java鉴权_就很棒!这样的java微服务下的用户鉴权方案,很值得一看

最新推荐文章于 2023-11-09 17:10:30 发布
最新推荐文章于 2023-11-09 17:10:30 发布
阅读量176 收藏
点赞数
文章标签: java鉴权

Java下常用的安全框架主要有Spring Security和shiro,都可提供非常强大的功能,但学习成本较高。在微服务下鉴权多多少少都会对服务有一定的入侵性。 为了降低依赖,减少入侵,让鉴权功能相对应用服务透明,我们采用网关拦截资源请求的方式进行鉴权。

一、整体架构

68916ab79eb7f4c877f24f5e7eeb616c.png

用户鉴权模块位于API GateWay服务中,所有的API资源请求都需要从此通过。

  1. 身份认证,通过则缓存用户权限数据,不通过返回401
  2. 用户鉴权,比对当前访问资源(URI和Method)是否在已缓存的用户权限数据中,在则转发请求给对应应用服务,不在则返回403

二、实现步骤

f2433a0d0667e74a29f76824e9503aea.png

1. 用户登陆

public LoginUser login(String userName, String password){
    // 检查密码
    User user = userService.checkUser(userName, password);    LoginUser loginUser = LoginUser.builder()            .userName(userName)            .realName(user.getRealName())            .userToken(UUID.randomUUID().toString())            .loginTime(new Date())
            .build();    // 保存session
    session.saveSession(loginUser);    // 查询权限
    List<Permission> permissions = permissionRepository.findByUserName(userName);    // 保存用户权限到缓存中
    session.saveUserPermissions(userName, permissions);    return loginUser;
}// ...
// 缓存用户权限到Redis
public void saveUserPermissions(String userName, List<Permission> permissions) {    String key = String.format("login:permission:%s", userName);
    HashOperations<String, String, Object> hashOperations = redisTemplate.opsForHash();    hashOperations.putAll(key, permissions.stream().collect(            Collectors.toMap(p -> p.getMethod().concat(":").concat(p.getUri()),
                    Permission::getName, (k1, k2) -> k2)));
    if (expireTime != null) {
        redisTemplate.expire(key, expireTime, TimeUnit.SECONDS);    }}
  • 用户验证通过后,下发userToken,保存当前登陆信息,缓存用户授权列表
  • 缓存授权列表时,为了方便读取使用hash方式保存为list,切勿直接将数组对象保存为一个object

2. 拦截请求

@Slf4j
@Component
public class AuthorizationFilter extends AbstractGatewayFilterFactory {
    @Autowired
    private Session session;
    @Override
    public GatewayFilter apply(Object config) {
        return (exchange, chain) -> {
            ServerHttpRequest request = exchange.getRequest();            ServerHttpResponse response = exchange.getResponse();            String uri = request.getURI().getPath();            String method = request.getMethodValue();            // 1.从AuthenticationFilter中获取userName
            String key = "X-User-Name";
            if (!request.getHeaders().containsKey(key)) {
                response.setStatusCode(HttpStatus.FORBIDDEN);
                return response.setComplete();
            }
            String userName = Objects.requireNonNull(request.getHeaders().get(key)).get(0);
            // 2.验证权限
            if (!session.checkPermissions(userName, uri, method)) {
                log.info("用户:{}, 没有权限", userName);
                response.setStatusCode(HttpStatus.FORBIDDEN);
                return response.setComplete();
            }
            return chain.filter(exchange);
        };
    }
}
  • 第一步从取出身份认证模块传递的X-User-Name
  • 第二步去缓存中检查是否有相应的权限
public boolean checkPermissions(String userName, String uri, String method) {
    String key = String.format("login:permission:%s", userName);
    String hashKey = String.format("%s:%s", method, uri);
    if (redisTemplate.opsForHash().hasKey(key, hashKey)){
        return  true;
    }    String allKey = "login:permission:all";
    // 权限列表中没有则通过
    return !redisTemplate.opsForHash().hasKey(allKey, hashKey);
}
  • 权限列表中没有则通过 主要是放过一些没有必要配置的公共资源,默认都可以访问的资源
  • login:permission:all 所有配置过的权限列表需要在程序启动时放入缓存,并需要保持数据的更新

3. 鉴权Filter配置

spring:
  cloud:
    gateway:
      routes:
        - id: cloud-user
          uri: lb://cloud-user  # 后端服务名
          predicates:
            - Path=/user/**   # 路由地址
          filters:
            - name: AuthenticationFilter  # 身份认证
            - name: AuthorizationFilter   # 用户鉴权
            - StripPrefix=1 # 去掉前缀
  • 特别注意filter的顺序,必须先做身份认证后再进行鉴权
  • 如果有较多的路由都需要配置,可使用default-filters默认Filter配置

三、其它问题

在做单元测试时,如遇到如下错误

nested exception is java.lang.NoClassDefFoundError: javax/validation/ValidationException

请升级依赖包版本:

<!--升级validation-api的版本-->
<dependency>
    <groupId>org.hibernate.validator</groupId>
    <artifactId>hibernate-validator</artifactId>
    <version>6.0.5.Final</version>
</dependency>
<dependency>
    <groupId>javax.validation</groupId>
    <artifactId>validation-api</artifactId>
    <version>2.0.1.Final</version>

