微服务架构下如何获取用户信息并认证?

最新推荐文章于 2024-05-28 23:11:35 发布
最新推荐文章于 2024-05-28 23:11:35 发布
阅读量1.8k 收藏
点赞数
分类专栏: Spring Cloud 文章标签: 架构 微服务 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/unbelievevc/article/details/128364983
版权

在传统的单体项目中,我们对用户的认证通常就在项目里面,当拆分成微服务之后,一个业务操作会涉及多个服务。那么怎么对用户做认证?服务中又是如何获取用户信息的?这些操作都可以在 API 网关中实现。

动态管理不需要拦截的 API 请求

并不是所有的 API 都需要认证,比如登录接口。我们需要一个能够动态添加 API 白名单的功能,凡是在这个白名单当中的,我们就不做认证。这个配置信息需要能够实时生效,这就用上了我们的配置管理 Apollo。

在 API 网关中创建一个 Apollo 的配置类,代码如下所示。

  1. @Data
  2. @Configuration
  3. public class BasicConf {
  4. // API接口白名单, 多个用逗号分隔
  5. @Value("${apiWhiteStr:/zuul-extend-user-service/user/login}")
  6. private String apiWhiteStr;
  7. }

编写认证的 Filter,代码如下所示。

  1. /**
  2. * 认证过滤器
  3. **/
  4. public class AuthFilter extends ZuulFilter {
  5. @Autowired
  6. private BasicConf basicConf;
  7. public AuthFilter() {
  8. super();
  9. }
  10. @Override
  11. public boolean shouldFilter() {
  12. return true;
  13. }
  14. @Override
  15. public String filterType() {
  16. return "pre";
  17. }
  18. @Override
  19. public int filterOrder() {
  20. return 1;
  21. }
  22. @Override
  23. public Object run() {
  24. RequestContext ctx = RequestContext.getCurrentContext();
  25. String apis = basicConf.getApiWhiteStr();
  26. // 白名单,放过
  27. List<String> whileApis = Arrays.asList(apis.split(","));
  28. String uri = ctx.getRequest().getRequestURI();
  29. if (whileApis.contains(uri)) {
  30. return null;
  31. }
  32. // path uri 处 理
  33. for (String wapi : whileApis) {
  34. if (wapi.contains("{"} && wapi.contains(")")) {
  35. if (wapi.split("/").length == uri.split("/").length) {
  36. String reg = wapi.replaceAll("\\{.*}", ".*{1,}");
  37. Pattern r = Pattern.compile(reg);
  38. Matcher m = r.matcher(uri);
  39. if (m.find()) {
  40. return null;
  41. }
  42. }
  43. }
  44. }
  45. return null;
  46. }
  47. }

在 Filter 中注入我们的 BasicConf 配置,在 run 方法里面执行判断的逻辑,将配置的白名单信息转成 List,然后判断当前请求的 URI 是否在白名单中,存在则放过。

下面还有一段是 Path URI 的处理,这是解决 /user/{userId} 这种类型的 URI,URI 中有动态的参数,直接匹配是否相等肯定是不行的。

最后配置 Filter 即可启用,代码如下所示。

  1. @Bean
  2. public AuthFilter authFilter() {
  3. return new AuthFilter();
  4. }

当有不需要认证的接口时,直接在 Apollo 后台修改一下配置信息即可实时生效。

创建认证的用户服务

用户服务是每个产品必备的一个服务,可以管理这个产品的用户信息。我们用到的用户服务只是演示认证,所以只提供一个登录的接口即可。

登录接口代码如下所示。

  1. /**
  2. * 用户登录
  3. *
  4. * @param query
  5. * @return
  6. */
  7. @ApiOperation(value = "用户登录", notes = "企业用户认证接口,参数为必填项")
  8. @PostMapping("/login")
  9. public ResponseData login(@ApiParam(value = "登录参数", required = true) @RequestBody LoginQuery query) {
  10. if (query == null || query.getEid() == null || StringUtils.isBlank(query.getUid())) {
  11. return ResponseData.failByParam("eid 和 uid 不能为空");
  12. }
  13. return ResponseData.ok(enterpriseProductUserService.login(query.getEid(), query.getUid()));
  14. }

