微服务权限控制(二)共享Session方式的登录认证

最新推荐文章于 2024-04-19 17:01:02 发布
最新推荐文章于 2024-04-19 17:01:02 发布
阅读量2.1k 收藏 11
点赞数 1
分类专栏: springcloud 文章标签: 权限 zuul 登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weihao_/article/details/103956850
版权

接上一篇的权限控制,再讨论再网关zuul的登录认证实现。

网关使用SpringCloud的zuul,登录认证选择使用自定义共享session的方式,来实现集群的登录验证。保护接口的私密,保证系统安全。

Filter

zuul提供了filter来对请求进行过滤处理,首先,了解网关zuul的filter。

zuul的filter有三种类型的,pre,route,post,error,static。

  • pre,在路由之前的过滤
  • route,是在pre之后,路由过程中过滤
  • post,是在route之后,结果返回之前过滤
  • error,异常处理,在异常之后过滤
  • static,配置一组URL,返回静态资源,不路由到后端服务

因为登录验证在网关接受到请求之后就要做的,所以在prefilter中增加登录验证的逻辑。

请求Header

cookies和特殊的http请求headers

使用共享session的方式,后端服务必然也要使用用户的缓存数据,这就需要将用户标识传递给后端服务,通过http请求Header传递,将用户请求的Cookie或者特殊的http请求headers(取决于自己的需要)传递给网关后面的业务服务。zuul提供了配置zuul.sensitiveHeaders来配置需要传递给后端服务的请求头。如:

zuul:

  sensitive-headers: Cookie,Set-Cookie

登录

要登录验证,首先需要登录,登录如何实现呢。

验证用户登录信息有效性后,生成token,存储用户token到redis中,作为有效token,同时将用户的缓存信息存入redis中。

redis中数据存储结构为两个键值对

  • 键为用户token,值为用户数据,实现token有效性,用户数据缓存功能。
  • 键为用户ID,值为用户token,可以通过用户ID查询用户token,实现立刻失效用户token功能。

样例代码如下:

  
public Map<String, Object> login(String userId, String password) {
    //验证用户登录信息有效性
    Boolean result = validate(userId, password);
    Map<String,Object> map = new HashMap<>();
    //存储两个键值对,一个是token和用户数据的键值对,第二个是用户id和token的键值对,实现通过用户ID找到用户的token,实现即刻失效用户token的功能。根据需求,也可以只存储一个。
    if(result){
        String body = getUser(userId);
        String sessionKey = SESSION_PREFIX+"_"+sessionId;
        String userKey = USER_ID_PREFIX+"_"+userId;
        redisTemplate.opsForValue().set(sessionKey, userId, EXPIRE_SECOND, TimeUnit.SECONDS);
        redisTemplate.opsForValue().set(userKey, sessionId, EXPIRE_SECOND, TimeUnit.SECONDS);
        redisTemplate.opsForValue().set(dataKey, body, EXPIRE_SECOND, TimeUnit.SECONDS);

        map.put("code","0");
        map.put("msg","ok");
        return map;
    }

    map.put("code","0");
    map.put("msg","用户名或密码错误");
    return map;
}

登录验证

考虑到登录验证的时候,还有隐藏的其他可能需要的功能。

  1. 某些接口不需要不进行登录验证,如登录,注册,获取验证码等接口。
  2. 某些接口需要登录验证,但是不需要刷新token有效时间,如客户端轮询请求的接口。
  3. 特定场景下IP黑、白名单。
  4. 处于安全考虑的接口流量控制。

考虑将最基本的第一个和第二个功能加入进来,其他的后续再实现。

增加1,2需求后登录认证的流程如下

通常需要登录验证的接口列表,不刷新token有效时间的接口列表都通过配置来实现,这里不再赘述。

登录认证代码如下:

@Component
public class PreFilter {

    public static final Logger log = LoggerFactory.getLogger(PreFilter.class);

    @Autowired
    private RedisTemplate redisTemplate;

    @Value("${server.context-path}")
    private String contextPath;

    @Value("${auth.session.expireSecond}")
    private Integer expire;

