spring security 6 spring cloud 解决方案

原创 已于 2023-09-08 17:35:51 修改
· 467 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #spring cloud #java

于 2023-09-08 11:03:45 首次发布

前言

spring-cloud-security已经停止维护, 对于曾经在spring-cloud-gateway中集成security的cloud项目来说, 升级改造是个巨大的问题, 是选择弃用security还是强制转换使用低版本呢?

其实在以前使用@PreAuthorize等权限注解的时候, 我就充满疑惑, cloud项目中, 如果在gateway中做权限校验, 这类注解是无法使用的, 那是否可以下每个子项目中都集成统一的security封装模块, 结合redis之类的分布式缓存, 每一个子项目都具有独立并且一致的校验规则.

我想spring的开发人员也是这么想的, 才停止维护cloud-security

权限模块

以我自己写的一个测试项目为例, auth模块就是security功能

所以, 如图中红框所示, security模块独立出来, 使用feign调用方式(或者httpExchange)调用user用户信息模块, user模块也可以直接引入security模块, 自己调用自己

security模块和传统写法没有区别, 都包括登录, 退出, token/cookie以及权限校验

大致流程图如上图所示

扩展

1. 用户权限的动态化管理

1.1.1 痛点

用户权限以及禁用状态之类的信息, 都被保存在缓存中, 管理员修改用户权限数据时, 无法及时修改缓存中的用户信息, 导致权限更新不及时

1.1.2 已有方案

网上能找到的方案分为两类, 一类是定义一个修改标记集合, 用户每次请求都先查询一下是否被修改, 如果有修改标记则更细信息. 另一类是每次请求都查询数据库获取最新数据

上述两类都似乎不太合理, 是否有更好的解决方案

1.1.3 我的方案1

如果你使用的是无状态token, 上述两种方案中第一种方案或许能够满足使用. 如果你和我一样使用redis/local等有状态方案, 可以尝试使用: 在用户登录之后拿取一次用户信息, 将请求的sessionid保存在用户id的集合中, 类似

{
    "sessionId:userId:1" : ["aaaa-aaaa-aaaa-aaaa"],
    "sessionId:userId:2" : ["bbbb-bbbb-bbbb-bbbb", "cccc-cccc-cccc-cccc"]
}

核心代码如下

    @GetMapping
    @ApiOperation("获取信息")
    public R<TokenUser> selfInfo(HttpServletRequest request) {
        TokenUser userInfo = SecurityUtils.getSessionUserNoException();
        if (null == userInfo) {
            return R.ok(new TokenUser());
        }
        // 将sessionId 保存到集合中
        SecurityUtils.setUserOnline(userInfo.getId(), request.getRequestedSessionId());
        return R.ok(userInfo.simple());
    }

如此一来, 修改用户信息时, 可以遍历用户id对应的sessionid集合, 修改对应的数据

比如我使用的是redis作为缓存, 修改信息的核心代码如下

import org.springframework.session.FindByIndexNameSessionRepository;
import org.springframework.session.FlushMode;
import org.springframework.session.Session;
import org.springframework.session.data.redis.RedisIndexedSessionRepository;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.context.SecurityContextImpl;

public class SecurityUtils {

    /**
     * 更新用户信息
     * @param userId 用户id
     * @param tokenUser 新的用户信息
     */
    public static void setSessionUserByUserId(Long userId, TokenUser tokenUser) {
        // 获取用户的sessionid集合
        Set<String> sessionIds = getUserOnline(userId);
        if (CollectionUtils.isEmpty(sessionIds)) {
            return;
        }
        for (String sessionId : sessionIds) {

            // 如果使用的是本地缓存, 则使用MapSessionRepository
            // 可能获取不到, 使用RedisSessionRepository也行, 主要看SessionRepository接口的实现bean
            RedisIndexedSessionRepository sessionRepository = SpringUtil.getBean(RedisIndexedSessionRepository.class);

            sessionRepository.setFlushMode(FlushMode.IMMEDIATE);
            Session session = sessionRepository.findById(sessionId);

            UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
                    tokenUser,
                    tokenUser.getPassword(),
                    tokenUser.getAuthorities());

            SecurityContext securityContext = new SecurityContextImpl(authentication);

            session.setAttribute(SPRING_SECURITY_CONTEXT, securityContext);
            sessionRepository.setFlushMode(FlushMode.ON_SAVE);
        }
    }
}
1.1.4 我的方案2
    public static void setSessionUserByUserId(Long userId, TokenUser tokenUser) {
        // 遍历所有前缀为spring:session:sessions:的redis key, 循环判断是否为修改的用户信息
        Set<String> keys = stringRedisTemplate.keys(SESSION_FORMAT + "*");
        assert keys != null;
        RedisSessionRepository sessionRepository = SpringUtil.getBean(RedisSessionRepository.class);
        sessionRepository.setFlushMode(FlushMode.IMMEDIATE);
        UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
                tokenUser,
                tokenUser.getPassword(),
                tokenUser.getAuthorities());
        for (String key : keys) {
            String sessionId = key.substring(key.lastIndexOf(":"));
            Session session = sessionRepository.findById(sessionId);
            SecurityContext securityContext = session.getAttribute(SPRING_SECURITY_CONTEXT);
            TokenUser cacheUser = (TokenUser) securityContext.getAuthentication().getPrincipal();

            if (cacheUser.getId().equals(userId)) {
                securityContext.setAuthentication(authentication);
                session.setAttribute(SPRING_SECURITY_CONTEXT, securityContext);
            }
        }
        sessionRepository.setFlushMode(FlushMode.ON_SAVE);

    }

我的见解定然仍有局限性, 欢迎各位前来补充

SpringSecurity6从入门到上天系列第五篇:详解SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
treewithwater的博客
11-20 1486
本文是SpringSecurity6从入门到上天系列第五篇,详细介绍了SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
微服务架构 Spring Cloud 生态快速回顾指南
热门推荐
张彦峰的博客
02-14 167万+
本文介绍了Spring Cloud在微服务架构中的核心组件及其应用。Spring Cloud提供了服务注册与发现、负载均衡、配置管理和容错机制等功能,简化了分布式系统的构建与管理。通过对这些组件的分析,本文阐述了如何利用Spring Cloud提高微服务系统的可用性、灵活性和可扩展性。最终,本文强调了Spring Cloud作为现代云原生应用开发的重要工具,帮助开发者构建高效、可靠的微服务架构。
Spring Security 6
Elcker
07-21 840
Spring Security6
Spring security 6 使用姿势
最新发布
weixin_74799562的博客
04-14 781
本文章将会向各位介绍spring security 6该如何与spring boot搭配使用,并介绍一下一些常见问题。
Spring Security 6 with SpringBoot
2301_81071716的博客
11-11 1849
首先登陆网站start.spring.io,添加web,devtool,security依赖编写完controller代码后进入网址会发现需要填表单,用户默认是user,密码在后端的控制台.springsecurity会有很多过滤器,如图中的f1,f2等request经过filter进入front controller(这个是在controller之前的控制器),且注意这里的后端都是在Servlet Container(即Tomcat)中运行的,关于Servlet:Servlet是Java EE(Java
SpringSecurity6.x
qq_45726327的博客
03-23 2163
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实上的标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。实际开发的过程中,我们需要应用程序更加灵活,可以在SpringSecurity中创建自定义配置文件。Java自定义配置用来管理用户信息,
SpringSecurity 6 快速入门
qq_46216299的博客
02-02 2430
SpringSecurity 6Spring 全家桶中属于安全权限的一类框架产品,同时它对于 Spring 框架的兼容性以及高定制性以及开源等优点,使得有些企业或个人开发者都会使用该框架
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
calm-cloud:实践搭建:springcloud + nacos +网关+ springsecurity
03-30
实践建造springcloud的maven工程 项目中的技术选型是: 服务注册中心,服务配置: 纳科斯 服务之间的调用: 开放式 服务网关: 网关 用户登录: Spring安全 持久层框架: mybatis-plus 数据库驱动: mybatis-...
Spring Boot集成Spring Cloud Security进行安全增强
技术研究中心
08-31 924
Spring Cloud SecuritySpring Boot应用提供了一套完整的安全解决方案,支持OAuth2、JWT等多种认证和授权机制。同时,Spring Security的测试支持也简化了安全性集成测试的过程。Spring Cloud SecuritySpring Security的扩展,它提供了对Spring Cloud体系中的服务认证和授权的支持,包括OAuth2、JWT等。Spring Security提供了测试支持,可以简化安全性集成测试的编写。在Spring Boot项目的。
SpringSecurity6(安全框架知识初步了解)
2401_86329916的博客
10-30 618
SpringSecurtiy初步认识
SpringSecurity6
zhuge_long的专栏
08-20 1063
​是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证和授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
认证 (authentication) 和授权 (authorization) 的区别
全栈空间
09-14 3135
  以前一直傻傻分不清各种网际应用中 authentication 和 authorization, 其实很简单:   这两个术语通常在安全性方面相互结合使用,尤其是在获得对系统的访问权限时。两者都是非常重要的主题,通常与网络相关联,作为其服务基础架构的关键部分。然而,这两个术语在完全不同的概念上是非常不同的。虽然它们通常使用相同的工具在相同的上下文中使用,但它们彼此完全不同。 身份验...
Spring Security 6 学习-1
一根火柴博客
01-23 1957
Spring Security文档Spring Security中文文档Spring SecuritySpring 家族中的安全型开发框架,主要解决三大方面问题:认证(你是谁)、授权(你能干什么)、常见攻击保护(CSRF、HTTP安全响应头设置、Http防火墙)。它常用于 Spring Boot 及 Spring Cloud 框架中。
SpringCloud 整合 Spring Security 认证鉴权【SpringCloud系列6
代码小疯子
03-21 3922
SpringCloud 大型系列课程正在制作中,欢迎大家关注与提意见。程序员每天的CV 与 板砖,也要知其所以然,本系列课程可以帮助初学者学习 SpringBooot 项目开发 与 SpringCloud 微服务系列项目开发本文章是系列文章中的一篇本文章实现的是 auth-api 生成令牌的功能。
Spring Security6
分享专业、有用、有趣的技术、产品、运营和管理知识。
11-28 640
MySQL保存cookie记录虽然方便,但是目前主流应用都是用NoSQL的。之前SpringSecurity并不支持NoSQL,但这个问题对于一个爱钻研的码农来说应该只是个小CASE——毕竟只要有代码,就没有搞不定的问题。
SpringSecurity(六)【自定义认证案例】
Vinjcent
11-02 1214
创建一个spring-security-03模块导入依赖 配置文件 编写实体类User、Role User Role 编写mapper、service、xml文件(这里只写接口,看接口实现方法) UserMapper RoleMapper 自定义 UserDetailsService 实现 UserDetailsService,作为数据源进行身份认证 UserDetailsService 配置类 WebMvcConfigurer、WebSecurityCon
SpringSecurity (六) --------- 杂项
在森林里麋了鹿
10-17 556
一些补充
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值