Service 中的 login 方法用来判断是否成功登录,成功则用 JWT 将用户 ID 加密返回一个 Token。此处只是为了模拟,真实环境中需要去查数据库,代码如下所示。

  1. public String login(Long eid, String uid) {
  2. JWTUtils jwtUtils = JWTUtils.getInstance();
  3. if (eid.equals(1L) && uid.equals("1001")) {
  4. return jwtUtils.getToken(uid);
  5. }
  6. return null;
  7. }

路由之前的认证

除了我们之前讲解的,一些 API 由于特殊的需求,不需要做认证,我们可以用配置的方式来放行,其余的都需要认证,只有合法登录后的用户才能调用。当用户调用用户服务中的登录接口,登录成功之后就能拿到 Token,在请求其他的接口时带上 Token,就可以在 Zuul 的 Filter 中对这个 Token 进行认证。

验证逻辑和之前的 API 白名单是在一个 Filter 中进行的,在 path uri 处理之后进行认证,代码如下所示。

  1. // 验证 TOKEN
  2. if (!StringUtils.hasText(token)) {
  3. ctx.setSendZuulResponse(false);
  4. ctx.set("isSuccess", false);
  5. ResponseData data = ResponseData.fail("非法请求【缺少 Authorization 信息】", ResponseCode.NO_AUTH_CODE.getCode());
  6. ctx.setResponseBody(JsonUtils.toJson(data));
  7. ctx.getResponse().setContentType("application/json; charset=utf-8");
  8. return null;
  9. }
  10. JWTUtils.JWTResult jwt = jwtUtils.checkToken(token);
  11. if (!jwt.isStatus()) {
  12. ctx.setSendZuulResponse(false);
  13. ctx.set("isSuccess", false);
  14. ResponseData data = ResponseData.fail(jwt.getMsg(), jwt.getCode());
  15. ctx.setResponseBody(JsonUtils.toJson(data));
  16. ctx.getResponse().setContentType("application/json; charset=utf-8");
  17. return null;
  18. }
  19. ctx.addZuulRequestHeader("uid", jwt.getUid());

从请求头中获取 Token,如果没有就拦截并给出友好提示,设置 isSuccess=false 告诉下面的 Filter 不需要执行了。有 Token 则验证 Token 的合法性,合法则放行,不合法就拦截并给出友好提示。

向下游微服务中传递认证之后的用户信息

传统的单体项目中我们通常都是使用 Session 来存储登录后的用户信息,但这样会导致做了集群后的用户信息有问题,在 A 服务上登录了,下次被转发到 B 服务区,又得重新登录一次。为了解决这个问题,通常采用 Session 共享的方式来解决,比如 Spring Session 这种框架。

在微服务下如何解决这个问题呢?为了提高并发性能,方便快速扩容,服务都被设计成了无状态的,不需要对每个服务都进行用户是否登录的判断,只需要统一在 API 网关中认证好即可。

在 API 网关中认证之后如何把用户信息传递给下方的服务就是我们需要关注的了,在 Zuul 中可以将认证之后的用户信息通过请求头的方式传递给下方服务,比如如下代码所示的方式。

  1. ctx.addZuulRequestHeader("uid", jwt.getUid());

在具体的服务中就可以通过 request 对象来获取传递过来的用户信息,代码如下所示。

  1. @GetMapping("/article/callHello")
  2. public String callHello() {
  3. System.err.println("用户ID:" + request.getHeader("uid"));
  4. return userRemoteClient.hello();
  5. }

内部服务间的用户信息传递

关于用户信息的传递问题,我们知道从 API 网关过来的请求,经过认证之后是可以拿到认证后的用户 ID,这时候我们可以通过 addZuulRequestHeader 的方式将用户 ID 传递到我们转发的服务上去,但如果从网关转发到 A 服务,A 服务需要调用 B 服务的接口,那么我想在 B 服务中也能通过 request.getHeader(“uid”) 去获取用户 ID,这个时候该怎么处理?

