No6-4.从零搭建spring-cloud-alibaba微服务框架,解决微服务间的不鉴权调用等(四,no6-4)
代码地址与接口看总目录:【学习笔记】记录冷冷-pig项目的学习过程,大概包括Authorization Server、springcloud、Mybatis Plus~~~_清晨敲代码的博客-CSDN博客
之前只零碎的学习过spring-cloud-alibaba,并没有全面了解过,这次学习pig框架时,想着可以根据这个项目学习一下,练练手,于是断断续续的用了几天时间搭建了一下基础框架。目前就先重点记录一下遇到的问题吧,毕竟流程也不是特别复杂,就是有的东西没遇到过了解的也不深~
由于微服务包括认证这里内容太多,所以分了好几篇~
第一篇文章:No6.从零搭建spring-cloud-alibaba微服务框架,实现fegin、gateway、springevent等(一)_清晨敲代码的博客-CSDN博客
文章包括:
1.将服务系统注册到nacos注册中心;
2.通过nacos实现配置动态更新;
3.添加fegin服务,实现服务之间调用;
4.添加网关(学会使用webflux,学会添加过滤器);
5.添加log服务,通过springevent实现,并使用注解使用(使用AOP);
第二篇文章:
No6.从零搭建spring-cloud-alibaba微服务框架,实现数据库调用、用户认证与授权等(二,no6-2)_清晨敲代码的博客-CSDN博客
文章包括:
6.添加 mysql 数据库调用,并使用mybatis-plus操作;
7.在认证模块添加用户认证,基于oauth2的自定义密码模式(已认证用户是基于自定义token加redis持久化,不是session);
第三篇文章:
No6-3.从零搭建spring-cloud-alibaba微服务框架,实现资源端用户认证与授权等(三,no6-3)
8.在资源端模块添加用户认证,基于授权端的认证token添加逻辑(但是没有处理微服务间的不鉴权调用,微服务间的调用接口都是白名单呢!);
本篇内容包括:
9.解决微服务间的不鉴权调用(可修改外部访问鉴权逻辑~)
剩余包括(会有变动):
10.添加用户鉴权逻辑(基于RBAC逻辑,使用springsecuiry安全注解实现)
目录
A9.解决微服务间的不鉴权调用(可修改外部访问鉴权逻辑~)
步骤:
测试:
A9.解决微服务间的不鉴权调用(可修改外部访问鉴权逻辑~)
微服务间调用问题,和 pig 项目里面的实现逻辑,在另一篇文里面总结了,就不复述了,并且修改外部访问鉴权逻辑,也在这篇文章里面可以看:【pig-cloud项目】关于@Inner和@PreAuthorize的理解,以及微服务内外部间的调用认证鉴权理解
步骤:
1.添加 @Inner ;
2.修改 PermitAllUrlProperties ,再创建bean之前,记得包被@Inner注解的方法或类加进白名单中;
3.添加 PigSecurityInnerAspect ,添加微服务内部调用的 header(From) 值;并且添加到 /META-INF/string.factoies 中;
4.在 pig-gateway 模块添加PigRequestGlobalFilter全局过滤器,将请求中的 header(From) 值全部清除。
5.在需要的接口上添加 @Inner 注解;
6.给 pig-upms 模块的配置文件 application.yml 或者nacos中的配置文件中修改,springmvc接口匹配规则由默认的path_pattern_parser修改为ant_path_matcher;
//1.
@Target({ ElementType.METHOD, ElementType.TYPE })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface Inner {
/**
* 是否AOP统一处理
* @return false, true
*/
boolean value() default true;
/**
* 需要特殊判空的字段(预留)
* @return {}
*/
String[] field() default {};
}//2.修改这个类,使他实现 InitializingBean 类,这样再创建 bean 之前就能够修改对他进行以下操作
@Slf4j
@ConfigurationProperties(prefix = "security.oauth2.ignore")
public class PermitAllUrlProperties implements InitializingBean {
private static final Pattern PATTERN = Pattern.compile("\\{(.*?)\\}");
@Getter
@Setter
private List urls = new ArrayList<>();
@Override
public void afterPropertiesSet() throws Exception {
//拿到 bean ,RequestMappingHandlerMapping的作用是在容器启动后将系统中所有控制器方法的请求条件(RequestMappingInfo)和控制器方法(HandlerMethod)的对应关系注册到RequestMappingHandlerMapping Bean的内存中,
RequestMappingHandlerMapping mapping = SpringUtil.getBean("requestMappingHandlerMapping");
//拿到映射的mapper
Map map = mapping.getHandlerMethods();
map.keySet().forEach(info -> {
HandlerMethod handlerMethod = map.get(info);
// 获取方法上边的注解 替代path variable 为 *。这里注意,如果是 /user/{id} 修改为: /user/* ,如果是 /user/id 还是: /user/id
//todo 必须注意,如果是 /{id} 会修改为: /* ,就相当于,当前类同级下的匹配路径都会被添加到ignore-urls中!!!!
