服务内部调用api鉴权忽略token(动态放权)

原创 已于 2023-04-24 22:11:45 修改 · 1.9k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring #servlet

于 2022-08-29 15:36:16 首次发布

通常情况下微服务之间调用或开放接口的时候,我们会在资源服务器的security配置当中配置路径,觉得比较麻烦,参考了网上一些案例,写了下面的应用,感觉比较实用的是可以不用谢那么多重复的代码permitAll()方法。灵活配置动态添加删除,只需要一个注解就可以配置接口是否完全开放,是否内部开放,是否外部开放。希望能帮助到有需要的人。

创建一个注解

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface IgnoreToken {
    /**
     * 是否AOP统一处理
     */
    boolean value() default true;
}

注解配置一个切面

@Aspect
@Component
@Slf4j
public class IgnoreTokenAspect implements Ordered {
    @Autowired
    private HttpServletRequest request;

    @Around("@annotation(ignoreToken)")
    public Object around(ProceedingJoinPoint point, IgnoreToken ignoreToken) throws Throwable {
        String header = request.getHeader(SecurityConstants.FROM);
        if (ignoreToken.value() && !StringUtils.equals(SecurityConstants.FROM_IN, header)){
            log.warn("访问接口 {} 没有权限", point.getSignature().getName());
            throw new AccessDeniedException("Access is denied");
        }
        return point.proceed();
    }

    @Override
    public int getOrder() {
        return Ordered.HIGHEST_PRECEDENCE + 1;
    }
}

常量配置

public final class SecurityConstants {
    public static final String FROM = "from";
    public static final String FROM_IN = "in";
}

初始化忽略token的链接

@Configuration
public class PermitAllUrlProperties implements InitializingBean {

    private static final Pattern PATTERN = Pattern.compile("\\\\{(.*?)\\\\}");

    @Autowired
    private ApplicationContext applicationContext;

    private List<String> urls = new ArrayList<>();

    public static final String ASTERISK = "*";

    @Override
    public void afterPropertiesSet() {
        RequestMappingHandlerMapping mapping = applicationContext.getBean("requestMappingHandlerMapping",RequestMappingHandlerMapping.class);
        Map<RequestMappingInfo, HandlerMethod> map = mapping.getHandlerMethods();

        map.keySet().forEach(info -> {
            HandlerMethod handlerMethod = map.get(info);

            // 获取@IgnoreToke注解的替代path variable 为 *
            IgnoreToken method = AnnotationUtils.findAnnotation(handlerMethod.getMethod(), IgnoreToken.class);
            Optional.ofNullable(method).ifPresent(inner -> info.getPatternsCondition().getPatterns()
                    .forEach(url -> urls.add(ReUtil.replaceAll(url, PATTERN, ASTERISK))));

            // 获取@IgnoreToke注解的访问路径替代path variable 为 *
            IgnoreToken controller = AnnotationUtils.findAnnotation(handlerMethod.getBeanType(), IgnoreToken.class);
            Optional.ofNullable(controller).ifPresent(inner -> info.getPatternsCondition().getPatterns()
                    .forEach(url -> urls.add(ReUtil.replaceAll(url, PATTERN, ASTERISK))));
        });
    }

    public List<String> getUrls() {
        return urls;
    }

    public void setUrls(List<String> urls) {
        this.urls = urls;
    }
}

资源服务器配置

@Configuration
@EnableResourceServer
public class EcmContentResourceServerConfigure extends ResourceServerConfigurerAdapter {
    @Autowired
    PermitAllUrlProperties permitAllUrlProperties;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.headers().frameOptions().disable();
        http.csrf().disable()
                .requestMatchers().antMatchers("/**")
                .and()
                .headers().frameOptions().disable()
                .and()
                .authorizeRequests()
                //添加注解动态添加放权
                .antMatchers(permitAllUrlProperties.getUrls().stream().distinct().toArray(String[]::new)).permitAll()
                .antMatchers("/**").authenticated();
    }
}

