统一权限-鉴权

最新推荐文章于 2024-09-13 17:42:11 发布
最新推荐文章于 2024-09-13 17:42:11 发布
阅读量3k 收藏 3
点赞数
文章标签: 微服务 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JAVAMysql111/article/details/124184972
版权

鉴权:即访问控制,控制谁能访问那些资源;进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无发访问的,如图所示:
在这里插入图片描述
基于资源的权限控制
RBAC基于资源的访问控制是以资源为中心进行访问控制,企业中常用的权限管理方法,实现思路是:将系统操作的每个URL配置在资源表中,将资源对应到角色,将角色分配给用户,用户访问系统功能的Filter进行过滤,过滤器获取到用户访问的URL,只要访问的URL是用户分配的角色中的URL是用户分配角色中的URL则放行继续访问,其具体流程如下:

在这里插入图片描述
鉴权流程
在这里插入图片描述
ReactiveAuthorizationManager:主要是权限鉴定的过程,主要包含:拦截获得URL、jwt令牌校验、校验权限

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.security.authorization.AuthorizationDecision;
import org.springframework.security.authorization.ReactiveAuthorizationManager;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.server.authorization.AuthorizationContext;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

import java.util.List;
import java.util.Set;

/**
 * @ClassName AuthorizeConfigManager.java
 * @Description 鉴权用户权限
 */
@Slf4j
@Component
@EnableConfigurationProperties(SecurityProperties.class)
public class JwtReactiveAuthorizeManager implements ReactiveAuthorizationManager<AuthorizationContext> {

    private AntPathMatcher antPathMatcher = new AntPathMatcher();

    @Autowired
    SecurityProperties securityProperties;

    @Autowired
    JwtTokenManager jwtTokenManager;

    @Override
    public Mono<AuthorizationDecision> check(Mono<Authentication> authentication,
                                             AuthorizationContext authorizationContext) {
        //拦截获得url路径
        ServerWebExchange exchange = authorizationContext.getExchange();
        ServerHttpRequest request = exchange.getRequest();
        String path = request.getURI().getPath();
        log.info("===============进入鉴权url:{}==========",path);
        //jwt令牌校验
        String jwtToken = request.getHeaders().getFirst(SuperConstant.JWT_TOKEN_HEADER);
        boolean flag = jwtTokenManager.isVerifyToken(jwtToken);
        if (!flag){
            return Mono.justOrEmpty(new AuthorizationDecision(false));
        }
        //校验权限
        UserVo userVo = JSONObject
                .parseObject(jwtTokenManager.getCurrentUser(jwtToken).toString(),UserVo.class);
        Set<String> resources = userVo.getResources();
        AuthorizationDecision authorizationDecision = null;
        //支持restfull
        String methodValue = request.getMethodValue();
        for (String resource : resources) {
            if (antPathMatcher.match(resource, methodValue+path)) {
                log.info("用户请求API校验通过,GrantedAuthority:{},Path:{} ",resource, path);
                authorizationDecision = new AuthorizationDecision(true);
                return Mono.justOrEmpty(authorizationDecision);
            }
        }
        authorizationDecision = new AuthorizationDecision(false);
        log.info("用户请求API校验未通过,Path:{} ",path);
        return Mono.justOrEmpty(authorizationDecision);
    }

}

用户无权限处理

import io.netty.util.CharsetUtil;
import org.springframework.core.io.buffer.DataBuffer;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.server.ServerAuthenticationEntryPoint;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

/**
 * @ClassName JsonAuthenticationEntryPoint.java
 * @Description  用来解决用户访问无权限资源时的异常
 */
@Component
public class  JsonServerAuthenticationEntryPoint implements ServerAuthenticationEntryPoint {


    @Override
    public Mono<Void> commence(ServerWebExchange exchange, AuthenticationException e) {
        //请求状态指定
        ServerHttpResponse response = exchange.getResponse();
        response.setStatusCode(HttpStatus.UNAUTHORIZED);
        response.getHeaders().set(HttpHeaders.CONTENT_TYPE, "application/json; charset=UTF-8");
        //返回结果封装
        ResponseWrap<Boolean> responseWrap = ResponseWrapBuild.build(AuthEnum.NEED_LOGIN, false);
        String result = JSONObject.toJSONString(responseWrap);
        DataBuffer buffer = response.bufferFactory().wrap(result.getBytes(CharsetUtil.UTF_8));
        return response.writeWith(Mono.just(buffer));
    }
}

退出处理

import io.netty.util.CharsetUtil;
import org.springframework.core.io.buffer.DataBuffer;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.server.WebFilterExchange;
import org.springframework.security.web.server.authentication.logout.ServerLogoutSuccessHandler;
import org.springframework.stereotype.Component;
import reactor.core.publisher.Mono;

