SpringCloud微服务安全(二)API安全 2-8 授权

最新推荐文章于 2023-04-23 23:45:47 发布
最新推荐文章于 2023-04-23 23:45:47 发布
阅读量232 收藏 1
点赞数
分类专栏: # SpringCloud Finchley微服务实战 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42405670/article/details/116353253
版权

登录

  • 登录的本质
  • 保持登录状态的方法
  • 常见的登录攻击及防护

1. 登录

在认证部分用过滤器实现HttpBasic 认证 ,在请求头里携带用户名和密码,存在的问题是,你不可能让用户每个请求都输入用户名密码吧,即使前端把用户名密码存起来,这也是不安全的。

1.1 基于Token的身份认证的实现

1.2 基于cookie和session的实现

2. 登录

2.1 登录接口

    @GetMapping("/login")
    public void login(@Validated UserInfo user, HttpServletRequest request,HttpServletResponse response){
        // 登录
        UserInfo info = userService.login(user);
        request.getSession().setAttribute("user",info);
    }

2.2 授权拦截重构

登录操作不需要拦截

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        boolean result = true;

        // 登录:该操作不做授权的校验
        if (!ArrayUtils.contains(permitUrls,request.getRequestURI())){
            User user = (User)request.getAttribute("user");
            if(user == null){
                response.setContentType("text/plain");
                response.getWriter().write("need authentication");
                response.setStatus(HttpStatus.UNAUTHORIZED.value());
                result = false;
            }else{
                String method = request.getMethod();

                if(!user.hasPermission(method)){
                    response.setContentType("text/plain");
                    response.getWriter().write("forbidden");
                    response.setStatus(HttpStatus.FORBIDDEN.value());
                    result = false;
                }
            }
        }
        return result;
    }

登录操作 result 返回true;其他请求则进行授权校验。

2.3 访问登录接口

记录JSESSIONID

2.4 再次请求,浏览器Cookie携带JSESSIONID到服务器。

2.5 基于cookie-session的登录方式的优劣势

优点:就是弥补了HttpBasic的缺点,使用起来很方便

缺点:只适用于浏览器,浏览器接收到Response Header里的jessionId后去设置 Cookie,无法对App、第三方的服务器,因为他们不认Cookie

集群环境下,需要进行Session共享处理

3. 自定义Token实现

主要通过基于 Token实现身份认证

4. 防范Session固定攻击

    @GetMapping("/login")
    public void login(@Validated UserInfo user, HttpServletRequest request,HttpServletResponse response){
        // 登录
        UserInfo info = userService.login(user);
//        request.getSession().setAttribute("user",info);
        // 优化,解决Session固定攻击
        HttpSession session = request.getSession(false); // 将当前请求的sessionId失效
        if(session != null ){
            session.invalidate();
        }
        // true用于标识生成新的JSESSIONID
        request.getSession(true).setAttribute("user", user);
    }

5.代码重构

重构内容:

  1. 同时提供 Authorization 和 cookie-session 两种授权策略
  2. 所有接口都允许使用 authorization 策略进行请求
  3. cookie-session 策略由 login() 接口登录后生成 cookie ,其他的接口携带 cookie 进行请求

5.1 认证功能重构

BasicAuthecationFilter.java 
 protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 获取请求头中的认证信息
        String authHeader = request.getHeader("Authorization");
        // 请求进来的时候调用
        // 判断认证信息是否存在,有就进行验证
        if(StringUtils.isNotBlank(authHeader)){
            // 截取认证信息中的basic信息
            String token64 = StringUtils.substringAfter(authHeader,"Basic ");
            String token = new String(Base64Utils.decodeFromString(token64));
            String[] items = StringUtils.splitByWholeSeparatorPreserveAllTokens(token,":");

            String username = items[0];
            String password = items[1];