注解使用,直接添加到controller 方法上value = false表示可外部网关访问true表示内部接口外部无法访问。


    @GetMapping(value = "/getSite/{siteId}")
    @IgnoreToken(value = false)
    public EcmResponse getSite(@ApiParam(value = "siteid", required = true) @PathVariable("siteId") String siteId) {

        return siteServiceI.getSiteById(siteId);
    }

内部feign调佣需要请求头添加from参数

@GetMapping(value = "/public/lvanecm/v1/site/getSite/{siteId}") 
EcmResponse getSiteBySiteId(@PathVariable(value="siteId")String siteId,@RequestHeader(SecurityConstants.FROM) String from);

保证内部接口安全,网关拦截器全局处理,外部请求删除请求头中from参数

// 清洗请求头中from 参数
request = exchange.getRequest().mutate().headers(httpHeaders -> httpHeaders.remove(SecurityConstants.FROM)).build();
FastAPI学习最后一天: Cors跨域和token
百锦再的博客
11-23 1万+
在FastAPI中配置CORS时,我们可以通过中间件来设置不同的限制。
API接口
qq_40660283的博客
08-17 1591
由于api接口直接暴露在服务器上容易被恶意攻击,所有使用接口来拦截恶意请求,使用时间戳+appId+secret+参数排序生成MD5加密传输.被调用api接口使用AOP切面添加注解使用注解
No6-4.从零搭建spring-cloud-alibaba微服务框架,解决微服务间的不调用等(四,no6-4)
键上艺术家
10-31 1103
之前只零碎的学习过spring-cloud-alibaba,并没有全面了解过,这次学习pig框架时,想着可以根据这个项目学习一下,练练手,于是断断续续的用了几天时间搭建了一下基础框架。目前就先重点记录一下遇到的问题吧,毕竟流程也不是特别复杂,就是有的东西没遇到过了解的也不深~由于微服务包括认证这里内容太多,所以分了好几篇~文章包括:1.将服务系统注册到nacos注册中心;2.通过nacos实现配置动态更新;3.添加fegin服务,实现服务之间调用
SpringCloud 微服务之间调用Token操作
telescopewang的博客
06-06 1618
基于Jeecg框架,修改FeignConfig配置。
es搜索引擎架构_微服务架构案例(02):业务架构设计,系统分层管理
weixin_39565332的博客
11-23 365
更新进度(共6节):01:项目技术选型简介,架构图解说明02:业务架构设计,系统分层管理一、业务架构设计1、基础概念服务的架构设计决定软件的业务支撑能力,清晰的业务设计可以帮助开发人员理解系统。在业务架构设计过程中,需要根据用户需求作为核心方向,根据用户需求确定产品设计、框架搭建、服务划分、数据库规划。如果需求比较单一,单个应用服务可以支撑,则不需要设计复杂的微服务系统,如果根据对业务的判断,会在...
服务: feign 的请求拦截器 执行token拦截, 接口无需传递token
pingzhuyan的博客
11-21 1315
略, 逻辑略, 直接用, 就不过多解释, 之后整个feign总结时添加。
服务调用要通过网关吗_微服务架构案例(05)SpringCloud 基础组件应用设计
weixin_39918145的博客
11-30 669
一、组件应用规划1、注册中心Eureka 组件是 Netflix 开发的,用于定位服务,基于RESTFul方式实现服务注册与发现。包括一个EurekaServer服务端(通常是指微服务中的注册中心) 和EurekaClient客户端(通常指微服务中的业务服务)。Eureka支持高可用的配置,当注册中心发现有故障的服务时,Eureka就会转入自动保护模式,故障时不影响服务的发现和注册,当故障恢复正常...
精选资源
OneNET平台参数计算器 包含mqtt接入API调用
02-01
包含mqtt接入API调用。mqtt接入视频教程:...
精选资源
OneNET平台token计算工具_物联网_
09-21
OneNET平台作为一个领先的物联网云服务平台,提供了全面的安全解决方案,其中包括机制。本文将深入探讨OneNET平台的token计算工具及其在物联网安全中的作用。 Token是身份验证过程中的一种安全令牌,它...
