shiro 和 springsecurity_跟常用框架Spring Security`和shiro比 ,微服务到底胜在哪?

最新推荐文章于 2024-05-07 18:02:46 发布
最新推荐文章于 2024-05-07 18:02:46 发布
阅读量191 收藏 1
点赞数
文章标签: shiro 和 springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29997523/article/details/113317494
版权

51dfc92345f6ecc195a3544c92fadf67.png

前言

Java下常用的安全框架主要有Spring Securityshiro,都可提供非常强大的功能,但学习成本较高。在微服务下鉴权多多少少都会对服务有一定的入侵性。 为了降低依赖,减少入侵,让鉴权功能相对应用服务透明,我们采用网关拦截资源请求的方式进行鉴权。

一、整体架构

ef652a127870619451e7b0749a72bd32.png


整体结构

用户鉴权模块位于API GateWay服务中,所有的API资源请求都需要从此通过。

  1. 身份认证,通过则缓存用户权限数据,不通过返回401
  2. 用户鉴权,比对当前访问资源(URI和Method)是否在已缓存的用户权限数据中,在则转发请求给对应应用服务,不在则返回403

二、实现步骤

00cfa14ccdda69111d3d49f7d446eec1.png


登陆鉴权流程

1. 用户登陆

public LoginUser login(String userName, String password){
    // 检查密码
    User user = userService.checkUser(userName, password);

    LoginUser loginUser = LoginUser.builder()
            .userName(userName)
            .realName(user.getRealName())
            .userToken(UUID.randomUUID().toString())
            .loginTime(new Date())
            .build();

    // 保存session
    session.saveSession(loginUser);

    // 查询权限
    List<Permission> permissions = permissionRepository.findByUserName(userName);
    // 保存用户权限到缓存中
    session.saveUserPermissions(userName, permissions);

    return loginUser;
}

// ...
// 缓存用户权限到Redis
public void saveUserPermissions(String userName, List<Permission> permissions) {
    String key = String.format("login:permission:%s", userName);

    HashOperations<String, String, Object> hashOperations = redisTemplate.opsForHash();
    hashOperations.putAll(key, permissions.stream().collect(
            Collectors.toMap(p -> p.getMethod().concat(":").concat(p.getUri()),
                    Permission::getName, (k1, k2) -> k2)));

    if (expireTime != null) {
        redisTemplate.expire(key, expireTime, TimeUnit.SECONDS);
    }
}
  • 用户验证通过后,下发userToken,保存当前登陆信息,缓存用户授权列表
  • 缓存授权列表时,为了方便读取使用hash方式保存为list,切勿直接将数组对象保存为一个object

2. 拦截请求

@Slf4j
@Component
public class AuthorizationFilter extends AbstractGatewayFilterFactory {

    @Autowired
    private Session session;

    @Override
    public GatewayFilter apply(Object config) {
        return (exchange, chain) -> {

            ServerHttpRequest request = exchange.getRequest();
            ServerHttpResponse response = exchange.getResponse();

            String uri = request.getURI().getPath();
            String method = request.getMethodValue();

            // 1.从AuthenticationFilter中获取userName
            String key = "X-User-Name";
            if (!request.getHeaders().containsKey(key)) {
                response.setStatusCode(HttpStatus.FORBIDDEN);
                return response.setComplete();
            }

            String userName = Objects.requireNonNull(request.getHeaders().get(key)).get(0);

            // 2.验证权限
            if (!session.checkPermissions(userName, uri, method)) {
                log.info("用户:{}, 没有权限", userName);
                response.setStatusCode(HttpStatus.FORBIDDEN);
                return response.setComplete();
            }

            return chain.filter(exchange);
        };
    }
}
  • 第一步从取出身份认证模块传递的X-User-Name
  • 第二步去缓存中检查是否有相应的权限
public boolean checkPermissions(String userName, String uri, String method) {
    String key = String.format("login:permission:%s", userName);
    String hashKey = String.format("%s:%s", method, uri);

    if (redisTemplate.opsForHash().hasKey(key, hashKey)){
        return  true;
    }

    String allKey = "login:permission:all";
    // 权限列表中没有则通过
    return !redisTemplate.opsForHash().hasKey(allKey, hashKey);
}
  • 权限列表中没有则通过 主要是放过一些没有必要配置的公共资源,默认都可以访问的资源
  • login:permission:all 所有配置过的权限列表需要在程序启动时放入缓存,并需要保持数据的更新

