SpringCloud+Sa-Token网关统一鉴权

于 2024-09-13 17:42:11 发布
阅读量278 收藏 2
点赞数 1
分类专栏: Spring系列 文章标签: spring cloud spring sa-token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39311781/article/details/142216308
版权

一、网关鉴权

1.1 引入依赖

<!-- Sa-Token 权限认证(Reactor响应式集成), 在线文档:https://sa-token.cc -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-reactor-spring-boot3-starter</artifactId>
    <version>1.39.0</version>
</dependency>

<!-- Sa-Token 整合 Redis (使用 jackson 序列化方式) -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-redis-jackson</artifactId>
    <version>1.39.0</version>
</dependency>

<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-pool2</artifactId>
</dependency>

1.2 鉴权接口

package com.ozo.cloud.gateway.core;

import cn.dev33.satoken.stp.StpInterface;
import com.ozo.cloud.common.base.context.CurrentUserHolder;
import com.ozo.cloud.common.base.model.LoginUser;

import java.util.ArrayList;
import java.util.List;

/**
 * 权限实现类
 *
 * @author qiangesoft
 * @date 2024-07-08
 **/
public class SaPermissionImpl implements StpInterface {

    /**
     * 获取菜单权限列表
     */
    @Override
    public List<String> getPermissionList(Object loginId, String loginType) {
        LoginUser loginUser = CurrentUserHolder.current();
        return new ArrayList<>(loginUser.getMenuPermission());
    }

    /**
     * 获取角色权限列表
     */
    @Override
    public List<String> getRoleList(Object loginId, String loginType) {
        LoginUser loginUser = CurrentUserHolder.current();
        return new ArrayList<>(loginUser.getRolePermission());
    }

}

1.3 过滤器配置

package com.ozo.cloud.gateway.config;

import cn.dev33.satoken.context.SaHolder;
import cn.dev33.satoken.context.model.SaResponse;
import cn.dev33.satoken.reactor.filter.SaReactorFilter;
import cn.dev33.satoken.router.SaHttpMethod;
import cn.dev33.satoken.router.SaRouter;
import cn.dev33.satoken.stp.StpInterface;
import cn.dev33.satoken.stp.StpUtil;
import cn.hutool.core.collection.CollUtil;
import cn.hutool.core.util.CharsetUtil;
import cn.hutool.http.ContentType;
import cn.hutool.http.Header;
import cn.hutool.json.JSONUtil;
import com.ozo.cloud.common.base.model.ResultVO;
import com.ozo.cloud.gateway.config.properties.SecurityProperties;
import com.ozo.cloud.gateway.core.SaPermissionImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.List;

/**
 * 鉴权配置
 *
 * @author qiangesoft
 * @date 2024-07-08
 **/
@EnableConfigurationProperties(SecurityProperties.class)
@Configuration
public class SaTokenConfig {

    @Autowired
    private SecurityProperties securityProperties;

    @Bean
    public StpInterface stpInterface() {
        return new SaPermissionImpl();
    }

    /**
     * 注册过滤器
     */
    @Bean
    public SaReactorFilter saServletFilter() {
        SaReactorFilter saReactorFilter = new SaReactorFilter();

        // 前置函数:在每次认证函数之前执行
        saReactorFilter.setBeforeAuth(obj -> {
                    // 设置跨域响应头
                    SaHolder.getResponse()
                            // 是否可以在iframe显示视图: DENY=不可以 | SAMEORIGIN=同域下可以 | ALLOW-FROM uri=指定域名下可以
                            // .setHeader("X-Frame-Options", "SAMEORIGIN")
                            // 是否启用浏览器默认XSS防护: 0=禁用 | 1=启用 | 1; mode=block 启用, 并在检查到XSS攻击时,停止渲染页面
                            .setHeader("X-XSS-Protection", "1; mode=block")
                            // 禁用浏览器内容嗅探
                            .setHeader("X-Content-Type-Options", "nosniff")
                            .setHeader("Access-Control-Allow-Origin", "*")
                            .setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE")
                            .setHeader("Access-Control-Max-Age", "3600")
                            .setHeader("Access-Control-Allow-Headers", "*");

