基于路径简单整合SpringSecurity+Gateway

最新推荐文章于 2024-10-23 15:28:39 发布
最新推荐文章于 2024-10-23 15:28:39 发布
阅读量1.8k 收藏 34
点赞数 19
文章标签: gateway
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68011243/article/details/138654118
版权

SpringSecurity是一个功能强大且高度可定制的认证和访问控制框架,提供了一系列高可配置的安全功能,但是我在整合Gateway时却发现力不从心,因为Gateway的内核是基于WebFlux的API网关,所以无法简单的将Gateway跟Springsecurity整合在一个模块之中,遂分享解决办法。

实际使用下来SpringSecurity基本被架空,仅做学习参考,初学者,如有错误请一定要指出

SpringSecurity大致流程

我们可以将SpringSecurity通过核心功能简单分为两个部分:

(1)认证:通过配置过滤器链和自己手写过滤器完成过滤拦截以及认证

(2)授权:通过实现UserDetails接口并调用getAuthorities方法将权限注入,在方法上使用注解@PreAuthorize("hasAuthority('permission')")来检查是否拥有访问的权限

但是正如我所遇到的问题,不能将SpringSecurity跟Gateway放一个模块,导致SpringSecurity提供的方法都不能很好的使用,所以我采用了将SpringSecurity的过滤拦截鉴权交由Gateway处理,SpringSecurity仅做登录授权的方法,下面是我的实现过程

SpringSecurity登录授权功能的代码实现

这一段代码完成了以下几个功能:

(1)将用户的账号密码包装成UsernamePasswordAuthenticationToken类型,并传给AuthenticationManager

(2)AuthenticationManager调用AbstractUserDetailsAuthenticationProvider中的DaoAuthenticationProvider方法

(3)DaoAuthenticationProvider调用UserDetailsService中的loadUserByUsername方法

@Service
public class AccountInfoServiceImpl extends ServiceImpl<AccountInfoMapper, AccountInfo> implements AccountInfoService {


    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private AccountRoleMapper accountRoleMapper;

    @Autowired
    private RedisCache redisCache;
    @Override
    public R login(UserLoginDTO userLoginDTO) {
        UsernamePasswordAuthenticationToken authenticationToken=
                new UsernamePasswordAuthenticationToken(userLoginDTO.getAccountName(),userLoginDTO.getPassword());
        //传入账号密码后,会首先根据账号查询到密码,然后将查询到的密码跟传入的密码做比较
        Authentication authentication = authenticationManager.authenticate(authenticationToken);
        //如果认证没通过,给出对应的提示
        if(ObjectUtils.isEmpty(authentication)){
            return R.Failed("登录失败");
        }

        //如果认证通过了,使用id生成换一个jwt jwt返回给前端
        LoginUser loginUser=(LoginUser)authentication.getPrincipal();
        String id=loginUser.getAccountInfo().getId().toString();

        //把完整的用户信息存入redis,id作为key
        redisCache.setCacheObject(id,loginUser,30,TimeUnit.MINUTES);

        //将过期判断交给redis,若redis数据过期则会在过滤器链中抛出token异常
        return R.Success("登录成功",JwtUtil.createJWT(id));
    }
}

 (4)在loadUserByUsername中根据传入的账号名来查找相关信息

 (5)如果账号存在则根据账号id来查找对应权限

 (6)将用户跟权限列表封装进LoginUser

 (7)DaoAuthenticationProvider调用PasswordEncoder对比UserDetails中的密码跟封装成UsernamePasswordAuthenticationToken的用户传入的密码,如果相同则登陆成功

(8)登录成功后以返回的LoginUser的id为key将用户信息存入redis中,并返回Jwt加密后的id

GitHub - Createsequence/mybatis-plus-join: 基于myabtis-plus的连表查询扩展,支持字段别名、预设条件、group by ... having、数据库函数等扩展功能

public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private AccountInfoMapper accountInfoMapper;
    @Autowired
    private AccountRoleMapper accountRoleMapper;

    public UserDetails loadUserByUsername(String accountName) throws UsernameNotFoundException{
        LambdaQueryWrapper<AccountInfo> lambdaQueryWrapper=new LambdaQueryWrapper<>();
        lambdaQueryWrapper.eq(!ObjectUtils.isEmpty(accountName),
                AccountInfo::getAccountName,accountName)
                .eq(AccountInfo::getDeleteFlag,"未删除")
                .eq(AccountInfo::getIsEnable,"启用");