超全大纲-API接口实战教程 + 开放API调用模板 + 处理脚本 + 多语言环境配置合集
最新发布
07-17
文档详细介绍了处理(API Key、Bearer Token、OAuth2.0)的自动封装模块,确保开发者可以轻松应对不同平台的认证需求。此外,还提供了完整的开发环境配置指南,包括环境变量管理、Docker部署、Postman接口测试等...
feign调用 服务内无token_对目前项目采用的微服务调用链和边界的思考
weixin_35804761的博客
01-04 270
目前在国内某商业项目中微服务调用关系如下图,技术是基于SpringCloud:组件调用组件图1.OpenAPI的使用:所谓的开放API(OpenAPI)是服务型网站常见的一种应用,网站的服务商将自己的网站服务封装成一系列API开放出去,供第三方开发者使用,但是这里却成了企业内部来管理外部安全访问的方式,比如手机端,个人认为使用场景不大适合,只是加了一层调用深度。而且没有像API Connect生...
spring cloud各个微服务之间如何相互调用(Feign、Feign带token访问服务接口)
热门推荐
E的博客
03-11 2万+
1、首先先看什么是Feign。 这里引用“大漠知秋”的博文https://blog.youkuaiyun.com/wo18237095579/article/details/83343915 2、若其他服务的接口未做限处理,参照上文第1点的博文即可。 3、若其他服务的接口做了限的处理(例如OAuth 2)时该如何访问? a、有做限处理的服务接口直接调用会造成调用时出现http 401未授的错误...
服务间的调用和应用内调用有啥区别
weixin_33832340的博客
04-19 351
摘要目前大部分的系统架构都是微服务架构,就算没有注册中心、服务管理,也肯定是多个服务,单体服务比较少了。大家平时需要在应用内调用rpc接口也比较多,那么有没有思考过微服务之间的调用和应用内直接调用有什么区别呢?面试时是不是经常被被问到微服务呢,本篇文章针对微服务间的方法调用和应用内方法调用的有啥区别这个很小的点,谈谈我的经验微服务调用特点先从单体应用说起单体应用单体引用通过一个服务节点直接组装好数...
记:前后端分离项目中@IgnoreToken注解的使用
zkcJava的博客
08-22 2947
记:前后端分离项目中@IgnoreToken注解的使用一、在前后端分离项目中,有部分接口通常不需要携带token来验证就能访问。可以通过自定义注解来完成。具体做法分为以下几步:二、设置在开发环境时,调试接口不需要携带token 一、在前后端分离项目中,有部分接口通常不需要携带token来验证就能访问。可以通过自定义注解来完成。具体做法分为以下几步: 创建自定义注解@IgnoreToken @Retention(RetentionPolicy.RUNTIME) @Target(value = {Eleme
feign调用 服务内无token_Spring Cloud(十三):Feign居然这么强大?
weixin_30649293的博客
01-02 698
可能点击蓝字关注我们大家好,我是杰哥微服务架构目前已被各大公司广泛使用。至少在java界,要是说你还没有使用过微服务架构,都会觉得自己out了我们知道,微服务架构最大的特点就是,将原先的一个服务,根据业务等角度拆分为一个个小的微服务。那么以前的方法调用,就自然会变成服务之间的通讯调用,并且系统越复杂,这样的通讯调用就越频繁。Feign,作为一个声明式Web Service客户端,自然就应...
请求的时候需要token验证 但是我不想要token也想要请求的数据
09-02 1634
请求的时候需要token验证 但是接口已经设置不需要token验证了也可以获取数据 但是你传token进去就会检测你的token token不正确不给你数据 如果不传进去他就不检查token你可以获取数据。上面的这种问题是: promise有两种状态 一种是成功 一种是失败 请求出错了 没有给捕获造成是。针对上面的问题 我一开始是以为 请求的时候吧 请求头抓注释掉不让他传值生成token
服务之间调用部分Feign接口忽略认证授
枸杞泡茶的博客
01-21 4165
前言 在SpringSecurity框架基础之上实现微服务之间部分接口忽略认证授. 思路 创建忽略注解 获取所有被注解的类或者方法 在SpringSecurity框架中忽略 1. 创建忽略注解 @Target({ElementType.TYPE,ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface AuthIgnore { } 2.获取所有...
使用Feign时内部接口Token传递及调度任务没有Token问题的解决方案
AmourzxqのBLOG
12-15 1607