3. 鉴权Filter配置

spring:
  cloud:
    gateway:
      routes:
        - id: cloud-user
          uri: lb://cloud-user  # 后端服务名
          predicates:
            - Path=/user/**   # 路由地址
          filters:
            - name: AuthenticationFilter  # 身份认证
            - name: AuthorizationFilter   # 用户鉴权
            - StripPrefix=1 # 去掉前缀
  • 特别注意filter的顺序,必须先做身份认证后再进行鉴权
  • 如果有较多的路由都需要配置,可使用default-filters默认Filter配置

三、其它问题

在做单元测试时,如遇到如下错误

nested exception is java.lang.NoClassDefFoundError: javax/validation/ValidationException

请升级依赖包版本:

<!--升级validation-api的版本-->
<dependency>
    <groupId>org.hibernate.validator</groupId>
    <artifactId>hibernate-validator</artifactId>
    <version>6.0.5.Final</version>
</dependency>
<dependency>
    <groupId>javax.validation</groupId>
    <artifactId>validation-api</artifactId>
    <version>2.0.1.Final</version>
</dependency>

四、完整代码

gitee.com/hypier/barr…

链接:https://juejin.im/post/6865580470151675918

雨田青
关注
java http鉴权(spring boot 工程)
08-30
java http鉴权(spring boot maven工程),全网首个完整例子,经过测试可用。
Java——鉴权
wang__sepcial的博客
05-11 3907
springboot 权限认证方案
微服务项目中,Spring SecurityShiro 强在哪?
Kevinnsm的博客
12-27 217
Spring SecurityShiro的区别
java 鉴权_我爱java系列之---【JWT实现微服务鉴权(一)】
weixin_36411269的博客
02-12 198
JWT介绍JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。头部(Header)头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。{"typ":"JWT","alg":"HS256"}在头部指明了签名算法...
java鉴权_Spring Security零基础入门之四~鉴权
weixin_39557583的博客
11-23 424
1.前言这是本系列的第四篇文章,前三篇主要讲了使用Spring Security进行验证的原理、流程和例子,全系列传送门如下:第一篇:Spring Security零基础入门之一。第二篇:Spring Security零基础入门之二~验证第三篇:Spring Security零基础入门之三~使用数据库进行验证第四篇:Spring Security零基础入门之四~鉴权本篇的内容主要介绍Spring ...
Spring SecurityShiro的相同点与不同点整理
08-25
Spring Security和Apache Shiro都是Java领域中广泛使用的安全框架,它们为应用程序提供了强大的身份验证、授权和会话管理功能。虽然两者在很多方面有相似之处,但也有各自的特点和适用场景。 **相同点:** 1. **...
浅析安全框架-ShiroSpring Security
m0_67942533的博客
09-04 5160
浅析安全框架-ShiroSpring Security
安全框架ShiroSpring Security比较
blanceage的博客
09-05 844
目前的网站都是依靠用户名和密码来登录认证,这就意味着大家在每个网站都需要注册用户名和密码,即便你使用的是同样的密码。如果使用 OpenID ,你的网站地址(URI)就是你的用户名,而你的密码安全的存储在一个 OpenID 服务网站上(你可以自己建立一个 OpenID 服务网站,也可以选择一个可信任的 OpenID 服务网站来完成注册)。"客户端"登录授权层所用的令牌(token),与用户的密码不同。"客户端"登录授权层以后,"服务提供商"根据令牌的权限范围和有效期,向"客户端"开放用户储存的资料。
安全框架 ShiroSpring Security 如何选择?
zhaohuodian的博客
08-12 320
如果使用 OpenID ,你的网站地址(URI)就是你的用户名,而你的密码安全的存储在一个 OpenID 服务网站上(你可以自己建立一个 OpenID 服务网站,也可以选择一个可信任的 OpenID 服务网站来完成注册)。Shiro 主要分为两个部分就是认证和授权,在个人感觉来看就是查询数据库做相应的判断而已,Shiro只是一个框架而已,其中的内容需要自己的去构建,前后是自己的,中间是Shiro帮我们去搭建和配置好的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。...