        AccountInfo accountInfo=this.accountInfoMapper.selectOne(lambdaQueryWrapper);

        if(ObjectUtils.isEmpty(accountInfo)){
            throw new UsernameNotFoundException("该账号不存在");
        }

        //查询对应的权限信息
        MPJLambdaWrapper<AccountRole> mpjlambdaWrapper=new MPJLambdaWrapper<>();
        mpjlambdaWrapper.select(PermissionList::getPermissionName)
                .leftJoin(Role.class,Role::getRoleId,AccountRole::getRoleId)
                      .leftJoin(RolePermission.class,RolePermission::getRoleId,AccountRole::getRoleId)
                .leftJoin(PermissionList.class,PermissionList::getId,RolePermission::getPermissionId)
                .eq(AccountRole::getAccountId,accountInfo.getId());

        //权限列表
        List<String> permissionNameList = accountRoleMapper.selectJoinList(String.class, mpjlambdaWrapper);

        return new LoginUser(accountInfo,permissionNameList);
    }

}

 LoginUser:因为鉴权功能交给了Gateway,所以实际上只需要用到accountInfo跟permissionList

@Data
@NoArgsConstructor
@AllArgsConstructor
public class LoginUser implements UserDetails {

    //写入自己的用户类来存储信息
    private AccountInfo accountInfo;

    //用户权限列表
    private List<String> permissionList;

    //权限列表
    @JSONField(serialize = false)
    private List<SimpleGrantedAuthority> authorities;

    //获取权限
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if(ObjectUtils.isEmpty(authorities)) {
            return permissionList.stream()
                    .map(SimpleGrantedAuthority::new)
                    .collect(Collectors.toList());
        }
        return authorities;
    }

    public LoginUser(AccountInfo accountInfo,List<String> permissionList){
        this.permissionList=permissionList;
        this.accountInfo=accountInfo;
    }

    @Override
    public String getPassword() {
        return accountInfo.getPassword();
    }

    @Override
    public String getUsername() {
        return accountInfo.getAccountName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

到这里,所需要的SpringSecurity的功能都做完了

GateWay大致流程

 

 工具类

 (1)isWhiteList:读取yml文件"whiteList.yml",将请求路径与白名单路径作比较,若匹配则放行

 (2)hasPermission:读取yml文件"permissionMap.yml",将用户权限以及请求路径传入,若用户权限与请求路径所需权限匹配则放行

 (3)out:返回体

public class MyUtil {

    //路径是否属于白名单
    public static boolean isWhiteList(String path){
        YamlPropertiesFactoryBean yamlPropertiesFactoryBean = new YamlPropertiesFactoryBean();
        yamlPropertiesFactoryBean.setResources(new ClassPathResource("whiteList.yml"));
        Properties properties = yamlPropertiesFactoryBean.getObject();
        List<String> whiteList = new ArrayList<>();
        if (properties != null) {
            for (int i = 0; properties.containsKey("whiteList[" + i + "]"); i++) {
                whiteList.add((String) properties.get("whiteList[" + i + "]"));
            }
        }
        //匹配
        return whiteList.stream().anyMatch(s -> s.equals(path));
    }


    //权限列表是否拥有权限访问路径的权限
    public static boolean hasPermission(List<String> permissionList,String path){
        YamlPropertiesFactoryBean yamlPropertiesFactoryBean = new YamlPropertiesFactoryBean();
        yamlPropertiesFactoryBean.setResources(new ClassPathResource("permissionMap.yml"));
        Properties properties = yamlPropertiesFactoryBean.getObject();
        Map<String, String> permissionMap = new HashMap<>();
        if (properties != null) {
            for (int i = 0; properties.containsKey("permissionMap[" + i + "].url"); i++) {
                permissionMap.put
                        ((String)properties.get("permissionMap[" + i + "].url"),
                                (String)properties.get("permissionMap[" + i + "].permission") );
            }
        }
        //匹配
        return permissionList.stream().anyMatch(s -> s.equals(permissionMap.get(path)));
    }

