微服务的登录校验(gateway过滤器or拦截器实现)

最新推荐文章于 2024-04-06 18:30:00 发布
最新推荐文章于 2024-04-06 18:30:00 发布
阅读量1w 收藏 48
点赞数 8
分类专栏: 找房网微服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45528987/article/details/105813267
版权

问题来源

在做找房微服务的时候,一般只有登录的用户能够预约房源操作,或者修改资料等密码操作,管理员也需要登录的情况下才能对房源进行管理上架、添加等操作。

假如我们没一个方法都分别对其权限鉴定,用户判断是否登录,那么一个团队的开发每一个成员涉及到需要鉴权或者判断用户是否登录的情况,都需要写一套相同的代码,或者调用相同的接口,可是这些实际上应该是与本次逻辑不相干的代码,开发小组的成员应该更专注于本次需要实现的逻辑与功能。

通过接口调用,或者写一套相同的鉴权、判断用户是否登录的方法,极大的干扰开发的进度,也及其不利于后续的迭代开发。例子:如果鉴权、登录判断逻辑或者接口方法发生改变,那么一套系统中很多部分代码都需要修改代码。

理解下文首先要清楚一些最基本的概念

过滤器:

过滤器依赖servlet容器。过滤所有请求。可以在对服务器方法请求前后进行一些操作,能够决定是否放行请求。例如:字串编码,提前在request中设置一些参数等。

拦截器:

拦截器依赖web框架,springMVC中依赖的mvc框架,所以它能够spring依赖注入DI操作。实现上是反射机制实现的。对某个service方法前或后执行某部分逻辑。能够决定请求是否能被放行。功能类似过滤器

执行顺序

图片来源:https://www.cnblogs.com/juanzila/p/11276067.html
在这里插入图片描述
在这里插入图片描述

解决方法

第一种:过滤器方法实现。

本项目中遵循restful原则,GET请求一般为查询资源,POST,PUT,DELETE为修改添加资源操作。

gateway依赖

<!--gateway-->
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-gateway</artifactId>
        </dependency>

编写过滤器

@Component
public class MygateWayFilter implements GlobalFilter, Ordered {

    @Autowired
    JwtUtil jwtUtil;

    @Autowired
    RedisTemplate redisTemplate;

    /**
     * 可以用于验证用户登录状态,设置某部分请求信息等。
     * @param exchange
     * @param chain
     * @return
     */
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        ServerHttpResponse response = exchange.getResponse();
        String uri = request.getURI().toString();
        //判断当前是什么类型请求GET请求直接放行
        if (StringUtils.equals(request.getMethod().toString(), "GET")){
            return chain.filter(exchange);
        }
        //不是GET,判断是不是登录
        if (uri.contains("login")){
            return chain.filter(exchange);
        }
        //如果不是GET请求,判断是否已经登录,token是否过期
        //获取cookie中的token令牌
        MultiValueMap<String, HttpCookie> multiValueMap = exchange.getRequest().getCookies();
        List<HttpCookie> cookies =  multiValueMap.get("token");
        if (cookies != null && cookies.size() != 0) {
            String token = cookies.get(0).getValue();
            //token为空说明未登录,不放行
            if (StringUtils.isBlank(token)){
                response.setStatusCode(HttpStatus.FORBIDDEN);
                return response.setComplete();
            }
            //token not null
            try {
                Claims claims = jwtUtil.parseJWT(token);
                String userId = claims.getId();
                Object userLoginIP = redisTemplate.opsForValue().get("token_"+userId);
                //判断是否被token盗用
                if (!StringUtils.equals(String.valueOf(userLoginIP), CusAccessObjectUtil.getIpAddress(request))){
                    response.setStatusCode(HttpStatus.FORBIDDEN);
                    return response.setComplete();
                }
                return chain.filter(exchange);
            }catch (Exception e){
                e.printStackTrace();
                response.setStatusCode(HttpStatus.FORBIDDEN);
                return response.setComplete();
            }
        }
        //没有cookie不放行
        response.setStatusCode(HttpStatus.FORBIDDEN);
        return response.setComplete();
    }

    @Override
    public int getOrder() {
        return 0;
    }

}

第二种:拦截器方法实现。(推荐单服务、单系统情况)

第一步:编写拦截器类
import com.zxf.service.UserService;
import com.zxf.serviceResult.ServiceResult;
import com.zxf.utils.CookieUtils;
import com.zxf.utils.JwtUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 登录判断拦截
 */
@Component
public class MyInterceptor extends HandlerInterceptorAdapter {

    @Autowired
    JwtUtil jwtUtil;

    @Value("${token_name}")
    private String TOKENNAME;