            User user = userRepository.findByUsername(username);
//          当前用户不为空与密码正确的情况下,认证通过,并将相关用户数据存入到请求域中
            boolean bo = SCryptUtil.check(password,user.getPassword());
//            if(user != null && StringUtils.equals(password , user.getPassword())){
            if(user != null && bo){
                //认证通过,存放用户信息
                request.getSession().setAttribute("user", user.buildInfo());
                request.getSession().setAttribute("temp","yes");
            }
        }
        try {
            //不管认证是否正确,继续往下走,是否可以访问,交给授权处理
            filterChain.doFilter(request, response);
        }finally {
            // finally 中是响应的时候调用
            HttpSession session = request.getSession();
            if (session.getAttribute("temp")!= null){
                session.invalidate();
            }
        }

    }

5.2 授权功能重构

AclInterceptor.java
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        boolean result = true;

        // 登录:该操作不做授权的校验
        if (!ArrayUtils.contains(permitUrls,request.getRequestURI())){
            UserInfo userInfo = (UserInfo)request.getSession().getAttribute("user");
            if(userInfo == null){
                response.setContentType("text/plain");
                response.getWriter().write("need authentication");
                response.setStatus(HttpStatus.UNAUTHORIZED.value());
                result = false;
            }else{
                String method = request.getMethod();
                if(!userInfo.hasPermission(method)){
                    response.setContentType("text/plain");
                    response.getWriter().write("forbidden");
                    response.setStatus(HttpStatus.FORBIDDEN.value());
                    result = false;
                }
            }
        }
        return result;
    }

5.3 RW权限校验重构

UserInfo.java , 这里主要将 User 和 UserInfo 做分离
//    @NotBlank(message = "权限不能为空")
    private String permissions;

    /**
     * @Description TODO 根据请求的method来判断是否有访问当前接口的权限
     * @param method
     * @return
     */
    public boolean hasPermission(String method) {
        boolean result = false;
        // 判断该权限是读还是写
        if(StringUtils.equalsIgnoreCase("get",method)){
            result = StringUtils.contains(permissions, "r");
        }else {
            result = StringUtils.contains(permissions,"w");
        }
        return result;
    }

5.4重构当前用户获取的逻辑

SecurityConfig.java  ,这里主要提供审计日志记录所用的用户信息,重构后更加灵活。
    @Bean
    public AuditorAware<String> auditorAware(){
        return new AuditorAware<String>() {
            @Override
            public Optional<String> getCurrentAuditor() {
                // 从session中拿到用户信息
                ServletRequestAttributes servletRequestAttributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
                UserInfo info = (UserInfo) servletRequestAttributes.getRequest().getSession().getAttribute("user");
                String username = null;
                if (info != null){
                    username = info.getUsername();
                }
//                return Optional.of("wsp");
                return Optional.ofNullable(username);
            }
        };
    }

5.5 重构后测试

(1)由 login() 接口生成 cookie

(2)例:查询接口携带Cookie 请求

 

