(四)spring security:gateway集成security,之redis缓存用户信息踩坑记

最新推荐文章于 2024-05-07 13:29:41 发布
最新推荐文章于 2024-05-07 13:29:41 发布
阅读量1.7k 收藏 7
点赞数 2
分类专栏: spring security 文章标签: spring spring security redis spring cache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanfei_1986/article/details/110393189
版权

一、前言

    在单体应用开发框架中呢,我已经成功的集成了 spring security,实现了很多功能包括如下(后续文章将会体现):

*      1.异常统一处理
*      2.认证与授权;配置动态权限控制
*      3.匹配 bcrypt 或 MD5 加密方式
*      4.前后端分离登录退出配置;自定义登录成功失败处理
*      5.无状态会话,jwt认证
*      6.角色继承判断
*      7.图形验证码

    今天不说这个,而是说,我在进行系统设计与搭建spring cloud greenwich + spring cloud alibaba,运用gateway集成security,使用redis + spring-cache缓存用户信息 UserDetailBO类,发生了如下异常:

Caused by: com.fasterxml.jackson.databind.exc.MismatchedInputException: Cannot construct instance of `org.springframework.security.core.authority.SimpleGrantedAuthority` (although at least one Creator exists): cannot deserialize from Object value (no delegate- or property-based Creator)

    然后,我就调试了一整天,使用各种办法去解决它。。。,_(:3」∠❀)_菊花碎了一地

二、分析

1.SimpleGrantedAuthority (元凶就是它,其实,在我的单体框架中,ehcache缓存并没有出现那个异常)

可以看看源码

package org.springframework.security.core.authority;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.util.Assert;

public final class SimpleGrantedAuthority implements GrantedAuthority {
    private static final long serialVersionUID = 510L;
    private final String role;

    public SimpleGrantedAuthority(String role) {
        Assert.hasText(role, "A granted authority textual representation is required");
        this.role = role;
    }

    public String getAuthority() {
        return this.role;
    }

    public boolean equals(Object obj) {
        if (this == obj) {
            return true;
        } else {
            return obj instanceof SimpleGrantedAuthority ? this.role.equals(((SimpleGrantedAuthority)obj).role) : false;
        }
    }

    public int hashCode() {
        return this.role.hashCode();
    }

    public String toString() {
        return this.role;
    }
}

造成以上异常原因有两个:

  • getAuthority(),就是以后代码中常用的;可是,它用的属性是:role
  • SimpleGrantedAuthority 并没有提供"无参构造函数";无法反序列化

 

看我的 RedisConfig配置中,采用的是 Jackson2JsonRedisSerializer序列化策略。

这个是重点,可以解决第一个问题。那第二个问题怎么办呢?

        // 反序列化时,遇到未知属性(那些没有对应的属性来映射的属性,并且没有任何setter或handler来处理这样的属性)时,是否引起结果失败(通过抛JsonMappingException异常)
        // 默认是启用的(意味着,如果遇到未知属性时会抛一个JsonMappingException)
        objectMapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false);

/**
 * @desc: RedisConfig
 * @author: yanfei
 * @date: 2020/11/20
 */
@Configuration
public class RedisConfig {

    @Autowired
    private JwtSecurityProperties jwtSecurityProperties;

    /**
     * 配置Jackson2JsonRedisSerializer序列化策略
     * */
    private Jackson2JsonRedisSerializer<Object> serializer() {
        // 使用Jackson2JsonRedisSerializer来序列化和反序列化redis的value值
        Jackson2JsonRedisSerializer<Object> jackson2JsonRedisSerializer = new Jackson2JsonRedisSerializer<>(Object.class);
        ObjectMapper objectMapper = new ObjectMapper();

        // 指定要序列化的域,field,get和set,以及修饰符范围,ANY是都有包括private和public
        objectMapper.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
        // 指定序列化输入的类型,类必须是非final修饰的,final修饰的类,比如String,Integer等会跑出异常
        objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
        // 反序列化时,遇到未知属性(那些没有对应的属性来映射的属性,并且没有任何setter或handler来处理这样的属性)时,是否引起结果失败(通过抛JsonMappingException异常)
        // 默认是启用的(意味着,如果遇到未知属性时会抛一个JsonMappingException)
        objectMapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false);
        jackson2JsonRedisSerializer.setObjectMapper(objectMapper);
        return jackson2JsonRedisSerializer;
    }

    private RedisCacheConfiguration getRedisCacheConfigurationWithTtl(Integer seconds) {
        RedisSerializer<String> redisSerializer = new StringRedisSerializer();
        RedisCacheConfiguration redisCacheConfiguration = RedisCacheConfiguration.defaultCacheConfig();