使用Feign调用内部接口时,前端发起的请求Token传递有问题,无法正常解析Token信息。定时任务调用Feign接口的时候,由于是内部发起的调用,自然也没有Token,也报错Token解析异常。
@IgnoreToken的作用
weixin_42605050的博客
12-05 3019
在方法上面添加注解 @IgnoreToken 后,那么请求该方法体时,则可以不用在header传token进行验证了。
satoken服务内部调用
03-29
### 如何在Sa-Token中实现服务内部调用 #### 背景说明 在分布式架构下,微服务之间通常需要进行相互调用来完成业务逻辑。为了保障安全性,在服务间的通信过程中也需要进行身份认证和授操作。对于基于Spring Cloud的应用场景,可以通过集成Sa-Token来解决这一需求。 --- #### 解决方案概述 以下是几种常见的解决方案及其具体实施方法: 1. **通过Feign拦截器传递Token** Feign提供了`RequestInterceptor`接口,允许开发者自定义HTTP请求头的内容。利用该功能可以在每次发起远程调用时自动附加有效的Token[^2]。 ```java import feign.RequestInterceptor; import feign.RequestTemplate; @Component public class TokenInterceptor implements RequestInterceptor { private final static String TOKEN_HEADER_NAME = "Authorization"; @Override public void apply(RequestTemplate template) { // 获取当前线程中的 token (假设已存入 ThreadLocal 或其他共享上下文中) String currentToken = SaHolder.getRequest().getHeader(TOKEN_HEADER_NAME); if(currentToken != null && !currentToken.isEmpty()) { template.header(TOKEN_HEADER_NAME, currentToken); } } } ``` 2. **配置全局过滤器跳过特定路径校验** 如果某些API仅用于内部调用而不对外暴露,则可以直接设置这些端点无需经过Token验证流程。这可通过注解或者统一配置的方式达成[^3]。 示例代码如下: ```java @RestController public class InternalController { /** * 此接口只允许内部访问 */ @GetMapping("/internal-only") @IgnoreToken(value=true) // 设置为 true 表示此接口不允许外部直接访问 public ResponseEntity<String> internalEndpoint() { return ResponseEntity.ok("This is an internal endpoint."); } } ``` 3. **借助Redis同步Session状态** 当多个独立部署的服务都需要维护同一个用户的登录态时,推荐使用集中式的缓存机制比如Redis来保存会话信息。这样即使客户端切换到了不同的服务器实例上也能保持一致性的认证体验[^4]。 - 导入必要的依赖项并调整application.yml文件内的参数; ```yaml spring: redis: host: localhost port: 6379 lettuce: pool: max-active: 8 max-idle: 8 min-idle: 0 sa-token: token-name: satoken timeout: 2592000 # 单位秒,默认一个月有效期 is-share: true # 开启跨域资源共享模式 cache-type: redis # 使用 Redis 存储令牌数据 ``` - 初始化完成后记得重启整个项目集群以便生效新的改动; 4. **增强型安全策略——双重签名技术** 对于更高层次的安全防护要求来说,除了单纯依靠access_token之外还可以额外增加一层随机数nonce以及时间戳timestamp作为辅助因子参与计算最终提交给目标系统的哈希值hashcode。接收方收到消息后再重新按照相同算法还原一遍看两者是否匹配即可判断来源的真实性。 --- ### 总结 综上所述,针对不同实际应用场景可以选择合适的技术手段去满足各自的需求。无论是简单的header复制还是复杂的多维度组合加密措施都能有效提升整体系统的健壮性和抗攻击能力。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值