/**
 * @ClassName JsonServerLogoutSuccessHandler.java
 * @Description 退出成功
 */
@Component
public class JsonServerLogoutSuccessHandler implements ServerLogoutSuccessHandler {
    @Override
    public Mono<Void> onLogoutSuccess(WebFilterExchange exchange, Authentication authentication) {
        //指定请求状态
        ServerHttpResponse response = exchange.getExchange().getResponse();
        response.setStatusCode(HttpStatus.OK);
        response.getHeaders().set(HttpHeaders.CONTENT_TYPE, "application/json; charset=UTF-8");
        //返回封装结果
        ResponseWrap<Boolean> responseWrap = ResponseWrapBuild.build(AuthEnum.SUCCEED, true);
        String result = JSONObject.toJSONString(responseWrap);
        DataBuffer buffer = response.bufferFactory().wrap(result.getBytes(CharsetUtil.UTF_8));
        return response.writeWith(Mono.just(buffer));
    }
}
集成网关后怎么做限隔离——统一
东南草堂
09-22 1471
商场停车场景中,除了极少数功能不需要用户登陆外(如可用车位数),其余都是需要用户在会话状态下才能正常使用的功能。上个章节中提到,要在网关层实现统一的认证操作,本篇就直接带你在网关层增加一个公共功能,来实现简单的认证,采用轻量级解决方案 JWT 的方式来完成。 为什么选 JWT JSON Web Token(缩写 JWT)是比较流行的轻量级跨域认证解决方案,Tomcat 的 Session 方...
关于【统一权限系统】概况
两条线-twolines
08-17 2274
限系统设计概述
Spring gateway配置Spring Security实现统一权限验证与授
热门推荐
王广帅--游戏开发技术
12-02 2万+
在使用Spring Cloud 进行微服务,分布式开发时,网关是请求的第一入口,所以一般把客户端请求的限验证统一放在网关进行认证与。因为Spring Cloud Gateway使用是基于WebFlux与Netty开发的,所以与传统的Servlet方式不同。而且网关一般不会直接请求数据库,不提供用户管理服务,所以如果想在网关处进行登陆验证与授就需要做一些额外的开发了。 需求设求 众所周知,一...
高可用实践之统一(三)
总结沉淀
03-05 3599
统一往往包括两部分: 身份认证,确认访问方身份,是的第一步拦截点 访问控制,对通过身份认证的访问方进行,限制访问方可访问和操作的资源。 身份认证 常见的身份认证方法包括: 黑白名单过滤 例如可以根据请求ip、或请求来源等方式对调用方进行限制,避免非法来源的调用方请求。 这一步操作主要放在服务方实现,根据用户传入的具体属性来做拦截,示例如下: public static void a...
限统一控制
小小少年
08-16 505
限统一控制 在很多场景下我们需要做限控制,通常我们的做法是在场景请求数据时,在每个函数里面去判断是否有限。但场景如果很多,更改限控制逻辑时,每个场景的限控制都要去改动,那样就很不友好了。那我们把限控制和数据请求分离开,在请求数据前,先判断是否有限。顺着这个思路,看下面的代码。 我们知道es6有个新特性proxy, 它可以实现代理拦截,我们也用es6尝个鲜。 es5限控制 &lt...
.NET 统一用户管理 -- 统一
arra54202的博客
03-07 333
统一 目的 为什么要统一了,每一个业务系统几乎都离不开,用户,角色,限 这个 3个基础功能,为了避免各个系统各自去开发一套限管理等基础功能,也同时轻松管理每个用户的全部限。 怎么做 1. 在同一模块新建业务系统(获得系统ID) 2. 初始化业务系统的角色,菜单,以及限等相关基础数据 3. ...
【自研网关系列】过滤器链 -- 过滤器
m0_63208096的博客
04-30 1012
在自研网关这个项目中,主要是使用 Jwt 来实现简易的功能
Spring Cloud Gateway 整合 Spring Security 统一登录认证
02-24
当我们将这两者结合时,我们可以创建一个强大的统一登录认证系统。 首先,让我们深入了解Spring Cloud Gateway。这是一个基于Spring Framework 5,Spring Boot 2 和 Project Reactor 的高性能API网关。它提供了...
基于Springcloud的基础框架,统一gateWay网关demo,附下载地址
09-04
基于Springcloud的基础框架,统一gateWay网关demo,附下载地址 使用方法具体见:https://blog.youkuaiyun.com/a1139628523/article/details/132664763
SpringCloud+Sa-Token网关统一
weixin_39311781的博客
09-13 1080
一、网关 1.1 引入依赖 <!-- Sa-Token 限认证(Reactor响应式集成), 在线文档:https://sa-token.cc --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-reactor-spring-boot3-starter</artifactId> <version>1.39.0<
统一权限组件
06-01
NULL 博文链接:https://13813962825.iteye.com/blog/2113369
统一认证+多租户体系+
08-27
统一认证+多租户体系+
gateway-统一权限-认证
JAVAMysql111的博客
04-10 1万+