四、完整代码

https://gitee.com/hypier/barry-cloud

作者:barry的异想世界
链接: https:// juejin.im/post/68655804 70151675918
来源:掘金
weixin_39654903
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!.rar
06-29
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题 Sa-Token 旨在以简单、优雅的方式完成系统的权限认证部分...
轻量级 Java 权限认证框架让鉴权变得简单优雅
04-05
一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!—— 登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0。分布式Session会话、微服务网关鉴权 等一系列权限相关问题。Sa-Token ...
CVE-2023-22602 CVE-2023-34478 shiro升级1.12.0报错类文件具有错误的版本 61.0, 应为 52.0
tabvla的博客
09-15 589
CVE-2023-22602 CVE-2023-34478 shiro升级 若依框架 类文件具有错误的版本 61.0, 应为 52.0
有关shiro的升级方法
热门推荐
wuxs的专栏
11-01 1万+
今年的护网行动,攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(CSDN中的好多用户都是上传到博客中,但一下载就收费,感觉很不好) 下载地址:(Maven库) https://mvnrepository.com/artifact/org.apache.shiro/shiro-core 关于应该升级哪些东西,经过测试有以下内容:(以升级到1.7版本为例) shiro-core-1.7.0.jar shiro-web-1.7.0
shiro-all由1.2.3.jar 升级到1.7.0.jar以上版本遇到的问题
lee的博客
11-09 326
ApplicationContext.xml中loginUrl的值由“/”改成“/index.jsp”shiroFilter配置中: loginUrl配置问题。缺少OWASP Java Encoder 的jar导致。增加这个jar以后就不会报错了。添加owasp的jar包即可。
apache shiro 如何升级_Shiro登录认证
weixin_39636099的博客
11-26 1423
我们使用一个springboot+Shiro集成项目来了解一下Shiro在登录认证方面是如何运作的。1、pom依赖添加<dependency> <groupId>org.apache.shirogroupId> <artifactId>shiro-coreartifactId> ...
shiro-all由1.3.2 升级到1.11.0后出现重定向次数过多的问题:ERR_TOO_MANY_REDIRECTS
dulabing的专栏
06-27 1268
1,假设网站的网址是http://localhost:8080/rrsck, 当用户没有认证的时候,在浏览器敲击http://localhost:8080/rrsck网址的时候,会去查找rrsck根目录下的名为index.jsp的文件。在升级shiro之前, loginUrl的value='/', 是没有问题的, 不知道为啥, 升级后, 单纯'/' 就匹配不上index了, 一直在循环调转.所以, 升级shiro后, loginUrl的value='/index.jsp'
一个轻量级 Java 权限认证框架让鉴权变得简单优雅-登录认证权限认证分布式Session会话微服务网关鉴权
04-14
一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!—— 登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0。Sa-Token 目前主要五大功能模块:登录认证、权限认证、单点登录、OAuth...
Sa-Token v1.36.0一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!
10-14
一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!—— 登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0
rest-auth-proxy:基于Java的restful ldap-authentication微服务
05-30
使用 rest-auth-proxy 微服务rest-auth-proxy 是一个基于 Java 的 restful ldap-authentication 微服务,可用于根据 ldap 和活动目录对用户进行身份验证。 它充当调用应用程序和 ldap 服务之间的身份验证代理。 ...
跨域实现用户鉴权
06-13
(需要BASS和console)
后台权限管理系统微服务
10-15
idea开发的springboot项目后端微服务,使用gradle搭建,项目中有mysql数据库脚本,可以直接部署运行。 权限管理通过shiro认证授权,可以通过nginx配置集成其他微服务,只需要调用应用中的授权接口即可。 api接口说明采用swagger,详情可以参考项目中的Readme文件
Spring Security 和Apache Shiro你需要具备哪些条件
08-18
主要介绍了Spring Security 和Apache Shiro你需要具备哪些条件,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务框架;用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:https://blog.csdn.net/weixin_42686388/article/details/103084289
《springcloud&学习资料》--史上功能最全的Java权限认证框架!.zip
最新发布
04-19
史上功能最全的Java权限认证框架!目前已集成——登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0、踢人下线、Redis集成、前后台分离、记住我模式、模拟他人账号、临时身份切换、账号...
spring security与 shiro的 简单对比
weixin_39639119的博客
09-15 5318
spring security 接口 RequestMatcher 用于匹配路径,对路径做特殊的请求,类似于shiro的 抽象类 PathMatchingFilter,但是 RequestMatcher 作用粒度更细,例如可只另某些路径受 csrf保护,spring security也 可以自定义filter,来干扰正常的filter运作 下面是 shiro 与 spring ...
记shiro1.10.0 升级排坑日志
冰剑的专栏
10-16 2976
记shiro1.10.0 升级排坑日志
【万字长文】微服务整合Shiro+Jwt,源码分析鉴权实战
qq_47027235的博客
08-02 438
Shiro是什么,我这里就不多介绍了,全网也有好多是介绍ShiroJwt整合的教程,我想要写这篇文章,是因为有好多的内容,基本上都是类似的,自己想要的效果,我并没有找到合适的解决方案。支持RBAC通过JWT生成token,做到无状态能够动态的根据用户角色对当前请求路径进行鉴权,而不是使用Shiro提供的注解,把角色,权限等信息写死对Shiro的异常进行统一捕获和处理Subject(主题):当前“用户”是谁,这个“用户”并不是我们现实世界中的人类,你可以这样理解,向Shiro发起操作的就是一个。
Shrio 微服务权限控制方案,完美实现!
架构文摘
03-10 992
来自:blog.csdn.net/to10086/article/details/109573948一、微服务权限设计先说下为什么写这篇文章,因为实际项目需要,需要对我们现在项目页面小到每个部件都要做权限控制,然后查了下网上常用的权限框架,一个是shrio,一个是spring security,看了下对比,都说shrio比较轻量,比较好用。本文我们也选择了shrio来做整个项目的权限框架,同时结合...
登录鉴权微服务java代码
07-12
当涉及到登录鉴权微服务Java代码时,可以使用一些常见的框架和技术来实现。下面是一个示例代码,展示了一个基本的登录鉴权微服务的实现: ```java import org.springframework.boot.SpringApplication; import ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值