【程序案例】微服务中token鉴权和传递用户信息的方案

已于 2024-04-12 17:01:47 修改
阅读量135 收藏 1
点赞数 2
分类专栏: 程序案例 文章标签: 微服务 spring cloud
于 2024-04-12 16:46:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/winrar_rar/article/details/137685587
版权

一、思路

1、登录成功时,使用userId生成token,让前端保存;
2、在后续请求进入网关时,创建一个过滤器,从token中解析出userId,并存入请求头中;
3、在请求到达目标服务时,创建一个拦截器,从请求头中取出userId,并获取用户PO,最后存入ThreadLocal<UserPO>中。

二、例子

1、在网关中创建过滤器,进行token鉴权,并取出userId存入请求头
import com.xzh.gateway.util.AppJwtUtil;
import io.jsonwebtoken.Claims;
import org.apache.commons.lang.StringUtils;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

@Component
public class AuthorizeFilter implements Ordered, GlobalFilter {
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 1.获取request和response对象
        ServerHttpRequest request = exchange.getRequest();
        ServerHttpResponse response = exchange.getResponse();

        // 2.登录请求直接放行
        if (request.getURI().getPath().contains("/login")) {
            return chain.filter(exchange);
        }

        // 3.获取token
        String token = request.getHeaders().getFirst("token");

        // 4.判断token是否存在
        if (StringUtils.isBlank(token)) {
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        }

        // 5.判断token是否有效
        try {
            Claims claimsBody = AppJwtUtil.getClaimsBody(token);
            //是否是过期
            int result = AppJwtUtil.verifyToken(claimsBody);
            if (result == 1 || result == 2) {
                response.setStatusCode(HttpStatus.UNAUTHORIZED);
                return response.setComplete();
            }

            // 将userId存入请求头
            Object userId = claimsBody.get("id");
            ServerHttpRequest serverHttpRequest = request.mutate().headers(httpHeaders -> {
                httpHeaders.add("userId", "" + userId);
            }).build();
            exchange.mutate().request(serverHttpRequest);
        } catch (Exception e) {
            e.printStackTrace();
        }

        //6.放行
        return chain.filter(exchange);
    }

    /**
     * 优先级设置  值越小  优先级越高
     *
     * @return
     */
    @Override
    public int getOrder() {
        return 0;
    }
}
三、在服务中创建拦截器,从请求头中取出userId,获取UserPO,并存入ThreadLocal<UserPO>
import com.xzh.model.wemedia.pojos.WmUser;
import com.xzh.utils.thread.WmThreadLocalUtil;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class WmTokenInterceptor implements HandlerInterceptor {

    /**
     * 获取请求头中的userId, 存入线程本地变量
     *
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String userId = request.getHeader("userId");
        if (userId != null) {
            WmUser wmUser = new WmUser();
            wmUser.setId(Integer.valueOf(userId));
            WmThreadLocalUtil.setWmUser(wmUser);
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        WmThreadLocalUtil.clear();
    }
}
四、创建ThreadLocalUtil,供后续程序获取用户信息
import com.xzh.model.wemedia.pojos.WmUser;

public class WmThreadLocalUtil {

    private static final ThreadLocal<WmUser> WM_USER_THREAD_LOCAL = new ThreadLocal<>();

    public static WmUser getWmUser() {
        return WM_USER_THREAD_LOCAL.get();
    }

    public static void setWmUser(WmUser wmUser) {
        WM_USER_THREAD_LOCAL.set(wmUser);
    }

