Feign接口内部调用进行权限校验

最新推荐文章于 2024-06-03 10:40:39 发布
最新推荐文章于 2024-06-03 10:40:39 发布
阅读量8.9k 收藏 24
点赞数 5
分类专栏: springCloud 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014497669/article/details/116208231
版权

     在目前微服务的体系下,我们服务url的访问有两种,一种是从网关(gateway,zuul)路由进来,还有一种就是通过feign接口内部调用,那么结合spring-security就存在以下几种场景:

    1.外部请求从gateway访问,需要鉴权(任何CURD的操作).这是目前最常见的方式,用户正常登录提供token访问接口,我们不再需要做其他处理.

    2.外部请求从gateway访问,不需要鉴权(eg:刷新验证码,短信验证码获取...). 此时我们需要将放行的接口加入到ignore-urls配置里,可以不需要做鉴权处理

    3.内部服务使用feign调用,不需要鉴权(根据id查询信息...). 也需要将url加入到ignore-urls中,配置放行,但是这样一来,不仅仅是这个服务可以访问这个接口,其他服务也可以,甚至是外部请求也可以访问到,这样就会有很大的安全问题.

    鉴于上述第三种情况,我们配置了ignore-url和Feign,此时该接口不需要鉴权,服务内部通过Feign访问,服务外部通过url也可以访问,所以我们需要加入一种@RequestHeader(CommonConstants.WHERE)的处理方式。即在接口方法中,对头部进行判断,只有请求带上相应的Header参数时,才允许通过访问,否则抛出异常。那这时候其实我们在外网通过Gateway访问的时候,也可以手动带上这个Header参数,来达到这个目的。所以我们便在Gateway中设置了一个GlobalFilter过滤器,对来自外网通过Gateway手动拼接的参数进行过滤与清洗,具体代码见com.lfs.gateway.filter.LfsRequestGlobalFilter:

   

@Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 1. 请求头中where 参数删除
        ServerHttpRequest request = exchange.getRequest().mutate()
                .headers(httpHeaders -> httpHeaders.remove(CommonConstants.WHERE)).build();

        // 2. 重写StripPrefix
        addOriginalRequestUrl(exchange, request.getURI());
        String rawPath = request.getURI().getRawPath();
        String newPath = "/" + Arrays.stream(StringUtils.tokenizeToStringArray(rawPath, "/")).skip(1L)
                .collect(Collectors.joining("/"));
        ServerHttpRequest newRequest = request.mutate().path(newPath).build();
        exchange.getAttributes().put(REQUEST_URL_ATTR, newRequest.getURI());
        return chain.filter(exchange.mutate().request(newRequest.mutate().build()).build());
    }

下面是Inner注解的代码:

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface Inner {
   /**
    * 是否AOP统一处理(可以理解为是否仅允许Feign之间调用)
    *
    * @return false, true
    */
   boolean value() default true;

   /**
    * 需要特殊判空的字段(预留)
    *
    * @return {}
    */
   String[] field() default {};
}

接下来是框架中加入环绕切面:

@Slf4j
@Aspect
@AllArgsConstructor
public class SecurityInnerAspect {
   private final HttpServletRequest request;

   @SneakyThrows
   @Around("@annotation(inner)")
   public Object around(ProceedingJoinPoint point, Inner inner) {
      String header = request.getHeader(CommonConstans.WHERE);
      if (inner.value() && !StrUtil.equals(CommonConstans.WHERE, header)) {
         log.warn("访问接口 {} 没有权限", point.getSignature().getName());
         throw new BizException("Access is denied");
      }
      return point.proceed();
   }
}

合理的使用@Inner注解

   在我们的代码中,可以直接使用Inner注解的,下面结合Feign做一个简单的示例,比如获取用户信息这个接口:

在接口上使用@Inner注解,使得url无需鉴权
    /**
     * 获取指定用户全部信息
     *
     * @return 用户信息
     */
    @Inner
    @GetMapping("/info/{userId}")
    public Result getUserInfo(@PathVariable Integer userId) {
       SysUser user = userService.getOne(Wrappers.<SysUser>query()
             .lambda().eq(SysUser::getUserId, userId));
       if (user == null) {
          return Result.fail(null, String.format("用户信息为空 %s", userId));
       }
       return Result.success(userService.findUserInfo(user));
    }
  1. 编写Feign接口
@FeignClient(contextId = "userService", value = CommonConstans.USER_SERVER)
public interface UserService {
    /**
     * 通过用户id查询用户、角色信息
     *
     * @param 用户id
     * @param from     调用标志
     * @return R
     */
    @GetMapping("/user/info/{userId}")
    R<UserInfo> getUserInfo(@PathVariable("userId") Integer userId
          , @RequestHeader(CommonConstants.WHERE) String where);
}
  1. Feign-Client中调用接口,带上CommonConstants.WHERE参数为内部识别
/**
     * 用户密码登录
     *
     * @param userId用户名
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    @SneakyThrows
    public UserDetails loadUserByUserId(Integer userId) {
       R<UserInfo> result = userService.getUserInfo(userId, CommonConstants.WHERE);
       UserDetails userDetails = getUserDetails(result);
       cache.put(userId, userDetails);
       return userDetails;
    }

