Sa-Token实现网关统一鉴权和内部服务外网隔离

原创 已于 2024-03-15 09:54:33 修改 · 3.3k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#微服务 #springcloud #gateway

于 2023-09-05 15:26:12 首次发布
本文详细介绍了如何在微服务环境中使用Sa-Token进行统一鉴权,包括SpringBoot中的Servlet和Reactor模型集成,Redis依赖的选择,以及与JWT的集成,还涉及了全局过滤器的配置和服务间权限验证的方法。

🎈 1 参考文档

网管关统一鉴权 | sa-token.cc

🥩2 微服务中使用Sa-Token依赖引入说明

2.1 Sa-Token依赖

对于网关服务,大体来讲分为两种:

  • 一种是基于Servlet模型的,如:Zuul,我们需要引入的是:sa-token-spring-boot-starter
  • 一种是基于Reactor模型的,如:SpringCloud Gateway、ShenYu 等等,我们需要引入的是:sa-token-reactor-spring-boot-starter并且注册全局过滤器!

注意:切不可直接在一个项目里同时引入这两个依赖,否则会造成项目无法启动

2.1.1 基于Servlet模型

<!-- Sa-Token 权限认证,在线文档:https://sa-token.cc -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.35.0.RC</version>
</dependency>

注意:如果你使用的是 SpringBoot 3.x,只需要将 sa-token-spring-boot-starter 修改为 sa-token-spring-boot3-starter 即可。

2.1.2 基于Reactor模型

<!-- Sa-Token 权限认证(Reactor响应式集成),在线文档:https://sa-token.cc -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-reactor-spring-boot-starter</artifactId>
    <version>1.35.0.RC</version>
</dependency>

注意:如果你使用的是 SpringBoot 3.x,只需要将 sa-token-reactor-spring-boot-starter 修改为 sa-token-reactor-spring-boot3-starter 即可。

2.2 Redis依赖

无论使用哪种序列化方式,你都必须为项目提供一个 Redis 实例化方案,因为我们需要和各个服务通过Redis来同步数据。

2.2.1 jdk 默认序列化方式

优点:兼容性好,缺点:Session 序列化后基本不可读,对开发者来讲等同于乱码。

<!-- Sa-Token 整合 Redis (使用 jdk 默认序列化方式) -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-redis</artifactId>
    <version>1.35.0.RC</version>
</dependency>
<!-- 提供Redis连接池 -->
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-pool2</artifactId>
</dependency>