        redisCacheConfiguration = redisCacheConfiguration
                // 使用StringRedisSerializer来序列化和反序列化redis的key值
                .serializeKeysWith(RedisSerializationContext.SerializationPair.fromSerializer(redisSerializer))
                .serializeValuesWith(RedisSerializationContext.SerializationPair.fromSerializer(serializer()))
                .entryTtl(Duration.ofSeconds(seconds));

        return redisCacheConfiguration;
    }

    /**
     * 可以配置多个,指定 cache 失效时间策略(结合@CacheConfig使用)
     * @return
     */
    private Map<String, RedisCacheConfiguration> getRedisCacheConfigurationMap() {
        //过期时间配置,单位:秒
        int sec = Math.toIntExact(jwtSecurityProperties.getTokenValidityInSeconds() / 1000);
        Map<String, RedisCacheConfiguration> redisCacheConfigurationMap = new HashMap<>();
        redisCacheConfigurationMap.put("loginUserCache", this.getRedisCacheConfigurationWithTtl(sec));
        return redisCacheConfigurationMap;
    }

    /**
     * 申明缓存管理器,会创建一个切面(aspect)并触发Spring缓存注解的切点(pointcut)
     * 根据类或者方法所使用的注解以及缓存的状态,这个切面会从缓存中获取数据,将数据添加到缓存之中或者从缓存中移除某个值
     *
     * @return
     */
    @Bean
    public CacheManager cacheManager(RedisConnectionFactory redisConnectionFactory) {
        return new RedisCacheManager(
                RedisCacheWriter.nonLockingRedisCacheWriter(redisConnectionFactory),
                // 默认策略,未配置的 key 会使用这个
                this.getRedisCacheConfigurationWithTtl(24 * 60 * 60),
                // 指定 key 策略
                this.getRedisCacheConfigurationMap()
        );
    }

    @Bean
    public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory redisConnectionFactory) {
        RedisTemplate<String, Object> redisTemplate = new RedisTemplate<>();
        redisTemplate.setConnectionFactory(redisConnectionFactory);
        // 用Jackson2JsonRedisSerializer来序列化和反序列化redis的value值
        redisTemplate.setValueSerializer(serializer());

        StringRedisSerializer stringRedisSerializer = new StringRedisSerializer();
        // 使用StringRedisSerializer来序列化和反序列化redis的key值
        redisTemplate.setKeySerializer(stringRedisSerializer);

        // hash的key也采用String的序列化方式
        redisTemplate.setHashKeySerializer(stringRedisSerializer);
        // hash的value序列化方式采用jackson
        redisTemplate.setHashValueSerializer(serializer());
        redisTemplate.afterPropertiesSet();
        return redisTemplate;
    }

}

2.UserGrantedAuthority

我仿照了一个 SimpleGrantedAuthority,提供了一个"无参构造函数"。


/**
 * @desc:
 * @author: yanfei
 * @date: 2020/11/30
 */
public class UserGrantedAuthority implements GrantedAuthority {
    private static final long serialVersionUID = -2985922934585450525L;
    private String authority;

    public UserGrantedAuthority() {}

    public UserGrantedAuthority(String authority) {
        Assert.hasText(authority, "A granted authority textual representation is required");
        this.authority = authority;
    }

    @Override
    public String getAuthority() {
        return this.authority;
    }

    @Override
    public boolean equals(Object obj) {
        if (this == obj) {
            return true;
        } else {
            return obj instanceof UserGrantedAuthority ? this.authority.equals(((UserGrantedAuthority)obj).authority) : false;
        }
    }

    @Override
    public int hashCode() {
        return this.authority.hashCode();
    }

    @Override
    public String toString() {
        return this.authority;
    }
}

同时,在 UserDetailsServiceImpl(实际不叫这个名字:-)实现类中有所改动;看到 UserGrantedAuthority被用上了吧。

   @Override
    public UserDetails loadUserByUsername(String usercode) throws UsernameNotFoundException {
        BaseAcUser user = queryByUsercode(usercode);
        //验证登录用户的有效状态
        validateUser(user, usercode);

        UserDetailBO userDetailBO = userDetailBOMapper.map(user);
        //安全框架只认 username 和 password
        //账号
        userDetailBO.setUsername(user.getUsercode());
        userDetailBO.setPassword(processPassword(user.getUserpassword()));
        //昵称
        userDetailBO.setNickname(user.getUsername());

        long userid = userDetailBO.getUserid();
        //查询用户拥有的所有角色
        Set<String> roles = baseAcUserRoleMapper.queryUserRoleByUserId(userid);
        //默认登录用户具有"R_ANONYMOUS"角色
        if (! roles.contains(UnifyRoleNoEnum.R_ANONYMOUS.getRoleNo())) {
            roles.add(UnifyRoleNoEnum.R_ANONYMOUS.getRoleNo());
        }

