java-security拦截时同时调用多个接口,其中随机部分接口校验不通过问题的定位和解决

最新推荐文章于 2024-05-21 14:51:14 发布
原创 最新推荐文章于 2024-05-21 14:51:14 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring

前言:

又是普通的一天。最近在搞权限配置,用的是Spring security,token是用的jwt,通过服务中心签发token,业务层进行权限的配置。

问题:

权限这块配置上去了,发现在同时调用多个请求的时候,经常会有1到n个接口报错,报错显示是认证未通过。并且单个接口测试都没问题。

先说最终的问题原因:

由于每次作token校验的时候,会使用jjwt的parse方法进行解析, 解析时需要传入rsa的公钥,而这公钥是需要每次进行临时写入系统文件之后再读取的,由于并发量高(也就几个),对同一文件的多个写入冲突了,导致获得公钥失败,从而导致解析失败。
以下是获得公钥的方法:

public static PublicKey getPublicKey() throws Exception {

        ClassPathResource resource = new ClassPathResource("rsa/rsa_public_key");
        // 临时目录
        String tempPath = System.getProperty("java.io.tmpdir") + System.currentTimeMillis() + ".rsa_public_key";
        File f = new File(tempPath);
        if (!f.exists()) {
            InputStream inputStream = null;
            try {
                inputStream = resource.getInputStream();
                IOUtils.copy(inputStream, new FileOutputStream(f));
                inputStream.close();
            } catch (IOException e) {
                System.out.println("fuckfuckfuck");
                e.printStackTrace();
            }
        }else{
            log.info("公钥已存在.公钥目录临时存储路径" + tempPath);
        }

        return getPublicKey(readFile(f));
    }

解决办法:

由于多次对同一文件进行写入,还得写入临时文件,效率还比较低,效率低就算了,还造成了这样的问题,索性改成创建静态变量维护byte[],这样就解决了:

 private static byte[] PUBLIC_KEY;

    static {
        ClassPathResource resource = new ClassPathResource("rsa/rsa_public_key");
        // 临时目录
        String tempPath = System.getProperty("java.io.tmpdir") + ".rsa_public_key";
        File f = new File(tempPath);
        if (!f.exists()) {
            try {
                IOUtils.copy(resource.getInputStream(), new FileOutputStream(f));
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
        try {
            PUBLIC_KEY = readFile(f);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
     public static PublicKey getPublicKey() throws Exception {
        return getPublicKey(PUBLIC_KEY);
    }

问题的定位、解决过程

人生就像一场旅行 不必在意目的地 在乎的是沿途的风景和看风景的心情-利群

同理,相比与一个问题的解决,其实问题的定位、和解决的过程也是很重要的,它能够指导你下次碰到其他问题时也能自己去解决。(这也是为什么我们要不断总结、反思)我在这次走了很多弯路,一度认为自己没法解决了,于是请教同事,才找到了解决问题的路,跟着这条路走,问题果然解决了,那么接下来再走一遍这条路。

我们security里添加了两个filter,应对两种不同的token参数,而这个情况是在用户token的过滤时发生的,看下代码:

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Value("${jwt.header}")
    private String token_header;

    @Resource
    private JwtUtils jwtUtils;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        String auth_token = request.getHeader(this.token_header);
//        final String auth_token_start = "safept ";
//        if (StringUtils.isNotEmpty(auth_token) && auth_token.startsWith(auth_token_start)) {
//            auth_token = auth_token.substring(auth_token_start.length());
//        }
        if (StringUtils.isEmpty(auth_token)) {
            // 不按规范,不允许通过验证
            chain.doFilter(request, response);
//            auth_token = null;
            return;
        }

        String username = jwtUtils.getUsernameFromToken(auth_token);

        if (jwtUtils.containToken(username, auth_token) && username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            SysUser userDetail = jwtUtils.getUserFromToken(auth_token);
            RequestHolder.addUser(userDetail);
            if (jwtUtils.validateToken(auth_token, userDetail)) {
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetail, null, userDetail.getAuthorities());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                logger.info(String.format("Authenticated userDetail %s, setting security context", username));
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        }
        chain.doFilter(request, response);
    }
}

基于之前对security filter链的理解,可以知道,用户登陆认证失败,其实就是这边的authentication没有设置进去导致的,导致其没有set进去可能会是上面的三个判断失败导致:

 if (StringUtils.isEmpty(auth_token)) {
            // 不按规范,不允许通过验证
            chain.doFilter(request, response);
            return;
        }

token每次传入都正确,所以这边不会是原因。

剩下两个就是上面的两个if:

      if (jwtUtils.containToken(username, auth_token) && username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

第三个判断条件不用看,就是当目前无authentication时再set,如果有的话,其实就是已经获得用户登陆认证了。

以及

if (jwtUtils.validateToken(auth_token, userDetail)) {

然后看里面的几个方法:

jwtUtils.containToken(username, auth_token)

  public boolean containToken(String userName, String token) {
        if (userName != null && tokenMap.containsKey(userName) && tokenMap.get(userName).equals(token)) {
            return true;
        }
        return false;
    }

之前维护了一个tokenMap存储用户信息,实际上是没有必要的。并且在负载均衡的情况下可能会出问题,果断把这玩意给去了。

username != null

String username = jwtUtils.getUsernameFromToken(auth_token);

public SysUser getUserFromToken(String token) {
        SysUser userDetail;
        try {
            final Claims claims = getClaimsFromToken(token);
            long userId = Long.parseLong(String.valueOf(claims.get(CLAIM_KEY_USER_ID)));
            String username = claims.getSubject();
            List<String> authNameList = (List<String>) claims.get(CLAIM_KEY_AUTHORITIES);
            List<SysAuth> auths = new ArrayList<>();
            for (String s : authNameList) {
                SysAuth auth = new SysAuth();
                auth.setName(s);
                auths.add(auth);
            }
            userDetail = new SysUser();
            userDetail.setAuths(auths);
           业务代码省略...
        } catch (Exception e) {
            userDetail = null;
        }
        return userDetail;
    }

再看关键的getClaimsFromToken方法:

private Claims getClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser()
                    .setSigningKey(getPublicKey())
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            e.printStackTrace();
            claims = null;
        }
        return claims;
    }

这边调用的是jjwt包里的parser方法,通过传入公钥进行token的签名认证,并获得body数据。看起来好像没什么问题,那么继续看getPublicKey()方法:
上面也已经列过了,这里再列一遍

public static PublicKey getPublicKey() throws Exception {

        ClassPathResource resource = new ClassPathResource("rsa/rsa_public_key");
        // 临时目录
        String tempPath = System.getProperty("java.io.tmpdir") + System.currentTimeMillis() + ".rsa_public_key";
        File f = new File(tempPath);
        if (!f.exists()) {
            InputStream inputStream = null;
            try {
                inputStream = resource.getInputStream();
                IOUtils.copy(inputStream, new FileOutputStream(f));
                inputStream.close();
            } catch (IOException e) {
                System.out.println("fuckfuckfuck");
                e.printStackTrace();
            }
        }else{
            log.info("公钥已存在.公钥目录临时存储路径" + tempPath);
        }

        return getPublicKey(readFile(f));
    }

可以发现,它是写通过ClassPathResource获得相对路径下的公钥文件,然后写入系统文件里,最终通过readFile方法拿到由公钥转换成的byte[],再调用getPublicKey方法,获得一个序列化的key。而这边的写入,可能就是线程不安全的!

别忘了validateToken方法:

 public Boolean validateToken(String token) {
//        final Date created = getCreatedDateFromToken(token);
        return (!isTokenExpired(token)
//                && !isCreatedBeforeLastPasswordReset(created, userDetail.getLastPasswordResetDate())
        );
    }

 private Boolean isTokenExpired(String token) {
        final Date expiration = getExpirationDateFromToken(token);
        return expiration.before(new Date());
    }

public Date getExpirationDateFromToken(String token) {
        Date expiration;
        try {
            final Claims claims = getClaimsFromToken(token);
            expiration = claims.getExpiration();
        } catch (Exception e) {
            expiration = null;
        }
        return expiration;
    }

代码很好理解,最终也是会调用getClaimsFromToken方法去解析token。所以问题的核心就是getPublicKey()方法的线程不安全性。找到症结了,就可以对症下药了,药方已在上面开出。

总结:

碰到问题,要有追根溯源的意识,这点以后还要多多加强。

Spring高频面试基础问题与知识点整理
曾经“等你生日那天”都遥远得像未来,如今却可欢愉的挥手说“下个十年见”
04-07 173万+
高频Spring相关基本面试题知识点整理
spring security原理机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)用户授权 (Authorization)两个部分,这两点也是 Spring
java调用接口失败重_java接口调用失败的退避策略
weixin_33121737的博客
02-13 2093
码农公社 210.net.cn210= 102410月24日一个重要的节日--码农(程序员)节退避策略简介在开发过程中我们经常会遇到调用接口失败的情况。遇到这种情况,我们有候需要重试机制,常用的重试(退避)策略有:固定的间间隔重试一次,最多重试N次:比如我现在一个接口调用失败了,是立马返回失败,而是hold住线程,每隔2秒重新接口,最多5次,只要其中一次成功了就直接返回。如果...
linux虚拟串口及远程访问
weixin_30668887的博客
08-07 1144
1. 虚拟终端概念 linux中有很多终端,如下简单介绍下各种终端或串口的概念。 1.1 tty:终端设备的统称 tty是Teletype或TeletypeWriter的缩写,中文翻译为电传打字机。电传打字机通常有键盘、收发报器印字机等组成,是传真机使用以前的通信设备,原理近似电报。后被显示器键盘所取代,所以现在叫终端比较合适。 终端是一种字符型设备,他有多种类型,通常使...
Linux下多串口错乱的一般解决方案
知其可为而不为
02-15 2138
 某些还在服役的有多个串口的老旧工控设备,在Linux系统下会出现串口错乱导致无法使用的情况。比较流行的一种解决方式就是给系统中的串口设备重命名。但同的Linux发行版以及同的串口扩展芯片,其错乱的情况是有差异的。这里就再多说了。其实导致串口无法使用的软件方面的原因,是这些系统中的串口设备的地址中断资源与硬件设备匹配。可以通过两种方式来解决这个问题: 修改BIOS中的串口设置来匹配系统...
SpringSecurity 对某些请求进行csrf验证
qwer1154928613的博客
09-04 525
方法1: 方法2:
java filter 返回错误消息_springmvc 自定义过滤器 过滤失败返回自定义的信息
weixin_33603105的博客
02-24 2365
1、我们项目中会经常使用带springmvc 的拦截器来校验当前请求的前置规则,比如是是有访问权限,参数合法等。2、拦截器说明:我的项目是自定义类继承org.springframework.web.servlet.handler.HandlerInterceptorAdapter,然后实现其中的三个前置、后置最后渲染的拦截方法。主要业务一般写在preHandle(request,respons...
Spring Security无法调用接口错误解决
小姑仔的博客
08-30 759
经过排查之后发现,这里的SecurityConfig上面没有加上@Configuration这个注解,导致SecurityConcig没有被注入到Spring的容器之中,因此报错。并且返回的一直是forbidden401,应该是没有权限,但是奇怪的是,我在SecurityConfig之中权限已经打开了。之前在写程序的候,发现有个接口使用postmapping发送请求一直无法进行调用
使用httpclient无需证书调用https的示例(java调用https)
09-04
Java编程中,HTTPS(Hypertext Transfer Protocol Secure)是一种用于在Web上安全传输数据的协议,它通过SSL/TLS(Secure Sockets Layer / Transport Layer Security)提供加密通信以及服务器身份验证。...
asp.net接口 soap接口默认带用户名密码校验
04-08
在ASP.NET中,当我们创建一个SOAP接口,也就是一个基于Web服务的接口,通常需要对客户端进行身份验证,以确保只有经过授权的用户才能访问服务。 在描述中提到的"asp.net接口 soap接口默认带用户名密码校验",意味...
java filter 返回错误消息_java filter 导致错误310
weixin_28683065的博客
02-24 574
filter代码:packagecom.src.tool;importjava.io.IOException;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax.servlet....filter代码:package com.src.tool;...
Spring security4.1.4 如何实现api接口页面的双重拦截
s297165331的专栏
01-29 4596
dileber先暂缓一下,最近在作服务器认证方面的东西 首先讲一下spring Security接口页面同时拦截 beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/sch
java 接口安全性_java如何保证接口的安全性
weixin_36336256的博客
02-16 4085
在开发过程中,肯定会有第三方或者app端的接口调用。在调用候,如何来保证非法链接或者恶意攻击呢,下面我们一起来了解一下java如何保证接口的安全性。希望看完后对你有所帮助。1.签名根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head中的token,校验是否合法(数据库或者redis中记录的是否一致,在登录或者初始化的候,存入数据库/...
SpringBoot配置JWT拦截
Kristabo的博客
03-24 1972
JWT在之前文章提到过,JWT(JSON Web Token)是一种用于身份验证授权的开放标准(RFC 7519),它允许在网络中安全地传输声明(claims)作为 JSON 对象。JWT 可以通过数字签名或加密来验证数据的完整性真实性,从而保证数据在传输过程中被篡改。工作流程用户通过用户名密码等方式进行身份验证。服务器验证用户身份,并生成一个 JWT。服务器将 JWT 发送给客户端。客户端将 JWT 存储起来,通常是在本地存储或者内存中。
spring security 登录接口校验_Spring Security 自定义登录认证(二)
weixin_34280468的博客
01-25 4109
一、前言本篇文章将讲述Spring Security自定义登录认证校验用户名、密码,自定义密码加密方式,以及在前后端分离的情况下认证失败或成功处理返回json格式数据温馨小提示:Spring Security中有默认的密码加密方式以及登录用户认证校验,但小编这里选择自定义是为了方便以后业务扩展,比如系统默认带一个超级管理员,当认证识别到是超级管理员账号登录访问给它赋予最高权限,可以访问系统所有...
Security + Layui实现一套权限管理后台模板
java面试笔试
01-08 934
Java面试笔试面经、Java技术每天学习一点公众号Java面试关注我迷路作者:huanzi-qch来源:https://www.cnblogs.com/huanzi-qch/p/11...
Spring-本地试如何跳过Spring Security权限校验
努力搬砖,顶峰相见
05-21 2016
项目中使用安全框架,例如使用Spring Security进行安全校验。但是在日常开发中,本地接口试还要拿取token才能进行接口访问,并且token还会过期,总能每次都去登录拿取token才能试吧,那也太麻烦了,所以最好是找方法跳过安全校验这个步骤。下面就是如何暂规避掉安全校验,方便我们的本地测试。
SpringBoot集成SpringSecurity完成权限拦截操作
志豪的博客
01-15 1万+
SpringBoot集成 SpringSecurityJWT 实现认证授权(一) SpringSecurity(SpringSecurity是一个强大的可高度定制的认证授权框架,对于Spring应用来说它是一套Web安全标准) JWT(JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任安全的。...
java 在每次调用接口前,进行一个权限校验
最新发布
03-26
<think>好的,我现在需要回答用户的问题:如何在Java中实现接口调用前的权限校验,用户还提到希望了解具体的方法或框架。首先,我需要整理已有的知识,并结合提供的引用内容来构建一个全面的回答。 首先,用户提供的引用内容提到了几种方法,比如使用Spring Security与JWT集成,通过过滤器进行权限校验,以及在Gateway中设置GlobalFilter来处理请求头。这些都是常见的方法。我需要将这些方法系统地组织起来,确保回答结构清晰,符合用户的要求。 接下来,我应该考虑同的实现方式,可能包括框架的使用自定义过滤器。例如,Spring Security是一个强大的安全框架,可以处理认证授权。结合JWT(JSON Web Token)可以实现无状态的权限验证,这在分布式系统中非常有用。另外,自定义拦截器或过滤器也是一种常见做法,特别是在需要更细粒度控制。此外,API网关(如Spring Cloud Gateway)的全局过滤器可以统一处理权限校验,这对于微服务架构来说很重要。 然后,我需要确保回答中提到的每种方法都有具体的步骤或代码示例,这有助于用户理解如何实际操作。例如,引用[2]中提到了Spring Security集成JWT的案例,可以引用该博客作为参考。同时,引用[3]中的GlobalFilter实现也是一个很好的例子,说明如何在网关层面进行权限校验。 另外,用户可能对同的场景有同的需求,比如有些接口需要公开访问,而有些需要鉴权。这候,结合引用[3]中的ignore-url配置Feign的内部调用处理,可以解释如何排除特定接口的权限校验同时保证内部服务调用的安全。 需要注意的是,用户希望回答中使用中文,并且行内数学表达式用$...$格式,但在这个问题中可能太需要数学公式,所以可能需要涉及。但需要检查是否有其他格式要求,比如独立公式使用$$...$$,但这里可能也适用。确保代码块使用正确的格式,如示例中的Python代码,所以在Java示例中也需正确使用代码块。 最后,生成相关问题,这需要根据回答内容提出可能的延伸问题,帮助用户进一步学习。例如,如何选择适合的权限校验框架,或者如何集成JWT与Spring Security等。 总结回答的结构可能是: 1. 使用安全框架(如Spring Security + JWT) 2. 自定义拦截器/过滤器 3. API网关统一鉴权 4. 注解驱动权限控制 5. 结合具体案例(如引用中的Gateway过滤器) 每种方法需要简要说明实现步骤,并附上代码示例或配置示例,同时引用提供的参考资料。例如,在提到Spring Security,引用[2]中的博客链接作为进一步阅读材料。在讲解网关过滤器,引用[3]中的GlobalFilter实现。 需要确保回答中的引用标识正确添加,如[^2]、[^3]等,并且引用内容自然融入回答中,例如在提到JWT集成,说明参考了某个博主的文章。 可能还需要考虑其他框架,比如Apache Shiro,但根据提供的引用,主要围绕Spring生态,因此可能集中在Spring SecurityGateway的实现上。 检查是否有遗漏的方法,比如AOP(面向切面编程)实现权限校验,虽然可能如过滤器或框架直接,但也是一个可能性。过根据提供的引用内容,可能需要涉及,除非用户提到。 最后,确保回答符合用户要求的格式,分点清晰,代码示例正确,引用标识正确放置,并生成相关问题。</think>在Java中实现接口调用前的权限校验,主要有以下几种常用方法框架: --- ### 一、使用安全框架(Spring Security + JWT) **实现步骤**: 1. **集成Spring Security**:通过依赖注入配置安全规则。 2. **JWT生成与验证**:用户登录后生成Token,并在后续请求中验证Token有效性。 3. **权限注解**:使用`@PreAuthorize`等注解标注接口的访问权限。 **代码示例**: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/public/**").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .addFilter(new JwtAuthenticationFilter(authenticationManager())); } } ``` **注解控制权限**: ```java @GetMapping("/admin/data") @PreAuthorize("hasAuthority('ROLE_ADMIN')") public ResponseEntity<?> getAdminData() { // 业务逻辑 } ``` > 参考实现可结合JWT的详细配置。 --- ### 二、自定义拦截器/过滤器 **实现步骤**: 1. 实现`HandlerInterceptor`或`Filter`接口。 2. 在请求处理前校验Token或权限信息。 3. 通过`@RequestHeader`或参数解析获取权限标识。 **示例代码(过滤器)**: ```java @Component public class AuthFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) { HttpServletRequest req = (HttpServletRequest) request; String token = req.getHeader("Authorization"); if (!validateToken(token)) { throw new UnauthorizedException("权限足"); } chain.doFilter(request, response); } } ``` > 类似引用[3]中通过Header参数校验权限的实现。 --- ### 三、API网关统一鉴权 **场景**:微服务架构中,通过网关层统一拦截外部请求。 **实现方法**: 1. 在网关(如Spring Cloud Gateway)中配置`GlobalFilter`。 2. 清洗非法请求头或添加内部标识(如`X-Internal-Call`)。 **代码示例**: ```java @Component public class GatewayAuthFilter implements GlobalFilter { @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { String source = exchange.getRequest().getHeaders().getFirst("X-Source"); if ("external".equals(source)) { // 校验外部请求的权限 } return chain.filter(exchange); } } ``` > 类似引用[3]中网关过滤器的实现逻辑。 --- ### 四、注解驱动权限控制 **框架支持**: - **Spring Security**:通过`@Secured`、`@PreAuthorize`等注解。 - **Apache Shiro**:通过`@RequiresRoles`、`@RequiresPermissions`注解。 **Shiro示例**: ```java @RequiresRoles("user") @GetMapping("/user/profile") public ResponseEntity<?> getUserProfile() { // 业务逻辑 } ``` --- ### § 相关问题 § 1. **如何选择Spring SecurityApache Shiro?** 2. **JWT Token如何防止被篡改?** 3. **微服务架构中如何实现分布式权限管理?** 4. **如何通过AOP实现接口权限校验?** 5. **如何在网关层实现动态路由与权限绑定?** > 更多Spring Security与JWT集成的细节可参考[^2],网关过滤器的具体实现详见。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值