2.2.2 jackson 序列化方式

优点:Session 序列化后可读性强,可灵活手动修改,缺点:兼容性稍差。

<!-- Sa-Token 整合 Redis (使用 jackson 序列化方式) -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-redis-jackson</artifactId>
    <version>1.35.0.RC</version>
</dependency>
<!-- 提供Redis连接池 -->
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-pool2</artifactId>
<
最低0.47元/天 解锁文章
【项目实战】Sa-Token 配置中 jwt-secret-key 的前端修改说明
本本本添哥
07-01 155
服务端的核心安全配置,前端完全不需要感知或修改该密钥。前端只需按约定的 token 名称(如)发送 token,所有与密钥相关的逻辑均应在服务端处理。若发现前端代码中包含该密钥,需立即移除并强化服务端密钥的安全管理。
Sa-Token框架工具类(StpUtil、SaSession、SaRouter、SaTokenConfig等)全解析
本博客聚焦 YOLOv11 全流程落地,涵盖架构优化、数据集处理、训练技巧与多场景部署,兼及国产数据库、Java 开发与 AI 模型应用,内容兼顾理论与工程实践,为开发者提供系统干货,助力高效提升技术能力。
06-18 477
本文深入解析了Sa-Token框架的StpUtil工具类功能,主要包含三方面:1)登录认证系列方法(login/isLogin/logout等),详解基础登录、状态检查注销流程;2)限验证功能(角色/限检查),介绍API注解两种使用方式;3)会话管理机制,包括获取会话信息多端登录控制。文章通过代码示例展示了各类方法的实际应用,并分析了底层实现原理,为开发者提供了Sa-Token在用户认证限控制方面的完整解决方案。
SpringCloud+Sa-Token网关统一
道友,山高路远,如果找不到答案就去找自己。
09-13 1315
一、网关 1.1 引入依赖 <!-- Sa-Token 限认证(Reactor响应式集成), 在线文档:https://sa-token.cc --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-reactor-spring-boot3-starter</artifactId> <version>1.39.0<
Sa-Token整合Springboot(初级篇)
Crazyhao的博客
12-14 1887
Sa-Token整合Springboot(初级篇) 如果有帮助到你 麻烦点个赞或者 收藏 +关注 哟 以后会经常发布一些干货文章
Sa-Token JWT扩展 实现
最新发布
weixin_39058620的博客
10-23 975
本改造方案基于 Sa-Token JWT扩展 实现,让您的系统能够兼容现有的JWT token,无需修改前端代码即可无缝迁移到Sa-Token框架。
实现微服务集成satoken网关gateway统一
weixin_45472167的博客
05-22 7573
使用sa-token实现gateway统一
微服务架构整合Sa-Token实现网关服务
m0_57334678的博客
11-14 2287
微服务架构整合SaToken
微服务网关sa-token
m0_72618563的博客
01-25 2246
sa-token如何在网关微服务如何实现用户信息传递、服务?本文提供一个思路。。。
Sa-Token-微服务
kelvin的博客
01-17 377
在分布式环境下一般不能正常工作,为此我们需要对框架做一些特定的处理。微服务架构下的第一个难题便是数据同步,单机版的。这种需求牵扯到两个环节: 网关转发。、 服务内部调用。PASETOJWT
SpringBoot3.x整合Sa-Token实现企业级限认证全栈指南:从单点登录到微服务网关
本博客聚焦 YOLOv11 全流程落地,涵盖架构优化、数据集处理、训练技巧与多场景部署,兼及国产数据库、Java 开发与 AI 模型应用,内容兼顾理论与工程实践,为开发者提供系统干货,助力高效提升技术能力。
08-16 347
Sa-Token是一个轻量级Java限认证框架,专为Web应用提供认证、授会话管理解决方案。相比传统框架,Sa-Token具有代码简洁(仅3000行核心代码)、功能全面(支持单点登录、OAuth2.0等)、设计优雅(链式API调用)等优势。其核心架构采用模块化设计,包含认证、授、会话管理插件系统四大组件,支持与SpringBoot3.x深度集成,兼容GraalVM AOT编译HTTP/2等新特性。开发者可通过简单配置实现RBAC限控制、分布式会话单点登录等功能,文档完善且学习曲线平缓,是企业
sa-token admin没有过滤
08-19
- 确保网关外网开放,而子服务仅限内网访问,防止绕过网关(引用[^4]提到“物理隔离”或“逻辑隔离”)[^4]。 - **常见错误**:路径匹配错误(如`/admin/**`写成`/admin`),或未在`addInclude`中覆盖所有路径。 ...
sa-token:这可能是史上功能最全的Java限认证框架!目前已集成-登录验证,限验证,会话会话,踢人下线,分布式会话,单点登录,OAuth2.0,记住我模式,模拟公众账号,临时身份切换,集成Redis,多账号认证体系,前后台分离模式,注解式,路由拦截式,花式令牌生成,自动续签,同端互斥登录,会话治理,密码加密,jwt集成,Spring集成..
04-02
sa-token v1.15.2 这可能是史上功能最全的Java限认证框架! 在线资料 Sa-Token是什么? sa-token是一个轻量级Java限认证框架,主要解决:登录认证,限认证,会话会话,单点登录,OAuth2.0等长度限相关问题 框架针对踢人下线,自动续签,前后台分离,分散会话……等常见业务进行N多适应,通过sa-token,你可以以一种极简的方式实现系统的限认证部分 与其他限认证框架索引, sa-token具有以下优点: 简单:可零配置启动框架,真正的开箱即用,规定上手 强大:目前已集成数十项限相关特性,涵盖了大部分业务场景的解决方案 易用:如丝般顺滑的API调用,大量高级特性统统立即一行代码即可实现 高扩展:几乎所有组件都提供了扩展接口,90%以上的逻辑都可以按需重写 有了sa-token,你所有的限认证问题,都不再是问题! Sa-Token能做什么?
Spring Security OAuth2 token隔离实例解析
08-25
主要介绍了Spring Security OAuth2 token隔离实例解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
sa-token登录机制以及网关统一环境搭建
Sun的个人博客
08-04 2129
文章目录1.sa-token1.37集成(基于token)1.文档网址2.**sun-club-auth-application-controller引入依赖**3.application.yml4.sun-club-auth-application-controller测试的controller1.UserController.java2.启动测试1.登录,得到satoken2.验证登录时在Header中携带token,注意,需要携带在application.yml中配置的前缀 **jichi**2.网关
Spring cloud-gateway整合satoken完成
图南的博客
02-10 1701
使用Spring Cloud gateway整合satoken完成
Sa-Token网关服务实现
jiangyule的博客
06-13 1436
让我们回顾一下这次的任务流程,首先是编写了用户与限的增删改查(只完成了增哈哈哈偷懒了),然后将三个服务注册到nacos中,引入satoken框架,并于redis集成,通过缓存来获取用户限。用户登录实现的过程:注册----》登录-----》获取token----网关拦截,通过token在redis中获取限信息来判断是否符合规则。
springCloud整合gatewaysatoken认证(包括问题解释)
qq_74184002的博客
05-08 4287
关于springcloudgateway介绍我就不赘述了,网上的相关文章很多。Gateway网关简介及使用-优快云博客Sa-Token是一款轻量级的Java限认证框架,可以用来解决登录认证、限认证、Session会话、单点登录、OAuth2.0、微服务网关等一系列限相关问题。框架集成简单、最简单的可以使用一个依赖即可完成,API设计优雅,通过Sa-Token,你将以一种极其简单的方式实现系统的限认证部分。相信看到这里的同学已经对他有了初步的了解,下面我们直接开始进行整合。
satoken+ gateway网关统一 初版
huangchong0107的博客
04-16 3062
satoken+ gateway统一 基础篇
微服务项目中,内部服务外网隔离
2301_78646673的博客
03-27 831
说白了就是检查一下这个请求有没有携带相应的请求头,如果是从网关转发而来的请求肯定会携带这个“gateway-config”的请求头,如果不是从网关转发而来的请求就不会携带这个请求头。当然,这种方法是非常粗糙的,专业的人员如果知道了你后端判定的依据,是非常容易伪造的,只不够是在请求中加上一个特殊的请求头而已。之前的方法很好的解决了外部请求直接访问子服务的问题,但如果是我们自己内部服务进行相应的调度呢,我们可以OpenFeign的拦截器来实现;我的网关使用的使gateway,所以不会在网关模块生效)
sa-token微服务网关是怎么做的?
02-24
<think>嗯,用户问的是Sa-Token微服务网关是怎么做的。首先,我得回想一下Sa-Token的相关文档功能。Sa-Token是一个轻量级的Java限认证框架,我之前了解过它的核心功能,比如登录认证、限控制等。但微服务网关这部分可能需要更深入的了解。 首先,微服务架构中的网关通常有两种方式:一种是在每个服务中单独处理,另一种是在网关统一处理。Sa-Token推荐的可能是在网关统一,这样能避免重复代码,提高效率。需要确认Sa-Token是否提供了网关的具体模块或者配置方法。 然后,Sa-Token的文档里提到过与Spring Cloud Gateway、Zuul等网关的整合。可能的步骤包括引入依赖、配置拦截器、编写逻辑。比如,在网关的全局过滤器中进行Token校验,获取登录状态限,然后决定是否放行请求。 接下来要考虑的是具体的流程。用户请求到达网关时,网关需要检查请求中的Token是否有效。Sa-Token的StpUtil类可以用来校验Token,获取用户信息。然后根据请求的路径或服务判断用户是否有限访问。如果有限,转发到对应的服务;否则返回401或403。 可能还需要处理路由信息限的匹配。比如,配置路由对应的限码,或者在网关层面动态获取限。此外,跨服务可能需要使用Sa-Token的全局会话解析,或者通过Feign拦截器传递Token。 还要注意微服务中的Token传递问题。在服务之间调用时,如何确保Token正确传递,避免信息丢失。Sa-Token可能提供了Feign的集成方案,自动在请求头中添加Token。 另外,用户可能关心的是如何实现细粒度的限控制,比如基于角色或限码的验证。Sa-Token支持注解式限检查,但在网关层面可能需要更灵活的方式,比如从路由元数据中获取所需限,然后进行匹配。 最后,是否需要结合其他组件,比如Redis来存储Token,以实现分布式会话。Sa-Token默认支持Redis集成,这样在网关时,各个微服务可以共享会话状态。 总结一下,回答用户时需要分步骤说明Sa-Token微服务网关实现方式,包括依赖引入、过滤器配置、Token校验、限匹配以及服务间的Token传递。