    @Value("${redirectURL}")
    private String redirectURL;

    @Autowired
    UserService userService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = CookieUtils.getCookieValue(request, TOKENNAME);
        String requestURL = request.getRequestURI();
        System.out.println(requestURL);
        //不存在token,未登录的情况下不放行,直接跳转到登录页面,跳转到登录页面以后在跳转回当前页面
        if (token == null){
            response.sendRedirect(redirectURL+"?url="+requestURL);
            return false;
        }
        //执行判断是否存在盗用,或者过期
        ServiceResult serviceResult = userService.checkToken(token, request);
        if (serviceResult.getStatus() != ServiceResult.Status.SUCCESS.getCode()){
            response.sendRedirect(redirectURL+"?url="+requestURL);
            return false;
        }
        return true;
    }
}
第二步:编写拦截器配置类
@Configuration
public class MyInterceptorConfig implements WebMvcConfigurer {

    @Autowired
    private MyInterceptor myInterceptor;

    /**
     * 配置拦截的请求,与不拦截的请求
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(myInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/**/login", "/**/loginPage", "/**/static/**"); //这些请求不拦截

    }

}
阿木木fe
关注
  • 8
    点赞
  • 48
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
SpringCloud微服务实战:nacos+gateway网关统一拦截、转发、授权详细教程(附git源码)
dingdingdandan
05-19 7902
Springboot-cli 开发脚手架系列 文章目录Springboot-cli 开发脚手架系列简介1. Springcloud 整合gateway网关2. yml方式配置转发逻辑3. 编写两个服务测试效果4. 统一拦截授权6. 源码分享 简介 Gateway是在Spring生态系统之上构建的API网关服务,基于Spring 5,Spring Boot 2和Project Reactor等技术。 SpringCloud Gateway是Spring Cloud的一个全新项目,基于Spring 5.0+
Java语言实现的敏感词过滤器
01-19
我们在开发系统或者应用的过程中,经常需要对用户提交的评论或者文章进行审核,对其中的敏感词进行校验或者过滤,本资源可以帮助各位小伙伴以一个简单的方式实现敏感词的过滤,代码精简易懂,可以应用在实际开发过程中
SpringCloud学习(9)-GateWay网关-自定义拦截器
最新发布
dopapapa的博客
04-06 516
自定义过滤器:自定义全局过滤器获取接口耗时(不用配置,默认全局生效)自定义过滤器:自定义单一过滤器(需要在配置文件设置)对微服务路径和前缀进行配置:前缀修改。
详解AngularJs HTTP响应拦截器实现登陆、权限校验
11-27
$httpAngularJS 的 $http 服务允许我们通过发送 HTTP 请求方式与后台进行通信。在某些情况下,我们希望可以俘获所有的请求,并且在将其发送到服务端之前进行操作。还有一些情况是,我们希望俘获响应,并且在完成完成调用之前处理它。一个很好例子就是处理全局 http 异常。拦截器(Interceptors)应运而生。本文将介绍 AngularJS 的拦截器,并且给几个有用的例子。 什么是拦截器? $httpProvider 中有一个 interceptors 数组,而所谓拦截器只是一个简单的注册到了该数组中的常规服务工厂。下面的例子告诉你怎么创建一个拦截器: <!-- lan
Gateway自定义过滤器——全局过滤器
每日一记,每周一结。
07-17 4476
在这里演示过滤黑白名单#配置端口号server : port : 81 #服务名称#配置路径规则cloud : gateway : routes : - id : lzq01 #路由的唯一标识 -- -- -- - 随便起只要不重复就可以 如果不写默认uuid创建uri : http : / / localhost : 8001 # 真是转发地址predicates : # 断言 当满足当前条件时进行跳转到uri 可以理解为判断 - Path = / aaa /**
Spring Cloud Gateway 常见过滤器的基本使用
xaiobit_hl的博客
12-27 1386
Spring Cloud Gateway 常见过滤器的基本使用
Gateway(拦截器/路由)入门
weixin_44203609的博客
