【重构】Spring Cloud OAuth 无Token调用源码封装-低调大师

【重构】Spring Cloud OAuth 无Token调用源码封装

2019-04-23 754

背景

重构-改善既有代码的设计，重构的目的是是软件更容易被理解和修改。

书接上回Spring Security OAuth 微服务内部Token传递的源码解析，本篇主要无token 调用过程中，代码的不断完善及其重构过程。

需求很简单如下图，如果资源服务器的提供的接口，客户端不需要身份验证即不需要携带合法令牌也能访问，并且可以实现远程调用的安全性校验。

第一版本

资源服务器设置接口permitall,配置ignore url 即可

ignore-urls:
- /actuator/**
- /v2/api-docs

保证A对外暴露，A --> B 暴露的服务接口安全

自定义 @Inner
校验逻辑,判断接口请求中是否含有 XX 请求头

/**
 * @author lengleng
 * <p>
 * 服务间接口不鉴权处理逻辑
 */
@Slf4j
@Aspect
@Component
@AllArgsConstructor
public class PigxSecurityInnerAspect {
	private final HttpServletRequest request;

	@SneakyThrows
	@Around("@annotation(inner)")
	public Object around(ProceedingJoinPoint point, Inner inner) {
		String header = request.getHeader(SecurityConstants.FROM);
		if (inner.value() && !StrUtil.equals(SecurityConstants.FROM_IN, header)) {
			log.warn("访问接口 {} 没有权限", point.getSignature().getName());
			throw new AccessDeniedException("Access is denied");
		}
		return point.proceed();
	}

}

网关请求含有XX 的请求头，避免伪造

public class PigxRequestGlobalFilter implements GlobalFilter, Ordered {
	private static final String HEADER_NAME = "X-Forwarded-Prefix";

	/**
	 * Process the Web request and (optionally) delegate to the next
	 * {@code WebFilter} through the given {@link GatewayFilterChain}.
	 *
	 * @param exchange the current server exchange
	 * @param chain    provides a way to delegate to the next filter
	 * @return {@code Mono<Void>} to indicate when request processing is complete
	 */
	@Override
	public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
		// 1. 清洗请求头中from 参数
		ServerHttpRequest request = exchange.getRequest().mutate()
			.headers(httpHeaders -> {httpHeaders.remove(SecurityConstants.FROM);})
			.build();
		return chain.filter(exchange.mutate()
				.request(newRequest.mutate()
						.header(HEADER_NAME, basePath)
						.build()).build());
	}

	@Override
	public int getOrder() {
		return -1000;
	}
}

接口使用，首先声明 B服务的这个接口对外暴露

ignore-urls:
- /info/*

接口使用,然后在 B服务的这个接口添加@Inner注解

@Inner
@GetMapping("/info/{username}")
public R info(@PathVariable String username) {

}

重构

上边第一版本的问题是，对于A/B 资源服务想对外暴露的接口，需要两步

声明在ResourceServerConfigurerAdapter 的 permitall
B服务要再次添加@inner 注解

实现@Inner 一步到位到位

在ignoreU日历获取全部Controller 中，标志@Inner 注解的请求，自动维护到忽略的URL，减少开发配置

public class PermitAllUrlProperties implements InitializingBean {
	private static final Pattern PATTERN = Pattern.compile("\\{(.*?)\\}");
	@Autowired
	private WebApplicationContext applicationContext;

	@Getter
	@Setter
	private List<String> ignoreUrls = new ArrayList<>();

	@Override
	public void afterPropertiesSet() {
		RequestMappingHandlerMapping mapping = applicationContext.getBean(RequestMappingHandlerMapping.class);
		Map<RequestMappingInfo, HandlerMethod> map = mapping.getHandlerMethods();

		map.keySet().forEach(info -> {
			HandlerMethod handlerMethod = map.get(info);

			// 获取方法上边的注解 替代path variable 为 *
			Inner method = AnnotationUtils.findAnnotation(handlerMethod.getMethod(), Inner.class);
			Optional.ofNullable(method)
					.ifPresent(inner -> info.getPatternsCondition().getPatterns()
							.forEach(url -> ignoreUrls.add(ReUtil.replaceAll(url, PATTERN, StringPool.ASTERISK))));
		});

	}
}

核心是通过RequestMappingHandlerMapping 获取全部的路由配置，然后对 Requestmappint 设置的URL 进行规则替换，然后添加到 ignoreurl中，然后在注入到 ResourceServerConfigurerAdapter 进行permitall
使用时候，如果是外部暴露

@Inner(value=false)

如果仅是服务内部调用暴露

@Inner

总结

以上源码参考个人项目基于Spring Cloud、OAuth2.0开发基于Vue前后分离的开发平台
QQ: 2270033969 一起来聊聊你们是咋用 spring cloud 的吧。

欢迎关注我们获得更多的好玩JavaEE 实践

微信关注我们

原文链接：https://my.oschina.net/giegie/blog/3040796

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

死磕 java集合之LinkedBlockingQueue源码分析

问题（1）LinkedBlockingQueue的实现方式？（2）LinkedBlockingQueue是有界的还是无界的队列？（3）LinkedBlockingQueue相比ArrayBlockingQueue有什么改进？简介 LinkedBlockingQueue是java并发包下一个以单链表实现的阻塞队列，它是线程安全的，至于它是不是有界的，请看下面的分析。源码分析主要属性 // 容量 private final int capacity; // 元素数量 private final AtomicInteger count = new AtomicInteger(); // 链表头 transient Node<E> head; // 链表尾 private transient Node<E> last; // take锁 private final ReentrantLock takeLock = new ReentrantLock(); // notEmpty条件 // 当队列无元素时，take锁会阻塞在notEmpty条件上，等待其它线程...

2019-04-22

641

先声明一下，本文不聊ISSUE中的七七八八，也不聊代码是否写的好，更不聊是不是跟蔡徐坤有关之类的吃瓜内容。仅站在技术人的角度，从这次的代码泄露事件，聊聊在代码的安全管理上，通常都需要做哪些事来预防此类事件的发生。同时，大家在阅读本文的时候，也可以深入思考下，自己团队是否也存在类似的问题，经过这次的事件，是否有必要针对性的做一些优化。最小权限 “最小权限”原则是我们在学习Linux用户管理时候经常被提到，并且被反复强调的内容。该原则是指每个程序和系统用户都应该具有完成任务所必需的最小权限集合。赋予每一个合法动作最小的权限，就是为了保护数据以及功能避免受到错误或者恶意行为的破坏。在代码的安全管理上，“最小权限”原则同样适用。但是，从此次的代码泄露内容中可以看到，这一点做的并不好，一起来看看源自泄露代码的README介绍：从说明中，可以知道这是一个后端项目的大仓库，每个业务线都通过文件夹的方式管理自己的业务模块。那也就是说，每个业务模块的人都是可以看到这个大仓库的。继续看README最后的负责人信息：可以看到这个大仓库中包含了非常多的业务模块与相关负责人信息。由于Git的权限管理都...

2019-04-23

687

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。