Inner method = AnnotationUtils.findAnnotation(handlerMethod.getMethod(), Inner.class);
Optional.ofNullable(method).ifPresent(inner -> info.getPatternsCondition().getPatterns()
.forEach(url -> urls.add(ReUtil.replaceAll(url, PATTERN, "*"))));
// 获取类上边的注解, 替代path variable 为 *。这里注意,如果是 /user/{id} 修改为: /user/* ,如果是 /user/id 还是: /user/id
Inner controller = AnnotationUtils.findAnnotation(handlerMethod.getBeanType(), Inner.class);
Optional.ofNullable(controller).ifPresent(inner ->
info.getPatternsCondition().getPatterns().forEach(url -> urls.add(ReUtil.replaceAll(url, PATTERN, "*"))));
});
}
}
//3.@Inner 注解切面
@Slf4j
@Aspect
@RequiredArgsConstructor
public class PigSecurityInnerAspect implements Ordered {
private final HttpServletRequest request;
@SneakyThrows
@Around("@within(inner) || @annotation(inner)")
public Object around(ProceedingJoinPoint point, Inner inner) {
// 实际注入的inner实体由表达式后一个注解决定,即是方法上的@Inner注解实体,若方法上无@Inner注解,则获取类上的
if (inner == null) {
Class clazz = point.getTarget().getClass();
inner = AnnotationUtils.findAnnotation(clazz, Inner.class);
}
//拿到 header(From) 参数值
String header = request.getHeader(SecurityConstants.FROM);
//是 aop 统一处理,并且 header(From) 值又正确,就跳过直接执行方法;否则抛出无权限异常
if (inner.value() && !StrUtil.equals(SecurityConstants.FROM_SECRET_VALUE, header)) {
log.warn("访问接口 {} 没有权限", point.getSignature().getName());
throw new AccessDeniedException("Access is denied");
}
return point.proceed();
}
@Override
public int getOrder() {
return Ordered.HIGHEST_PRECEDENCE + 1;
}
}
//--------------
//添加到 /META-INF/string.factoies
org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
com.pig4cloud.pig.common.security.service.PigRedisOAuth2AuthorizationService,\
com.pig4cloud.pig.common.security.service.PigRemoteRegisteredClientRepository,\
com.pig4cloud.pig.common.security.component.PigSecurityInnerAspect
//4.网关的全局拦截器,作用所有的微服务
public class PigRequestGlobalFilter implements GlobalFilter, Ordered {
@Override
public Mono filter(ServerWebExchange exchange, GatewayFilterChain chain) {
// 1. 清洗请求头中from 参数;修改请求里面的内容然后再重新构建一下
ServerHttpRequest request = exchange.getRequest().mutate()
.headers(httpHeaders -> httpHeaders.remove(SecurityConstants.FROM)).build();
//将修改后的请求放入 ServerWebExchange 里面
addOriginalRequestUrl(exchange, request.getURI());
return chain.filter(exchange);
}
@Override
public int getOrder() {
return 10;
}
}
//5. @Inner 注解的value默认是他true表示只有远程调用才可以使用,若value=false表示任意的访问都使用
@RestController
@RequiredArgsConstructor
@RequestMapping("/user")
public class UserController {
private final SysUserService userService;
...
/**
* @Description: 获取指定用户名的用户全部信息,用于用户认证
* @param username
* @Return: com.pig4cloud.pig.common.core.util.R
*/
@Inner
@GetMapping("/info/{username}")
public R info(@PathVariable String username) {
SysUser sysUser = userService.getOne(Wrappers.lambdaQuery().eq(SysUser::getUsername, username));
if(sysUser == null){
return R.failed("用户不存在");
}
//这里拿到用户的其他关联信息,并赋值给VO
UserInfoDTO userInfoDTO = userService.getUserInfo(sysUser);
return R.ok(userInfoDTO);
}
...
}
//6.在 nacos 上的 application.yml 中添加
# Spring 相关
spring:
mvc:
pathmatch:
matching-strategy: ant_path_matcher但是要注意:凡是被 @Inner 标注的接口都不会获取用户认证信息,并且会被加入 security 白名单!
测试:
