们先简单了解一下 JWT 的原理。是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。头部(Header)头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。在头部指明了签名算法是HS256算法。我们进行BASE64编码载荷(playload)载荷就是存放有效信息的地方,这里会在 生成 JWT时将信息进行编码。
SpringBoot接口去掉鉴权,直接调用
qq_34377273的博客
10-11 2261
在启动项注解中增加即可: org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class /** * 启动程序 * * @author soundai */ @EnableApolloConfig @SpringBootApplication(exclude = {DataSourceAutoConfiguration.class, org.springframewo.
spring boot 2.x静态资源会被拦截器拦截的原因和解决方法。
qq_33879627的博客
06-02 767
spring boot 1.5.x中,resources/static目录下的静态资源可以直接访问,并且访问路径上不用带static,比如静态资源放置位置如下图所示: 那么访问静态资源的路径可以是: http://localhost:8080/views/demoindex.html http://localhost:8080/res/js/jquery.min.js 当有配置自定义HandlerInterceptor拦截器时,请求以上静态资源路径不会被拦截。自定义HandlerInterceptor拦
springBoot JWT实现websocket的token登录拦截认证
god_sword_的博客
07-03 2849
springBoot JWT实现websocket的token登录拦截认证 功能:所有关于websocket的请求必须登录,实现websocket需要登录后才可使用,不登录不能建立连接。
JSP spring boot / cloud 使用filter防止XSS
10-19
主要介绍了JSP spring boot / cloud 使用filter防止XSS的相关资料,需要的朋友可以参考下
spring boot网关和配置服务
最新发布
01-05
基于Spring Boot网关服务使用Spring Cloud Consul集成,Spring Boot的自动配置能快速建立与Consul的连接,能够提供服务发现和集中式配置功能,方便动态集成,易于实现。文章查看:...
Spring Cloud Gateway 服务网关快速实现解析
08-25
Spring Cloud Gateway 服务网关快速实现解析 Spring Cloud GatewaySpring Cloud 微服务平台的一个子项目,属于 Spring 开源社区,依赖名叫:spring-cloud-starter-gateway。它构建于 Spring 5+,基于 Spring ...
Spring cloud Gateway
weixin_44321211的博客
11-29 336
自定义过滤器 Spring Cloud Gateway—自定义过滤器 注意: 指定过滤器,需要继承 AbstractGatewayFilterFactory 优点:可在配置文件中配置,可以为某个服务指定过滤器, 只需把filter对应的名字写入配置文件即可。 这里值得注意的是, 如果你filter的名称后缀是 GatewayFilterFactory 如 TestGatewayFilterFactory 在配置文件中只需要写Test即可 如果不是那就写全称就可以了 官方提供过滤器 移除前缀  向下游请求时移
SpringBoot跳过权限验证配置
风起尘落的博客
07-01 5640
security.basic.enabled = false interceptor.exclude.path = /**
Java - SpringBoot整合Shiro之二(权限授权和认证跳过
Zong_0915的博客
11-14 4475
再看这篇文章之前,可以先过一遍SpringBoot整合Shiro,附带源码。这篇文章为该篇文章的进阶内容。目前为止,我在整合Shirojwt:自定义的JwtFilter过滤器,拦截所有的请求/**。anno:默认实现,。无需认证也可以访问。/login。logout:默认实现,。就是登出的时候的配置。/logout。本文没做相关的实现。不管他。我们在本环节只关注第二个。实际开发中,肯定是有一些接口是不需要经过登录认证的。我举个例子,你在看斗鱼直播的时候,在没登录的情况下,菜单数据也能出来、直播也能看。
搭建Gateway网关并加入Token鉴权逻辑
Mccson的博客
11-24 754
网关鉴权前置过滤器(判断请求&获取或生成Token&生成包含了用户信息的传递至下游服务的Request)
Springboot集成security,自定义@Anonymous标签实现免登录,免鉴权
evil_lrn的博客
02-16 5124
首先,项目springboot使用了2.6.8版本,集成security的过程中,使用了比较严格的自定义策略,任何请求都需要认证和授权,判断用户是否有查询改接口的权限。并且提供了配置或者注解两种方式提供匿名访问的接口。引起需要收集@Anonymous注解标注的controller。于是就像参照spring启动扫描注解的方式实现,然后自定义了。参照spring scan。第二种使用自定义注解。
SpringWeb项目越权漏洞以及解决方案
luostudent的博客
04-12 7869
越权漏洞是什么,如何解决?
SpringBoot2.* GateWay网关中关闭security验证
懂哥的博客
08-23 1051
package com.njcb.corp.gateway.security; import lombok.extern.slf4j.Slf4j; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.reactive..
【微服务服务网关Gateway
m0_64210833的博客
03-14 461
⼤家都都知道在微服务架构中,⼀个系统会被拆分为很多个微服务。那么作为客户端要如何去调⽤ 这么多的微服务呢?如果没有⽹关的存在,我们只能在客户端记录每个微服务的地址,然后分别去调⽤。这样的架构,会存在着诸多的问题:客户端多次请求不同的微服务,增加客户端代码或配置编写的复杂性认证复杂,每个服务都需要独⽴认证。微服务做集群的情况下,客户端并没有负责均衡的功能上⾯的这些问题可以借助。
Spring Cloud Gateway实现统一认证和鉴权
05-17
Spring Cloud Gateway是一个基于Spring Boot 2.x的API网关,可以作为微服务架构中的统一入口,提供路由、转发、负载均衡、限流、降级、统一认证和鉴权等功能。在实现统一认证和鉴权时,可以结合Spring Security和JWT...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

scdn_wyy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值