Spring Security 和Apache Shiro你需要具备哪些条件
08-18
Spring Security 和 Apache Shiro 都是java web 领域中非常优秀的安全框架,但是它们有所不同。学习这两种框架需要具备一些条件,包括了解认证和鉴权的概念、过滤器链的使用、RBAC 模型、OAuth2.0 等安全协议等。 ...
java 鉴权登录,登录鉴权-JAVA语言
weixin_29269441的博客
03-12 1316
本文主要向大家介绍了登录鉴权-JAVA语言,通过具体的内容向大家展示,希望对大家学习JAVA语言有所帮助。登录鉴权:1. 用户名+密码 登录请求2. 后台接收登录请求,生成ToKen(用户名/密码正确) 返回token3. 请求其他api 都带上token,后台校验token是否存在/过期后台代码如下:登录/登出 --------------@RestController@RequestMappi...
Java认证鉴权框架:Sa-Token
love_eat_peach的博客
06-06 2712
(调用角色校验和权限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的权限码集合后,再将权限码和待校验的字符串进行判断是否有权限)(调用角色校验和权限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的权限码集合后,再将权限码和待校验的字符串进行判断是否有权限)?SaRouter.match("/**").check(r -> System.out.println("----啦啦啦----"))
【java】java的Jaas授权与鉴权
九师兄
12-29 1680
文章目录1.概述2. 概念预览3.SecurityManager应用场景2. 测试2.1 无安全测试2.2 安全测试2.1 绑定授权策略文件3. 其他java权限4.优化5.再次优化错误集锦1.11.2 1.概述 Jaas主要负责的是 Authentication 和 Authorization。Java平台提供的认证与授权服务(Java Authentication and Authorizat...
简单的Java的token鉴权架构
Demon的博客
07-04 4395
简单的Java的token鉴权架构
Java解决垂直鉴权问题(对垂直权限进行校验)
最新发布
qq_57703172的博客
05-07 906
避免垂直鉴权实现原理:每次用户访问时,都要判定该用户是否有访问此 URL 的权限。
用Java代码用springboot框架实现用户登录鉴权
weixin_35751412的博客
01-09 430
我可以用中文给出一些概念解释,但是具体的 Java 代码实现可能需要你自己来完成。 Spring Boot 是用于构建单个微服务或小型企业应用的框架。它可以通过一些默认配置和命令行工具快速构建应用程序。 用户登录鉴权是指用户在使用应用程序时需要通过一些身份验证步骤(例如输入用户名和密码)来确认自己的身份,然后才能使用应用程序的特定功能。 在 Spring Boot 中,可以使用 Spring Se...
Java代码审计&鉴权漏洞&Interceptor&Filter&Shiro&JWT
qq_46081990的博客
12-26 1897
本文深入探讨了当前主流的鉴权方式,包括Interceptor、Filter、Shiro和JWT,并提供了相应的审计思路。作者以实际项目为例,详细介绍了Interceptor鉴权、Filter鉴权、Shiro鉴权和JWT鉴权的审计过程,强调了审计时的关键步骤和代码追溯方法。以NewbeeMall、华夏ERP、Tumo博客和FastCMS为案例,展示了在不同项目中的具体应用。文章突出强调了审计中的关键点,如Interceptor中preHandle方法、Filter中doFilter方法、Shiro配置信息、J
Java代码审计&amp;鉴权漏洞&amp;Interceptor&amp;Filter&amp;Shiro&amp;JWT_java鉴权漏洞
m0_63174618的博客
04-07 786
Newbee-mall 项目是一套电商系统,包括 newbee-mall 商城系统及 newbee-mall-admin 商城后台管理系统,基于 Spring Boot 2.X 及相关技术栈开发。前台商城系统包含首页门户、商品分类、新品上线、首页轮播、商品推荐、商品搜索、商品展示、购物车、订单结算、订单流程、个人订单管理、会员中心、帮助中心等模块。后台管理系统包含数据面板、轮播图管理、商品管理、订单管理、会员管理、分类管理、设置等模块。
java鉴权_3种常用鉴权方法原理与实现
weixin_36138462的博客
02-17 6037
学生一枚,作为学习和总结。如果有哪些不对的地方,还请指教cookie诞生HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。为解决这个问题,有了cookie出现cookie介绍Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),(通知浏览器设置一下cookie),浏览器自动会将Cookie以进行保存(以key/value...
ShiroSpring Security
06-11
ShiroSpring Security都是Java领域中常用的安全框架,它们主要的功能是进行身份认证和授权。 ShiroSpring Security更加轻量级,它的设计目标是简单、易用、灵活,同时它也提供了很多可扩展性的API,让开发者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值