    //返回体
    public static Mono<Void> out(ServerHttpResponse response, String data) {
        JsonObject message = new JsonObject();
        message.addProperty("success", false);
        message.addProperty("code", 28004);
        message.addProperty("data", data);
        byte[] bits = message.toString().getBytes(StandardCharsets.UTF_8);
        DataBuffer buffer = response.bufferFactory().wrap(bits);
        response.getHeaders().add("Content-Type", "application/json;charset=UTF-8");
        return response.writeWith(Mono.just(buffer));
    }

}

permissionMap.yml 文件格式如下

whiteList.yml 文件格式如下

GateWay过滤拦截鉴权功能的代码实现

大致流程跟流程图基本一致

public class MyGlobalFilter implements GlobalFilter, Ordered {

    @Autowired
    private RedisCache redisCache;

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        String path = request.getURI().getPath();
        //获取token
        String token = Optional.ofNullable(request.getHeaders().get("token"))
                .filter(tokenList -> !tokenList.isEmpty())
                .map(tokens -> tokens.get(0))
                .orElse(null);
        //如果token为空
        if (token == null) {
            //如果路径属于白名单则放行
            if (MyUtil.isWhiteList(path)) {
                return chain.filter(exchange);
            }
            //如果token为空且路径不在白名单则返回
            else {
                return MyUtil.out(exchange.getResponse(), "token为空");
            }
        }
        //如果token不为空
        else {
            try {
                //将token转成id并获取对象
                LoginUser loginUser = redisCache.getCacheObject(JwtUtil.parseJWT(token).getSubject());
                //将loginUser放入exchange中
                exchange.getAttributes().put("loginUser", loginUser);
                //如果不能成功获取对象则说明该token非法
                if (ObjectUtils.isEmpty(loginUser)) {
                    return MyUtil.out(exchange.getResponse(), "token非法");
                }
            } catch (Exception e) {
                return MyUtil.out(exchange.getResponse(), "token非法");
            }
        }
        return chain.filter(exchange);
    }

    //表示执行顺序,数字越小优先级越高
    @Override
    public int getOrder() {
        return 0;
    }

}
public class MyPermissionFilter implements GlobalFilter, Ordered {

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        //获取路径
        String path = Optional.ofNullable(exchange.getRequest().getURI().getPath())
                .orElse(" Illegal path");

        //如果路径属于白名单则放行
        if(MyUtil.isWhiteList(path)){
            return chain.filter(exchange);
        }

        //获取权限列表
        List<String> permissionList= Optional.ofNullable((LoginUser) exchange.getAttributes().get("loginUser"))
                .map(LoginUser::getPermissionList)
                .orElse(null);

        //如果拥有权限则放行
        if(MyUtil.hasPermission(permissionList,path)){
            return chain.filter(exchange);
        }

        //如果不存在则拦截
        return MyUtil.out(exchange.getResponse(),"权限不足或路径不存在");
    }

    @Override
    public int getOrder() {
        return 1;
    }


}

Pieberry
关注
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
网关gatewayspringsecurity整合
wang01_01的博客
05-07 3711
我们一般在微服务的开发中,除了网关之外还有一个认证服务。他们两个都需要整合springsecurity。为啥要这么干:因为springsecurity就是能干好多事,认证(就是账号密码)和授权(就是你能干啥)。然后网关和认证服务就是分别干这两个事的 ,所以相当于拆分了一下springsecurity的功能分别完成一件事。网关统一授权:业务服务中每个微服务都需要区分不同的人干不同的事,所以就是放到网关这里进行统一授权。
Spring WebFlux – CVE-2023-34034 – 撰写和概念验证
技术超强的网络安全平台
08-28 5901
Spring框架是一个广泛使用的基于Java的应用程序框架,为企业级Java应用的开发提供基础设施支持。是一个功能强大的身份验证和访问控制框架,也是保护基于 Spring 的应用程序的行业标准。它提供身份验证和授权,并且可以轻松扩展以满足自定义要求。Spring WebFlux是在 Spring 5 中引入的,作为传统框架的响应式编程替代方案。Spring WebFlux 的核心设计旨在处理异步、非阻塞和反应式编程范例。它提供了一种反应式编程模型,允许开发人员构建可扩展、响应迅速且具有弹性的应用程序。
Spring Cloud Gateway的认证授权之道
2401_85702623的博客
08-11 570
本文将深入探讨如何在Spring Cloud Gateway中实现API的认证和授权,确保系统的安全性和数据的保护。通过Spring Cloud Gateway结合OAuth2,我们能够实现一个既安全又高效的认证授权机制,确保只有经过验证和授权的用户才能访问敏感资源。本文的探讨和代码示例为开发者提供了一种可行的解决方案,帮助他们在构建微服务系统时,能够更好地处理认证和授权的问题。完成上述配置后,可以通过网关服务来访问受保护的API服务,并使用获取到的JWT令牌进行认证。在网关服务的配置中,可以通过。
SpringCloud Gateway整合Spring Security实现用户权限管理
Java技术大联盟
07-14 2万+
一、SpringCloud Gateway实现基本的服务转发、跨域处理等功能(默认实现了负载均衡) 一、网关基本概念 1、API网关介绍   API 网关出现的原因是微服务架构的出现,不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题: (1)客户端会多次请求不同的微服务,增加了客户端的复杂性。 (2)存在跨域请求,在一定场景下处理相对复杂。 (3)认证复杂,每个服务都需要独立认证。 (4)难以重构,随着项目的迭代
SpringSecurity+GateWay网关+OAuth2鉴权,前后端分离模式,两种验证模式,入门级教程
weixin_47303191的博客
05-24 9827
说明 SpringSecurityOAuth2单点登录 昨天我发了一个单点登录版本的验证博客,到今天早上我再研究了一下,发现了一些问题: 昨天那个单点登录是在每个模块的基础上做的,也就是说如果你想让每个模块都如认证中心认证,就要在每个模块里进行相关配置,这还不是最紧要的,你要想想,因为我们是通过注解的方式在对应的方法鉴权,这样的话就会导致我们每次访问这个方法的时候就要去认证中心请求一次,也就是鉴权一次,那么整个系统模块又多,路径又多,认证中心肯定是吃不消的啊. 所以在这个基础上,就需要去将认证中心在第一次
Gateway 整合 Spring Security鉴权
qq_42394862的博客
09-03 1万+
Gateway 整合 Spring Security鉴权
Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权!
qq_43649937的博客
01-23 3916
Gateway OAuth2.0
解决springSecurity 跨域的问题
qq_42059456的博客
08-08 729
解决springSecurity 跨域的问题 WebSecurityConfig 配置类 开启cors跨域 http.cors().configurationSource(CorsConfigurationSource()); // 创建跨域配置 private CorsConfigurationSource CorsConfigurationSource() { CorsConfigurationSource source = new UrlBasedCorsConfigurationSourc
springcloud+gateway(zuul)+springsecurity+jwt实现简单的认证授权
TextInfo的博客
12-29 5586
前段时间一直在研究微服务的认证和授权的方式,网上给了大致4种模式,感觉配置起来都不是很得心应手,偶然间看到了一个简单且较为完整的jwt+springsecurity的配置方式,这里先给出参考的github上的源码: https://github.com/shuaicj/zuul-auth-example 但跟着配置后,问题还是很多,套用到自己的微服务框架上还是有些难度. github工...
SpringBoot实践(二十九):oauth2+security+gateway的登录实现
叶子叶来
08-08 1960
