SpringCloud微服务安全(二)API安全 2-7 授权

最新推荐文章于 2021-05-20 15:46:50 发布
最新推荐文章于 2021-05-20 15:46:50 发布
阅读量192 收藏 1
点赞数
分类专栏: # SpringCloud Finchley微服务实战 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42405670/article/details/116332922
版权

1. 授权

访问控制:

1. ACL :Access Control Lists,直接给每个用户授权,他能访问什么。开发简单,但是用户多的话,给每个用户授权比较麻烦。

2. RBAC:Role Based Access Control。给角色授权,给用户赋予角色。授权简单,开发麻烦。

2.ACL来实现简单的权限控制

方式:在用户表里加入permission字段标识权限。

2.1 创建 AclInterceptor 权限拦截

package com.imooc.security.filter;

import com.imooc.security.user.User;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @ClassName AclInterceptor
 * @Description TODO
 * @Author wushaopei
 * @Date 2021/5/2 13:12
 * @Version 1.0
 */
@Component
public class AclInterceptor extends HandlerInterceptorAdapter{


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        boolean result = true;
        User user = (User)request.getAttribute("user");

        if(user == null){
            response.setContentType("text/plain");
            response.getWriter().write("need authentication");
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            result = false;
        }else{
            String method = request.getMethod();

            if(!user.hasPermission(method)){
                response.setContentType("text/plain");
                response.getWriter().write("forbidden");
                response.setStatus(HttpStatus.FORBIDDEN.value());
                result = false;
            }
        }
        return result;
    }
}

注册到容器:

registry.addInterceptor(aclInterceptor);

2.2 User新增permissions权限字段

   /**
     * @Description TODO 权限字段
     */
    @Column
    private String permissions;


   /**
     * @Description TODO 根据请求的method来判断是否有访问当前接口的权限
     * @param method
     * @return
     */
    public boolean hasPermission(String method) {
        boolean result = false;
        // 判断该权限是读还是写
        if(StringUtils.equalsIgnoreCase("get",method)){
            result = StringUtils.contains(permissions, "r");
        }else {
            result = StringUtils.contains(permissions,"w");
        }
        return result;
    }

2.3 测试授权

已授权的访问:

当前用户权限为可读可写

访问结果:

未授权的访问:

 

 