        StringJoiner roleStr = new StringJoiner(",");
        roles.forEach(role -> {
            roleStr.add(role);
        });

        //此账号拥有的角色
        //TODO redis能正确反序列化
        userDetailBO.setAuthorities(createAuthorityList(roleStr.toString().split(",")));
        //TODO 抛出异常:
//        userDetailBO.setAuthorities(AuthorityUtils.commaSeparatedStringToAuthorityList(roleStr.toString()));
        return userDetailBO;
    }

    private List<GrantedAuthority> createAuthorityList(String... roles) {
        List<GrantedAuthority> authorities = new ArrayList(roles.length);
        String[] var2 = roles;
        int var3 = roles.length;

        for(int var4 = 0; var4 < var3; ++var4) {
            String role = var2[var4];
            authorities.add(new UserGrantedAuthority(role));
        }

        return authorities;
    }
}

3.其实,并不需要这么麻烦;只是,我发现 spring security封装的很优雅,就学着用了。

三、参考文献,谢谢他们的文章

https://blog.csdn.net/xiejx618/article/details/44653703

https://blog.csdn.net/yage124/article/details/107321339/

https://www.cnblogs.com/puzhiwei/p/12519304.html

yanfei_1986
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
springcloudgateway+security vue token
08-02
在构建现代微服务架构时,Spring Cloud GatewaySpring Security 是两个关键组件,它们与 Vue.js 结合使用可以创建一个安全的、高效的API网关。让我们深入探讨这些技术及其相互作用。 **Spring Cloud Gateway** ...
spring-security-oauth-test.rar
09-04
在本项目中,"spring-security-oauth-test.rar"是一个压缩包,它包含了使用SpringCloud、Spring Security和OAuth2.0实现的权限认证解决方案。这个项目旨在演示如何在微服务架构中构建安全的API访问控制,同时利用...
解决springSecurity 跨域的问题
qq_42059456的博客
08-08 663
解决springSecurity 跨域的问题 WebSecurityConfig 配置类 开启cors跨域 http.cors().configurationSource(CorsConfigurationSource()); // 创建跨域配置 private CorsConfigurationSource CorsConfigurationSource() { CorsConfigurationSource source = new UrlBasedCorsConfigurationSourc
Spring-GatewaySpring-Security在前后端分离项目中的实践
天行健,君子以自强不息;地势坤,君子以厚德载物。
05-24 1904
前言网上貌似webflux这一套的SpringSecurity操作资料貌似很少。自己研究了一波,记录下来做一点备忘,如果能帮到也在迷惑的人一点点,就更好了。新项目是前后端分离的项目,前台vue,后端SpringCloud2.0,采用oauth2.0机制来获得用户,权限框架用的gateway。一,前台登录大概思路前台主要是配合项目中配置的clientId,clientSec...
网关gatewayspringsecurity的整合
最新发布
wang01_01的博客
05-07 1904
我们一般在微服务的开发中,除了网关之外还有一个认证服务。他们两个都需要整合springsecurity。为啥要这么干:因为springsecurity就是能干好多事,认证(就是账号密码)和授权(就是你能干啥)。然后网关和认证服务就是分别干这两个事的 ,所以相当于拆分了一下springsecurity的功能分别完成一件事。网关统一授权:业务服务中每个微服务都需要区分不同的人干不同的事,所以就是放到网关这里进行统一授权。
GatewaySpringSecurity 在项目如何使用?
Java笔记虾
06-08 1615
点击关注公众号,利用碎片时间学习网上貌似webflux这一套的SpringSecurity操作资料貌似很少。自己研究了一波,记录下来做一点备忘,如果能帮到也在迷惑的人一点点,就更好了。新项目是前后端分离的项目,前台vue,后端SpringCloud2.0,采用oauth2.0机制来获得用户,权限框架用的gateway。一,前台登录大概思路前台主要是配合项目中配置的clie...
SpringSecurity基础入门(详情可以联系博主)
yuan_boss的博客
06-12 490
写下本篇文章是因为我在做小项目时使用到了spring security并且对此有了更深的理解,故写下这篇文章总结了spring security并且再次加深理解,本篇文章适合于有点基础的小伙伴,当然没有基础的小伙伴也可以在评论区提问,或者加扣扣联系,小编看到一定回复哦,扣扣:1928627476...