基础名词概念 **限:**属于系统的安全范畴,限管理实现对用户访问系统的控制,按照安全规则或者安全控制策略用户可以访问而且只能访问自己被授的资源,主要包括用户身份认证和请求两部分,简称认证 认证判断一个用户是否为合法用户的处理过程,最常用的简单身份认证是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确 :即访问控制,控制谁能访问那些资源;进行身份认证后需要分配限可访问的系统资源,对于某些资源没有限是无法访问的,如下图所示
SpringCloudGateway之统一
HMing的博客
03-14 4837
在客户端登录成功后,服务端生成一个包含用户信息和过期时间等数据的JWT令牌返回给客户端。客户端在后续请求中将此令牌放在请求头(如Authorization: Bearer token)中发送给网关。网关层通过自定义的GatewayFilter Factory来拦截所有请求,并检查请求头中的JWT令牌,使用对应的解码器对其进行解密和校验,包括但不限于签名验证、过期时间检查等。
统一权限管理
a288418的博客
08-21 362
     公司开发需求,现有多个项目如客服记录管理,活动栏目管理,某平台管理;随着公司业务的扩大,将会开发越来越多的项目系统,希望用一套的限管理系统管理所有的项目,多SpringSecurity的限管理机制非常满意,希望用它实现这套管理系统,但是怎么样才能实现这张跨项目的限管理呢。      看springsecurity看不出头绪来,我的简单思路是这样的,通过各个项目系统的过滤器把请求发...
转转统一权限系统的设计与实现(设计篇)
待到春花烂漫时
06-17 1632
转转统一权限系统的设计与实现
Spring Gateway + Oauth2 + Jwt网关统一
oPeiJie1的博客
04-19 2988
*** @Description 自定义过滤器工厂:设置访问白名单;重新封装认证通过的请求头;*///1. 编写实现类继承AbstractGatewayFilterFactory抽象类@Component。
SpringCloud微服务整合Spring Security进行统一
lyy的博客
04-15 4287
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要做这一步。
APISIX集成统一中心
雨中深巷的油纸伞
12-12 1089
这里使用forward-auth作为身份认证插件,具体的配置方法可以查看官网 https://apisix.apache.org/docs/apisix/plugins/forward-auth/Apisix提供了很多插件,通过插件,并配合自定义服务接口,可以很好实现网关层面的统一,认证还是可以走统一认证中心。也可以和其他子服务共用一个,但是必须是一个单独的apisix路由接口。将刚刚创建好的服务路由接口,配置在插件中,并启动该插件。与普通创建路由一致,可以参考其他创建路由具体步骤。
统一网关的功能
最新发布
03-08
### 实现统一网关功能 在构建微服务架构时,实现统一网关的功能至关重要。通过这种方式可以确保所有请求都经过安全验证后再到达相应的资源服务。 #### 方案概述 为了提高效率并减少授服务器压力,推荐采用方案2和3相结合的方式: - **共享Redis实例**:网关和服务之间共享同一Redis实例用于存储Token信息[^1]。 - **JWT Token机制**:利用JSON Web Tokens (JWT)作为令牌传递给客户端,在每次请求时附带该令牌以便于身份验证[^3]。 这种组合不仅能够有效降低授服务负担,还能借助缓存技术加快响应速度。 #### 技术细节说明 ##### Redis集成 为了让Spring Cloud Gateway与外部Redis数据库协同工作,需引入依赖库并在配置文件中指定连接参数: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis-reactive</artifactId> </dependency> ``` 接着更新`application.yml`, 添加如下内容来设置Redis地址及其他必要选项: ```yaml spring: redis: host: localhost port: 6379 ``` ##### JWT解析器定义 创建自定义过滤器类以拦截进入系统的HTTP请求,并从中提取出携带的身份凭证进行校验: ```java import io.jsonwebtoken.Claims; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter; public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtAccessTokenConverter jwtAccessTokenConverter; protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = resolveToken(request); if(token != null){ Claims claims = this.jwtAccessTokenConverter.extractAccess(token).getDecodedDetails(); // 进一步处理... } super.doFilterInternal(request,response,filterChain); } } ``` 上述代码片段展示了如何基于传入的Bearer tokens执行初步的安全性检查[^4]. #### 安全策略实施 对于那些希望更精细控制API访问限的应用程序来说,可以在网关层面上应用额外的安全措施,比如路径匹配规则、角色基线约束等. ```yaml security: oauth2: resource: load-balanced: true filters: - name: TokenRelayGatewayFilterFactory args: {} security-rules: - path: /api/**/admin/** roles: ADMIN - path: /**/* permit-all: true ``` 以上YAML片断描述了一个简单的RBAC模型例子,其中指定了不同URL模式对应的具体准入条件[^2]. ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值