现在"/info/{userId}" 这个uri从网关外部我们访问是报错的(一般来说服务都是走网关暴露接口),而Feign内部带上参数是可以正常访问的.

zrx林夕
关注
  • 5
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
Feign调用失败NumberFormatException @Inner使用及原理
stone_ssy的博客
03-31 853
外部从Gateway访问,需要鉴权(eg.CURD操作)。这种是最常使用的,用户登录后正常访问接口,不需要我们做什么处理(可能有的接口需要加权限字段)。 外部从Gateway访问,不需要鉴权(eg.短信验证码)。需要我们将uri加入到security.oauth2.client.ignore-urls配置中,可以不需要鉴权访问 内部服务间用Feign访问,不需要鉴权(eg.Auth查询用户信息)。也是需要我们将uri加入到security.oauth2.client.ignore-urls配置中,那与第
springcloud-demo.zip
07-29
2. **智能路由**:Zuul 或 Gateway 作为 API 网关,用于路由请求到不同的服务,同时可以添加过滤器实现权限校验、监控等。 3. **断路器**:Hystrix 用于熔断机制,防止服务雪崩,保护整个微服务架构的稳定性。 4. **...
spring拦截器的使用
weixin_44324669的博客
03-15 619
一:新建拦截器的类 SpringMVC的拦截器HandlerInterceptorAdapter对应提供了三个preHandle,postHandle,afterCompletion方法。 preHandle在业务处理器处理请求之前被调用。 postHandle在业务处理器处理请求执行完成后,生成视图之前执行。 afterCompletion在DispatcherServlet完全处理完请求后被调用,可用于清理资源等 。 所以要想实现自己拦截器,需要继承HandlerInterceptorAdapter并重
springcloud Feign调用拦截器(统一处理拷贝请求头实现透传信息、内部调用鉴权、打印feign调用
最新发布
HumorChen的博客
06-03 525
实现接口 feign.RequestInterceptor 并注入到IOC容器即可生效。
Feign服务之间的鉴权问题
ruantiao3440的博客
05-23 2133
Feign服务调服务传递数据的时候,需要带token验证的,而调用那个用户服务的时候被用户服务方拦截然后没有token进不去接口,很明显的是因为没有token导致,那么Feign里面有提供一个接口叫做RequestInterceptor,只要实现这个接口,简单做一些处理,比如说我们验证请求头的token叫Access-Token,我们就先取出当前请求的token,然后放到feign请求头上,再去请求接口。 解决方案: 直接上代码 public class AuthRequestInterceptor i.
只要 3 个注解,优雅的实现微服务鉴权!
竹林幽深
04-17 681
经过第①步,鉴权已经下放给下游服务了,那么下游服务如何进行拦截鉴权呢?@Secured关于这三个注解就不再详细介绍了,有兴趣的可以去查阅官方文档。陈某这里并不打算使用的内置的三个注解实现,而是自定义了三个注解,如下:/*** @author 公众号:码猿技术专栏* @description 登录认证的注解,标注在controller方法上,一定要是登录才能的访问的接口*//*** @author 公众号:码猿技术专栏。
oauth2 绕过登录认证即可调取接口
weixin_43839457的博客
03-04 5091
最近公司想开发官网,之前的项目使用oauth2,所有接口都需要登录认证。官网接口空顶无法登录后再调取,所以想开放某些接口用于首页直接使用。
spring 技术】基于springboot实现微服务之间FeignClient调用,免认证的功能
dylan的博客
11-30 4034
spring 技术】基于springboot实现微服务之间FeignClient调用,免认证的功能,涉及OAuth2的拦截器OAuth2FeignRequestInterceptor 和AccessTokenContextRelay,即可实现内部feign调用免认证,也可以实现内部接口避免对外暴露
LIXF-Cloud:基于Spring Cloud Greenwich.SR1,Spring Cloud OAuth2和Spring Cloud Netflix&Element构建的微服务权限管理系统。系统特点:前分离,认证资源服务器分离,RBAC模型,第三方账号登录,多维度监控(Prometheus APM) :Docker容器监控,MySQL监控,微服务JVM监控,Redis监控),服务预警(邮件预警,企业微信预警),Skywalking服务追踪,ELK日志系统,Nacos集中管理配置和服务,Sent
03-24
集成Zipkin,方便跟踪Feign调用链; 集成ELK,集中管理日志,便于问题分析; 微服务Docker化,使用Docker Compose一键部署; 提供详细的使用文档和建造教程; 前初步请求参数校验,Excel导入导出,代码生成等。
lamp-cloud微服务脚手架
10-20
