因自定义注解白名单过滤造成gateway解析不到用户ID的问题

原创 已于 2022-12-27 15:56:30 修改 · 486 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #白名单 #gateway #token #uid

于 2022-12-27 15:50:06 首次发布
本文介绍了一种基于JWT的用户身份验证方法,并提供了两种从HTTP请求中解析Token以获取用户ID的方式。通过对比不同方法的效果,展示了如何有效地进行Token解析及用户认证。

@IgnoreUrlsAnnon("/list")
@IgnoreUrlsAnnon("/test")
自定义注解:慎用/list、/test等通用名称,会过滤掉所有/list、/test等方法的token获取。
getApiUserId():取不到值,会被过滤掉。
getUidByToken(httpServletRequest):可以取到值。
getApiUserIdNew():可以取到值。

BaseController.java

    /**
     * 获得 C端登录人用户id
     *
     * @return result
     */
    protected Integer getApiUserId() {
        int intHeader = request.getIntHeader(JwtAdminInfo.apiUserId);
        return Math.max(intHeader, 0);
    }

    /**
     * 获得 C端登录人用户id
     *
     * @return result
     */
    protected Long getApiUserIdNew() {
        String token = request.getHeader(Header.AUTHORIZATION.getValue());
        if (StrUtil.isEmpty(token)) {
            return 0L;
        }
        Claims claimsFromToken = JwtTokenUtil.getClaimsFromToken(token);
        String apiUserId = claimsFromToken.get(JwtAdminInfo.apiUserId).toString();
        return Long.valueOf(apiUserId);
    }

TestController.java 

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.Header;
import com.alibaba.fastjson.JSON;
import BaseController;
import JwtAdminInfo;
import JwtTokenUtil;
import io.jsonwebtoken.Claims;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;
import lombok.extern.slf4j.Slf4j;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.web.bind.annotation.*;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.util.Enumeration;
import java.util.Map;

/**
 * @author author
 */
@Api(tags = {"C端--token解析测试"})
@RestController
@RequestMapping("/api/test")
@Slf4j
public class TestController extends BaseController {
    @Resource
    private RedisTemplate<String, String> redisTemplate;

    @PostMapping("/test")
    @ApiOperation("测试")
    public void test(HttpServletRequest httpServletRequest) {
        TestRequest testRequest = new TestRequest();
        //token解析用户ID--方法一
        Long apiUserId = getApiUserId().longValue();
        //token解析用户ID--方法二
        Long uid = getApiUserIdNew();
        log.info("token获取的uid:[{}], gateway获取的uid:[{}]", uid, apiUserId);
        testRequest.setUid(uid);
        if (!apiUserId.equals(uid)) {
            log.error("token获取的uid:[{}], gateway获取的uid:[{}]", uid, apiUserId);
            // 临时添加日志到redis用于gateway错误排查
            addRedisLog(testRequest, httpServletRequest);
        }
    }

    //token解析用户ID -- 方法二
    private Long getUidByToken(HttpServletRequest httpServletRequest) {
        String token = httpServletRequest.getHeader(Header.AUTHORIZATION.getValue());
        if (StrUtil.isEmpty(token)) {
            return 0L;
        }
        Claims claimsFromToken = JwtTokenUtil.getClaimsFromToken(token);
        String apiUserId = claimsFromToken.get(JwtAdminInfo.apiUserId).toString();
        return Long.valueOf(apiUserId);
    }

    /**
     * 临时添加到redis的用于排查gateway问题的日志
     *
     * @param testRequest
     * @param httpServletRequest
     */
    private void addRedisLog(TestRequest testRequest, HttpServletRequest httpServletRequest) {
        //token解析用户ID -- 方法二
        Long newApiUserId = getUidByToken(httpServletRequest);
        Map<String, Object> map = new HashMap<>();
        Enumeration<String> enumeration = httpServletRequest.getHeaderNames();
        while (enumeration.hasMoreElements()) {
            String key = enumeration.nextElement();
            map.put(key, httpServletRequest.getHeader(key));
        }
        map.put("uid", "token获取的uid:[" + newApiUserId + "], gateway获取的uid:[" + getApiUserId() + "],");
        map.put("TestRequest", testRequest);
        redisTemplate.opsForValue().set("TestError::uid-"
                .concat(newApiUserId.toString())
                .concat("-")
                .concat(String.valueOf(System.currentTimeMillis())), JSON.toJSONString(map));
    }
}

TestRequest.java

import io.swagger.annotations.ApiModelProperty;
import lombok.Data;

/**
 * @author author
 */
@Data
public class TestRequest {
    @ApiModelProperty(value = "用户ID")
    private Long uid;
}

JwtAdminInfo.java

public class JwtAdminInfo {
    public static final String apiUserId = "apiUserId";
}

 JwtTokenUtil.java

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.Map;

/**
 * JwtToken生成的工具类
 * JWT token的格式:header.payload.signature
 * header的格式(算法、token的类型):
 * {"alg": "HS512","typ": "JWT"}
 * payload的格式(用户名、创建时间、生成时间):
 * {"sub":"wang","created":1489079981393,"exp":1489684781}
 * signature的生成算法:
 * HMACSHA512(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
 */
public class JwtTokenUtil {
    public static String prefix = "JwtToken:";
    private static String secret = "test_12345678910987654321";

    /**
     * 根据负责生成JWT的token
     */
    public static String generateToken(Map<String, Object> claims) {
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate())
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    /**
     * 从token中获取JWT中的负载
     */
    public static Claims getClaimsFromToken(String token) {
        Claims claims = null;
        try {
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            e.fillInStackTrace();
        }
        return claims;
    }

    /**
     * 生成token的过期时间
     */
    public static Date generateExpirationDate() {
        return new Date(33156026044000l);
    }

    /**
     * 从token中获取登录用户名
     */
    public static String getUserNameFromToken(String token) {
        String username;
        try {
            Claims claims = getClaimsFromToken(token);
            username = claims.getSubject();
        } catch (Exception e) {
            username = null;
        }
        return username;
    }

    /**
     * 判断token是否已经失效
     */
    private static boolean isTokenExpired(String token) {
        Date expiredDate = getExpiredDateFromToken(token);
        return expiredDate.before(new Date());
    }

    /**
     * 从token中获取过期时间
     */
    private static Date getExpiredDateFromToken(String token) {
        Claims claims = getClaimsFromToken(token);
        return claims.getExpiration();
    }
}
OAuth2接入第三方认证平台实战(登录,注销,当前用户自定义异常,白名单
人生智慧的博客
03-14 8548
1 演示 先演示一波 (1)不携token访问资源 (2)登录 (3)携token访问资源 (4)注销 (5)注销后访问资源 (6)登录后再次访问资源 演示完毕,开始讲解 2 授权模式选择 本项目选择密码模式,原因如下, 同一个企业内部的不同产品要使用本企业的 oAuth2.0 体系。在有些情况下,产品希望能够定制化授权页面。由于是同个企业,不需要向用户展示“xxx将获取以下权限”等字样并询问用户的授权意向,而只需进行用户的身份认证即可。这个时候,由具体的产品团队开发定制化的授权界面,接收用
JWT整合Gateway实现鉴权(RSA与公私密钥工具类)
qq_52351978的博客
06-19 1691
Component@Slf4j@Autowired@Autowired//核心过滤器方法@Override//设置白名单,白名单里面的请求路径,直接放行//判断path是否以allowPath开头//放行//1.获取请求中的tokenif (cookie!=null){try {//2.解析token//3.放行=null){//如果出现异常,设置异常状态//过滤器执行顺序@Override。
nest context.switchToHttp().getRequest() 获取不到user
junjiahuang的博客
05-26 323
context.switchToHttp().getRequest() 获取不到user
Retrofit+okhttp+Rxjava网络请求工具类 自定义拦截器 将userId和SessionId封装到里面
guoxinyu1207的博客
01-09 799
1.BaseApis package com.example.wdshop.network; import java.util.Map; import okhttp3.RequestBody; import okhttp3.ResponseBody; import retrofit2.http.DELETE; import retrofit2.http.GET; import retrofit2...
SpringCloud实战:Eureka+Gateway+Redis 自定义注解实现分布式 细粒度权限管理
技术博客
05-18 1639
基于SpringCloud+SpringBoot+Eureka+Gateway+Redis+Nacos的分布式微服务项目 实现分布式 细粒度权限管理,控制第三方账户、接口、菜单、按钮等资源 RBAC
Spring cloud gatway 源码解析注解类 03
louie_zhao的博客
03-24 1462
注解类的功能 Spring cloud gateway框架中一共有三个注解类 分别是ConditionalOnEnabledFilter,ConditionalOnEnabledGlobalFilter,ConditionalOnEnabledPredicate 根据名字可以知道,他们主要的功能是 当开启 filter, gloable filter,Predicate 的才会动态组装Bean. 其中每一个注解类都对应一个condition的子类,OnEnabledFilter ,OnEnab...
Spring Cloud Gateway 网关实现白名单功能
Mrqiang9001
08-30 1万+
对于微服务后台而言,网关层作为所有网络请求的入口。一般基于安全考虑,会在网关层做权限认证,但是对于一些例如登录、注册等接口以及一些资源数据,这些是不需要有认证信息,因此需要在网关层设计一个白名单的功能。本文将基于 Spring Cloud Gateway 2.X 实现白名单功能。注意事项: Gateway 网关层的白名单实现原理是在过滤器内判断请求地址是否符合白名单,如果通过则跳过当前过滤器。如果有多个过滤器,则需要在每一个过滤器里边添白名单判断。......
Spring Cloud Gateway源码级解析:路由实现、过滤器链设计与性能调优策略
[Spring Cloud Gateway源码级解析:路由实现、过滤器链设计与性能调优策略](https://static.spring.io/blog/fombico/20220826/spring-cloud-gateway-diagram.png) # 摘要 Spring Cloud Gateway 作为微服务架构中的...
Gateway之限流、熔断
weixin_65808248的博客
12-01 346
Sentinel (分布式系统的流量防卫兵) 是阿里开源的一套用于服务容错的综合性解决方案。它以流量 为切入点, 从流量控制、熔断降级、系统负载保护等多个维度来保护服务的稳定性。丰富的应用场景:Sentinel 承接了阿里巴巴近 10 年的双十一大促流量的核心场景, 例如秒杀(即 突发流量控制在系统容量可以承受的范围)、消息削峰填谷、集群流量控制、实时熔断下游不可用 应用等。完备的实时监控:Sentinel 提供了实时的监控功能。
SprinCloud-Gateway 路由管理、网关Token校验、创建线程对象保存User信息
m0_49194578的博客
10-13 572
基础使用 创建一个maven模块 在pom中入 <!--引入gateway 网关--> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-gateway</artifactId> </dependency> <!-- eureka-client -->
nginx代理web,后端无法获取用户真实IP
种德养心
09-28 4945
部署nginx后,后端用Request.UserHostAddress获取到的总是nginx服务器的ip,而不是用户的真实IP 解决方法: nginx: location / { proxy_set_header   Host             $host; proxy_set_header   X-Real-IP        $remote_addr; proxy_s
GateWay网关应用案例(跨域、限流、黑白名单)
热门推荐
Hbger的博客
11-15 1万+
Spring Cloud Gateway是基于Spring Boot 2.x,Spring WebFlux和Project Reactor 构建的。属于异步非阻塞架构 Spring Cloud Gateway与Spring Data 和Spring Securit 技术不能同时使用 Spring Cloud Gateway基于Spring Boot和Spring Webflux提供的Netty运行。它在传统的Servlet容器中或用WAR的方式构建时不起作用 网关基本的功能 :鉴权、流量控制、熔断、路径重写
java通过自定义注解执行指定的类方法
LH-java
02-20 1万+
用于三方调用接口的统一入口,入口类GateWay扫描指定包下的service类,遍历该类中自定义注解的方法,通过不同参数执行指定的方法。 1、自定义注解 @Target({ElementType.FIELD, ElementType.METHOD}) //声明自定义注解使用在方法上 @Retention(RetentionPolicy.RUNTIME)//注解不仅被保存到class文件中...
如果已经登录,输入白名单路由想访问白名单页面被重定向其他页面
m0_67841039的博客
06-21 648
如果用户已经登录,但尝试访问白名单页面时被重定向到了其他页面,这可能是由于路由守卫的逻辑设置不正确。
spring-cloud-gateway 网关认证具体实现逻辑(源码私)
weixin_43426045的博客
03-11 566
网关校验jwt
RuoYi-Vue若依框架-后端设置不登陆访问(白名单
最新发布
来都来了
10-15 4131
不登陆访问超简单版
Spring Cloud Gateway-自定义异常处理
Throwable
07-01 6184
前提 我们平时在用SpringMVC的时候,只要是经过DispatcherServlet处理的请求,可以通过@ControllerAdvice和@ExceptionHandler自定义不同类型异常的处理逻辑,具体可以参考ResponseEntityExceptionHandler和DefaultHandlerExceptionResolver,底层原理很简单,就是发生异常的时候搜索容器中已经存在的异常处理器并且匹配对应的异常类型,匹配成功之后使用该指定的异常处理器返回结果进行Response的渲染,如果找不
SpringMvc使用注解的方式添白名单
wb785074651的博客
06-28 1904
最近,要和别的同事进行接口调试,然后暴露的接口不要登录验证.需要在拦截器的方法中添一个白名单. 1.先编写接口PassPath @Documented @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface UrlPass { } 2.在需要的方法上面添注解@PassPath 3.在拦截器中对注解进行处理 @Override public boolean preHandl
基于自定义注解实现MyBatis过滤实例解析
### 自定义注解实现过滤实例 #### 标题解析 从标题“自定义注解实现过滤实例”我们可以得知,本文将介绍如何通过自定义注解来实现过滤逻辑的实例。在软件开发中,注解是一种常用的技术手段,用以在不改变原有代码...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值