关于这种需求,我的建议是直接通过网关转发过去的接口。我们可以通过 request.getHeader(“uid”) 来获取网关带过来的用户 ID,然后服务之前调用的话可以通过参数的方式告诉被调用的服务,A 服务调用 B 服务的 hello 接口,那么 hello 接口中增加一个 uid 的参数即可,此时的用户 ID 是网关给我们的,已经是认证过的了,可以直接使用。

如果想做成类似于 Session 共享的方式也可以,那么当 A 服务调用 B 服务时,你就得通过在框架层面将用户 ID 传递到 B 服务当中,但是这个不能让每个开发人员去关心,必须封装成统一的处理。

我们可以这样做,首先我们的场景是 API 网关中会通过请求头将用户 ID 传递到转发的服务中,那么我们可以通过过滤器来获取这个值,然后进行传递操作,代码如下所示。

  1. public class HttpHeaderParamFilter implements Filter {
  2. @Override
  3. public void init(FilterConfig filterConfig) throws ServletException {
  4. }
  5. @Override
  6. public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
  7. throws IOException, ServletException {
  8. HttpServletRequest httpRequest = (HttpServletRequest) request;
  9. HttpServletResponse httpResponse = (HttpServletResponse) response;
  10. httpResponse.setCharacterEncoding("UTF-8");
  11. httpResponse.setContentType("application/json; charset=utf-8");
  12. String uid = httpRequest.getHeader("uid");
  13. RibbonFilterContextHolder.getCurrentContext().add("uid", uid);
  14. chain.doFilter(httpRequest, response);
  15. }
  16. @Override
  17. public void destroy() {
  18. }
  19. }

RibbonFilterContextHolder 是通过 InheritableThreadLocal 在线程之间进行数据传递的。这步走完后请求就转发到了我们具体的接口上面,然后这个接口中就会用 Feign 去调用 B 服务的接口,所以接下来需要用 Feign 的拦截器将刚刚获取的用户 ID 重新传递到 B 服务中,代码如下所示。

  1. public class FeignBasicAuthRequestInterceptor implements RequestInterceptor {
  2. public FeignBasicAuthRequestInterceptor() {
  3. }
  4. @Override
  5. public void apply(RequestTemplate template) {
  6. Map<String, String> attributes = RibbonFilterContextHolder.getCurrentContext().getAttributes();
  7. for (String key : attributes.keySet()) {
  8. String value = attributes.get(key);
  9. template.header(key, value);
  10. }
  11. }
  12. }

通过获取 InheritableThreadLocal 中的数据添加到请求头中,这里不用具体的名字去获取数据是为了扩展,这样后面添加任何的参数都能直接传递过去了。