鮀城小帅
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
【记一次采坑】Spring 微服务调用session失效
heroloveyou的博客
08-21 1052
用Spring 微服务架构开发时,微服务之间相互调用时,需要传递sessionId以识别请求用户。 例如用户请求A服务,A服务调用B服务;在A调用B的时候,需要将用户的sessionId传递给B,让B知道是哪个用户在访问。 微服务之间的相互调用我们使用的时Feign,为了传递sessionId,我们定义了一个RequestInterceptor,用来添加sessionId,代码如下 public ...
关于request.getSession() 的问题
dev_hui 的博客
11-09 1万+
JavaWeb项目中,request.getSession()一般是被用来存储当前用户对象到session中,或者从session中获取当前用户对象。 分为无参和有参两种写法:  1. 无参: request.getSession()      从当前request中获取session,如果获取不到session,则会自动创建一个session,并返回新创建的session;如果获取到,则返回...
重写request的getSession方法实现集群session共享
许我笔墨三千绘你绝世倾城
05-21 5197
我们在用redis实现session共享的时候,会遇到这样的问题:当一个用户登陆后,可能集群环境下给你分配到另一台服务器,这时候你用request.getSession()获取的session是现在服务器上的session,里面没有你想要的用户信息,然后你又要重新登录,这样是你会同意吗,肯定不行的,所以我们不需要系统自动创建session了,我们来自己写一个实现共享;首先实现重写的第一步就是使用过...
你真的了解request.getsession().getAttribute吗?
思索的涟漪,突破自我
04-23 3727
具体来说,`getAttribute()` 获取的是一个 object 类型的值,因为 httpse,获取的是一个 object 类型的值,因为 httpsession 中存储的数据类型可能有多样性,需要根据实际情况进行强制类型转换。同时,需要注意的是,如果对指定名称的属性不存在,则。是 java web 开发中常用的获取 session 属性的方法,可以通过以下几点来对其进行。方法将返回 null 值,因此在使用该方法时需要先对返回结果做检查。的含义就是:从当前请求所对应的会话对象中获取指定名称的属性值。
java中关于request.getSession()的几种获取方式
北北的博客
02-01 5万+
最近用到session来存储获取用户登录信息,使用过程中经常会出现获取不到session的情况。 所以对request.getSession()的几种情况查了相关资料,以作知识储备。 在javaweb项目中,用到request.getSession()一般是存储信息到session中或者从session中获取信息。 一般有三种参数设置方式: 1.request.getSession()
微服务分布式session共享解决方案
小驴
08-16 8261
有几种解决的方案: 1.tomcat的session共享 优点:不需要额外开发,只需搭建tomcat集群即可 缺点:tomcat 是全局session复制,集群内每个tomcat的session完全同步(也就是任何时候都完全一样的) 在大规模应用的时候,用户过多,集群内tomcat数量过多,session的全局复制会导致集群性能下降, 因此,tomcat的数量不能太多,而且依赖tomcat容器移植...
Spring Cloud微服务安全实战 中小企业可落地的完整安全方案
10-19
给大家分享一套课程——Spring Cloud微服务安全实战 中小企业可落地的完整安全方案,完整版,附源码。 采用流行的微服务架构开发时,有三大问题:认证授权、可用性、可视化需要面对。本课程从简单的API安全入手,...
Spring Cloud微服务安全实战 中小企业可落地的完整安全方案视频教程
10-21
在本课程中,“Spring Cloud微服务安全实战 中小企业可落地的完整安全方案视频教程”主要聚焦于如何在中小企业环境中实施高效且实用的微服务安全措施。Spring Cloud作为一款广泛使用的微服务框架,其安全机制对于...
springcloud 微服务 。pdf
03-23
SpringCloud微服务架构的优势: 1. 模块化:每个服务独立开发、测试和部署,降低了复杂性。 2. 扩展性:根据业务需求,可以灵活扩展单个服务,而不影响整个系统。 3. 自治性:每个服务都有自己的数据库,减少跨...
springcloud security。微服务安全-springcloud-security.zip
最新发布
01-30
3. **服务间通信安全**:SpringCloud Security通过Zuul或Netflix Gateway等边缘服务,对微服务间的API调用进行安全过滤,确保只有经过验证的请求才能到达后端服务。 4. **Session管理**:在分布式系统中,传统的...