​ 前面介绍单体的security使用,微服务与单体不同在于所有服务都要过网关,若使用gateway则更要考虑异构问题(security是基于MVC的,而gateway是基于webFlux的),因此在实现上把登录/授权相关功能放在同个工程,而token校验要放在网关中(依然使用security),结合oauth2实现授权模式。假设使用security框架的登录/授权...
spring_gateway_security_webflux.rar
07-24
1.本项目为SpringCloud Gateway的微服务框架,整合SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gateway采用的是纯Webflux方式,所以原有的Spring基于传统拦截器、过滤器的方式无法正常使用SpringSecurity。 3.因此,本项目根据WebFlux的方式,进行了整合,实现了登录和权限验证。
sample-gateway-oauth2login:结合了Spring Cloud GatewaySpring Security OAuth2的示例应用程序
01-30
sample-gateway-oauth2login:结合了Spring Cloud GatewaySpring Security OAuth2的示例应用程序
spring cloud搭建eureka+feign+gateway+zipkin
weixin_43700984的博客
10-09 1171
创建eureka+feign+gateway+zipkin1、创建两个eureka server1.1创建server11.1.1pom文件1.1.2 创建application.yml1.1.3 启动类1.2.1 eureka server2 的pom文件1.2.2 创建server2 application.yml1.2.3 启动类2、创建两个eureka client2.1 创建client12.1.1 创建client1 pom文件2.1.2 创建client1 application.yml2.1
SpringCloud Gateway整合Spring Security Webflux的关键点(痛点解析),及示例项目
tiancao222的博客
02-18 1万+
最近公司项目需要用到后端的认证、授权,且公司项目目前是基于SpringCloud Gateway的,所以想到都是一家的产品就决定使用Spring Security了。 但是在整合过程中,经历了种种磨难,所以把最终的整合关键点列出来,让需要的读者不用再碰的头破血流了。。。 网上也有基于SpringCloud和Spring Security整合的方案,关键在于我们公司的项目使用的是Gateway,...
sping cloud gateway集成spring security实现前后端分离模式下的后端微服务认证授权
热门推荐
MongolianWolf的专栏
06-30 4万+
# 引言   由于目前网上大部分spring security的集成都是基于传统的spring servlet机制,而spring cloud gateway 采用webflux作为底层web技术支持,不支持servlet,笔者在集成的过程中走了很多弯路,所以特地写一篇spring cloud gatewaysecurity的集成实践博客,如有错误,欢迎指正。 Spring Security  ...
Spring Cloud Gateway 整合Spring Security
杜海的博客
03-08 2187
Security中用户信息需存放在 UserDetails 中,UserDetails 是一个接口,可以使用Security已经实现的 org.springframework.security.core.userdetails.User,也可以实现 UserDetails 接口自定义用户信息类。/***/@Data/*** token*//***//***//***//*** location*//***//***//*** 用户名。
gateway 整合 spring security oauth2
最新发布
小趴菜不能喝的博客
10-23 968
在分布式授权系统中,授权服务要独立成一个模块做统一授权,无论客户端是浏览器,app或者第三方,都会在授权服务中获取权限,并通过网关访问资源。
VUE+SpringCloud+SpringSecurity+Gateway解决跨域问题
程序员劝退师的博客
11-11 1366
这个标题呢我也不知道怎么写!反正看的懂的自然懂了,这个问题的症状如下图 Access to XMLHttpRequest at 'http://192.168.0.99:3331/authentication/form?username=TAO&password=123456' from origin 'http://192.168.0.99:8080' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header
gateway springsecurity6
08-17
Gateway Spring Security 6 是 Spring Cloud Gateway 的一个模块,用于提供基于 Spring Security 的安全认证和授权功能。它可以与 Spring Security 框架无缝集成,为 API 网关提供身份验证、访问控制和安全性功能。 通过 Gateway Spring Security,你可以配置认证规则、角色权限、用户认证等,以确保只有经过身份验证和授权的用户才能访问受保护的资源。它提供了一套丰富的过滤器和拦截器,可用于实现各种安全策略和验证机制。 此外,Gateway Spring Security 6 还支持与其他认证和授权服务集成,如 OAuth2、JWT 等。它是构建安全可靠的微服务架构的重要组件之一。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值