Spring Cloud实战 | 第七篇:完善ljf-admin服务,完成gateway基于角色权限认证

最新推荐文章于 2025-03-24 08:00:00 发布
最新推荐文章于 2025-03-24 08:00:00 发布
阅读量186 收藏 4
点赞数 6
分类专栏: Spring Cloud 实操入门 文章标签: spring cloud gateway spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_49074675/article/details/146023974
版权

Spring Cloud实战 | 第七篇:完善ljf-admin服务,完成gateway基于角色权限认证

1、ljf-admin添加接口getUserDTOByUsername

/**
* @description: 获取userDTO
* @author: lijinfeng
* @date: 2021/12/14
* @param: [username]
* @return: com.ljf.common.base.vo.Result<com.ljf.admin.api.DTO.UserDTO>
*/
@GetMapping("/getUserDTOByUsername")
public Result<UserDTO> getUserDTOByUsername(@RequestParam String username){
//根据username获取SysUser对象
    LambdaQueryWrapper<SysUser> userQueryWrapper = new LambdaQueryWrapper<SysUser>()
            .eq(StringUtils.hasText(username), SysUser::getUsername,username);
    SysUser user = sysUserService.getOne(userQueryWrapper);
    log.info("获取user:"+user);
    if (ObjectUtils.isEmpty(user))
        return Result.error(ResultEnum.USER_NO_EXIST);
//根据userID获取SysUserRole对象
    LambdaQueryWrapper<SysUserRole> serRoleQueryWrapper = new LambdaQueryWrapper<SysUserRole>()
            .eq(SysUserRole::getUserId,user.getId());
    List<SysUserRole> sysUserRoleList = sysUserRoleService.list(serRoleQueryWrapper);
    log.info("获取用户角色关系sysUserRoleList:"+sysUserRoleList);
    if (sysUserRoleList.size() == 0)
        return Result.error(ResultEnum.USER_NO_EXIST_ROLE);
    UserDTO userDTO = new UserDTO(user);
    userDTO.setRoleIds(sysUserRoleList.stream().map(SysUserRole::getRoleId).collect(Collectors.toList()));
//根据roleId获取role对象
    List<SysRole> roleList =  sysRoleService.listByIds(userDTO.getRoleIds());
    log.info("获取用户角色roleList:"+roleList);


    userDTO.setRoles(roleList.stream().map(SysRole::getCode).collect(Collectors.toList()));
    userDTO.setRoleNames(roleList.stream().map(SysRole::getName).collect(Collectors.toList()));
    return Result.success(userDTO);


}

2、ljf-admin-api 添加feign接口

@GetMapping("/api/v1/admin/user/getUserDTOByUsername")
Result<UserDTO> getUserDTOByUsername(@RequestParam("username") String username);
3、ljf-auth修改UserDetailsServiceImpl类,完善认证登录用户信息
/**
* 【重要】从数据库获取用户信息,用于和前端传过来的用户信息进行密码判读
*/
@Service
@Slf4j
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private UserAdminFeign userAdminFeign;
    @Autowired
    private OAuthClientFeign oAuthClientFeign;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        String clientId = JwtUtils.getAuthClientId();
        Result<UserDTO> result;
        OAuthUserDetails oauthUserDetails = null;
        OauthClientDetails oauthClientDetails = oAuthClientFeign.getOAuthClientById(clientId).getData();
        if (!ObjectUtils.isEmpty(oauthClientDetails)) {
            result = userAdminFeign.getUserDTOByUsername(username);
            if (ResultEnum.SUCCESS.getCode().equals(result.getCode())) {
                UserDTO userDTO = result.getData();
                oauthUserDetails = new OAuthUserDetails(userDTO);
                System.out.println("ljf-auth:-----------------oauthUserDetails.toString():"+oauthUserDetails.toString());
            }
        } else {
            throw new NoSuchClientException("该clientId不存在: " + clientId);
        }