SpringCloud微服务架构笔记(四
03-18
【Spring Cloud微服务架构笔记(四)】 在微服务架构中,Spring Cloud Stream是一个关键组件,它为企业级开发提供了一种高效、灵活的消息处理机制。本文将深入探讨Spring Cloud Stream的功能、核心概念以及如何在...
SpringCloud(一) 微服务安全实战 API安全机制
xy294636185的博客
03-30 880
开发环境: JDK,STS,MySql PGA(Promethus,Grafana,AlertManager) ELK(Elastic Search, 1.判断当前请求是否需要身份认证 没有返回401 2.判断有没有权限 没有返回403 访问控制 ACL:Access Control Lists:简单易用,实现容易。无法满足复杂的业务需求,不易管理 RBAC:Role Based Access Control:引入角色(客服)概念,简化管理。开发起来相对于ACL复杂 ...
记一次Spring Cloud Session微服务间传递丢失问题定位
乱炖
07-07 5445
       在构建基于Spring Cloud微服务框架时,使用了常用的框架NGINX+ZUUL+Eureka+业务服务,Session使用Spring boot的Redis集成,所有微服务间共享Session。    所有业务的微服务Rest接口前台调用接口通过ZUUL进行转发,而ZUUL通过创建ZUULFilter过滤器来对请求鉴权及一些Session操作,而且为了保证Session实时生效...
springCloud 授权服务器
caiyuhh的博客
11-18 341
Spring Security OAuth2 是有默认的配置类的OAuth2AuthorizationServerConfiguration,当我们没有自己定义配置类时,是获取这个配置信息。//令牌的存储服务,使用JWT来为我们存储token,主要是为了把我们用户信息以及认证信息都放在token里,这样就不用一直请求我们认证服务器来获取用户的信息,减少授权服务器压力。// 重写我们的userDetailsService,后面我们可以自己模拟用户,也可以通过数据库查询我们的用户信息。让我们的服务器认识他。
SpringCloud微服务安全API安全 2-6 审计
喜欢历史的码农
05-20 617
1. 补充:如何保证API安全的请求流程 当前已经有了流控、认证,但是它们并没有按照要求进行顺序执行。 我们要求先执行流控,然后再执行认证。 解决方案: 使用 @Order注解 流控: 认证: 2. 审计日志 2.1 审计说明 审计日志 定义:谁,在什么时间,干了什么事。 位置:认证之后,授权之前。    这样就知道是谁在访问,拒绝掉的访问也能被记录。如果放在认证之前,那么就不知道是谁在访问;如果放在授权之后,就没办法记录被拒绝的访问。 存储:审计日志一定要持久化,记在数
API安全机制之审计日志
大军的博客
02-26 1455
API安全机制之审计日志
使用Spring Cloud Security OAuth2搭建授权服务
热门推荐
王鸿飞的专栏
09-14 13万+
Spring Cloud Security OAuth2 是 Spring 对 OAuth2 的开源实现,优点是能与Spring Cloud技术线无缝集成,如果全部使用默认配置,开发者只需要添加注解就能完成 OAuth2 授权服务的搭建。添加依赖授权服务是基于Spring Security的,因此需要在项目中引入两个依赖: <dependency> <groupId>org.spri
如何保证微服务API安全问题?
QvQ
03-17 1656
1、安全访问控制:API请求到达网关需要经过严格的身份认证、权限认证,才能到达后端服务。支持算法签名,支持 SSL 加密。 2、流量控制:可控制单位时间内API允许被调用次数。可以根据API的重要程度来配置不同流控,从而保障重要业务的稳定运行; 可以根据用户的重要性来配置不同流控。 3、请求管理:可根据配置进行参数类型、参数值(范围、枚举、正则、Json Schema)的校验,减少后端对非法请求、...
微服务架构如何保证安全性?
Java技术栈,分享最主流的Java技术
05-31 4500
Java技术栈www.javastack.cn优秀的Java技术公众号网络安全已成为每个企业都面临的关键问题。几乎每天都有关于黑客如何窃取公司数据的头条新闻。为了开发安全...
Gateway学习讲义大全.pdf
10-02
SpringCloud Gateway是Spring Cloud生态系统中的一款高性能网关,它旨在为微服务架构提供一个轻量级、灵活且易于扩展的API路由管理工具。相比于早期的Zuul网关,SpringCloud Gateway具有显著的优势: 1. **性能提升...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值