SpringCloud Alibaba二十五 | 网关Restful接口拦截-低调大师

SpringCloud Alibaba二十五 | 网关Restful接口拦截

2021-01-14 811

前言

之前在集成RBAC授权的文章中提到了SpringCloud可以「基于路径匹配器授权」在网关层进行用户权限校验，这种方式的实现原理是Springcloud Gateway接受到请求后根据 ReactiveAuthorizationManager#check(Mono<Authentication> authenticationMono, AuthorizationContext authorizationContext) 方法基于 AntPathMatcher校验当前访问的URL是否在用户拥有的权限URL中，如果能匹配上则说明拥有访问权限并放行到后端服务，否则提示用户无访问权限。

具体实现方式在上面文章中有阐述，如果有不清楚的可以再次查阅。文章地址：
http://javadaily.cn/articles/2020/08/07/1596772909329.html

不过之前的实现方式有个问题，就是不支持restful风格的url路径。

例如一个微服务有如下API
GET /v1/pb/user
POST /v1/pb/user
PUT /v1/pb/user

这样在网关通过 request.getURI().getPath()方法获取到用户请求路径的时候都是同一个地址，给一个用户授予 /v1/pb/user权限后他就拥有了 GET、PUT、POST三种不同权限，很显然这样不能满足精细权限控制。本章内容我们就来解决这个Restful接口拦截的问题，使其能支持精细化的权限控制。

场景演示

我们看下实际的案例，演示下这种场景。在 account-service模块下增加一个博客用户管理功能，有如下的接口方法：

接口URL	HTTP方法	接口说明
/blog/user	POST	保存用户
/blog/user/{id}	GET	查询用户
/blog/user/{id}	DELETE	删除用户
/blog/user/{id}	PUT	更新用户信息

然后我们在 sys_permission表中添加2个用户权限，再将其授予给用户角色

在网关层的校验方法中可以看到已经增加了2个权限

由于DELETE 和 PUT对应的权限路径都是 /blog/user/{id}，这样就是当给用户授予了查询权限后此用户也拥有了删除和更新的权限。

解决方案

看到这里大部分同学应该想到了，要想实现Restful风格的精细化权限管理单单通过URL路径是不行的，需要搭配Method一起使用。

最关键的点就是「需要给权限表加上方法字段，然后在网关校验的时候即判断请求路径又匹配请求方法。」 实现步骤如下：

修改权限表，新增方法字段

在 loadUserByUsername()方法构建用户权限的时候将权限对应的Method也拼接在权限上，关键代码如下：

@Override
public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
 //获取本地用户
 SysUser sysUser = sysUserMapper.selectByUserName(userName);
 if(sysUser != null){
  //获取当前用户的所有角色
  List<SysRole> roleList = sysRoleService.listRolesByUserId(sysUser.getId());
  sysUser.setRoles(roleList.stream().map(SysRole::getRoleCode).collect(Collectors.toList()));
  List<Integer> roleIds = roleList.stream().map(SysRole::getId).collect(Collectors.toList());
  //获取所有角色的权限
  List<SysPermission> permissionList = sysPermissionService.listPermissionsByRoles(roleIds);
  //拼接method
  List<String> permissionUrlList = permissionList.stream()
                    .map(item -> "["+item.getMethod()+"]"+item.getUrl())
                    .collect(Collectors.toList());
  sysUser.setPermissions(permissionUrlList);
  //构建oauth2的用户
  return buildUserDetails(sysUser);
 }else{
  throw  new UsernameNotFoundException("用户["+userName+"]不存在");
 }
}

通过上面的代码构建的用户权限如下：

[GET]/account-service/blog/user/{id}

[POST]/account-service/blog/user

可以通过代码调试查看：

权限校验方法 AccessManager#check()，校验 [MEHOTD]RequestPath 格式

@Override
public Mono<AuthorizationDecision> check(Mono<Authentication> authenticationMono, AuthorizationContext authorizationContext) {
 ServerWebExchange exchange = authorizationContext.getExchange();
 ServerHttpRequest request = exchange.getRequest();
 //请求资源
 String requestPath = request.getURI().getPath();

 //拼接method
 String methodPath = "["+request.getMethod()+"]" + requestPath;

 // 1. 对应跨域的预检请求直接放行
 if(request.getMethod() == HttpMethod.OPTIONS){
  return Mono.just(new AuthorizationDecision(true));
 }

 // 是否直接放行
 if (permitAll(requestPath)) {
  return Mono.just(new AuthorizationDecision(true));
 }

 return authenticationMono.map(auth -> new AuthorizationDecision(checkAuthorities(auth, methodPath)))
   .defaultIfEmpty(new AuthorizationDecision(false));