                    // 如果是预检请求,则立即返回到前端
                    SaRouter.match(SaHttpMethod.OPTIONS)
                            .free(r -> {
                            })
                            .back();
                })

                // 异常处理
                .setError(e -> {
                    // 由于过滤器中抛出的异常不进入全局异常处理,所以此处统一转为JSON输出前端
                    SaResponse saResponse = SaHolder.getResponse();
                    saResponse.setHeader(Header.CONTENT_TYPE.getValue(), ContentType.JSON + ";charset=" + CharsetUtil.UTF_8);
                    return JSONUtil.parseObj(ResultVO.fail(e.getMessage()));
                });

        // 指定拦截路由
        saReactorFilter.addInclude("/**")
                // 设置鉴权的接口
                .setAuth(obj -> {
                    // 登录校验 -- 拦截所有路由
                    SaRouter.match("/**", r -> StpUtil.checkLogin());
                });

        // 指定开放路由
        List<String> excludePathPatterns = securityProperties.getExcludePathPatterns();
        if (CollUtil.isNotEmpty(excludePathPatterns)) {
            saReactorFilter.addExclude(excludePathPatterns.toArray(new String[0]));
        }

        return saReactorFilter;
    }

}

1.4 子服务添加Token

package com.ozo.cloud.gateway.filter;

import cn.dev33.satoken.same.SaSameUtil;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

/**
 * 全局过滤器,为请求添加 Same-Token
 *
 * @author qiangesoft
 * @date 2024-09-10
 */
@Component
public class ForwardAuthFilter implements GlobalFilter, Ordered {

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest newRequest = exchange
                .getRequest()
                .mutate()
                // 为请求追加 Same-Token 参数 
                .header(SaSameUtil.SAME_TOKEN, SaSameUtil.getToken())
                .build();
        ServerWebExchange newExchange = exchange.mutate().request(newRequest).build();
        return chain.filter(newExchange);
    }

    @Override
    public int getOrder() {
        return 0;
    }

}

二、子服务鉴权

2.1 引入依赖

<!-- Sa-Token 权限认证, 在线文档:https://sa-token.cc -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot3-starter</artifactId>
    <version>1.39.0</version>
</dependency>

<!-- Sa-Token 整合 Redis (使用 jackson 序列化方式) -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-redis-jackson</artifactId>
    <version>1.39.0</version>
</dependency>

<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-pool2</artifactId>
</dependency>

2.2 过滤器配置

package com.ozo.cloud.common.satoken.config;

import cn.dev33.satoken.context.SaHolder;
import cn.dev33.satoken.context.model.SaResponse;
import cn.dev33.satoken.filter.SaServletFilter;
import cn.dev33.satoken.interceptor.SaInterceptor;
import cn.dev33.satoken.same.SaSameUtil;
import cn.hutool.core.util.CharsetUtil;
import cn.hutool.http.ContentType;
import cn.hutool.http.Header;
import cn.hutool.json.JSONUtil;
import com.ozo.cloud.common.base.model.ResultVO;
import org.springframework.boot.autoconfigure.AutoConfiguration;
import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;
import org.springframework.context.annotation.Bean;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * Sa-Token 权限认证 配置类 
 *
 * @author qiangesoft
 * @date 2024-09-10
 */
@AutoConfiguration
public class SaTokenConfig implements WebMvcConfigurer {

    /**
     * 注解鉴权拦截器
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new SaInterceptor())
                .addPathPatterns("/**");
    }

    /**
     * 注册 Sa-Token 全局过滤器
     */
    @Bean
    public SaServletFilter getSaServletFilter() {
        return new SaServletFilter()
                // 指定拦截路由
                .addInclude("/**")

                .setAuth(obj -> {
                    // 校验 Same-Token 身份凭证
                    SaSameUtil.checkCurrentRequestToken();
                })

                // 异常处理
                .setError(e -> {
                    // 由于过滤器中抛出的异常不进入全局异常处理,所以此处统一转为JSON输出前端
                    SaResponse saResponse = SaHolder.getResponse();
                    saResponse.setHeader(Header.CONTENT_TYPE.getValue(), ContentType.JSON + ";charset=" + CharsetUtil.UTF_8);
                    return JSONUtil.parseObj(ResultVO.fail(e.getMessage()));
                });
    }

    @Bean
    @ConditionalOnMissingBean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

2.3 拦截器

package com.ozo.cloud.common.satoken.interceptor;

import cn.dev33.satoken.same.SaSameUtil;
import feign.RequestInterceptor;
import feign.RequestTemplate;

/**
 * feign拦截器, 在feign请求发出之前,加入一些操作
 *
 * @author qiangesoft
 * @date 2024-09-10
 */
public class FeignInterceptor implements RequestInterceptor {

    /**
     * 为 Feign 的 RCP调用 添加请求头Same-Token
     */
    @Override
    public void apply(RequestTemplate requestTemplate) {
        requestTemplate.header(SaSameUtil.SAME_TOKEN, SaSameUtil.getToken());

        // 如果希望被调用方有会话状态,此处就还需要将 satoken 添加到请求头中
        // requestTemplate.header(StpUtil.getTokenName(), StpUtil.getTokenValue());
    }

}

2.4 接口使用拦截器

package com.ozo.cloud.api.auth.feign;

import com.ozo.cloud.common.base.model.ResultVO;
import com.ozo.cloud.common.satoken.interceptor.FeignInterceptor;
import org.springframework.cloud.openfeign.FeignClient;
import org.springframework.web.bind.annotation.GetMapping;

/**
 * 授权服务调用
 *
 * @author qiangesoft
 * @date 2024-09-11
 */
@FeignClient(name = "ozo-cloud-auth", path = "/auth", configuration = FeignInterceptor.class)
public interface AuthFeignClient {

    @GetMapping("/userInfo")
    ResultVO<Object> getUserInfo();

}
PG_强哥
关注
专栏目录
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 3851
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-TokenSpring WebFlux集成Sa-Token这两个常用的开发框架。......
SpringCloud3.0+Sa-token+Gateway网关实现鉴权token登录拦截功能
weixin_58415189的博客
04-16 4137
上面我用的是StpUtil1而不是StpUtil ,原因是我系统有两个角色,超级管理员和管理员,所以根据官方文档我创建了一个新的类,叫做StpUtil1,然后将其StpUtil1复制过来,更改其属性TYPE。值得注意的是,因为Gateway是基于 WebFlux开发的,所以呢,我们需要去到官网,找一下下资料,如图,要导入的依赖是带有reactor的噢,而且因为使用的是springboot3,所以还要将boot改为boot3,别导错依赖了。此时我们去访问某个服务,先不带token访问,毫无疑问被拦截了。
Spring Could 轻松整合GateWay网关拦截 + Sa-Token登录认证
indexqian的博客
08-07 1423
本文详细为大家讲解了在微服务中如何集成gateway网关Sa-Token的相关配置和基础接口,对萌新玩家非常友好,全文很长,请耐心看完哦!
sa-token登录机制以及网关统一鉴权环境搭建
Sun的个人博客
08-04 1582
文章目录1.sa-token1.37集成(基于token)1.文档网址2.**sun-club-auth-application-controller引入依赖**3.application.yml4.sun-club-auth-application-controller测试的controller1.UserController.java2.启动测试1.登录,得到satoken2.验证登录时在Header中携带token,注意,需要携带在application.yml中配置的前缀 **jichi**2.网关
Sa-Token实现网关统一鉴权和内部服务外网隔离
ManGooo0的博客
09-05 1896
无论使用哪种序列化方式,你都必须为项目提供一个 Redis 实例化方案,因为我们需要和各个服务通过Redis来同步数据。优点:兼容性好,缺点:Session 序列化后基本不可读,对开发者来讲等同于乱码。优点:Session 序列化后可读性强,可灵活手动修改,缺点:兼容性稍差。注意:切不可直接在一个项目里同时引入这两个依赖,否则会造成项目无法启动。有时候我们需要在一个服务调用另一个服务的接口,这也是需要添加。根据不同的整合规则,插件提供了三种不同的模式,你需要。参数,这个参数会被转发到子服务。
Spring Cloud Gateway 集成Sa-Token
Trouvailless的博客
08-15 3555
Sa-Token作者提供了这么一个牛皮的框架。其文档地址Sa-Token。以上,就是集成Sa-Token的步骤,如果有什么问题,欢迎指正。后面会深入Sa-Token源码,了解更多的使用方法和设计思想,敬请期待。
Spring Gateway、Sa-Token、nacos完成认证/鉴权
m88997766的博客
04-03 1954
之前进行鉴权、授权都要写一大堆代码。如果使用像Spring Security这样的框架,又要花好多时间学习,拿过来一用,好多配置项也不知道是干嘛用的,又不想了解。要是不用Spring Security,token的生成、校验、刷新,权限的验证分配,又全要自己写,想想都头大。Spring Security太重而且配置繁琐。自己实现所有的点必须又要顾及到,更是麻烦。最近看到一个权限认证框架,真是够简单高效。这里分享一个使用Sa-Token的gateway鉴权demo。
Sa-Token + SpringBoot 实现登录鉴权
BUG指挥课堂
07-17 683
Sa-Token是一个轻量级Java权限认证框架。主要解决的问题如下:登录认证权限认证单点登录OAuth2.0分布式Session会话微服务网关鉴权等一系列权限相关问题。Sa-Token框架是一个轻量级的登录、鉴权框架,有利于我们开发。Sa-Token框架的官方文档:https://sa-token.cc/doc.html#/
spring揭秘19-spring事务01-事务抽象
PacosonSWJTU的博客
09-08 1314
1)spring对事务元素进行抽象, 客户端仅按照统一的编程模型管理事务,而不用关心数据访问技术以及具体要访问什么类型的事务资源;此外:spring事务管理与spring提供的数据访问技术(如JdbcTemplate)进行结合;2)spring事务框架设计的基本原则: 让事务管理逻辑与数据访问逻辑解耦;spring揭秘15-spring集成数据访问技术(orm框架)总结事务隔离级别;isolation;事务传播行为;事务超时时间;timeout;是否为只读事务;readOnly;
Spring05——注解开发定义bean、Spring纯注解开发模式
后端小白个人学习记录
09-08 910
注解开发定义bean、Spring纯注解开发模式
SpringMVC启动与请求处理流程解析
业精于勤荒于嬉,行成于思毁于随
09-06 1444
实现了Controller接口的Bean对象实现了HttpRequestHandler接口的Bean对象添加了@RequestMapping注解的方法一个HandlerFunction对象@Override@Override@Component@Autowired@Bean.build();HandlerMapping负责去寻找Handler,并且保存路径和Handler之间的映射关系。
SpringSecurity原理解析(二):认证流程
liang8999的博客
09-08 1073
attemptAuthentication 方法在子类UsernamePasswordAuthenticationFilter 中实现的。attemptAuthentication方法的作用是获取Authentication对象其实就是对应的认证过程,用该AuthenticationProvider的authenticate函数认证,如果认证成功则整个认证过程结束。AuthenticationManager接口中就定义了一个方法authenticate方法,用于处理认证的请求;
SSM框架学习(二:SpringFramework实战指南)
xpy2428507302的博客
09-09 948
一个项目,一个工程,导出为一个war包,在一个Tomcat上运行,即 all in one。单一架构的项目主要应用技术框架为:Spring , SpringMVC , Mybatis负责实例化、配置和组装 bean(组件)。容器通过读取配置元数据(配置文件)来获取有关要实例化、配置和组装组件的指令。XML、Java 注解或 Java 代码形式。它允许表达组成应用程序的组件以及这些组件之间丰富的相互依赖关系。应用程序类与配置元数据相结合,才拥有完全配置且可执行的系统或应用程序。
【安全漏洞】SpringBoot + SpringSecurity CORS跨域资源共享配置
weixin_42925623的博客
09-05 1613
今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。
基于SpringBoot的旅游管理系统
heye0910032的博客
09-08 470
随着科技的发展,旅游管理系统的信息化成为提升旅游服务效率的关键。本系统采用JSP技术和SpringBoot框架,结合MySQL数据库,旨在实现一个功能全面、操作简便、安全可靠的旅游管理平台。系统通过需求分析、系统设计、功能实现和测试,确保了良好的用户体验和数据处理能力,为旅游业务的现代化管理提供了强有力的技术支持。本研究成功开发了一个基于SpringBoot的旅游管理系统,该系统通过集成多种旅游管理功能,显著提高了旅游服务的效率和质量。系统的用户友好界面和强大的后端功能,使得管理员和用户都能从中受益。
springboot】父子工程项目搭建
最新发布
qq_40878316的博客
09-11 427
可以在idea右侧页签栏中点击【Maven】查看父子工程结构及其拥有依赖。2.选择合适的springboot版本,点击【完成】,即创建父工程完毕。2.选择新建Maven工程(注意此处的SDK需与父工程保持一致)1.右键项目名->新建(news)->模块(Module)3.填写子工程模块信息(此处组id与父工程保持一致)可点击右上角设置图标,点击选择【将模块分组】即可。2.子工程编写启动类及controller类。,能正常输入内容,则表示父子工程无问题。1.新建一个spring项目。
Lombok失效:报错 找不到符号 Springboot项目
qq_42704130的博客
09-10 518
错误原因,Springboot项目为Lombok提供了版本管理的支持,所以引入Lombok依赖的时候,无需手动指定版本,手动指定了可能会导致依赖冲突。去掉手动指定的版本,问题解决。
springcloud整合sa-token
09-06
SpringCloud是基于Spring框架的分布式系统开发框架,它提供了丰富的分布式系统解决方案。而Sa-Token是一个轻量级的Java权限认证与授权框架,提供了简单易用的权限控制功能。 在SpringCloud中整合Sa-Token可以为我们的分布式系统提供更加安全可靠的权限认证与授权机制。具体步骤如下: 1. 在SpringCloud的微服务架构中,将Sa-Token配置为一个独立的授权认证中心,可以独立部署,也方便对其进行管理和维护。 2. 在每个微服务中引入Sa-Token的依赖,通过配置Sa-Token的相关属性,实现微服务的用户登录与认证。同时,可以使用Sa-Token提供的注解进行权限控制,例如@RequiresPermissions注解可以对接口或方法进行权限校验。 3. 在微服务之间进行访问时,可以通过Sa-TokenToken验证机制,对调用方进行身份认证。因此,每个微服务需要验证并解析Token,以确保请求方的合法性。 4. Sa-Token提供了灵活的权限授权机制,可以根据业务需求配置不同的角色和权限管理。在SpringCloud中,我们可以根据微服务的不同职能划分角色,为每个角色分配相应的权限。通过角色与权限的配置,实现对不同微服务接口的精确控制。 通过将Sa-Token整合到SpringCloud中,我们可以实现整个系统的统一权限管理。无论是对用户的认证与授权,还是对接口的权限控制,都可以通过Sa-Token轻松实现。这不仅提高了系统的安全性,同时也简化了系统的开发与维护工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PG_强哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值