OAuth2 使用Zuul细粒度权限控制笔记

2023-11-09

先置条件(基于我的项目) 假设我现在有gateway-service(网关) auth-service(权限认证) game-service(游戏) ad-service (广告)

使用相关版本如下:(版本搭配参考:https://github.com/alibaba/spring-cloud-alibaba/wiki/%E7%89%88%E6%9C%AC%E8%AF%B4%E6%98%8E)

<!--springboot 版本-->
<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.2.5.RELEASE</version>
</parent>

 <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
        <spring-cloud.version>Hoxton.SR3</spring-cloud.version>
        <spring-cloud-alibaba.version>2.2.0.RELEASE</spring-cloud-alibaba.version>
</properties>

<dependencyManagement>
        <dependencies>
            <!--整合spring cloud-->
            <dependency>
                <groupId>org.springframework.cloud</groupId>
                <artifactId>spring-cloud-dependencies</artifactId>
                <version>${spring-cloud.version}</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
            <!--整合spring cloud alibaba-->
            <dependency>
                <groupId>com.alibaba.cloud</groupId>
                <artifactId>spring-cloud-alibaba-dependencies</artifactId>
                <version>${spring-cloud-alibaba.version}</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
</dependencyManagement>

1.game-service 通过feign调用 ad-service服务现在要细粒度控制权限采用OAuth2 来实现首先4个微服务都添加如下依赖:

<dependency>
   <groupId>org.springframework.cloud</groupId>
   <artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>

2.gateway-service(网关) game-service(游戏) ad-service (广告) yml 配置文件添加配置

security:
  oauth2:
    client:
      #client-id  client-secret 请根据自己不同的服务 填写配置信息
      client-id: gateway_client
      client-secret: 123456
    resource:
      jwt:
        #这个是认证服务器地址 即auth-service
        key-uri: http://localhost:8032/oauth/token_key  #访问路径参考源码 org.springframework.security.oauth2.provider.endpoint

3.实现微服务之间权限控制

//在需要控制的方法上添加注解
@PreAuthorize("#oauth2.hasScope('delete')")


//启动类上添加注解 prePostEnabled即在请求方法之前执行校验
@EnableGlobalMethodSecurity(prePostEnabled = true)

4.针对具体用户

//@see org.springframework.security.core.userdetails
//添加访问方法的控制具体用户注解 hasRole权限有哪些 是通过UserDetailsService中的loadUserByUsername方法来加载
@PreAuthorize("hasRole('ROLE_ADMIN')")


//启动类上添加注解 prePostEnabled即在请求方法之前执行校验
@EnableGlobalMethodSecurity(prePostEnabled = true)

5.如果角色和权限实时在变化以上方式就不太合适假设我现在有一个权限控制系统来获取用户拥有的角色或者权限那么怎么在网关上来集成并实现呢

//修改网关配置 指定访问规则表达式 permissionService.hasPermission(request,authentication)
@Configuration
@EnableResourceServer
public class ZuulSecurityConfig extends ResourceServerConfigurerAdapter  {

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.resourceId("gateway");

    }

    /**
     * @param http
     * @throws Exception
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/token/**").permitAll()
             .anyRequest().access("#permissionService.hasPermission(request,authentication)");    //指定访问规则 authentication当前用户
    }
}

这样写是不会生效的我们需要自己来实现 PermissionService

import org.springframework.security.core.Authentication;

import javax.servlet.http.HttpServletRequest;

/**
 * @author Jax
 * @Description 权限控制接口
 * @Date 2020/6/27 13:11
 */
public interface PermissionService {

    boolean hasPermission(HttpServletRequest request, Authentication auth);
}

实现这个方法

import cn.hutool.core.util.RandomUtil;
import org.apache.commons.lang.builder.ReflectionToStringBuilder;
import org.springframework.security.core.Authentication;
import org.springframework.stereotype.Service;

import javax.servlet.http.HttpServletRequest;

/**
 * @author Jax
 * @Description 权限控制实现类
 * @Date 2020/6/27 13:13
 */
@Service
public class PermissionServiceImpl implements PermissionService {
    @Override
    public boolean hasPermission(HttpServletRequest request, Authentication auth) {
        //TODO 需要查询业务逻辑 来获取用户的权限信息 这里采用 反射方法 打印
        System.err.println(request.getRequestURI());
        System.err.println(ReflectionToStringBuilder.toString(auth));
        return RandomUtil.randomInt() % 2 == 0;
    }
}

