springcloud集成Oauth2权限项目-网关校验access_token的正确性才能访问接口(十一)

最新推荐文章于 2024-01-28 03:23:45 发布
最新推荐文章于 2024-01-28 03:23:45 发布
阅读量7.7k 收藏 11
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38157516/article/details/100568868
版权

现在任何连接都要经过网关,所以在网关校验access_token的正确性,当access_token正确后,才转发到相应的服务。

当获取access_token后,每次前端访问都要带上这个access_token。

依次启动服务,eureka---->user------>oauth---------->zull顺序启动服务

现在我们访问127.0.0.1:9999/user/hello 这个接口

到现在为止无论带不带access_token都可以访问这个接口,并返回结果。显然这不是我想要的。

所以接下来要改造,只有携带了access_token,并且正确后才能访问这个接口。

在网关zuul加入oauth2的包

<!--oauth-->
        <dependency>
            <groupId>org.springframework.security.oauth</groupId>
            <artifactId>spring-security-oauth2</artifactId>
            <version>2.3.5.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.security.oauth.boot</groupId>
            <artifactId>spring-security-oauth2-autoconfigure</artifactId>
        </dependency>

然后添加配置类ResourceServerConfiguration.ja

最低0.47元/天 解锁文章
穷水叮咚
关注
Oauth2协议中如何对accessToken进行校验
飘渺Jam的博客
07-04 4029
大家好,我是飘渺。今天我们来聊聊oauth2.0的accesstoken校验逻辑。概述本文来自球友Never Sett* 的提问看完这个问题,我感觉读者对于accesstoken校验逻辑不太清楚,所以特意写了这篇文章解释一下。首先我们要知道Oauth2是一个授权协议,客户端访问某个被保护的资源之前,需要先通过认证服务器获取accesstoken,而后通过在请求头上带上a......
OAuth2.0资源服务器之校验Token配置
北辰
09-06 2966
资源服务器在获取到了客户端发送过来的token后,做的第一件事情就是校验token的真伪性,如果token校验不通过,则不允许调用对应的接口。 当前Spring Cloud与OAth2.0整合的版本依赖为: <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId>
请求时,校验accessToken访问令牌
随风why
11-03 836
校验accessToken
gateway-02 springcloud集成oauth2网关验证token
weixin_46420029的博客
03-04 2596
Spring Cloud Gateway限流 在Spring Cloud Gateway中,有Filter过滤器,因此可以在“pre”类型的Filter中自行实现上述三种过滤器。但是限流作为网关最基本的功能,Spring Cloud Gateway官方就提供了RequestRateLimiterGatewayFilterFactory这个类,适用Redis和lua脚本实现了令牌桶的方式。具体实现逻辑在RequestRateLimiterGatewayFilterFactory类中,lua脚本在如下图所示的文
springsecurity-oauth2令牌 access_token验证
clonetx的博客
06-21 4585
springsecurity oauth2 令牌access_token验证源码分析
springboot-oauth2-access_token验证
weixin_44401399的博客
12-02 1927
http /** * 只拦截oauth2 请求需要认证服务验证 * 类似于 http://localhost:8080/oauth2/xxx?access_token=code */ .antMatcher("/oauth2/**") .authorizeRequests() ...
SpringCloud微服务整合Spring Security OAuth2
lyy的博客
04-12 3556
要记得引入common后也要做必要的配置,比如nacos,相关配置可见博客:https://blog.youkuaiyun.com/qq_41076797/article/details/128509393、https://blog.youkuaiyun.com/qq_41076797/article/details/128508723;外面请求进来先通过网关进行身份认证,未登录的去登录,已登录的网关找到auth进行鉴权,通过才放行到具体的普通功能性微服务。代码会在后面给出,因为这段代码在后面的配置文件中。
鉴权 OAuth 2.0的实现(Spring_Security_Oauth2
qq_25156781的博客
01-28 3760
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
gateway oauth2 对称加密_Spring Security OAuth2 实现 使用JWT-不想当码农的程序员
weixin_39788386的博客
12-22 733
回过头来说一下资源服务 器的问题点吧,这里OAuth2+JWT用的是springsecurity ,具体怎么用springsecurity 搭建资源服务 器我就不说了。这里要讨论的问题是这样的,我们希望在spring mvc中,直接通过如下的形式获得登录用户信息@GetMapping("/me") public Authentication me(OAuth2Authentication...1、...
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1331
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