Feign 的拦截器使用需要在 @FeignClient 注解中指定 Feign 的自定义配置,自定义配置类中配置 Feign 的拦截器即可。

拦截器只需要注册下就可以使用了,本套方案不用改变当前任何业务代码,代码如下所示。

  1. public class FeignBasicAuthRequestInterceptor implements RequestInterceptor {
  2. @Bean
  3. public FilterRegistrationBean filterRegistrationBean() {
  4. FilterRegistrationBean registrationBean = new FilterRegistrationBean();
  5. HttpHeaderParamFilter httpHeaderParamFilter = new HttpHeaderParamFilter();
  6. registrationBean.setFilter(httpHeaderParamFilter);
  7. List<String> urlPatterns = new ArrayList<String>(1);
  8. urlPatterns.add("/*");
  9. registrationBean.setUrlPatterns(urlPatterns);
  10. return registrationBean;
  11. }
  12. }
智慧浩海
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
rpc 微服务架构下的安全认证与鉴权1
08-08
这种方法将用户认证信息存储在一个共享的存储系统中,通过用户会话作为键。虽然高可用且可扩展,但需要保护共享存储,增加实现的复杂性。 3. 客户端Token方案 客户端生成并携带Token,经过身份验证服务签名,包含...
深入聊聊微服务架构的身份认证问题
01-27
本文将会为大家阐述微服务架构下的安全认证与鉴权方案。 随着微服务架构的兴起,传统的单体应用场景下的身份认证和鉴权面临的挑战越来越大。单体应用体系下,应用是一个整体,一般针对所有的请求都会进行权限校验。...
SpringCloud微服务实战——搭建企业级开发框架(八):使用注解校验微服务消息参数
全栈程序猿的专栏
10-20 610
  平时开发过程中,经常要用到参数校验,如果直接在代码逻辑里面写参数校验,代码有点冗余且用起来不是非常方便,显得代码逻辑复杂且重复代码太多,这里我们使用注解的方式进行参数校验,SpringBoot中常用的用于参数校验的注解如下: @AssertFalse 所注解的元素必须是Boolean类型,且值为false @AssertTrue 所注解的元素必须是Boolean类型,且值为true @DecimalMax 所注解的元素必须是数字,且值小于等于给定的值 @DecimalMin 所注解的元素必须是数字,且值
SpringCloud自定义注解实现用户权限拦截
12-16 2171
我们平时在开发的时候,通常使用过滤器,拦截器,网关等等实现用户权限的校验、白名单的拦截等,今天我们在springcloud中使用自定义注解的方式来实现用户必须登录的情况下才能访问某个接口或者controller。 1.定义好注解: package com.meiyibao.annotation; import java.lang.annotation.ElementType;...
SpringBoot 微服务中怎么获取用户信息 token
最新发布
Bunny的博客
05-28 872
当我们写了一个A接口,这个接口需要调用B接口,但是B接口需要包含请求头内容,比如需要用户信息、用户id等内容,由于不在同一个线程中,使用去获取数据是无法获取的,这个时候需要手动将信息放置请求头中。
SpringCloud微服务之间如何进行用户信息传递(涉及:Gateway、OpenFeign组件)
qq_42449963的博客
08-14 2749
只要把上面两处打通,然后业务微服务在通过拦截器获取用户信息,之后再将用户信息存在ThreadLocal中,这样我们就可以实现业务为服务中通过工具类获取当前用户信息的效果了。在业务微服务中通过工具类获取当前用户信息
【SpringCloud Gateway】SpringCloud各微服务之间用户登录信息共享的实现思路——gateway网关token校验以及向微服务发送请求携带token
zxy2361380031的博客
10-14 3447
SpringCloud各微服务之间用户登录信息共享的实现思路。 gateway网关token校验以及向微服务发送请求携带token。
微服务技术架构设计图.pptx
03-27
首先,微服务架构的核心在于服务的解耦和独立部署。每个微服务都有自己的业务功能,它们通过API进行通信,而不是共享同一个数据库或代码库。这种设计使得每个服务可以独立地升级和扩展,减少了单一故障点并提高了...
微服务获取当前登录用户信息
qq_57667629的博客
03-02 2174
每个微服务都定义一个Filter,获取用户信息。并使用ThreadLocal 将用户信息放入ThreadLocal中,每个微服务都定义很麻烦,所以我们将Filter抽取出来。
Spring Security & OAuth2.0 & zuul & gateway 微服务鉴权全部流程笔记
cty的博客
09-22 1090
