使用spring boot gateWay跳过某些服务鉴权

原创 已于 2024-05-16 14:28:59 修改 · 805 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #gateway #后端 #java

于 2024-05-16 14:28:05 首次发布

目标:项目中使用spring boot gateway时会对服务请求进行鉴权,虽然可以在gateway服务的白名单中配置从而跳过鉴权,当可能存在某些接口不能向外暴露的情况,此时通过代码进行跳过鉴权的功能。
实现:在gateway中添加过滤器,实现GlobalFilter接口重写filter方法,并配置一个万能token(服务鉴权获取token,此时没有token,我们可以手动生成一个万能token保存起来,例如:在redis中设置一个不会过期的万能token),然后在跳转其他过滤器。
代码如下:

@Component
public class SkipAuthGlobalFilter  implements GlobalFilter, Ordered {

    @Resource
    private RedisUtil redisUtil;
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        RequestPath path = exchange.getRequest().getPath();
        String s = path.toString();
        if (s.contains("web/ec")) {
            // 假设你的令牌通常在Authorization头中
            String authorizationHeader = exchange.getRequest().getHeaders().getFirst(HttpHeaders.AUTHORIZATION);

            if (authorizationHeader == null || !authorizationHeader.startsWith("Bearer ")) {
                ServerHttpRequest request = exchange.getRequest();
                // 如果没有有效的令牌,分配默认令牌
                String token = SnowFlake.nextId();
                redisUtil.set("longToken",token);
                String defaultToken = token;
                ServerHttpRequest newRequest = request.mutate()
                        .header(HttpHeaders.AUTHORIZATION, "Bearer " + defaultToken)
                        .build();
                ServerWebExchange build = exchange.mutate().request(newRequest).build();
                return chain.filter(build);
            }else {
                return chain.filter(exchange);
            }
        } else {
            // 如果不是跳过鉴权的请求,则正常进行鉴权逻辑
            // 如果鉴权成功,则继续调用下一个过滤器或路由
            return chain.filter(exchange);
        }
    }


    @Override
    public int getOrder() {
        // 确保这个全局过滤器是在Spring Cloud Gateway的其他过滤器之前
        return -30000;
    }
}

上面代码中获取请求路径,判断是否包含【web/ec】如果满足条件则我们会手动赋值一个token并传入Authorization头,这里token使用雪花算法生产,具体实现可参考自己项目,使用上面提到的万能token。
赋值完成后,会重新生成一个serverHttpRequest类并转化为新的ServerWebExchange传入下一个过滤器。

getOrder方法中返回值的大小决定了过滤器执行的先后顺序
例如:我当前项目的一个过滤器是-200,这个过滤器会进行具体的鉴权
但是我这个新写的过滤器要在他之前执行,所以我的返回值就要比-200小来保证先执行我的过滤器

最后:不建议对服务请求跳过鉴权,否则没办法保证安全性,只是只对某些特定的需求进行处理。比如用户想不登录访问几个页面,此时就可以针对特定的接口跳过鉴权进行处理。

SpringBoot 新增跳过接口
weixin_45772814的博客
06-02 1224
import org.springframework.security.config.annotation.web.builders.WebSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityCo
Spring Cloud Gateway实现网关统一,网关统一Token认证
bufegar0的博客
10-31 2万+
需求背景 在微服务的场景下,采用了Spring Cloud Oauth2进行token的管理,实现认证和授,在这下背景下,有两种解决方案: 网关统一 此模式适用于网关下的所有模式都是通过一种模式进行操作,可以统一管理 微服务模块各自 此模式适用于网关下的各个模块有不同的模式,针对不同的业务场景需要满足不同的实现,如采用oauth2、shiro、签名等方式。 下文就网关统一的实现方式提供解决方案,以供参考 实现方案 通过过滤器的方式实现统一拦截,下面以核心代码的方式展示,具体所有代码可以
服务网关Gateway(下)
一个成长中的程序员,期待用技术的眼光生活
06-03 1171
服务网关gateway的前世今生
SpringBoot接口去掉,直接调用
qq_34377273的博客
10-11 2566
在启动项注解中增加即可: org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class /** * 启动程序 * * @author soundai */ @EnableApolloConfig @SpringBootApplication(exclude = {DataSourceAutoConfiguration.class, org.springframewo.
gateway网关细粒度至 指定接口 免实现
programming132的博客
06-22 869
首先,我们先简单了解一下 JWT 的原理。是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。头部(Header)头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。在头部指明了签名算法是HS256算法。我们进行BASE64编码载荷(playload)载荷就是存放有效信息的地方,这里会在 生成 JWT时将信息进行编码。
Spring-本地调试如何跳过Spring Security限校验
努力搬砖,顶峰相见
05-21 1619
项目中使用安全框架,例如使用Spring Security进行安全校验。但是在日常开发中,本地接口调试还要拿取token才能进行接口访问,并且token还会过期,总不能每次都去登录拿取token才能调试吧,那也太麻烦了,所以最好是找方法跳过安全校验这个步骤。下面就是如何暂时规避掉安全校验,方便我们的本地测试。
SpringBoot跳过限验证配置
风起尘落的博客
07-01 5874
security.basic.enabled = false interceptor.exclude.path = /**
SpringCloud_Gateway服务网关
weixin_49076273的博客
05-04 3700
gateway9527服务的com.zzx.config包下,创建日志网关过滤器类LogGatewayFilterFactory/*** 日志网关过滤器} /*** 表示配置填写顺序* @return} /*** 执行过滤的逻辑* @returnlog . info("********* consoleLog日志 开启 ********");});} /*** 过滤器使用的配置内容} }/*** 日志网关过滤器} /**
springcloud:4.2 GateWay结合JWT实现网关
m0_63040701的博客
03-18 1653
算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。
SpringCloud第四课(gateway网关详解、gateway统一、令牌桶算法、基于Filter限流、基于Sentinel限流、网关高可用)
qq_48033003的博客
10-02 1946
前言 接上文上文链接 微服务网关GateWay Zuul网关存在的问题 在实际使用中我们会发现直接使用Zuul会存在诸多问题,包括: 性能问题 Zuul1x版本本质上就是一个同步Servlet,采用多线程阻塞模型进行请求转发。简单讲,每来 一个请求,Servlet容器要为该请求分配一个线程专门负责处理这个请求,直到响应返回客户 端这个线程才会被释放返回容器线程池。如果后台服务调用比较耗时,那么这个线程就会被 阻塞,阻塞期间线程资源被占用,不能干其它事情。我们知道Servlet容器线程池的大小是有
SpringCloud微服务整合Spring Security进行统一
lyy的博客
04-15 4353
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要做这一步。
spring boot 关闭(不用登陆即可访问)
Tom_sensen的博客
03-16 2773
1、pom.xml文件中添加坐标 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2、Application启动类注解修改 原注解:@SpringBootApplication(exclude = {DataSo
spring cloud gateway 某些路由中跳过全局过滤器
02-24 9820
Spring Cloud Gateway中GlobalFilter可以方便的全局拦截或统计,有时候希望在某些路由中可以跳过GlobalFilter,可以通过GatewayFilter与GlobalFilter组合来实现。 1. 新建项目 新建一个 Spring Cloud Gateway的项目,添加对应的依赖 2. GlobalFilter https://www.jianshu.com...
关于springboot跨域和的一些问题
JJpZh的博客
03-02 258
事情是这样的:我后端需要解决跨域和的问题,跨域在WebMvcConfig中重写addCorsMappings就行了,就写了个过滤器判断登录token,结果是不需要的请求能通过(登录,首页面的展示),需要的请求在postman上是正常的,能有响应。)WebMvcConfig配置才开始配置。:在发现token过期了之后,手动设置一些跨域信息,结果成功了。估计把过滤器换成拦截器也行。但是更奇怪的是我如果给出正确token,postman和浏览器都没问题。
spring security如何添加无需的接口?
开发者导航
05-12 1万+
1、在项目中找到spring security的配置文件2、修改配置文件找到configure()方法,添加不需要的接口请求:.antMatchers("/demo/**").anonymous()packagecom.ryi.rpcs.framework.config; importcom.ryi.rpcs.framework.security.filt...
第51天:Web开发-JavaEE应用&SpringBoot栈&身份验证&JWT令牌&Security&安全绕过
最新发布
wusaicyq的博客
03-03 654
Spring Security安全框架,是Spring Boot底层安全模块默认的技术选型,可以实现强大的Web安全控制。总结:在未知的算法密钥(及jwt加密的sign签名部分)下,即使修改JWT值里的内容去伪造用户,也无法达到认证成功。参考官网:https://spring.io/projects/spring-security。1、如上本身的代码不安全写法,如不安全写法“/admin"->安全写法”/admin/**"1、安全开发-JavaEE-身份验证-JWT&Security。
springcloud-gateway-2-
Java自学笔记-springBoot微服务
12-23 2900
springCloud-gateway,GlobalFilter全局过滤器实现通用拦截,用GatewayFilter实现单个服务或指定服务的过滤拦截。
【MS】springcloud-gateway 中实现服务之间,只能从网关访问,禁止直接访问服务
热门推荐
唐伯虎点纹香的博客
07-31 3万+
服务之间,只能从网关访问,禁止直接访问服务 前言 在开发过程中,网关是一个很重要的角色,在网关中可以添加各种过滤器,过滤请求,保证请求参数安全,限流等等。如果请求绕过了网关,那就等于绕过了重重关卡,直捣黄龙 在分布式架构的系统中,每个服务都有自己的一套API提供给别的服务调用,如何保证每个服务相互之间安全调用? 思路 1、所有接口都要通过认证才能访问,有时候又有需求,不需要认证就可以访问。 ...
spring boot 2.x静态资源会被拦截器拦截的原因和解决方法。
qq_33879627的博客
06-02 827
spring boot 1.5.x中,resources/static目录下的静态资源可以直接访问,并且访问路径上不用带static,比如静态资源放置位置如下图所示: 那么访问静态资源的路径可以是: http://localhost:8080/views/demoindex.html http://localhost:8080/res/js/jquery.min.js 当有配置自定义HandlerInterceptor拦截器时,请求以上静态资源路径不会被拦截。自定义HandlerInterceptor拦
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

scdn_wyy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值