然后重写权限表达式解析方法

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.expression.spel.support.StandardEvaluationContext;
import org.springframework.security.core.Authentication;
import org.springframework.security.oauth2.provider.expression.OAuth2WebSecurityExpressionHandler;
import org.springframework.security.web.FilterInvocation;
import org.springframework.stereotype.Component;

/**
 * @author Jax
 * @Description 权限表达式解析处理器
 * @Date 2020/6/27 13:23
 */
@Component
public class ZuulWebSecurityExpressionHandler extends OAuth2WebSecurityExpressionHandler {
    //注入我们自己的permissionService
    @Autowired
    private PermissionService permissionService;

    /**
     * 创建一个评估的上下文
     * @param authentication
     * @param invocation
     * @return
     */
    @Override
    protected StandardEvaluationContext createEvaluationContextInternal(Authentication authentication, FilterInvocation invocation) {
        StandardEvaluationContext standardEvaluationContext = super.createEvaluationContextInternal(authentication, invocation);
        standardEvaluationContext.setVariable("permissionService",permissionService);
        return standardEvaluationContext;
    }
}

最后一步在第5步开始的 ZuulSecurityConfig添加配置

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;

/**
 * @Description 网关资源认证配置
 * @Date 2020/6/24 16:43
 * @Author Jax
 */
@Configuration
@EnableResourceServer
public class ZuulSecurityConfig extends ResourceServerConfigurerAdapter  {

    //注入我们自己的权限表达式解析处理器
    @Autowired
    private ZuulWebSecurityExpressionHandler securityExpressionHandler;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.resourceId("gateway");
        resources.expressionHandler(securityExpressionHandler);
    }

    /**
     * @param http
     * @throws Exception
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
              .anyRequest().access("#permissionService.hasPermission(request,authentication)");    //指定访问规则 authentication当前用户
    }
}

现在所有的权限都是在网关来控制可能会出现越权的情况可以在每一个微服务都去做权限的校验(即上述方法不推荐这样去做),一般细粒度的权限90%以上都是在网关上来控制微服务之间互相调的时候可以使用ip的黑白名单来控制访问的权限 !

此博客纪录为自己项目中需要使用的技术栈而学习的笔记~~~

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

springboot

OAuth2

OAuth

spring boot

springCloud

OAuth2 使用Zuul细粒度权限控制笔记的相关文章

Thymeleaf 3 Spring 5 映射加载字符串而不是 HTML

我正在尝试将 Spring 5 和 Thymeleaf 3 一起配置我正在 Eclipse 上工作我使用全新安装构建并使用 springboot run 运行应用程序我已经设置了一个控制器和几个模板但 Thymeleaf 似乎找
使用 Spring 的 REST 多部分混合请求（文件+json）

我需要将一个文件和一个 json 一起发送到我的 Spring 控制器我有以下控制器类 Controller RequestMapping perform public class PerformController RequestMap
具有 JPA 持久性的 Spring 状态机 - 存储库使用

我试图弄清楚如何轻松使用 Spring 状态机包括使用 JPA 进行持久化这是我正在处理的问题不兼容的数据类型工厂和持久性在程序的某个时刻我想使用连接到用户的状态机有用于此目的的存储库项目spring statemachin
身份验证在 Spring Boot 1.5.2 和 Oauth2 中不起作用

我正在使用带有 spring boot 1 5 2 RELEASE 的 Oauth2 当我尝试重写 ResourceServerConfigurerAdapter 类的配置方法时它给了我一个编译错误但这在 Spring boot 1 2
自动生成Flyway的迁移SQL

当通过 Java 代码添加新模型字段等时 JPA Hibernate 的自动模式生成是否可以生成新的 Flyway 迁移捕获自动生成的 SQL 并将其直接保存到新的 Flyway 迁移中以供审查编辑提交到项目存储库这将很有用预
无法将 POST 方法与 Feign 一起使用

我正在尝试为 stockfigher 游戏 api 编写包装器只是为了了解 feign 的工作原理但我对第一个 POST 方法有疑问 RequestMapping method RequestMethod POST value venu
将 Apache Camel 执行器指标发送到 Prometheus

我正在尝试转发添加 Actuator Camel 指标 actuator camelroutes 将交换交易数量等指标发送到 Prometheus Actuator 端点有没有办法让我配置 Camel 将这些指标添加到 Promet
NoSuchBeanDefinitionException：没有合格的 bean 类型