11-30 911
微服务框架中网关提供统一的路由方式,并且基于 Filter 链的方式提供了网关基本的功能,例如:安全,监控/指标,和限流等。网关作为整个系统的访问入口,我们希望外部请求系统服务都需要通过网关访问,禁止通过ip端口直接访问,特别是一些重要的内部服务(外部无法直接访问的服务)
Spring Cloud Gateway网关拦截器
g3230863的博客
07-27 1万+
https://www.cnblogs.com/fdzang/p/11812348.html 1.Gateway拦截器 我们要在项目中实现一个拦截器,需要继承两个类:GlobalFilter, Ordered GlobalFilter:全局过滤拦截器,在gateway中已经有部分实现,具体参照:https://www.cnblogs.com/liukaifeng/p/10055862.html Ordered:拦截器的顺序,不多说 于是一个简单的拦截器就有了 复制代码 @Slf4j @Component
(day two)基于Gateway网关拦截器和Redis实现单点登录和认证
weixin_51980608的博客
01-21 2381
JWTtoken+redis实现登录认证
SpringCloud微服务实战——搭建企业级开发框架:微服务安全加固—自定义Gateway拦截器实现防止SQL注入/XSS攻击
qw_6918966011的博客
06-30 1526
SQL注入是常见的系统安全问题之一,用户通过特定方式向系统发送SQL脚本,可直接自定义操作系统数据库,如果系统没有对SQL注入进行拦截,那么用户甚至可以直接对数据库进行增删改查等操作。XSS全称为Cross Site Script跨站点脚本攻击,和SQL注入类似,都是通过特定方式向系统发送攻击脚本,对系统进行控制和侵害。SQL注入主要以攻击数据库来达到攻击系统的目的,而XSS则是以恶意执行前端脚本来攻击系统。
【项目实战】Spring Cloud Gateway网关自定义拦截器实现鉴权
本本本添哥
12-05 891
创建一个自定义拦截器类,该类将实现Spring Cloud GatewayGatewayFilter接口,并重写其中的filter方法。在该方法中,您可以编写自己的鉴权逻辑。例如,您可以检查请求中的某个字段或头信息,以确定用户是否有权访问该资源。创建一个带有自定义鉴权逻辑的AuthenticatedWebHandler类,它可以将请求委托给原始的WebHandler,但只有在用户通过鉴权之后才会执行。您可以在配置文件中使用元素来定义拦截器,并指定自定义拦截器的类路径。
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
springboot整合Oauth2,GateWay实现网关登录授权验证
【MS】springcloud-gateway实现服务之间鉴权,只能从网关访问,禁止直接访问服务
热门推荐
唐伯虎点纹香的博客
07-31 3万+
服务之间鉴权,只能从网关访问,禁止直接访问服务 前言 在开发过程中,网关是一个很重要的角色,在网关中可以添加各种过滤器,过滤请求,保证请求参数安全,限流等等。如果请求绕过了网关,那就等于绕过了重重关卡,直捣黄龙 在分布式架构的系统中,每个服务都有自己的一套API提供给别的服务调用,如何保证每个服务相互之间安全调用? 思路 1、所有接口都要通过认证才能访问,有时候又有需求,不需要认证就可以访问。 ...
SpringCloudGateway过滤器(全局认证、IP拦截、请求参数过滤、响应参数过滤)
李大能
08-21 2569
SpringCloudGateway过滤器
SpringCloud学习之Gateway—单点登录实现
LZY1223的博客
08-12 5557
SpringCloud学习之Gateway——单点登录实现
服务网关(Gateway)自定义全局过滤器&统一Token处理
pandie的博客
09-18 1868
* 代码繁琐,每个Controller都需要获取token,验证用户是否登录 * token解析不方便
springboot拦截器校验登录
09-01
Spring Boot拦截器是一种用于在请求到达目标方法之前或之后执行一些操作的机制。在实现登录校验时,可以使用拦截器拦截请求,并进行登录状态的验证。 首先,需要编写一个拦截器类来实现登录校验的逻辑。拦截器类需要继承HandlerInterceptorAdapter,并重写preHandle方法。在preHandle方法中,可以获取到请求的信息,如请求路径和参数。根据业务需要,可以从请求中获取登录状态信息,进行验证。 其次,需要配置拦截器类生效的路径。在Spring Boot中,可以通过配置类或注解来配置拦截器类。可以使用@Configuration注解标注一个配置类,并通过implements WebMvcConfigurer接口来添加拦截器。 在配置类中,可以通过重写addInterceptors方法来配置拦截器。将拦截器对象添加到InterceptorRegistry中,并设置拦截的路径。可以使用addPathPatterns方法来设置拦截的路径模式,如"/user/*"表示拦截以/user/开头的路径。 在拦截器生效后,当发起请求时,拦截器拦截请求并调用preHandle方法进行登录校验。如果登录状态验证失败,可以根据业务需要进行处理,如返回错误信息或进行重定向。 需要注意的是,拦截器拦截的是请求,而不是方法。也就是说,拦截器会在请求到达目标方法之前执行,但不会影响目标方法的执行。如果需要在拦截器中进行一些后续操作,可以使用postHandle和afterCompletion方法。 通过使用Spring Boot拦截器校验登录,可以在请求到达目标方法之前进行登录状态的验证,确保只有已登录用户才能访问敏感接口或页面,提高系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值