SpringCloud(一) 微服务安全实战 API安全机制

已于 2022-09-01 22:15:46 修改
阅读量887 收藏 4
点赞数
分类专栏: springcloud微服务安全框架 文章标签: java
于 2021-03-30 20:04:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy294636185/article/details/115184602
版权

API安全

    常见的安全机制:

    风险与安全机制的对应关系:

    访问控制处理:

        访问控制

    ACL:Access Control Lists:简单易用,实现容易。无法满足复杂的业务需求,不易管理

    RBAC:Role Based Access Control:引入角色(客服)概念,简化管理。开发起来相对于ACL复杂

    1.判断当前请求是否需要身份认证 没有返回401

    2.判断有没有权限 没有返回403

    流控:

        为防止大流量把系统压死,一般在反向代理和负载均衡处处理。简单的限流器:

<!--        做流量控制pom -->
        <dependency>
            <groupId>com.google.guava</groupId>
            <artifactId>guava</artifactId>
            <version>28.0-jre</version>
        </dependency>
<!--     end         -->

/**
 * @author aric
 * @create 2021-03-30-18:00
 * @fun 限流器
 */
//继承OncePerRequestFilter过滤只会过滤一次
@Component
@Order(1)  //执行顺序
public class RateLimitFilter extends OncePerRequestFilter {

    private RateLimiter rateLimiter = RateLimiter.create(1); //1s允许1个连接的过滤器

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        if(rateLimiter.tryAcquire()){
            //没达到限流
            filterChain.doFilter(request,response);
        }else{
            //太多请求
            response.setStatus(HttpStatus.TOO_MANY_REQUESTS.value());
            response.getWriter().write("too many request!!!");
            response.getWriter().flush();
            return;
        }
    }
}

    认证:

        不管有没有成功,都继续进行

        HttpBasic认证:

 请求部携带加密后的认证信息

pom文件
<!--        认证需要字符串处理工具-->
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
        </dependency>
<!--        end-->

BasicAuthecationFilter.java:
/**
 * @author aric
 * @create 2021-03-30-19:20
 * @fun 认证字符串过滤器  一般开发中不用,调用密码加密验证很耗CPU,一般用TOKEN
 */
@Component
@Order(2)  //执行顺序
public class BasicAuthecationFilter extends OncePerRequestFilter {

    @Autowired
    private UserRepository userRepository;

    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String authHeader = request.getHeader("Authorization");
        //只有请求头带有认证信息才能进入
        if(StringUtils.isNotBlank(authHeader)){
            //拿到编译后的认证后的字符串
            String token64 = StringUtils.substringAfterLast(authHeader,"Basic ");
            String token = new String(Base64Utils.decodeFromString(token64));
            //根据“:”拆成2个字符串
            String [] items = StringUtils.splitByWholeSeparatorPreserveAllTokens(token,":");

            String username = items[0];
            String password = items[1];

            User user = userRepository.findByUsername(username);
            if(user != null && StringUtils.equals(password,user.getPassword())){
                request.setAttribute("user",user);
            }
        }
        //请求头没有携带认证信息,继续往下走
        filterChain.doFilter(request,response);
    }
}

注:测试时发送请求头部必须携带认证信息

Controller.java:
@RestController
@RequestMapping("/users")
public class UserController {
    @Autowired
    private UserService userService;
    @GetMapping("/{id}")
    public UserInfo get(@PathVariable Long id,HttpServletRequest request){
        //用户只能获取自己的用户信息
        User user = (User)request.getAttribute("user");
        if(user == null || !user.getId().equals(id)){
            throw new RuntimeException("身份认证信息异常,获取用户信息失败。");
        }
        return userService.get(id); //做查询操作即可
    }
}

    校验:

        一般在接口层面或数据库层面。

@NotBlank(message = "用户名不能为空")  //为空校验  应用层面
@Column(unique = true)  //不能重复  数据库层面,会改数据库配置
private String username;

@PostMapping
public UserInfo create(@RequestBody @Validated UserInfo user){ //@Validated:认证规则生效注解
    return userService.create(user);
}

    密码加密

        如果输入密码明文能加密成密文串则成功,不能再解密成明文,再用随机字符串做盐加在密文串中。

<!--        加密相关-->
        <dependency>
            <groupId>com.lambdaworks</groupId>
            <artifactId>scrypt</artifactId>
            <version>1.4.0</version>
        </dependency>
<!--        end-->