    public static void clear() {
        WM_USER_THREAD_LOCAL.remove();
    }

}
站在亭桥上
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【项目实战】一、Spring boot整合JWT、Vue案例展示用户
Java 技术专栏,从入门到精通,熟悉企业级开发
06-09 8852
案例整合了Spring boot、Spring Cloud alibaba、Gateway、Nacos discovery、Nacos config、openFeign、JWT、Vue3、Router、Axios等;通过JWT和登录、查询(带用户信息)接口,验证了上述工具以及功能。
JWT(解决前后端分离和微服务用户会话跟踪问题)
qq_53677566的博客
01-12 2529
这里写目录标题JWT:解决前后端分离和微服务用户会话跟踪问题与传统sessio验证的区别:基于 token机制JWT的主要引用场景及优点JWT的构成:JWT搭建案例: JWT:解决前后端分离和微服务用户会话跟踪问题 JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一 种基于 JSON 的开放标准( (RFC 7519).定义了一种简洁的,自包含的方法用于 通信双方之间以 JSON **对象的形式安全的传递信息。**因为数字签名的存在,这些 信息是可信的,
SpringCloud认证和的6种方案
热门推荐
十年呵护的专栏
01-26 4万+
认证和 SpringCloud认证和方案 开始我们接触的时候限认证 无从下手,但是当接触之后会发现 限认证时一件很简单的事情,但是我们 方案众多又该如何选择呢,下面会分别对每种方案进行简单的阐述,有问题或者不明白的可以私信或者下方留言,一起讨论 含义 认证:简单来说,认证这个用户是谁。 :简单来说,就是了解这个用户能做什么事情 本篇章介绍如下几种方式 1.单体应用...
微服务架构下的,怎么做更优雅?
An丶的博客
07-03 5884
从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断的经受考验。为了适应架构的变化、需求的变化,身份认证与方案也在不断的变革。面对数十个甚至上百个微服务之间的调用,如何保证高效安全的身份认证?面对外部的服务访问,该如何提供细粒度的方案?本文将会为大家阐述微服务架构下的安全认证与方案。 一、单体应用 VS 微服务 随着微服务架构的兴起,传统的单体应用场景下的身份认证...
springcloud — 微服务管理Spring Security原理解析(二)
qq_38658567的博客
01-24 818
回顾之前介绍的OAuth2简单分析与介绍,微服务管理之OAuth2原理解析(一),本文将进一步对OAuth2的原理和使用做进一步的分析;
前端:cookie、session 和 token 3种机制,以及 jwt 和 单点登
青蛙king的博客
05-31 1068
Token 是在服务端产生的。 如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 Token 的特点: Token 完全由应用管理,所以它可以避开同源策略; Token 可以避免 CSRF 攻击; Token 可以是无状态的,可以在多个服务间共享。 参考文档: https://www.cnblogs.com/xuxinstyle/p/9675541.html ............
微服务之间单点登录和用户限认证的实现
NoviceZ的博客
08-27 2586
需求分析 传统的登录系统,每个站点都实现了自己专用的登录模块。但是各站点的登录状态相互不认可,访问各站点还需要逐一进行手工登录,大大降低了用户的体验感。 如上图所示,用户每次访问一个系统都需要再次进行授认证,这样就显得相对繁琐,并且系统代码的重复也会比较高,我们将这样的系统称为多点登录系统。为了解决这一现象,单点登录系统就出现了。 单点登录系统 单点登录,英文是Single Sign On(缩写为 SSO)。即多个站点共用一台认证授服务器,这样用户在任何一个站点登录后,就可以避免再次登..
快速上手Spring Cloud 十一:微服务架构下的安全与限管理
沛哥儿的专栏
03-27 2039
微服务架构下的安全与限管理是一个复杂而持续的过程,需要我们不断学习和实践新技术、新方案。通过加强安全意识、引入安全工具、建立应急响应机制、实施多层次防御策略以及跨团队协同与安全责任共担等措施,我们可以不断提升微服务架构的安全性,为业务的稳定发展提供有力保障。在未来,随着技术的不断发展和业务的持续变化,我们需要持续关注微服务架构安全领域的新技术趋势和创新实践,以便更好地应对新的挑战和机遇。
用户存储信息验证,用户token
03-22
用户存储信息验证
SpringBoot使用token简单的具体实现方法
08-25
本文使用 Redis 存储 token 信息用户只是创建了一个固定的用户。在 pom 加入相关依赖,完整内容如下: 通过代码实现,用户可以实现 token 的功能,例如,在 LoginController ,可以使用用户输入的用户名...
rpc 微服务架构下的安全认证与1
08-08
微服务架构,安全认证和是至关重要的,因为它们确保了服务之间的通信以及用户访问的正确性和安全性。随着从单体应用向微服务的转变,传统的认证和机制面临着新的挑战。本文将探讨这些挑战以及相应的解决...
Java使用JWT生成Token进行接口实现方法
08-25
Java使用JWT生成Token进行接口实现方法 Java使用JWT生成Token进行接口实现方法是当前最流行的方式之一。通过本文,读者可以了解到使用JWT生成Token进行接口的详细实现方法。 什么是JWT? JWT...
微信小程序获取用户信息和自定义token两种方法
08-12
文件是一个极简单的小程序代码包,包括了三种方法:其两种是获取用户信息和第三方token 的方法,一种是使用 header 向后台校验 token 的方法,配套的后台代码会在之后提供
区区微服务,何足挂齿?
qq_54432917的博客
06-17 272
对于微服务的一些初步了解
微服务SpringCloud ES分布式全文搜索引擎简介 下载安装及简单操作入门
牛马程序员的博客
06-15 933
分布式全文搜索引擎我们天天在用ES搜索的时候要与多个信息进行匹配查找然后返回给用户首先ES会将数据库信息先进行一个拆分这个叫做分词是按照词语关键词拆的然后就能进行搜索的时候匹配对应的id每一个关键字对应若干id每一个id对应数据然后搜索的时候展示简化版数据点击简化版数据反映全部信息属于的是全文搜索在数据库有索引在ES也有索引但是根据关键字查ID 再由ID查数据这个在全文搜索里叫倒排索引倒排索引是怎么出现的呢是根据创建文档 出现一个一个的库。
分布式微服务: springboot底层机制实现
你好, 我在学java的博客
06-15 1077
●Lombok介绍1.简化JavaBean开发, 可以使用Lombok的注解让代码更加简洁.mybatis学习过2.Java项目,很多没有技术含量又必须存在的代码, POJO的;异常处理;I/O流的关闭操作等等,这些代码既没有技术含量,又影响着代码的美观,Lombok应运而生。●SpringBoot和IDEA官方支持1.IDEA 2020已经内置了Lombok插件2.之后的版本也在Starter内置了Lombok依赖。
kubernetes学习笔记(7)- 部署一个微服务
最新发布
qq_43022896的博客
06-18 888
上篇文章使用 kind 快速搭建集群提到使用 kind 搭建好集群。接下来写一个简单的微服务来进行验证,并尝试配置服务类型为 LoadBalancer。
1. token和session区别
06-11
Session是一种传统的身份验证方式,通常用于Web应用程序的身份验证,其工作方式为:用户在登录后,服务器在后端创建一个session并返回一个sessionid给客户端,客户端在后续请求将该sessionid附加在请求头或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

站在亭桥上

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值