淘东电商项目(71) -互联网安全架构设计(网关验证AccessToken
阿甘兄
05-21 813
引言 本文代码已提交至Github(版本号:626d01d9557e8989e6faf4522fa276a3bcc823c3),有兴趣的同学可以下载来看看:https://github.com/ylw-github/taodong-shop 在之前博客《淘东电商项目(67) -互联网安全架构设计(方法论)》,主要讲解了互联网安全架构设计的方法,主要介绍了如下几种: 基于网关实现IP黑名单与名单拦截 API接口实现Token授权认证 使用MD5实现API接口验证签名,防止抓包篡改数据 实现AP
【全栈开发指南】OAuth2授权获取token调试接口的方式
全栈程序猿的专栏
07-07 9375
在我们实际应用接口的调用调试过程中,需要用到token或者刷新token,GitEgg支持OAuth2.0协议进行认证授权,这里介绍说明如何通过Postman获取token和refresh_token并进行接口调试。
SpringBoot2.0+SpringSecurity+Oauth2获取AccessToken跨域CORS访问终极解决方案
坐看云起时_雨宣
06-15 6782
今天在搭建项目的时候遇到了Oauth2获取AccessToken跨域访问的问题,之前关于这块都是自己去实现,这次打算用Oauth2集成SpringBoot。项目依赖如下: <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId&g...
springcloud 微服务权限校验获取 token 实战之Oauth2 解决方案(十一
nandao158的博客
09-05 3199
传统的单体架构或者是多台服务器,一般都是采用session来进行权限校验,这种方案是有弊端的:和用户信息强关联、用户多的情况下占用内存、有csrf网络攻击的风险等。而在微服务环境下通常采用 token 认证的方式校验是否接口调用权限,然后在下游系统设置访问白名单只允许zuul 服务器访问。理论上 zuul 服务器是不需要进行权限校验的,因为 zuul 服务器没有接口,不需要从 zuul 调用业务接口,zuul 只做简单的路由工作。下游系统在获取到 token 后,通过过滤器把 t...
access_token接口访问凭证)
若泣、
09-08 6113
微信公众平台为开发者提供了一系列接口,开发者通过调用这些接口能够实现自定义菜单管理、用户管理、消息群发、语义理解等功能,在调用这些接口时都需要传入接口访问凭证access_token。公众平台提供了专门的接口来获取access_token。 https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=A
【基于Oauth2的api接口开发】1、固定配置
qq_37634156的博客
03-07 1015
maven引用 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth</
oauth2.0怎么验证accesstoken是否正确或合法
pengfeifei26的专栏
12-24 6092
验证access_token流程 OAuth2AuthenticationProcessingFilter 类 Authentication authResult = authenticationManager.authenticate(authentication); ——》OAuth2AuthenticationManager authenticate 方法 OAuth2Authent...
Spring Security Oauth2 permitAll()方法小记
qq_25248407的博客
11-08 2109
前言 上周五有网友问道,在使用spring-security-oauth2时,虽然配置了.antMatchers("/permitAll").permitAll(),但如果在header 中 携带 Authorization Bearer xxxx,OAuth2AuthenticationProcessingFilter还是会去校验Token正确性,如果Token合法,可以正常访问,否则,请求失...
OAuth 2.0介绍
没有简介
08-24 4983
OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0定义了四种授权方式:授权码模式、隐式授权模式、密码模式和客户端模式。OAuth 2.0具有高度的安全性和可扩展性,被广泛应用于各种开放平台的接口鉴权,是目前应用最广泛的开放平台鉴权方式之一。
将 dromara 开源组织的 ruoyi-cloud-plus 项目集成 satokenoauth2
最新发布
03-11
<think>好的,我需要帮助用户将SaTokenOAuth2集成到RuoyiCloudPlus项目中。首先,我得回忆一下这两个框架的基本情况。 RuoyiCloudPlus是基于Spring Cloud的微服务框架,提供了一套权限管理系统,可能用的是自带的权限模块。而SaToken是一个轻量级的Java权限认证框架,支持OAuth2协议。用户的目标是集成SaTokenOAuth2功能,可能想替代原有的权限模块或者增加OAuth2的支持。 首先,我得确定RuoyiCloudPlus的当前权限实现方式。如果它使用的是Spring Security,可能需要调整配置,避免冲突。不过根据经验,Ruoyi系列通常有自己的权限模块,可能基于Shiro或者自定义拦截器。需要查看文档或代码确认。 接下来,集成SaToken的步骤大致包括添加依赖、配置OAuth2参数、编写认证逻辑、定义路由拦截和回调处理。需要确保SaToken的版本与项目兼容,同时检查Spring Boot和Cloud的版本是否支持。 添加依赖时,要在pom.xml中加入sa-token-oauth2的starter。可能还需要其他相关依赖,比如sa-token-redis如果用到分布式会话。然后,在配置文件中设置OAuth2的client-id、client-secret、授权模式等参数,这些需要根据具体的OAuth2服务提供商(比如GitHub、微信)来填写。 认证逻辑部分,需要实现SaToken的StpInterface,来加载用户的权限和角色。RuoyiCloudPlus本身的用户体系可能需要适配,比如从数据库查询用户信息,并转换为SaToken需要的权限列表。这一步可能需要修改现有的UserDetailsService或类似的组件。 路由拦截方面,SaToken通过注解或路由配置进行权限控制。