@Component
public class BasicAuthecationFilter extends OncePerRequestFilter {
    /********

            if(user != null && SCryptUtil.check(password,user.getPassword())){  //加密后的密码验证
                request.setAttribute("user",user);
            }
    ********/
}

public class UserServiceImpl implements UserService {
    public UserInfo create(UserInfo info) {
        User user = new User();
        BeanUtils.copyProperties(info,user);
        //加密,参数主要是控制加密位数,控制CPU使用频率
        user.setPassword(SCryptUtil.scrypt(user.getPassword(),32768,8,1));
        userRepository.save(user);
        info.setId(user.getId());
        return info;
    }
}

    Https访问:

        可以验证双方的身份,在数据传输的过程中,对数据进行记录,封装,加密。

#    //Https安全,RSA加密配置
server:
  ssl:
    key-store: classpath:xuyu.key
    key-store-password: 123456
    key-password: 123456

    审计日志处理:

        日志一定要持久化。

        一般拦截器关系:

所以我们在Interceptor做审计日志功能。

        日志类:

/**
 * @author aric
 * @create 2021-03-31-11:32
 * @fun
 */
@EntityListeners(AuditingEntityListener.class)  //增加监听器
@Data
public class AuditLog {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    private String method;
    private String path;
    private Integer status;
    @CreatedBy  //获取上传人 须在SecurityConfig中配置
    private String username;
    @Temporal(TemporalType.TIMESTAMP)  //时间戳注解
    @CreatedDate  //创建时间注解,jpa做判断
    private Date createdTime;
    @Temporal(TemporalType.TIMESTAMP)
    @LastModifiedDate
    private Date modifyTime;
}

        日志Jpa

/**
 * @author aric
 * @create 2021-03-31-11:37
 * @fun
 */
public interface AuditLogRepository extends JpaSpecificationExecutor<AuditLog>, CrudRepository<AuditLog,Long> {
}

        记录日志的拦截器:

/**
 * @author aric
 * @create 2021-03-31-17:23
 * @fun  记录日志
 */
@Component
public class AuditLogInterceptor extends HandlerInterceptorAdapter {

    @Autowired
    private AuditLogRepository auditLogRepository;

    //之前记录日志
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,Object handler) throws Exception{
        AuditLog log = new AuditLog();
        log.setMethod(request.getMethod());
        log.setPath(request.getRequestURI());

        User user = (User) request.getAttribute("user");
        if(user != null){
            log.setUsername(user.getUsername());
        }
        auditLogRepository.save(log);
        request.setAttribute("auditLogId",log.getId());
        return true;  //返回false不会被执行
    }

    //postHandler是处理成功才会调用,不要覆盖

    //afterCompletion不管处理成功与否都会调用
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable Exception ex) throws Exception {
        Long auditLofId = (Long)request.getAttribute("auditLofId");

        AuditLog log = auditLogRepository.findById(auditLofId).get();

        log.setStatus(response.getStatus());

        auditLogRepository.save(log);
    }
}

        错误处理接口:

/**
 * @author aric
 * @create 2021-03-31-18:12
 * @fun 接管错误处理(比如返回状态码200的错误处理),不再走spring默认的处理
 */
@RestControllerAdvice
public class ErrorHandler {

    @ResponseStatus(HttpStatus.INTERNAL_SERVER_ERROR)  //将所有异常代码转化为服务器异常
    @ExceptionHandler(Exception.class)
    public Map<String, Object> handler(Exception ex){
        HashMap<String, Object> info = new HashMap<>();
        info.put("message",ex.getMessage());
        info.put("time",new Date().getTime());
        return info;
    }
}

        Security配置类:

/**
 * @author aric
 * @create 2021-03-31-17:56
 * @fun  让AuditLogInterceptor生效
 */
@Configuration
@EnableJpaAuditing  //总开关
public class SecurityConfig implements WebMvcConfigurer {

    @Autowired
    private AuditLogInterceptor auditLogInterceptor;

    //执行顺序:先add先执行
    @Override
    public void addInterceptors(InterceptorRegistry registry){
        registry.addInterceptor(auditLogInterceptor);  //还可以add属性只对某些请求生效
    }

    //在AuditLog中获取上传人 ->注解@CreatedBy实现
    @Bean
    public AuditorAware<String> auditorAware(){
        return new AuditorAware<String>() {
            @Override
            public Optional<String> getCurrentAuditor() {
                return Optional.of("xuyu");
            }
        };
    }
}