一、基本概念 1、OAuth 一个认证协议。分布式常用的认证授权方案 2、认证 判断一个用户身份是否合法的过程,类似于我们平常说的登录 3、授权 用户认证通过后根据用户的权限来控制用户资源的过程。比如就算登录了微信,也不一定能进行微信支付,要检查有没有绑定银行卡,否则没有支付权限 1️⃣ 主体 一般指用户,也可以是程序,需要访问系统中的资源 2️⃣ 资源 分为系统功能资源和实体资源。实体资源由资源类型和资源实例组成 3️⃣权限 规定了用户对资源的操作许可 4、会话 为了避免用户每次操作都进行认证,将用户的信
分布式架构单用户登录思路
lf1013667686的博客
01-26 993
分布式架构单用户登录思路 所谓单用户登录即系统中关于本用户登录信息在服务端中只允许存在一份,不允许他人同时登录一个账号。 思路如下: 因为要考虑异常退出,非正常退出,所以我们采用redis服务器来存储相关信息或者采用mysql存储使用定时器(成本大,不推荐。)。本文只讲解redis实现思路 userId为key,用户信息和我们当前此次访问登录请求获得到的jsessionId(或者时间戳t...
微服务之间调用的安全认证-jwt
LiGuogang
08-15 2830
微服务之间调用的安全认证,jwt
微服务越来越多,如何打通各个服务之间的登录状态?来试试JWT
qq_39962403的博客
06-28 363
token是可以被解析的,那我的token岂不是不安全,说的对,token只是实现登录认证,并不保证你的数据不外泄,所以我们不能把重要的信息放到token里面去。基于上面的两种场景,我们提出来refresh_token的机制,其实就是多了一个刷新token的触发机制,第一次登录的时候,我们给用户颁发两个token ,一个access_token,有效期比较短,比如是4小时,还有一个refresh_token ,就是刷新token,假设有效期是24小时。
微信获取用户信息
yunzhonghefei的博客
12-12 1088
微信获取用户信息和微信分享相似,也分为app端获取用户信息和分享页面获取用户信息. app端获取用户信息,较为简单固定,不管是用Hbuilder还是原生开始,或者只是原生打壳开发,都是集成了微信sdk.直接调用接口,并对返回数据进行解析即可. 主要是第三方分享页面中获取用户信息. 现在有这么一个需求,用户通过点击分享链接进入到分享页面之后,要求实现自动点赞功能.这就需要获取当前用户的个人信
用户微服务-用户注册-(一)
qq_39772439的博客
11-12 2692
1 需求分析 注册账号,用手机号注册,填写后发送短信验证码,填写短信验证码正确方可注册成 功。 我们这里所做的实际上就是消息生产者。 2 新建子项目zhao588_user 1,新建项目 2.新建启动类和配置文件 启动类 package com.zhao588.user; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoco...
微服务架构下在zuul网关中如何获取用户信息认证
XU_RI_DONG_SHENG的博客
01-18 1550
微服务架构下如何获取用户信息认证? 在传统的单体项目中,我们对用户的认证通常就在项目里面,当拆分成微服务之后,一个业务操作会涉及多个服务。那么怎么对用户做认证?服务中又是如何获取用户信息的?这些操作都可以在 API 网关中实现。 动态管理不需要拦截的 API 请求 并不是所有的 API 都需要认证,比如登录接口。我们需要一个能够动态添加 API 白名单的功能,凡是在这个白名单当中的,我们就不做认证。这个配置信息需要能够实时生效,这就用上了我们的配置管理 Apollo。 在 API 网关中创建一个 Apol
微服务鉴权实现
ww55123793的博客
09-11 824
微服务鉴权实现 实现流程: 用户进入网关进行登录,网关过滤器进行判断,如果是登录请求,则通过路由到后台管理微服务进行登录 登录成功后,后台管理微服务签发JWT TOKEN信息返回给用户 用户再次进入网关开发访问,网关过滤器接收用户携带的TOKEN 网关过滤器解析TOKEN,判断是否有权限,如果有,则放行,没有则返回来 签发JWT TOKEN信息返回给用户 @PostMapping("/login") public Result login(@RequestBody Ad
如何完美通过token获取用户信息(springboot)
只会写bug的靓仔的博客
09-18 6144
身份验证令牌(Authentication Token):在身份验证过程中,“token”可以表示一个包含用户身份信息的令牌。例如Token(JWT)是一种常见的身份验证令牌,它包含用户的身份信息(例如用户名或用户ID)以及其他相关信息,如权限或过期时间。无意义令牌token,这种一般在获取后通过nosql查询token对应的用户信息。当然,设计token网上大多有现成的解决方案,但是通过token如何拿个人信息呢?我还是推荐方法1,无疑,虽然多查一次,但是结构简单,耦合度低,并且代码较为简洁。
微服务架构下的安全认证与鉴权策略详解
微服务架构的背景下,身份认证与鉴权变得尤为重要,因为这种架构带来了更复杂的通信和权限管理需求。传统的单体应用中的身份验证方法不再适用,需要新的策略来应对分布式环境和多服务间的交互。 首先,我们回顾...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

智慧浩海

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值