    @Override
    public String filterType() {

        return "pre";
    }

    @Override
    public int filterOrder() {

        return 1;
    }

    @Override
    public boolean shouldFilter() {

        return true;
    }

    @Override
    public Object run() throws ZuulException {
        // 得到Rquest Response
        RequestContext ctx = RequestContext.getCurrentContext();
        HttpServletRequest req = ctx.getRequest();
        HttpServletResponse res = ctx.getResponse();
        try {
            String uri = req.getRequestURI();
            //得到SessionId
            String sessionId = req.getSession(true).getId();

            //是否登录认证
            Boolean isIgnore = isIgore(uri);
            if(isIgnore){
                ctx.setSendZuulResponse(true);// 对该请求进行路由
                ctx.setResponseStatusCode(200);
                return null;
            }
            //是否刷新session过期时间
            Boolean isRefreshExpire = isRefreshExpire(uri);
            Boolean isLogin = false;
            if(isRefreshExpire){
                // 检查过期时间并刷新
                isLogin = checkLoginWithExpire(sessionId);
            }else{
                // 检查过期时间
                isLogin = checkLoginWithoutExpire(sessionId);
            }

            //认证成功
            if(isLogin){
                ctx.setSendZuulResponse(true);// 对该请求进行路由
                ctx.setResponseStatusCode(200);
                return null;
            }
            //认证失败
            Map<String,Object> result = new HashMap<>();
            result.put("code","1");
            result.put("msg","请登录");
            ctx.getResponse().setContentType("application/json;charset=utf-8");
            ctx.setSendZuulResponse(false);
            ctx.setResponseStatusCode(401);
            ctx.setResponseBody(JSON.toJSONString(result));// 返回错误内容
            return null;
        } catch (NoSuchAlgorithmException e) {
            log.error("generatePVID error", e);
        }
        return null;
    }

    /**
     * 是否登录认证
     * @param uri 请求接口标志
     * @return
     */
    private Boolean isIgore(String uri) {
        String s = uri.replaceAll(contextPath,"");
        for(String reg : ZuulInit.getIgnoreUrl()){
            if(s.matches(reg)){
                return true;
            }
        }
        return false;
    }

    /**
     * 是否刷新过期时间
     * @param uri
     * @return
     */
    private Boolean isRefreshExpire(String uri){
        String s = uri.replaceAll(contextPath,"");
        for(String reg : ZuulInit.getExpireUrl()){
            if(s.matches(reg)){
                return true;
            }
        }
        return false;
    }

    /**
     * 检查过期时间,并刷新过期时间
     * @param sessionId
     * @return
     */
    private Boolean checkLoginWithExpire(String sessionId){
        String key = SESSION_PREFIX + domain + "_" + sessionId;
        String userId = (String)redisTemplate.opsForValue().get(key);
        String userKey = USER_PREFIX + "_" + userId;
        String dataKey = DATA_PREFIX + "_" + sessionId;
        if(!StringUtil.isEmpty(userId)){
            Boolean r = redisTemplate.expire(key, expire,TimeUnit.SECONDS);
            //刷新时间没有成功,返回认证不通过
            if(!r){
                return false;
            }
            r = redisTemplate.expire(userKey, expire, TimeUnit.SECONDS);
            if(!r){
                return false;
            }
            r = redisTemplate.expire(dataKey, expire, TimeUnit.SECONDS);
            if(!r){
                return false;
            }
            return true;
        }
        return false;
    }

    /**
     * 检查过期时间
     * @param sessionId
     * @return
     */
    private Boolean checkLoginWithoutExpire(String sessionId){
        String key = SESSION_PREFIX + domain + "_" + sessionId;
        String userId = (String)redisTemplate.opsForValue().get(key);
        if(!StringUtil.isEmpty(userId)){
            return true;
        }
        return false;
    }

如上代码只是一个简单的功能实现,还需要在此基础上面向对象的设计、优化等考虑。

(完)

那怪大尾巴狼咯
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一个轻量级 Java 权限认证框架让鉴权变得简单优雅-登录认证权限认证分布式Session会话微服务网关鉴权
04-14
登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录权限认证 —— 权限认证、角色认证、会话认证Session会话 —— 全端共享Session、单端独享Session、自定义Session踢人下线 —— 根据账号id踢人...
【业务功能篇96】微服务-springcloud-springboot-认证服务-登录注册功能-Auth2.0-分布式session
studyday1的博客
09-04 2050
通过最基础的登录操作来完成登录处理登录页面处理认证服务的处理会员中心的认证逻辑service中的具体认证处理。
微服务网关与用户身份识别,服务提供者之间的会话共享关系
公众号:该用户快成仙了
08-27 695
服务提供者之间的会话共享关系 一套分布式微服务集群可能会运行几个或者几十个网关(gateway),以及几十个甚至几百个Provider微服务提供者。如果集群的节点规模较小,那么在会话共享关系上,同一个用户在所有的网关和微服务提供者之间共享同一个分布式Session是可行的,如图6-8所示。 图6-8 共享分布式Session 如果集群的节点规模较大,分布式Session在IO上就会存在性能瓶颈。除此之外,还存在一个架构设计上的问题:在网关(如Zuul)和微服务提供者之间传递Session ID,并
开箱即用!看看人家的微服务权限解决方案,那叫一个优雅!
最新发布
smart_an的专栏
04-19 1016
对比之前使用Spring Security的微服务权限解决方案,Sa-Token的解决方案更简单、更优雅。使用Security我们需要定义鉴权管理器、分别处理未认证和未授权的情况、还要自己定义认证和资源服务器配置,使用非常繁琐。而使用Sa-Token,只要在网关上配置过滤器实现认证和授权,然后调用API实现登录权限分配即可。具体区别可以参考下图。
Spring Cloud Zuul 实现Session共享实践
Mr_luobo的博客
07-11 1846
项目介绍 eureka-server:服务治理中心 zuul-server:路由网关 eureka-client:服务1 eureka-client2:服务2 测试 1、网关服务登陆并将用户信息保存到Session中 2、检查Session是否存入Redis 3、通过网关请求服务1,并从Session中获取用户信息 4、通过网关请求服务2,并从Session中获取用户...
微服务多模块下解决session共享问题
qq_43750610的博客
03-12 2632
微服务多模块下解决session共享问题 在微服务中拆分模块中,往往需要用到session,但是网关会把session过滤掉,此时我们就需要用到session共享机制了。 服务提供者中做以下配置 1、导入依赖 <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> </dep
ZUUL单点路由与微服务SESSION共享
minganpeng的博客
05-12 9679
一、ZUUL微服务SESSION共享ZUUL微服务集群间的SESSION共享      通过上述配置,已经可以实现ZUUL与配置REDIS1、在pom.xml中增加:        &lt;!-- spring session support --&gt;        &lt;dependency&gt;            &lt;groupId&gt;org.springfram...
spring cloud 各个服务共享session 登录用户信息
05-10 1137
有3种解决的方案: 1.tomcat的session共享 优点:不需要额外开发,只需搭建tomcat集群即可 缺点:tomcat 是全局session复制,集群内每个tomcat的session完全同步保存着全部的session, 在大规模应用的时候,用户过多,集群内tomcat数量过多,session的全局复制会导致集群性能下降, 因此,tomcat的数量不能太多,而且依赖tomcat容器移植性不好(所以不采用) 2.用cookie同步session 这种完全把客户的登陆信息保存在客户端的co.
微服务架构中的认证权限控制设计.docx
10-11
随着微服务架构的广泛应用,传统的基于Session的安全权限方式已经无法满足需求。在微服务环境下,由于服务的拆分,每个微服务都需要独立地处理鉴权问题,同时还需要应对来自不同来源(如浏览器、其他服务)的访问。...
rpc 微服务架构下的安全认证与鉴权1
08-08
在单体应用中,身份认证和鉴权通常通过一个全局的权限拦截器完成,用户登录后的信息存储在session中。然而,在微服务架构中,由于服务的解耦,每个微服务都需要独立进行鉴权,处理来自不同来源(包括浏览器和其他...
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
在本文中,我们将深入探讨如何在SpringBoot应用中集成Spring Security进行登录管理,并实现session共享。这是一项关键的安全措施,可以确保用户会话在多个微服务之间的一致性。我们将基于给定的标签——SpringBoot、...
轻量级 Java 权限认证框架让鉴权变得简单优雅
04-05
—— 登录认证权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0。分布式Session会话、微服务网关鉴权 等一系列权限相关问题。Sa-Token 旨在以简单、优雅的方式完成系统的权限认证部分。无需实现...
史上最全的微服务权限控制方案,完美实现!
weixin_44421461的博客
01-08 1072
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elast...
史上最全的微服务权限控制方案
m0_71777195的博客
12-31 2344
1、将shrio和网关gateway放在同一个服务中,但是这就带来一个问题,众所周知,shrio的数据中心realm需要用到用户服务当中的数据(查询用户、角色、权限之间的关系及数据),因此这里shrio就需要使用服务发现组件(我这里用的dubbo)去发现用户服务,但是用户服务中的登录又需要用到shrio的认证,到这里可能有人要说了,可以在用户服务中再去远程调用shrio服务啊,如果这种方法可以的话大家就可以用这种方法就不用往下看了…所以这就造成两个服务耦合在一块儿去了,这种方法直接pass掉。
微服务下怎么做权限管理
xby18772963985的博客
09-16 734
(2)鉴权单体应用一般会通过拦截器(Spring Security、Apache Shrio本质上都是拦截器),拦截用户请求,这里同样会根据鉴权方案是JWT还是HTTP会话分别处理,如果是JWT的话,则会通过解密来获得用户信息,如果是采用的会话的方式,则会根据会话ID,从存储中(这里一般是Redis)来获得用户信息,不论是哪种方案,最终都是根据用户信息来对相应的请求进行权限校验。诸如此类的鉴权方式,我个人是不太推荐的,当然采用此类鉴权方式的团队可能也有他们的考虑,更多的可能是出于性能的考虑。
springcloud的微服务的设计方案一:gateway+springsecurity+session共享
louis_lee7812的专栏
10-22 2604
这个方案是利用spring security的session共享机制,进行认证和鉴权。同时,这个方案也没有将springsecurity集成在springcloud gateway中,而是作为共通组件,集成在认证和业务类型的微服务中。
SpringCloud开启session共享并存储到Redis的实现
张伟的专栏
05-20 1147
以上为个人经验,希望能给大家一个参考,也希望大家多多支持我们。
SpringSecurity 学习笔记 下(微服务权限方案)
.G();的博客
04-17 1761
SpringSecurity 学习笔记(微服务权限方案)
微服务动态权限管理方案(Spring Cloud Gateway+Spring Cloud Security)
weixin_43349057的博客
03-08 2150
基于Spring Cloud Gateway和Spring Cloud Security的微服务用户动态权限管理方案
微服务怎么共享session
07-28
微服务架构下的应用通常会面临共享会话的问题。由于微服务的特性,每个微服务都是独立部署和运行的,因此无法直接共享会话状态。然而,有几种方法可以在微服务架构中实现会话共享: 1. 使用无状态会话:将会话状态保存在客户端,每个请求都包含会话信息。微服务通过解析请求中的会话信息来获取会话状态。这种方式不需要在微服务之间共享会话状态,但会增加每个请求的负载大小。 2. 使用共享数据库:将所有微服务的会话状态存储在共享数据库中,例如Redis或数据库。每个微服务都可以访问和更新该数据库中的会话状态。这种方式需要确保对共享数据库的访问是高效和可靠的。 3. 使用分布式缓存:使用像Redis这样的分布式缓存来存储会话状态。每个微服务可以从缓存中获取会话状态,并将更新后的状态写回缓存。这种方式可以减轻对共享数据库的负载,并提供更好的性能。 4. 使用JWT(JSON Web Tokens):将会话信息编码为JWT,并将其传递给每个微服务。每个微服务可以验证和解码JWT来获取会话信息。这种方式不需要在微服务之间共享会话状态,但需要确保JWT的安全性和完整性。 需要注意的是,无论选择哪种方法,都需要确保会话状态的一致性和安全性。同时,根据具体的应用场景和需求,选择适合的方法来共享会话。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值