在RuoyiCloudPlus中,原有的权限拦截器可能需要调整,替换为SaToken的拦截器。比如,在网关模块添加全局过滤器,校验Token的有效性,并转发用户信息到下游服务。 回调处理指的是OAuth2授权后的回调URL,需要处理授权码,获取access token,并创建本地会话。SaToken提供了简化这一过程的接口,可能需要编写一个Controller来处理回调,调用Auth2Request进行登录。 可能遇到的坑包括依赖冲突、配置项遗漏、权限数据不一致、回调URL配置错误等。比如,SaToken的自动配置可能需要排除某些Spring Security的自动配置类,或者调整拦截路径的顺序。 另外,需要注意OAuth2的授权流程,比如授权码模式需要前端跳转到认证服务器,后端处理回调。测试时需要确保HTTPS环境,因为很多OAuth2服务要求回调URL是安全的。 最后,需要验证集成后的功能,比如用户通过OAuth2登录后,能否正确获取权限访问受保护的接口。同时检查原有的权限功能是否受到影响,确保兼容性。 总结下来,步骤是:添加依赖→配置参数→适配用户权限→设置路由拦截→处理回调→测试验证。过程中要仔细检查配置和日志,处理可能出现的异常情况。</think>将SaTokenOAuth2集成到Ruoyi-Cloud-Plus项目中可分为以下步骤: --- ### 一、环境准备 1. **确认版本兼容性** - Ruoyi-Cloud-Plus需基于Spring Boot 2.7+(推荐2.7.15) - SaToken版本需≥1.34.0(支持OAuth2模块) ```xml <!-- pom.xml 添加依赖 --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-oauth2</artifactId> <version>1.34.0</version> </dependency> ``` --- ### 二、配置OAuth2服务端 1. **配置文件** ```yaml # application.yml sa-token: oauth2: is-http: false # 是否开启http模式 is-code: true # 是否授权码模式 # 配置客户端信息 client: github: client-id: "your_github_client_id" client-secret: "your_github_secret" redirect-uri: "http://your_domain.com/oauth2/callback" ``` --- ### 三、实现认证适配 1. **自定义权限加载接口** ```java @Component public class StpInterfaceImpl implements StpInterface { @Override public List<String> getPermissionList(Object loginId, String loginType) { // 从Ruoyi用户系统查询权限(示例) SysUser user = userService.selectUserById(Long.valueOf(loginId.toString())); return user.getPermissions(); } } ``` --- ### 四、路由与拦截配置 1. **网关层认证过滤** ```java @Configuration public class SaTokenConfigure implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new SaInterceptor(handle -> { SaRouter.match("/**") // 拦截所有路径 .notMatch("/oauth2/**") // 排除OAuth2回调 .check(r -> StpUtil.checkLogin()); })); } } ``` --- ### 五、OAuth2回调处理 1. **编写回调Controller** ```java @RestController @RequestMapping("/oauth2") public class OAuth2Controller { // 发起授权 @GetMapping("/login/{type}") public void login(@PathVariable String type) { SaOAuth2Request request = SaOAuth2Request.newBuilder() .setServer(type) .setRedirectUri("/oauth2/callback") .build(); SaOAuth2Util.redirectToAuthUrl(request); } // 处理回调 @GetMapping("/callback") public String callback(String code, String state) { SaOAuth2Request request = SaOAuth2Request.newBuilder() .setCode(code) .setState(state) .build(); SaOAuth2Handle.handle(request).login(); return "授权成功"; } } ``` --- ### 六、测试验证 1. **测试流程** - 访问 `http://your_domain.com/oauth2/login/github` - 跳转GitHub授权页面 - 授权后自动回调至 `/oauth2/callback` - 检查Session中是否生成有效Token --- ### 七、注意事项 1. **多服务配置** - 若为微服务架构,需在网关统一处理Token转发 2. **会话持久化** ```xml <!-- 添加Redis依赖实现分布式会话 --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-redis</artifactId> <version>1.34.0</version> </dependency> ``` 3. **权限数据同步** - 通过Feign调用Ruoyi的`/system/user/getInfo`接口同步用户数据 --- 通过以上步骤即可完成SaToken OAuth2在Ruoyi-Cloud-Plus中的集成,实现第三方登录能力。实际部署时需根据具体OAuth2服务商(如微信、Gitee)调整配置参数。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值