    授权

        登录安全:

        1.Servlet实现:

        优点:提升用户体验,比在客户端只保存信息安全,真正的信息保存在服务器,所有的内容都在Servlet容器中实现好了,只需要getSession获取和SetSession就好了

        缺点:只针对浏览器才支持,不支持app和第三方服务,当服务器传送cookie时会被劫持,不是很安全,服务器一般不是一台,如果请求落在另一台,需要重新登录

        登录Controller:

/**
 * @author aric
 * @create 2021-03-30-16:08
 * @fun
 */
@RestController
@RequestMapping("/users")
public class UserController {

    @Autowired
    private UserService userService;

    @GetMapping("/login")
    public void login(@Validated UserInfo user,HttpServletRequest request) throws IOException{
        UserInfo info = userService.login(user);
        request.getSession().setAttribute("User",info);
    }

    @GetMapping("/logout")
    public void logout(@Validated UserInfo user,HttpServletRequest request){
        request.getSession().invalidate();
    }
}

        登录拦截器:

/**
 * @author aric
 * @create 2021-03-31-18:50
 * @fun
 */
@Component
public class AclInterceptor extends HandlerInterceptorAdapter {

    private String[] permitUrls = new String[] {"/users/login"};  //授权数组,不能拦截登录

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,Object handle)throws Exception{
        boolean result = true;  //访问权限

        //如果请求路径不再授权数组中
        if(!ArrayUtils.contains(permitUrls,request.getRequestURL())){
            User user = (User)request.getAttribute("user");
            if(user == null){
                response.setContentType("text/plain");
                response.getWriter().write("need authentication");
                response.setStatus(HttpStatus.UNAUTHORIZED.value());
            }else{
                String method = request.getMethod();
                if(!user.hasPermission(method)){
                    response.setContentType("text/plain");
                    response.getWriter().write("forbidden");
                    response.setStatus(HttpStatus.FORBIDDEN.value());
                    result = false;
                }
            }
        }
        return result;
    }
}

        User类:

/**
 * @author aric
 * @create 2021-03-30-16:06
 * @fun
 */
@Entity //jpa和数据库表绑定
@Data
public class User {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)  //主键生成策略
    private Long id;
    private String name;
    private String username;
    private String password;
    private String permissions;
    public UserInfo buildInfo(){
        UserInfo info = new UserInfo();
        BeanUtils.copyProperties(this,info);
        return info;
    }

    public boolean hasPermission(String method) {
        boolean result = false;
        if(StringUtils.equalsIgnoreCase("get",method)){
            result = StringUtils.contains(permissson,"r");
        }else{
            result = StringUtils.contains(permission,"w");
        }
        return result;
    }
}

        Session Fixation攻击:

        解决:

    @GetMapping("/login")
    public void login(@Validated UserInfo user,HttpServletRequest request) throws IOException{
        UserInfo info = userService.login(user);
        HttpSession session = request.getSession(false);
        if(session != null){
            session.invalidate();  //说明之前有人用过,使它失效
        }
        request.getSession(true).setAttribute("User",info);
    }

        cookie信息:

        

            Path = / : 代表只有/ 下的请求才会携带cookie

            Secure:只有在Https下才携带

            HttpOnly:不能被javaScrpt发送,防止跨站攻击

        2.自己实现:

            见后面文章。

xy294636185
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
TSF微服务治理实战系列(四)——服务安全
小王的技术库
01-14 1362
崔凯腾讯云 CSIG 微服务产品中心产品架构师多年分布式、高并发电子商务系统的研发、系统架构设计经验,擅长主流微服务架构技术平台的落地和实施。目前专注于微服务架构相关中间件的研究推广和最佳实践的沉淀,致力于帮助企业完成数字化转型。以上简要介绍了ZTA相关概念,以及TSF是如何依托微服务架构ZTA参考模型理念实现自身服务安全的。未来对于微服务架构安全体系建设的挑战仍有很多,比如身份的智能分析和自动化响应、无口令认证、特权访问管理等。在新技术、新环境下,我们也将持续关注微服务架构在ZTA方面的落地案例和经验。
微服务架构设计原理与实战:如何进行微服务的服务安全
AGI通用人工智能之禅
12-02 150
1.背景介绍 微服务架构是一种新兴的软件架构风格,它将单个应用程序拆分成多个小的服务,这些服务可以独立部署、扩展和维护。这种架构风格已经被广泛应用于各种业务场景,如金融、电商、游戏等。 微服务架构的核心思想是将一个大的应用程序拆分成多个小的服务,每个服务都是独立的,可以独立部署、扩展和维护。这种架构风格的出现,为软件开发和运维提供了更高的
如何保障微服务安全
热门推荐
CSDN研发技术
11-13 1万+
原文:Securing microservices 作者:SERGIUOLTEAN 翻译:无阻我飞扬 摘要:如何保护微服务,确保微服务安全,作者从保护应用程序安全和保护容器的安全两个方面进行了阐述,以下是译文保护微服务实现一个微服务很难。部署一个微服务应用程序复杂性也很高。保护微服务安全就更难更复杂。从哪里开始呢?脑海中首先出现的一些词是身份验证和授权、防火墙、授信、会话、令牌。我们
微服务安全简介
07-25 738
确保微服务架构的安全性是至关重要的。应用输入验证和输出编码:验证和清理微服务接收到的所有输入数据,以防止注入攻击(如SQL注入或跨站脚本),同时对输出数据进行编码,以避免潜在的安全漏洞,并保护针对微服务接口的消费者免受攻击。访问控制和权限:API网关实现了细粒度的访问控制和权限管理,可以强制执行访问策略、基于角色的访问控制(RBAC)或其他授权机制,确保客户端只能访问适当的微服务和操作,根据其角色和权限。实施身份验证和授权:使用强大的身份验证机制,如OAuth或JWT,验证访问微服务微服务和用户的身份。
微服务之服务调用与安全控制
qq_44005305的博客
02-13 663
微信公众号EAWorld引言:近年来,大多数企业IT软件均在向微服务架构转型,由于微服务架构采用了更细粒度的分布式拆分,对于服务调用安全方面的问题更复杂,更需要重视,需要整体的系统化解决方案。本文将分享普元EOS8.0版本的服务调用安全控制方案,希望能够对需要搭建微服务平台的企业和人员能够带来一些启发和帮助。目录:一、微服务平台架构简介二、服务调用场景分析三、服务发布过程介绍四、服务消费与认证安全五、服务访问控制一、微服务平台架构简介EOS8 微服务平台功能架构图。
快速上手Spring Cloud四:微服务治理与安全
最新发布
沛哥儿的专栏
03-24 1149
微服务的浪潮中,Spring Cloud凭借其卓越的生态系统和丰富的功能集,已成为业界领先的微服务解决方案。微服务治理与安全作为这一框架的两大核心支柱,不仅关乎服务的稳定运行,更直接关系到企业的数据安全与业务连续性。本文旨在深入探讨服务注册中心的选型与最佳实践,全面分析微服务架构中的安全问题及其解决方案,并对微服务间通信的安全性进行详尽考量。如何在微服务架构中保障数据的安全和服务的稳定,是每一个开发者都需要面对的问题。
Spring Cloud微服务安全实战 中小企业可落地的完整安全方案
10-19
给大家分享一套课程——Spring Cloud微服务安全实战 中小企业可落地的完整安全方案,完整版,附源码。 采用流行的微服务架构开发时,有三大问题:认证授权、可用性、可视化需要面对。本课程从简单的API安全入手,...
基于SpringCloud完整的微服务架构实战
01-27
SpringCloud微服务架构实战详解】 SpringCloud是一个全面的微服务解决方案,它为开发者提供了构建分布式系统所需的工具,包括服务发现、配置管理、断路器、智能路由、微代理、控制总线、一次性令牌、全局锁、领导...
Spring Cloud 微服务项目实战.docx
02-21
根据提供的文档信息,以下是从...综上所述,Spring Cloud微服务项目实战不仅涉及技术层面的知识点,还包含了项目管理和实施的最佳实践。通过理解和掌握这些核心概念,开发者能够更加高效地构建和维护复杂的微服务架构。
疯狂Spring Cloud微服务架构实战视频教程
12-07
- **实战案例**:本教程通过一个完整的电商项目来演示Spring Cloud微服务架构的构建过程,涵盖了用户管理、商品管理、订单管理等多个模块。 - **常见问题及解决方案**:例如如何解决服务雪崩效应、如何进行灰度发布...
【十二】Spring Boot之 Filter(示例:打印request、response日志)
Sid小杰的博客
11-19 8743