登录报错:A granted authority textual representation is required
热门推荐
Java_Mr_Zheng的博客
09-13 1万+
在使用Spring Security配置用户登录时,从数据库中获取用户的权限信息添加到Set里面去: Set authSet = new HashSet(); List pris = this.privateService.qryPrivatesByUser(user.getUserId()); for (Iterator iterator = pris.iterator(); iter
java8源码-spring-cloud-security-gateway-oauth2:spring-cloud-security-gate
06-04
在启动应用之前,需要先启动数据库、缓存、MQ等中间件,可根据自己需要启动的应用选择启动某些基础组件,一般来说启动数据库、redis、rabbitmq即可,其它组件若有需要,根据如下命令启动即可。 该步骤使用了docker...
SpringCloud-Shop:基于Spring Boot,Spring Cloud的微服务商城demo
01-29
基于Spring Boot,Spring Cloud的微服务应用 本项目内容基于Spring Boot,Spring Cloud开发。实现电商应用基础服务,包括用户服务,商品服务,订单服务,功能包括用户注册,用户鉴权,商品列表,商品详情,下单,...
基于springcloud + token + redis + mongodb 的微服务平台.zip
02-27
3. 集成Redis,用于缓存敏感数据,如用户信息,以及管理会话,防止跨服务会话丢失。 4. 应用MongoDB存储服务间交互的数据,如用户行为记录、配置信息等,利用其灵活性适应业务需求变化。 整体来看,这个项目是一个...
SpringCloud+Gateway+Security 搭建微服务统一认证授权(附源码)
Java知音
05-26 1942
点击关注公众号,实用技术文章及时了解1 概述SpringCloud Gateway Security oauth2.0 搭建微服务统一认证授权。项目概述:common:公用代码,实体、工具类等等…gateway:网关uaa:用户登录认证服务school:微服务环境概述:SpringBoot 版本:2.3.1.RELEASESpringCloud版本:Hoxton.SR6S...
SpringCloud——Gateway(使用redis做限流、跨域)
YiRenGengShangBuQi的博客
09-14 1981
限流就是限制一段时间内,用户访问资源的次数,减轻服务器压力,限流大致分为 两种: 1. IP 限流(5s 内同一个 ip 访问超过 3 次,则限制不让访问,过一段时间才可继续访问)2. 请求量限流(只要在一段时间内(窗口期),请求次数达到阀值,就直接拒绝后面来的访问了, 过一段时间才可以继续访问)(粒度可以细化到一个 api(url),一个服务)
spring cloud gateway整合redis实现限流问题
zlpzlpzyd的专栏
03-29 703
spring cloud gateway整合redis实现限流问题
sprintboot Redis配置详解
u010125432的博客
10-21 809
# REDIS (RedisProperties) # Redis数据库索引(默认为0) spring.redis.database=0 # Redis服务器地址 spring.redis.host=localhost # Redis服务器连接端口 spring.redis.port=6379 # Redis服务器连接密码(默认为空) spring.redis.password= # 连接池最大连接数(使用负值表示没有限制) spring.redis.pool.max-active=8 # 连接池最大阻塞等
基于业务定制RedisTemplateConfig对象(拓展)enableDefaultTyping过期
tongshuixu8025的博客
02-23 410
reids配置文件
第五章:Spring Security 原理与权限认证
胡汉三
06-01 808
先说我们的目标,我们的目标是没有蛀牙。是使用Spring Security来帮助我们拦截那些没有权限,却又非要来访问我们的资源的操作。比如必须要登录了才能访问某一张图片,没有登录的话就不能访问,在比如没有新增用户权限就不能访问我们的新增用户的方法。 原理 Spring Security的主要(只是主要,不是全部)功能: 认证(authentication),用户登录 授权(authorization),判断用户有什么权限,可以访问什么资源 安全防护,拦截跨站请求,session攻击等 我们先来看看
Cannot construct instance of org.springframework.security.core.GrantedAuthority的错误解决
机智的爆爆哥
02-03 5014
错误描述 com.fasterxml.jackson.databind.exc.InvalidDefinitionException: Cannot construct instance of org.springframework.security.core.GrantedAuthority (no Creators, like default constructor, exist): abstract types either need to be mapped to concrete types, h
整合spring-boot-starter-data-redis报错解决
weixin_34037173的博客
11-09 3806
版本大致如此: <parent> ...
SpringBoot整合指南:nacos、sentinel、SpringSecurity、RabbitMQ、redis与nginx
"本文将详细介绍如何在SpringBoot项目中整合Nacos、Sentinel、...对于具体配置和代码实现,可以查阅SpringCloud Alibaba、Sentinel、SpringSecurity、RabbitMQ、Redis以及Nginx的官方文档,以获取最准确的信息和示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值