鮀城小帅
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringCloud(八):API网关整合OAuth2认证授权服务
03-27
SpringCloud(八):API网关整合OAuth2认证授权服务。
SpringCloud微服务安全API安全 2-3 限流实现注入攻击防护
喜欢历史的码农
05-20 352
1. 概念 流控,流量控制,只放系统能处理的请求的数量过去,处于api安全链路的第一关。 为什么要做流控?保证系统的可用性,防止大流量把系统给压死。流控的位置做在认证、审计、授权等整个安全机制的最前边,提前控制流量,避免其他无用的资源浪费。 如果没有流控放在第一道档线,攻击者弄一堆肉鸡,发起DDOS攻击,即使你后边的认证、审计、授权做得再好,也可能把你的服务压死。 比如系统每秒只能处理500个请求,那么每秒就放500个请求过去,多了的请求直接拒绝掉,这样的话系统不会被压死。实际中的流控是非常复杂的.
认证鉴权与API权限控制微服务架构中的设计与实现:升级
weixin_34390105的博客
09-14 364
概述 在之前的系列文章认证鉴权与API权限控制微服务架构中的设计与实现中,我们有四篇文章讲解了微服务下的认证鉴权与API权限控制的实现。当时基于的Spring Cloud版本为Dalston.SR4,当前最新的Spring Cloud版本为Finchley.SR1,对应的Spring Boot也升级到了2.0.x。Spring Cloud版本为F...
基于微服务API级权限的技术架构
weixin_34258078的博客
08-12 421
一般而言,企业内部一套成熟的权限系统,都是基于角色(Role)的 访问控制方法(RBAC – Role Based Access Control),即权限 (Permission)与角色相关联,用户(User)通过成为适当角色的成员而得到这 些角色的权限,权限包含资源(或者与操作组合方式相结合),最终实现权限控制 的目的。 背景 权限系统是根据系统设置的安全规则或者安全策略,用户可...
认证鉴权与API权限控制微服务架构中的设计与实现:授权码模式
weixin_34417200的博客
04-04 116
引言: 之前系列文章《认证鉴权与API权限控制微服务架构中的设计与实现》,前面文章已经将认证鉴权与API权限控制的流程和主要细节讲解完。由于有些同学想了解下授权码模式,本文特地补充讲解。 授权码类型介绍 授权码类型(authorization code)通过重定向的方式让资源所有者直接与授权服务器进行交互来进行授权,避免了资源所有者信息泄漏给客户端,是功能最完整、流程最严密的授权类型,但是需要客...
Spring Cloud微服务安全实战 中小企业可落地的完整安全方案
10-19
给大家分享一套课程——Spring Cloud微服务安全实战 中小企业可落地的完整安全方案,完整版,附源码。 采用流行的微服务架构开发时,有三大问题:认证授权、可用性、可视化需要面对。本课程从简单的API安全入手,...
Spring Cloud微服务安全实战 中小企业可落地的完整安全方案视频教程
10-21
在本课程中,“Spring Cloud微服务安全实战 中小企业可落地的完整安全方案视频教程”主要聚焦于如何在中小企业环境中实施高效且实用的微服务安全措施。Spring Cloud作为一款广泛使用的微服务框架,其安全机制对于...
springcloud 微服务 。pdf
03-23
SpringCloud微服务架构的优势: 1. 模块化:每个服务独立开发、测试和部署,降低了复杂性。 2. 扩展性:根据业务需求,可以灵活扩展单个服务,而不影响整个系统。 3. 自治性:每个服务都有自己的数据库,减少跨...
springcloud security。微服务安全-springcloud-security.zip
最新发布
01-30
3. **服务间通信安全**:SpringCloud Security通过Zuul或Netflix Gateway等边缘服务,对微服务间的API调用进行安全过滤,确保只有经过验证的请求才能到达后端服务。 4. **Session管理**:在分布式系统中,传统的...
SpringCloud微服务架构笔记(四
03-18
Spring Cloud微服务架构笔记(四)】 在微服务架构中,Spring Cloud Stream是一个关键组件,它为企业级开发提供了一种高效、灵活的消息处理机制。本文将深入探讨Spring Cloud Stream的功能、核心概念以及如何在...
goku:A Powerful HTTP API Gateway in pure golang!Goku API Gateway (中文名:悟空 API 网关)是一个基于 Golang开发的微服务网关,能够实现高性能 HTTP API 转发、服务编排、多租户管理、API 访问权限控制等目的,拥有强大的自定义插件系统可以自行扩展,并且提供友好的图形化配置界面,能够快速帮助企业进行 API 服务治理、提高 API 服务的稳定性和安全
05-17
Goku API Gateway是基于Golang的微服务网关,可实现高性能的动态路由,服务编排,多租户管理,API访问控制等。它也适用于微服务系统下的API管理。 Goku提供图形界面和插件系统,使配置更容易,扩展更方便。 摘要/ 为什么悟空 Goku API网关是在企业系统服务边界上运行的微服务网关。 当您构建网站,应用程序,物联网甚至API交易时,Goku API Gateway可以帮助您从内部系统中提取重复的组件并将其放置在Goku网关上,例如用户授权,访问控制,流量监控,防火墙,数据缓存,数据转换等。 Goku API Gateway CE提供了全面的使用指南和自定义指南。 Goku用纯Go语言编写,具有良好的性能和可伸缩性,并且内置的插件系统使企业可以针对自己的业务定制开发。 Goku API Gateway也可以与EOLINK API Studio结合使用,以增强API
SpringCloud微服务安全API安全 2-8 授权
喜欢历史的码农
05-20 234
登录 登录的本质 保持登录状态的方法 常见的登录攻击及防护 1. 登录 在认证部分用过滤器实现HttpBasic 认证 ,在请求头里携带用户名和密码,存在的问题是,你不可能让用户每个请求都输入用户名密码吧,即使前端把用户名密码存起来,这也是不安全的。 1.1 基于Token的身份认证的实现 1.2 基于cookie和session的实现 2. 登录 2.1 登录接口 @GetMapping("/login") public void login(@Validated
微服务】之七:轻松搞定SpringCloud微服务-API权限控制
weixin_30595035的博客
12-24 770
权限控制,是一个系统当中必须的重要功能。张三只能访问输入张三的特定功能,李四不能访问属于赵六的特定菜单。这就要求对整个体系做一个完善的权限控制体系。该体系应该具备针区分用户、权限、角色等各种必须的功能。 本系列教程 【微服务】轻松搞定SpringCloud微服务目录 【微服务】轻松搞定SpringCloud微服务目录-独立博客 本系列为连载文章,阅读本文之前强烈建议您先阅读前面几篇。 上一节...
Spring Cloud微服务学习总结(5)——认证鉴权与API权限控制微服务架构中的设计与实现(三)
科技D人生
10-28 6124
本文转载自( http://blueskykong.com/2017/10/24/security3/)1. 前文回顾在开始讲解这一篇文章之前,先对之前两篇文章进行回忆下。在第一篇 认证鉴权与API权限控制微服务架构中的设计与实现(一)介绍了该项目的背景以及技术调研与最后选型。第篇认证鉴权与API权限控制微服务架构中的设计与实现()画出了简要的登录和校验的流程图,并重点讲解了用户身份的认证
API安全机制之授权
大军的博客
02-26 775
API安全机制之认证
springcloud提供开放api接口签名验证
daweiqu4168的博客
02-19 1263
一、MD5参数签名的方式 我们对api查询产品接口进行优化: 1.给app分配对应的key、secret 2.Sign签名,调用API时需要对请求参数进行签名验证,签名方式如下: a.按照请求参数名称将所有请求参数按照字母先后顺序排序得到:keyvaluekeyvalue...keyvalue字符串如:将arong=1,mrong=2,crong=3排序为:a...
Spring Cloud微服务权限方案
ice-wee的专栏
01-21 7927
链接1:http://geek.csdn.net/news/detail/236321链接2:http://blog.csdn.net/michael_hm/article/details/77101199链接3:https://edu.csdn.net/lecturer/1571认证鉴权与API权限控制微服务架构中的设计与实现(一)http://blueskykong.com/2017/10/...
微服务架构下的统一身份认证和授权
weixin_33829657的博客
10-18 6983
为什么80%的码农都做不了架构师?>>> ...
微服务API开放授权平台的设计与实现
程序员蒋老湿的博客
11-13 310
本文所介绍的项目是一个基于oath2协议的应用,实现的的功能逻辑与QQ互联,微博开放平台类似,都是同一套认证授权流程。 项目结构简单易懂,却不偷工减料,在学习完本文内容后,读者可以直接获取文中的项目代码用于学习或者copy到公司的生产项目中修改后使用,真正达到学以致用的目的。 所涉及技术栈: java springboot 2.0.1.RELEASE spring security 2.0.1.RELEASE spring cloud oauth2 2.0.0.M7 mybatis 2.0..
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值