}

校验方法 checkAuthorities()：

private boolean checkAuthorities(Authentication auth, String requestPath) {
 if(auth instanceof OAuth2Authentication){
  OAuth2Authentication authentication = (OAuth2Authentication) auth;
  String clientId = authentication.getOAuth2Request().getClientId();
  log.info("clientId is {}",clientId);
  //用户的权限集合
  Collection<? extends GrantedAuthority> authorities = auth.getAuthorities();

  return authorities.stream()
    .map(GrantedAuthority::getAuthority)
    //ROLE_开头的为角色，需要过滤掉
    .filter(item -> !item.startsWith(CloudConstant.ROLE_PREFIX))
    .anyMatch(permission -> ANT_PATH_MATCHER.match(permission, requestPath));
 }

 return true;
}

这样当请求Delete方法时就会提示没有权限

这里还有另外一种方案，实现的原理跟上面差不多，只简单提一下。

首先还是得在权限表中新增METHOD字段，这是必须的。

然后项目中使用的权限类是 SimpleGrantedAuthority，这个只能存储一个权限字段，我们可以自定义一个权限实体类，让其可以存储url 和 method。

@Data
public class MethodGrantedAuthority implements GrantedAuthority {

    private String method;
    private String url;

    public MethodGrantedAuthority(String method, String url){
        this.method = method;
        this.url = url;
    }

    @Override
    public String getAuthority() {
        return "["+method+"]" + url;
    }
}

在 UserDetailServiceImpl中构建用户权限时使用自定义的 MethodGrantedAuthority

网关层校验的方法还是需要跟上面一样，既校验Method 又校验 URL。

以上就解决了在网关层校验Restful风格的用户权限校验，希望对你有所帮助！

End

干货分享

这里为大家准备了一份小小的礼物，关注公众号，输入如下代码，即可获得百度网盘地址，无套路领取！

001：《程序员必读书籍》
002：《从无到有搭建中小型互联网公司后台服务架构与运维架构》
003：《互联网企业高并发解决方案》
004：《互联网架构教学视频》
006：《SpringBoot实现点餐系统》
007：《SpringSecurity实战视频》
008：《Hadoop实战教学视频》
009：《腾讯2019Techo开发者大会PPT》

010：微信交流群

近期热文top

1、关于JWT Token 自动续期的解决方案

2、SpringBoot开发秘籍-事件异步处理

3、架构师之路-服务器硬件扫盲

4、基于Prometheus和Grafana的监控平台 - 环境搭建

5、RocketMQ进阶 - 事务消息

我就知道你“在看”

本文分享自微信公众号 - JAVA日知录（javadaily）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。

微信关注我们

原文链接：https://my.oschina.net/u/1388595/blog/4910147

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

数据库高可用架构了解一下

看多了应用服务的高可用架构，我们来看看数据库的高可用吧。数据存储高可用的方案本质都是通过将数据复制到多个存储设备，通过数据冗余的方式来实现高可用。常见的高可用架构有主备、主从、主主、集群、分区等，接下来我们聊聊每种架构的优缺点。主备架构基本架构拓扑图如下整体架构简单，几乎所有的数据库都提供了主备复制的功能，例如Mysql、Oracle、MongoDB等。在这种架构中备库主要承担数据备份的作用，不参与实际业务读写操作，如果把备机改成主机需要人工操作。优缺点分析主备架构的优点就是简单，具体表现有：对于客户端来说，不需要感知备机的存在，即使灾难恢复后，原来的备机被人工干预修改为主机，客户端只需要简单修改连接地址即可，应用架构不需要做任何改动；主机和备机只需要进行数据复制，不需要进行状态判断和主备切换这类复杂操作。这种架构的缺点也比较明显：备机主要是用于数据备份，如果应用架构没有读写分离设计时会造成成本浪费故障后需要人工干预，无法自动恢复，而人工处理效率又比较低，恢复过程也容易出错。主从架构主从架构与主备架构只有一字之差，但是对于实际应用架构差距却很大。在主备架构中备...

2021-01-16

539

权限控制，或者说访问控制，广泛应用于各个系统中。抽象地说，是某个主体（subject）对某个客体（object）需要实施某种操作（operation），而系统对这种操作的限制就是权限控制。在网络中，为了保护网络资源的安全，一般是通过路由设备或者防火墙建立基于IP和端口的访问控制。在操作系统中，对文件的访问也要访问控制。比如在Linux系统中，一个文件可以执行的操作分为“读”、“写”、“执行”三种，这三种操作同时对应着三种主体：文件拥有者、文件拥有者所在的用户组、其他用户，主体、客体、操作这个三者之间的对应关系，构成了访问控制列表。在Web应用中，根据访问客体的不同，常见的访问控制可以通过解决以下几个目标问题来实现：他是谁？他只能访问给他授予了权限的接口！他不能查看别人的数据！下面我们以前后端分离的项目为例，解释如何解决这几个目标问题：他是谁？在前后端分离项目中，前端用户登录后后端服务会给其颁发一个token，比如我们所熟知的JWT(JSON Web Token)，而后每次前端请求后端接口都会带上这个token。由于JWT上会带有用户信息，此时我们要做的就是校验这个to...

2021-01-11

510

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。