        if (oauthUserDetails == null || oauthUserDetails.getId() == null) {
            throw new UsernameNotFoundException(ResultEnum.USER_NO_EXIST.getMessage());
        } else if (!oauthUserDetails.isEnabled()) {
            throw new DisabledException("该账户已被禁用!");
        } else if (!oauthUserDetails.isAccountNonLocked()) {
            throw new LockedException("该账号已被锁定!");
        } else if (!oauthUserDetails.isAccountNonExpired()) {
            throw new AccountExpiredException("该账号已过期!");
        }
        return oauthUserDetails;
    }
}

4、修改ljf-gateway的ResourceServerConfig类

重新定义权限管理器

http.oauth2ResourceServer()
        .jwt()
        .jwtAuthenticationConverter(jwtAuthenticationConverter())//重新定义权限管理器
        .publicKey(rsaPublicKey());// 本地获取公钥

添加beanjwtAuthenticationConverter()

/**
* @return
* @link https://blog.youkuaiyun.com/qq_24230139/article/details/105091273
* ServerHttpSecurity没有将jwt中authorities的负载部分当做Authentication
* 需要把jwt的Claim中的authorities加入
* 方案:重新定义权限管理器,默认转换器JwtGrantedAuthoritiesConverter
*/
@Bean
public Converter<Jwt, ? extends Mono<? extends AbstractAuthenticationToken>> jwtAuthenticationConverter() {
    JwtGrantedAuthoritiesConverter jwtGrantedAuthoritiesConverter = new JwtGrantedAuthoritiesConverter();
//设置前缀,默认为SCOPE_,级ROOT角色返回为SCOPE_ROOT,这里改成ROLE_ROOT
    jwtGrantedAuthoritiesConverter.setAuthorityPrefix("ROLE_");
//设置认证的属性为自定义OAuthUserDetails中的authorities属性
    jwtGrantedAuthoritiesConverter.setAuthoritiesClaimName("authorities");
    JwtAuthenticationConverter jwtAuthenticationConverter = new JwtAuthenticationConverter();
    jwtAuthenticationConverter.setJwtGrantedAuthoritiesConverter(jwtGrantedAuthoritiesConverter);
    return new ReactiveJwtAuthenticationConverterAdapter(jwtAuthenticationConverter);
}

5、添加鉴权管理器AuthorizationManager

/**
* @Auther: lijinfeng
* @Date: 2021/12/12
* @Description 描述:鉴权管理器
*/
@Component
@Slf4j
public class AuthorizationManager implements ReactiveAuthorizationManager<AuthorizationContext> {

    @Override
    public Mono<AuthorizationDecision> check(Mono<Authentication> mono, AuthorizationContext authorizationContext) {
        ServerHttpRequest request = authorizationContext.getExchange().getRequest();


        // 1. 对应跨域的预检请求直接放行
        if (request.getMethod() == HttpMethod.OPTIONS) {
            return Mono.just(new AuthorizationDecision(true));
        }

        log.info("判断用户JWT中携带的角色是否有能通过权限拦截的角色");
        // 判断用户JWT中携带的角色是否有能通过权限拦截的角色
        Mono<AuthorizationDecision> authorizationDecisionMono = mono
                .flatMapIterable(Authentication::getAuthorities)
                .map(GrantedAuthority::getAuthority)
                .any(authority -> {
                    log.info("用户权限(角色) : {}", authority); // ROLE_ROOT
                    // 截取ResourceServerConfig设置的自定义的ROLE_前缀
                    String role = authority.substring("ROLE_".length()); // ROOT
                    if ("ROOT".equals(role)) { // 如果是超级管理员则放行
                        return true;
                    }
                    // 其他角色暂时不让访问,以后添加条件后再具体判断
                    return false;
                })
                .map(AuthorizationDecision::new)
                .defaultIfEmpty(new AuthorizationDecision(false));
        return authorizationDecisionMono;
    }
}