当调用我的 GET 请求模式计算时我收到此错误我不明白为什么我的依赖项注入是正确的 org springframework beans factory NoSuchBeanDefinitionException No qualif
将 OAuth WRAP 访问令牌直接保存在客户端计算机上的 cookie 中吗？

我计划建立一个可以访问 oauth 包装框架的网站我正在考虑将访问令牌按原样存储在客户端计算机上我不想在服务器上维护临时令牌等数据库我应该做吗或者我应该加密它首先为什么他们不使用 OAuth 2 0 您可以将 OAuth 凭据存
spring boot 使用哪个“切片”来测试服务组件

我正在使用 spring boot 开发一个rest api 它由标准层组成控制器 RestController 处理传入的http请求并公开api端点然后是服务层 Service 最后是存储库层 Repository 我的问题是关于单
Netbeans 8 不会重新加载静态 Thymeleaf 文件

我通过 Maven 使用 Spring Boot 和 Thymeleaf 当我进行更改时我似乎无法让 Netbeans 自动重新部署我的任何 Thymeleaf 模板文件为了看到更改我需要进行完整的清理构建运行这需要太长的时间
在 Spring Boot 应用程序中自动装配 ObjectMapper

我需要在 Spring boot 应用程序中使用默认的 ObjectMapper 作为单例实例我可以简单地在我的应用程序中 autowire ObjectMapper 在Spring boot应用程序中默认创建的实例而不创建 Bean
使用SpringApplication时加载applicationcontext.xml

谁能提供加载 applicationContext xml 文件的 SpringApplication 示例我正在尝试使用以下方法将我的 GWT RPC 应用程序移动到 RESTful Web 服务春天的例子 https spring i
Spring Boot java.lang.NoClassDefFoundError：javax/servlet/Filter

我用 Spring Boot 1 2 3 开始了一个新项目我收到错误 java lang NoClassDefFoundError javax servlet Filter 渐变依赖项 dependencies compile org s
Keycloak - 如何获取某个领域的所有用户并将其保存到应用程序数据库？

我正在使用 Spring Boot 构建 REST API 并使用 Keycloak 进行身份验证和授权由于用户是由Keycloak管理的所以我的应用程序数据库没有用户的数据但我想将 Keycloak 中的用户实体的一些属性存储在我的
设置了 server.contextPath 的 Spring Boot 与通过 Eureka Server 访问 hystrix.stream 的 URL

我有运行 Turbine 实例的 Eureka Server 以及连接到它的一些发现客户端一切正常但如果我注册一个发现客户端server contextPath设置后它没有被识别InstanceMonitor涡轮流无法结合其hystr
保存 JPA 实体时出现 java.lang.StackOverflowError

我正在使用 Spring JPA 将实体保存到数据库中下面是代码结构客户 java Entity Table name customer Data public class Customer Id GeneratedValue stra
如何在没有嵌入数据源配置的情况下在 Spring Boot 测试期间执行 `schema.sql`？

有一个带有 h2 数据库的 Spring Boot 应用程序用作主数据库还有一个resource schema sql由 Spring Boot 在启动时加载但在集成测试期间 SpringBootTestSpring Boot 确实n
Spring boot + Spring Data JPA + Atomikos + 多数据库配置

使用此配置 MainConfig java import javax transaction TransactionManager import javax transaction UserTransaction import org sp
@ConfigurationProperties Spring Boot 配置注释处理器在类路径中找不到

我尝试完成自定义属性春季启动我尝试通过创建一个简单的项目IntelliJ IDEA 2016 3 创建了一个新的 Gradle 项目Spring Boot 初始化我根本没有检查过任何东西创建了一个新类Properties When I

随机推荐

如何使用 Parallels Desktop 虚拟机在 Mac 上安装 Windows 系统！

一下载安装 Parallels Desktop for Mac 如果您刚开始接触 Parallels Desktop for Mac 请点击下载最新版本访问如果已是 Parallels Desktop 用户请继续执行后续步骤二自
STM32使用bool型变量

环境Keil5 编译器 include
facebook 获取好友列表

直接上函数 public void getfriends if Session getActiveSession null Session getActiveSession isOpened new Request Session getA
javamail发送邮件

废话不多说直接上代码以下三段代码是我的全部代码朋友们如果想用直接复制即可 jar包因为我不知道怎么传到javaeye上所以朋友们回去自己打吧我的代码有三个类第一个类 MailSenderInfo java package co
Win10 AMD显卡不兼容造成的开机黑屏问题解决

1 将以下文本粘贴到文本文件中保存为ULPS Disable reg Windows Registry Editor Version 5 00 HKEY LOCAL MACHINE SYSTEM ControlSet001 Control
根据点云高度赋色（附open3d python代码）