同时,给出一个简单的示例代码,帮助用户快速理解。</think>Sa-Token微服务网关中主要通过 **统一拦截、路由匹配、限校验** 实现,以下是核心流程与实现思路: --- ### **1. 网关统一原理** 微服务架构中,**网关作为所有请求的入口**,Sa-Token 在此处拦截请求,集中完成登录状态校验与限验证,避免每个服务重复处理逻辑。 --- ### **2. 核心步骤** #### **① 引入依赖** 在网关项目中添加 Sa-Token 相关依赖(如 Spring Cloud Gateway 集成): ```xml <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-reactor-spring-boot-starter</artifactId> <version>最新版本</version> </dependency> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-dao-redis</artifactId> <version>最新版本</version> </dependency> ``` #### **② 配置路由-限映射** 在网关配置文件中(如 `application.yml`),定义路由与所需限的对应关系: ```yaml spring: cloud: gateway: routes: - id: user-service uri: lb://user-service predicates: - Path=/user/** metadata: sa-auth: user.get,user.update # 该路由需要的限码 ``` #### **③ 实现全局过滤器** 创建全局过滤器(如 `SaTokenGatewayFilter`),拦截请求并: ```java public class SaTokenGatewayFilter implements GlobalFilter, Ordered { @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { // 1. 获取当前请求路径对应的限码(从路由元数据) String requiredPermissions = exchange.getAttribute(SA_AUTH_METADATA_KEY); // 2. 校验登录状态 (Sa-Token 自动完成) if (StpUtil.isLogin() == false) { return unauthorized(exchange, "未登录"); } // 3. 校验限(如:需同时具备 user.get user.update 限) if (requiredPermissions != null) { String[] perms = requiredPermissions.split(","); if (!StpUtil.hasPermissionAnd(perms)) { return forbidden(exchange, "限不足"); } } // 4. 放行请求 return chain.filter(exchange); } // 返回响应示例(根据实际封装) private Mono<Void> unauthorized(ServerWebExchange exchange, String msg) { exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED); return exchange.getResponse().writeWith(Mono.just(...)); } } ``` #### **④ 跨服务Token传递** 微服务间调用时(如通过 Feign),需自动传递 Token: ```java // Feign 请求拦截器 public class SaTokenFeignInterceptor implements RequestInterceptor { @Override public void apply(RequestTemplate template) { template.header(StpUtil.getTokenName(), StpUtil.getTokenValue()); } } ``` --- ### **3. 关键特性** - **路由级限控制**:通过路由元数据动态绑定限,灵活适配不同服务- **会话全局解析**:网关校验后,Token 可在下游服务中直接使用(需共享 Redis 会话存储)。 - **精细化控制**:支持 `AND/OR` 限逻辑、角色验证、拦截器扩展等。 - **高性能**:基于 Reactor 异步模型,避免阻塞请求。 --- ### **4. 配置示例(Redis 存储)** ```yaml sa-token: token-name: satoken timeout: 1800 token-style: uuid is-share: true # 所有服务共享同一个 Token 前缀 is-read-body: false # Redis 配置 jedis: host: 127.0.0.1 port: 6379 ``` --- ### **5. 进阶场景** - **动态路由**:结合数据库/Nacos 动态加载路由限配置。 - **灰度发布**:根据请求头中的版本标识匹配不同限规则。 - **限流与熔断**:结合 Sentinel 在网关实现限+流控双保障。 通过以上步骤,Sa-Token 能够在网关层高效完成,确保微服务体系的安全性,同时保持代码简洁与架构清晰。具体实现需根据实际网关类型(如 Spring Cloud Gateway、Zuul)调整配置细节。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值