6、测试root用户和admin用户

admin显示访问未授权,root用户正常访问
在这里插入图片描述

Spring Cloud实战 | 第12篇:Sentinel+Nacos实现流控、熔断降级,赋能拥有降级功能的Feign新技能熔断,做到熔断降级双剑合璧(JMeter模拟测试)
养牛娃学编程的博客
03-05 432
通过在GatewayCallbackManager上通过setBlockHandler方法注册回调实现添加代码@Slf4j/*** 自定义限流*/@Overridelog.info("自定义限流throwable:"+throwable.toString());// Lambda 表达式写法。
springcloud第4季 分布式事务seata作用服务搭建1
健康平安的活着的专栏
06-27 1373
1.seata是一款解决分布式事务的解决方案,致力于在微服务架构下提供高性能和简单易用的分布式事务服务
springcloud整合oauth2-----鉴权服务
weixin_45592424的博客
09-10 1469
鉴权服务
Spring Gateway + Oauth2 + Jwt网关统一鉴权
oPeiJie1的博客
04-19 2987
*** @Description 自定义鉴权过滤器工厂:设置访问白名单;重新封装鉴权认证通过的请求头;*///1. 编写实现类继承AbstractGatewayFilterFactory抽象类@Component。
@PreAuthorize注解源码分析(一)
Sterne_的博客
07-04 1494
本文将深入探讨Spring Security框架中的@PreAuthorize注解,它是一种方法级别的权限控制注解。本文将详细讲解@PreAuthorize注解的源码,帮助读者了解其实现原理。
Spring Cloud Gateway + Jwt + Oauth2 实现网关的鉴权操作
huan的学习记录
08-25 2153
Spring Cloud Gateway + Jwt + Oauth2 实现网关的鉴权操作一、背景二、需求三、前置条件四、项目结构五、网关层代码的编写1、引入jar包2、自定义授权管理器3、token认证失败、或超时的处理4、用户没有权限的处理5、将token信息传递到下游服务器中6、网关层面的配置7、网关yaml配置文件六、演示七、代码路径 一、背景 随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到网关去做,如果微服务自己有额外的鉴权
SpringCloud Gateway + Jwt + Oauth2 实现网关的鉴权操作,真是绝了!
程序员闪充宝
08-13 8455
大家好,我是宝哥!一、背景随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到网关去做,如果微服务自己有额外的鉴权处理,可以在自己的微服务中处理。二、需求1、在网关层完成url层面的鉴权操作。所有的OPTION请求都放行。所有不存在请求,直接都拒绝访问。user-provider服务的findAllUse...
ljf-CMS-开源
07-05
ljf-CMS-开源】是一款基于PHP和MySQL构建的内容管理系统,它以其独特的工厂模式而闻名,为开发者提供了高度的灵活性和可扩展性。这款CMS系统允许用户利用PHP语言进行二次开发,以满足不同场景下的功能需求和定制化...
LJF-Framework 第10章 LjfContext整合servlet
最新发布
养牛娃学编程的博客
03-24 312
文件内容如下图所示。
ljf-CMS-开源:PHP/Mysql内容管理系统工厂模式开发
资源摘要信息:"ljf-CMS-开源是一款基于PHP和MySQL数据库开发的内容管理系统,旨在通过工厂模式提供灵活的开发环境,同时允许用户使用PHP语言进行系统的二次开发,以满足特定的业务需求。该系统被打上了开源软件的...
OAuth2.0 - 使用 SpringGateWay 网关实现统一鉴权
小毕超博客
01-18 1万+
一、OAuth2.0 上篇文章我们学习了将用户信息存储至数据库中,前面的学习大家肯定已经对Oauth2.0已经有了自己认识,从前面我们可以了解到了,在用户认证时可以得到自己的用户信息及权限信息,然后权限的校验还是在资源服务实现的,从前面讲解SpringSecurity单体环境的时候我们要做统一的动态鉴权操作,需要实现FilterInvocationSecurityMetadataSource 接口,在其中进行地址的动态角色权限的返回。现在服务的大环境下,每个业务服务都可以称为一个资源服务,那众多的资源服务
SpringSecurity系列4】基于Spring Webflux集成SpringSecurity实现前后端分离无状态Rest API的权限控制原理分析
u011743540的博客
06-10 1374
在上一篇,我们基于 Spring Webflux 集成 SpringSecurity 实现了前后端分离无状态 Rest API 的权限控制。那么,它与之前基于 Spring Web 集成 SpringSecurity 有何异同呢?
Spring gateway配置Spring Security实现统一权限验证与授权
王广帅--游戏开发技术
12-02 2万+
在使用Spring Cloud 进行微服务,分布式开发时,网关是请求的第一入口,所以一般把客户端请求的权限验证统一放在网关进行认证与鉴权。因为Spring Cloud Gateway使用是基于WebFlux与Netty开发的,所以与传统的Servlet方式不同。而且网关一般不会直接请求数据库,不提供用户管理服务,所以如果想在网关处进行登陆验证与授权就需要做一些额外的开发了。 需求设求 众所周知,一...
服务权限终极解决方案,Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!
乌龟的专栏
08-10 7078
这篇文章主要向大家介绍微服务权限终极解决方案,Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。 标签:gitgithubwebredisspringapi缓存安全服务器restful 最近发现了一个很好的微服务权限解决方案,能够经过认证服务进行统一认证,而后经过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本
gateway-统一权限-认证
JAVAMysql111的博客
04-10 1万+
基础名词概念 **权限:**属于系统的安全范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全控制策略用户可以访问而且只能访问自己被授权的资源,主要包括用户身份认证和请求鉴权两部分,简称认证鉴权 认证判断一个用户是否为合法用户的处理过程,最常用的简单身份认证是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确 鉴权:即访问控制,控制谁能访问那些资源;进行身份认证后需要分配权限可访问的系统资源,对于某些资源没有权限是无法访问的,如下图所示 权
统一权限-鉴权
JAVAMysql111的博客
04-15 3096
鉴权:即访问控制,控制谁能访问那些资源;进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无发访问的,如图所示: 基于资源的权限控制 RBAC基于资源的访问控制是以资源为中心进行访问控制,企业中常用的权限管理方法,实现思路是:将系统操作的每个URL配置在资源表中,将资源对应到角色,将角色分配给用户,用户访问系统功能的Filter进行过滤,过滤器获取到用户访问的URL,只要访问的URL是用户分配的角色中的URL是用户分配角色中的URL则放行继续访问,其具体流程如下: 鉴权流程 Reac
Spring Cloud实战 | 第六篇:Spring Cloud Gateway + Spring Security OAuth2 + JWT实现微服务统一认证授权鉴权
竹林幽深
10-07 4389
https://blog.51cto.com/u_12386660/4903483
SpringCloud GateWay 从Redis中读取OAuth2并校验
zjy660358的专栏
07-21 3145
ResourceServerConfig /** * 资源服务器配置 * @author cmy * @date 2021/5/21 15:23 */ @AllArgsConstructor @Configuration @EnableWebFluxSecurity public class ResourceServerConfig { @Autowired AuthorizationManager authorizationManager; @Autowired
服务权限解决方案,Cloud Gateway+Oauth2实现统一认证和鉴权
热门推荐
一入Java深似海
07-09 2万+
最近发现了一个很好的微服务权限解决方案,可以通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本文将详细介绍该方案的实现,希望对大家有所帮助! 前置知识 我们将采用Nacos作为注册中心,Gateway作为网关,使用nimbus-jose-jwtJWT库操作JWT令牌 应用架构 我们理想的解决方案应该是这样的,认证服务负责认证,网关负责校验认证和鉴权,其他API服务负.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

one one day

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值