Filter(过滤器) 一个请求可以被多个过滤器拦截到,会依次进入各个Filter中,放行后直至进入Servlet,Servlet处理请求结束后,回到各个Filter继续执行后面的代码,先执行的Filter,后执行完(Filter是个栈结构,先进后出)。 例如:这里有5个filter,A,B,C,D,E 执行filter的前置处理的顺利是A,B,C,D,E 那么执行filter的后置处理的...
全局记录SpringBoot MVC的请求和响应日志
北亮的专栏
10-21 2236
目录1、使用logbook组件输出日志2、自定义Filter输出日志 在线上出现问题需要排查,需要开启整个服务的请求与响应日志,下面简介一下如何开启MVC日志: 注1:本文基于 spring-boot-starter-parent 2.3.4.RELEASE 注2:由于站点一般访问量都比较大,影响性能,生产不建议开启,仅在需要问题排查时,通过actuator接口开启,排查完毕要及时关闭。 1、使用logbook组件输出日志 演示代码参考点这里 1.1、添加logbook引用: <!-- https:
java用过滤器打印请求返回日志
昕轩三十的博客
11-18 1394
import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.http.server.ServletServerHttpRequest; import org.springframework.http.server.ServletServerHttpResponse; import org.springframework.util.AntPathMatcher; import org.springf..
登陆界面代码
sutiesenn的博客
12-05 1571
&lt;%@ page language="java" contentType="text/html; charset=utf-8"     pageEncoding="utf-8"%&gt; &lt;%@ page import="com.lero.model.Admin" %&gt; &lt;%@ page import="com.lero.model.DormManager
SpringCloud Gateway 动态路由配置导致cpu满载,内存耗完
qq_33730919的博客
07-27 2863
SpringCloud Gateway导致cpu满载,内存耗完问题发现问题查找问题分析动态配置代码 问题发现 程序打好包丢上测试环境之后,正常运行了一段时间,可是一个周末回来,发现服务器卡得不行,一开始以为是机器问题,指定堆栈大小重启然后内存再给大一点,结果过了几天还是一样,于是开始怀疑程序问题了。 问题查找 ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|head 查询服务器的占用情况,发现springcloud gateway程序cpu占用率99%,
jsp页面用request.getAttribute去取值为空null的问题
大帅哥的博客
04-27 5667
jsp页面用request.getAttribute去取值为空的问题 Servlet后台 @WebServlet("/servlet") public class Servlet extends HttpServlet { protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { request.set
微服务微服务安全 - 如何保护您的微服务基础架构?
全网:架构师研究会
04-20 605
在当今行业使用各种软件架构和应用程序的市场中,几乎不可能感觉到您的数据是完全安全的。因此,在使用微服务架构构建应用程序时,安全问题变得更加重要,因为各个服务相互之间以及客户端之间进行通信。因此,在这篇关于微服务安全的文章中,我将按以下顺序讨论您可以实施的各种方法来保护您的微服务。什么是微服务微服务面临的问题保护微服务的最佳实践什么是微服务微服务,又名微服务架构,是一种...
微服务架构实施攻略:如何选择合适的微服务安全保障策略?
灸哥漫谈 Calvin
01-30 385
随着业务的快速发展和系统的日益复杂,传统的单体应用逐渐显露出瓶颈,已无法满足现代软件研发的需求。微服务架构作为一种灵活、可扩展的解决方案,通过将复杂系统拆分为一系列小型服务来提高系统的可伸缩性、灵活性和可维护性。在实施微服务架构时,我们需要关注的不仅仅是技术本身,还有众多方面的细节,本文将全面探讨微服务架构的实施,包括框架选择、通信机制、数据管理和安全保障等关键方面,旨在为大家提供一套全面且实用的实施指南。
SpringCloud微服务安全实战(二)API安全 3-5 认证
喜欢历史的码农
05-20 229
1. 常见问题 日常开发中会遇到的问题: 各种校验: 非空、唯一性等,用于保证数据的完整性 密码加密:对密码进行加密存储,保证安全性 Https访问:保证数据传输的安全性 2. 各种校验 2.1 validation 校验 使用 javax.validation 提供的各种规则对参数进行校验 2.2 接口层面的校验 (1)在接口相关的参数上添加校验注解,如:@NotBlank(message="……") @NotBlank(message = "用户名不能为空") pr.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值