故在hibernate-validator的基础上封装了zuihou-validator-starter起步依赖,提供一个通用接口,可以获取需要校验表单的规则,然后前端使用后端返回的规则, 以后若规则改变,只需要后端修改即可。 12、防跨站脚本...
lamp-cloud微服务脚手架-其他
06-11
故在hibernate-validator的基础上封装了zuihou-validator-starter起步依赖,提供一个通用接口,可以获取需要校验表单的规则,然后前端使用后端返回的规则, 以后若规则改变,只需要后端修改即可。 12、防跨站脚本...
B2C的电商网站,基于SpringBoot微服务架构,采用前后端分离的方式开发.docx
07-02
微服务网关负责路由请求,同时集成限流和权限校验功能。 【Eureka服务注册中心】 Eureka是Spring Cloud中的服务注册与发现组件,所有微服务都会向Eureka注册,以便于服务间互相发现和调用。 【Hystrix Dashboard...
阿里云java短信验证码源码-tutor-server:基于SpringCloud全家桶的分布式微服务C2C模式RESTful风格前后端完全分
06-06
Cloud作为后端基础开发框架,Vue.js作为前端基础开发框架,以微服务架构进行设计,前后端完全分离,使用JWT作为无状态解决方案,提供RESTful风格的API、后台动态权限管理、第三方登录以及单点登录功能。系统可以为...
SpringCloud资源文件.zip
05-15
2. **Zuul**:API网关,它是一个边缘服务,也是整个系统的入口,负责请求的路由转发,同时可以实现过滤器功能,如权限校验、动态路由、限流、熔断等。 3. **Hystrix**:断路器,防止服务雪崩,当依赖服务出现故障时...
study-springcloud
03-31
3. **Zuul边缘服务与API网关**:Zuul作为SpringCloud的边缘服务,主要负责请求路由、过滤等功能,它是所有微服务的统一入口,可以实现动态路由、权限校验、监控统计等功能。 4. **Hystrix断路器**:Hystrix是...
springcloud 案例
11-13
4. **配置Zuul**:将Zuul设置为API网关,配置路由规则,指向各个微服务,并在此处实现全局的安全过滤器,拦截所有请求并进行权限校验。 5. **集成Hystrix**:在服务调用中添加Hystrix断路器,当服务不可用或者响应...
七:微服务调用组件Feign
Xx__WangQi的博客
04-12 1480
目录 JAVA 项目中如何实现接口调用? 1. 什么是Feign 1.1 优势 1.2 Feign的设计架构 1.3 Ribbon&Feign对比 1.4Feign单独使用 2. Spring Cloud Alibaba快速整合Feign 3. Spring Cloud Feign的自定义配置及使用 3.1 日志配置 3.2 契约配置 3.3 通过拦截器实现认证 3.4 超时时间配置 3.5 客户端组件配置 3.5.1 配置Apache HttpClient 3..
Fegin拦截器实现权限校验
sjy_2010的专栏
04-04 833
因业务需要调用另一个微服务接口,每次必须在头部携带令牌信息:Authorization 一、fegin远程接口定义 package com.song.cocoa.dmp.service.feign; import com.song.cocoa.dmp.config.AuthorizationInterceptor; import com.song.cocoa.dmp.config.FeignConfig; import com.song.cocoa.dmp.model.dto.AdvertCro
解决Nacos显示服务已注册,但RestTemplate和OpenFeign调用失败:UnknownHostException
暗诺星刻的博客
07-17 5761
最近笔者进行 Spring Cloud Alibaba 版本升级的时候,发生了一个奇怪的事情:Nacos 显示服务已注册,但 RestTemplate 和 OpenFeign调用却一直失败。具体来说,笔者的两个服务,均在 Nacos 网页管理页面中显示各自的服务名,但一个服务使用 OpenFeign 调用另一个服务时,一直失败,OpenFeign 的 fallback 类方法一直被触发,而且没有抛出任何异常。
feign调用内部接口
06-13
Feign可以用于调用内部接口,只需要在Feign接口上添加注解@FeignClient,并指定要调用的服务名称即可。同时,需要在配置文件中添加该服务的地址和端口。例如: ``` @FeignClient(name = "my-service") public interface MyServiceClient { @PostMapping("/api/my-service/do-something") String doSomething(); } ``` 在调用接口时,Feign会自动向注册中心查询my-service服务的地址,并通过该地址和端口访问接口
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zrx林夕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值