微服務(wù)下的用戶(hù)鑒權(quán)方案

上一章講了微服務(wù)下的用戶(hù)身份認(rèn)證《SpringCloud Gateway 身份認(rèn)證》,這次主要講如何進(jìn)行鑒權(quán)。
相對(duì)上一章的身份認(rèn)證代碼略有改動(dòng)

Java下常用的安全框架主要有Spring Securityshiro,都可提供非常強(qiáng)大的功能,但學(xué)習(xí)成本較高。在微服務(wù)下鑒權(quán)多多少少都會(huì)對(duì)服務(wù)有一定的入侵性。
為了降低依賴(lài),減少入侵,讓鑒權(quán)功能相對(duì)應(yīng)用服務(wù)透明,我們采用網(wǎng)關(guān)攔截資源請(qǐng)求的方式進(jìn)行鑒權(quán)。

一、整體架構(gòu)

用戶(hù)鑒權(quán)模塊位于API GateWay服務(wù)中,所有的API資源請(qǐng)求都需要從此通過(guò)。

  1. 身份認(rèn)證,通過(guò)則緩存用戶(hù)權(quán)限數(shù)據(jù),不通過(guò)返回401
  2. 用戶(hù)鑒權(quán),比對(duì)當(dāng)前訪(fǎng)問(wèn)資源(URI和Method)是否在已緩存的用戶(hù)權(quán)限數(shù)據(jù)中,在則轉(zhuǎn)發(fā)請(qǐng)求給對(duì)應(yīng)應(yīng)用服務(wù),不在則返回403

二、實(shí)現(xiàn)步驟

1. 用戶(hù)登陸

public LoginUser login(String userName, String password){
    // 檢查密碼
    User user = userService.checkUser(userName, password);

    LoginUser loginUser = LoginUser.builder()
            .userName(userName)
            .realName(user.getRealName())
            .userToken(UUID.randomUUID().toString())
            .loginTime(new Date())
            .build();

    // 保存session
    session.saveSession(loginUser);

    // 查詢(xún)權(quán)限
    List<Permission> permissions = permissionRepository.findByUserName(userName);
    // 保存用戶(hù)權(quán)限到緩存中
    session.saveUserPermissions(userName, permissions);

    return loginUser;
}

// ...
// 緩存用戶(hù)權(quán)限到Redis
public void saveUserPermissions(String userName, List<Permission> permissions) {
    String key = String.format("login:permission:%s", userName);

    HashOperations<String, String, Object> hashOperations = redisTemplate.opsForHash();
    hashOperations.putAll(key, permissions.stream().collect(
            Collectors.toMap(p -> p.getMethod().concat(":").concat(p.getUri()),
                    Permission::getName, (k1, k2) -> k2)));

    if (expireTime != null) {
        redisTemplate.expire(key, expireTime, TimeUnit.SECONDS);
    }
}
  • 用戶(hù)驗(yàn)證通過(guò)后,下發(fā)userToken,保存當(dāng)前登陸信息,緩存用戶(hù)授權(quán)列表
  • 緩存授權(quán)列表時(shí),為了方便讀取使用hash方式保存為list,切勿直接將數(shù)組對(duì)象保存為一個(gè)object

2. 攔截請(qǐng)求

@Slf4j
@Component
public class AuthorizationFilter extends AbstractGatewayFilterFactory {

    @Autowired
    private Session session;

    @Override
    public GatewayFilter apply(Object config) {
        return (exchange, chain) -> {

            ServerHttpRequest request = exchange.getRequest();
            ServerHttpResponse response = exchange.getResponse();

            String uri = request.getURI().getPath();
            String method = request.getMethodValue();

            // 1.從AuthenticationFilter中獲取userName
            String key = "X-User-Name";
            if (!request.getHeaders().containsKey(key)) {
                response.setStatusCode(HttpStatus.FORBIDDEN);
                return response.setComplete();
            }

            String userName = Objects.requireNonNull(request.getHeaders().get(key)).get(0);

            // 2.驗(yàn)證權(quán)限
            if (!session.checkPermissions(userName, uri, method)) {
                log.info("用戶(hù):{}, 沒(méi)有權(quán)限", userName);
                response.setStatusCode(HttpStatus.FORBIDDEN);
                return response.setComplete();
            }

            return chain.filter(exchange);
        };
    }
}
  • 第一步從取出身份認(rèn)證模塊傳遞的X-User-Name
  • 第二步去緩存中檢查是否有相應(yīng)的權(quán)限
public boolean checkPermissions(String userName, String uri, String method) {
    String key = String.format("login:permission:%s", userName);
    String hashKey = String.format("%s:%s", method, uri);

    if (redisTemplate.opsForHash().hasKey(key, hashKey)){
        return  true;
    }

    String allKey = "login:permission:all";
    // 權(quán)限列表中沒(méi)有則通過(guò)
    return !redisTemplate.opsForHash().hasKey(allKey, hashKey);
}
  • 權(quán)限列表中沒(méi)有則通過(guò) 主要是放過(guò)一些沒(méi)有必要配置的公共資源,默認(rèn)都可以訪(fǎng)問(wèn)的資源
  • login:permission:all 所有配置過(guò)的權(quán)限列表需要在程序啟動(dòng)時(shí)放入緩存,并需要保持?jǐn)?shù)據(jù)的更新

3. 鑒權(quán)Filter配置

spring:
  cloud:
    gateway:
      routes:
        - id: cloud-user
          uri: lb://cloud-user  # 后端服務(wù)名
          predicates:
            - Path=/user/**   # 路由地址
          filters:
            - name: AuthenticationFilter  # 身份認(rèn)證
            - name: AuthorizationFilter   # 用戶(hù)鑒權(quán)
            - StripPrefix=1 # 去掉前綴
  • 特別注意filter的順序,必須先做身份認(rèn)證后再進(jìn)行鑒權(quán)
  • 如果有較多的路由都需要配置,可使用default-filters默認(rèn)Filter配置

三、其它問(wèn)題

在做單元測(cè)試時(shí),如遇到如下錯(cuò)誤

nested exception is java.lang.NoClassDefFoundError: javax/validation/ValidationException

請(qǐng)升級(jí)依賴(lài)包版本:

<!--升級(jí)validation-api的版本-->
<dependency>
    <groupId>org.hibernate.validator</groupId>
    <artifactId>hibernate-validator</artifactId>
    <version>6.0.5.Final</version>
</dependency>
<dependency>
    <groupId>javax.validation</groupId>
    <artifactId>validation-api</artifactId>
    <version>2.0.1.Final</version>
</dependency>

四、完整代碼

https://gitee.com/hypier/barry-cloud

五、請(qǐng)關(guān)注我的公眾號(hào)

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀(guān)點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

友情鏈接更多精彩內(nèi)容