spring boot security 不拦截_SpringBoot服务整合安全认证Security

最新推荐文章于 2024-01-29 15:01:09 发布
最新推荐文章于 2024-01-29 15:01:09 发布
阅读量1k 收藏
点赞数
文章标签: spring boot security 不拦截
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39646658/article/details/113318461
版权
0a4ed2215e41b4a9bf5fad368e33951d.png

前言

有这么个需求:客户端不能直接访问后端服务,需经过网关进行权鉴及安全认证后在将请求转发到后端。但如果开发人员过用户知道后端地址这个时候完全可以跳过网关服务直接请求到后端,这样后端服务就会承受安全风险,这个时候我们就要用到Spring Security。

5a8e71b98a7a035c588244be6f8b6463.png

Spring Security简介

Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。

d4bf1f3a7a44afdb19f6c929ec0bd3cd.png

SpringBoot集成Security

这里我们将Security单独建立为一个核心微服务:microservice-security,这样其他后端微服务执行引入这个jar就可以实现安全认证。

pom我们导入如下jar:

org.springframework.boot spring-boot-starter-web org.springframework.boot spring-boot-starter-security org.springframework.boot spring-boot-starter-data-couchbase

同时我们编写WebSecurityConfig类,该类继承WebSecurityConfigurerAdapter,现通过以下方法可配置拦截URL,配置忽略认证地址及设置什么权限等安全控制。

@Configuration@EnableWebSecuritypublic class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) { String[] antPatterns = new String[] { /** 忽略异步推送地址权鉴 */ "/v1/notifyUrl", "/v1/faceLite/gainResultAndReturnUrl" }; /**忽略auth认证URL*/ web.ignoring().antMatchers(antPatterns); } @Override protected void configure(HttpSecurity http) throws Exception { /**表示所有的访问都必须进行认证处理后才可以正常进行*/ http.httpBasic().and().authorizeRequests().anyRequest().fullyAuthenticated(); /**所有的Rest服务一定要设置为无状态,以提升操作性能*/ http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.csrf().disable(); }}

配置application-security.yml,设置安全认证密码:

spring: security: user: name: wxt12138 password: wxt12138 roles: - USER - ACTUATOR

通过上述三步我们编写提供端微服务并引入microservice-security,注意提供端微服务application.yml配置需要引入security的配置文件:

spring: profiles: include: - security

此时我们直接访问提供端服务会出现401异常。

{ "timestamp": "2019-12-03T16:46:59.961+0000", "status": 401, "error": "Unauthorized", "message": "Unauthorized", "path": "/xxx/xxx"}

此时我们的安全认证是已经生效,这时我们还需要配置gateway网关服务,网关服务中实现OAuth授权。相关代码片段如下:

@Componentpublic class OAuthSignatureFilter implements GlobalFilter, Ordered { /**授权访问用户名*/ @Value("${spring.security.user.name}") private String securityUserName; /**授权访问密码*/ @Value("${spring.security.user.password}") private String securityUserPassword; /**OAuth过滤器*/ @Override public Mono filter(ServerWebExchange exchange, GatewayFilterChain chain) { /**oauth授权*/ String auth = securityUserName.concat(":").concat(securityUserPassword); String encodedAuth = null; try { encodedAuth = Base64Utils.encode(auth.getBytes(Charset.forName("US-ASCII"))); } catch (UnsupportedEncodingException e) { MySlf4j.textError("BASE64编码异常:{0}",MySlf4j.ExceptionToString(e)); } String authHeader = "Basic " + encodedAuth; //向headers中放授权信息 ServerHttpRequest serverHttpRequest = exchange.getRequest().mutate().header("Authorization", authHeader) .build(); //将现在的request变成change对象 ServerWebExchange build = exchange.mutate().request(serverHttpRequest).build(); return chain.filter(build); } /**优先级,数字越大优先级越低 */ @Override public int getOrder() { return 3; }}

至此我们完成了SpringBoot服务的权限认证。

weixin_39646658
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springsecurity拦截接口_SpringBoot集成Spring Security入门体验
weixin_31976493的博客
01-25 2512
一、前言Spring Security 和 Apache Shiro 都是安全框架,为Java应用程序提供身份认证和授权。二者区别Spring Security:重量级安全框架Apache Shiro:轻量级安全框架关于shiro的权限认证与授权可参考小编的另外一篇文章 : SpringBoot集成Shiro 实现动态加载权限二、SpringBoot集成Spring Security入门体验基本环...
springsecurity拦截接口_一文详解Spring Security基于表单登录的认证模式
weixin_34688479的博客
01-25 1885
本文思维导图图1 思维导图原理探讨当我们在项目中引入 Spring Security 的相关依赖后,默认的就是表单登录形式;俗话说:“听人劝,吃饱饭”,既然 Spring Security 已经给我们安排的明明白白了,我们就从表单登录开始吧。在开始之前,我们可以站在 Spring Security 的角度上思考:如果我自己来实现表单登录的功能,那么我需要做哪些工作呢?就我个人而言,我可能会考虑以下...
spring security 动态不拦截指定请求
liu_xue_xue的专栏
07-15 8828
方法一、简单配置 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) throws Exception { //ignore web.ignoring().antMatchers("/info","/css","/html"); }
一个注解搞定Spring Security 忽略拦截
小魏的奇妙世界
12-20 4284
一个注解搞定spring-security忽略拦截, 减少开发硬编码配置
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2201
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
SpringBoot_SpringSecurity
SpringBoot_SpringSecurity_JWT_RBAC:前后端分离,基于 JWT、RBAC 的登录拦截设计
05-01
SpringBoot_SpringSecurity_JWT_RBAC
Spring boot拦截器实现IP黑名单的完整步骤
08-19
Spring Boot拦截器实现IP黑名单的完整步骤 Spring Boot拦截器是一种非常强大的工具,可以帮助我们实现各种业务逻辑的拦截和处理。在这篇文章中,我们将详细介绍如何使用Spring Boot拦截器来实现IP黑名单的功能。 ...
Springboot前后端分离,JWT+Security+Redis实现登录拦截及权限认证,包含全局异常处理以及统一返回风格
12-25
Springboot前后端分离,JWT+Security+Redis实现登录拦截及权限认证,包含全局异常处理以及统一返回风格
grpc-spring-security-demo:基于Spring Boot的gRPC服务器,具有受Spring Security保护的gRPC端点
01-31
该项目演示了如何使用Spring Security的基于方法的安全性机制来保护gRPC服务。 这是一个用Java编写并基于Spring Boot构建的gRPC服务器。 它使用gRPC拦截器与Spring Security集成,并支持两种身份验证机制:...
springboot + 拦截器 + 注解 实现自定义权限验证
weixin_48747363的博客
05-22 568
springboot + 拦截器 + 注解 实现自定义权限验证
SpringSecurity 免密登录方法
最新发布
weixin_38982591的博客
01-29 1732
需求:做微信公众号扫码登录的时候发现,我们通过微信用户的openID获取后台用户的账号,但是密码是加密放到数据库且不能逆向解密,这时就应该跳过密码认证。添加自定义校验 # MyAuthenticationProvider。
http请求header中包含中文字符时,Spring Security识别为乱码并拦截报错
qq_38803651的博客
11-17 2630
根据报错堆栈信息可以定位到是StrictHttpFirewall类的validateAllowedHeaderValue方法报的错。请求头中的cookie包含有中文字符,而spring security的默认字符集不识别中文,导致验证报错。对字段的校验总返回true,即可解决。
【MS】微服务调用时,开放某个接口设置不需要oauth2 认证即可访问
唐伯虎点纹香的博客
08-22 1万+
服务调用时,开放某个接口设置不需要oauth2 认证即可访问 目标 是把不需要认证的接口给资源服务permitAll 思路 创建一个自定义的注解 把所有带注解的URL给资源服务permitAll 1、创建不鉴权注解@AuthIgnore /** * @author czx * @title: AuthIgnore * @projectName ms * @description:...
spring boot 关闭默认的spring security
m0_67390969的博客
03-23 1914
spring boot 和activiti集成的时候,关闭默认开启的security。 package com; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.boot.web.servlet.ServletComponentScan; import org.s
springsecurity拦截某个接口_SpringSecurity 默认表单登录页展示流程源码
weixin_39554290的博客
11-26 1612
SpringSecurity 默认表单登录页展示流程源码本篇主要讲解 SpringSecurity提供的默认表单登录页 它是如何展示的的流程,涉及1.FilterSecurityInterceptor,2.ExceptionTranslationFilter ,3.DefaultLoginPageGeneratingFilter 过滤器,并且简单介绍了 AccessDecisionManager ...
Spring Security(二)拦截请求
热门推荐
逝去的往事的博客
06-20 2万+
拦截请求 在第一篇中,我们看到一个特别简单的Spring Security配置,在这个默认的配置中,会 要求所有请求都要经过认证
springboot整合springsecurity实现登录认证和数据权限管理
05-18
Spring Boot整合Spring Security可以实现登录认证和数据权限管理。下面是简单的步骤: 1. 添加依赖 在pom.xml文件中添加以下依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值