绘制点云图时用颜色来表征其高度我们先计算了点云的高度范围然后把每个点的颜色根据高度来进行映射稍微修改代码我们也可以让高度颜色渐变转换为 X 轴距离颜色渐变稍微修改代码我们也可以让高度颜色渐变转换为 X 轴距离颜色渐变 codin
Promise 实现原理

文章目录一 Promise 介绍二 promise 源码实现一 Promise 介绍定义 Promise 是异步编程的一种解决方法比传统的回调函数和事件更合理它是由社区提出和实现经由 ES6 将其写进语言标准并在原生提供了 P
Linux安装python3和pip3

安装python3 yum y install zlib devel bzip2 devel openssl devel ncurses devel sqlite devel readline devel tk devel gdbm dev
python serial打开M5串口重启问题

使用比较常用的方法打开串口 import serial ser serial Serial COM3 115200 使用上述代码第一次打开会导致m5重启重启的原因可能跟烧录类似在烧录程序完毕以后都会重启解决方法 import ser
问题/lib64/libc.so.6: version `GLIBC_2.18‘ not found

1 首先下载GLIBC 2 18到本地 2 解压压缩包 3 cd进入到解压好的文件夹内 mkdir build 4 cd build 执行该命令 configure prefix usr disable profile enable add
python 绘制正弦余弦函数 matplotlib的基本使用

matplotlib的基本使用 import matplotlib pyplot as mp import numpy as np x np linspace 0 2 np pi 1000 y sin np sin x y cos np c
[初学python]新类(new-style class)

类 class 也是对象在python之中万物皆对象类也是对象类的类就被称为元类即类是元类的实例正如类的实例的行为取决于类元类的实例类的行为也取决于元类 new style classes的由来new style clas
华为OD机试真题Java_2022-2023-题目0189-最多等和不相交连续子序列

最多等和不相交连续子序列题目描述给定一个数组我们称其中连续的元素为连续子序列称这些元素的和为连续子序列的和数组中可能存在几组连续子序列组内的连续子序列互不相交且有相同的和求一组连续子序列组内子序列的数目最多输出这个数目输
笔记24-2（C语言进阶程序环境和预处理）

目录注预定义详解预处理符号举例使用例 define define 定义标识符 define定义宏括号很重要 define 替换规则和带副作用的宏参数宏和函数的对比命名约定 undef 命名行定义条件编译常见的条件编译
宏定义类模板及类模板的全特化

如下所示定义一个宏函数只要传入类型名即可生成一个类模板 include
图灵1月书讯：阅新书辞旧岁，览经典迎新年

原文链接本期小编为您特别推荐的是说服人要懂心理学著名行为心理学家演讲大师最新力作七大动力丰富实例教你做个说服高手 Susan M Weinschenk拥有行为心理学博士学位在35年的职业生涯中她一直致力于把心理学领域对人类
c语言把一个数组里面的部分值直接复制到另外一个数组

头文件是 include
MATLAB实现费诺编码的计算与分析

一实验目的 1 理解霍费诺编码的原理 2 掌握费诺编码的方法和步骤 3 熟悉费诺编码的效率 4 本实验用Matlab语言编程实现费诺 Fano 编码二实验环境 windows XP MATLAB 7 三实验原理费诺编码算法如下在
【实战 01】心脏病二分类数据集

目录 1 获取数据集 2 数据集介绍 3 数据预处理 4 构建随机森林分类模型 5 预测测试集数据 6 构建混淆矩阵 7 计算查全率召回率调和平均值 8 ROC曲线 AUC曲线注每一章节可以为一个py文件 4 5 6 7写在同一个文
OAuth2 使用Zuul细粒度权限控制笔记

先置条件基于我的项目假设我现在有gateway service 网关 auth service 权限认证 game service 游戏 ad service 广告使用相关版本如下版本搭配参考 https github com a

OAuth2 使用Zuul细粒度权限控制笔记

先置条件(基于我的项目) 假设我现在 有gateway-service(网关) auth-service(权限认证) game-service(游戏) ad-service (广告)

使用相关版本如下:(版本搭配参考:https://github.com/alibaba/spring-cloud-alibaba/wiki/%E7%89%88%E6%9C%AC%E8%AF%B4%E6%98%8E)

1.game-service 通过feign调用 ad-service服务 现在要细粒度控制权限 采用OAuth2 来实现 首先4个微服务 都添加如下依赖: