三個注解,優雅的實現微服務鑒權
實現思路
前面的幾篇文章陳某都是將鑒權和認證統一的放在了網關層面,架構如下:
微服務中的鑒權還有另外一種思路:將鑒權交給下游的各個微服務,網關層面只做路由轉發。
這種思路其實實現起來也是很簡單,下面針對網關層面鑒權的代碼改造一下即可完成:實戰干貨!Spring Cloud Gateway 整合 OAuth2.0 實現分布式統一認證授權!
1. 干掉鑒權管理器
在網關統一鑒權實際是依賴的鑒權管理器ReactiveAuthorizationManager,所有的請求都需要經過鑒權管理器的去對登錄用戶的權限進行鑒權。
這個鑒權管理器在網關鑒權的文章中也有介紹,在陳某的《Spring Cloud Alibaba 實戰》中配置攔截也很簡單,如下:
除了配置的白名單,其他的請求一律都要被網關的鑒權管理器攔截鑒權,只有鑒權通過才能放行路由轉發給下游服務。
看到這里思路是不是很清楚了,想要將鑒權交給下游服務,只需要在網關層面直接放行,不走鑒權管理器,代碼如下:
http
....
//白名單直接放行
.pathMatchers(ArrayUtil.toArray(whiteUrls.getUrls(), String.class)).permitAll()
//其他的任何請求直接放行
.anyExchange().permitAll()
.....
2. 定義三個注解
經過第①步,鑒權已經下放給下游服務了,那么下游服務如何進行攔截鑒權呢?
其實Spring Security 提供了3個注解用于控制權限,如下:
- @Secured
- @PreAuthorize
- @PostAuthorize
關于這三個注解就不再詳細介紹了,有興趣的可以去查閱官方文檔。
陳某這里并不打算使用的內置的三個注解實現,而是自定義了三個注解,如下:
1)@RequiresLogin
見名知意,只有用戶登錄才能放行,代碼如下:
/**
* @author 公眾號:碼猿技術專欄
* @url: www.java-family.cn
* @description 登錄認證的注解,標注在controller方法上,一定要是登錄才能的訪問的接口
*/
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD, ElementType.TYPE})
public @interface RequiresLogin {
}
2)@RequiresPermissions
見名知意,只有擁有指定權限才能放行,代碼如下:
/**
* @author 公眾號:碼猿技術專欄
* @url: www.java-family.cn
* @description 標注在controller方法上,確保擁有指定權限才能訪問該接口
*/
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD, ElementType.TYPE})
public @interface RequiresPermissions {
/**
* 需要校驗的權限碼
*/
String[] value() default {};
/**
* 驗證模式:AND | OR,默認AND
*/
Logical logical() default Logical.AND;
}
3.@RequiresRoles
見名知意,只有擁有指定角色才能放行,代碼如下:
/**
* @author 公眾號:碼猿技術專欄
* @url: www.java-family.cn
* @description 標注在controller方法上,確保擁有指定的角色才能訪問該接口
*/
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD, ElementType.TYPE})
public @interface RequiresRoles {
/**
* 需要校驗的角色標識,默認超管和管理員
*/
String[] value() default {OAuthConstant.ROLE_ROOT_CODE,OAuthConstant.ROLE_ADMIN_CODE};
/**
* 驗證邏輯:AND | OR,默認AND
*/
Logical logical() default Logical.AND;
}
以上三個注解的含義想必都很好理解,這里就不再解釋了....
3. 注解切面定義
注解有了,那么如何去攔截呢?這里陳某定義了一個切面進行攔截,關鍵代碼如下:
/**
* @author 公眾號:碼猿技術專欄
* @url: www.java-family.cn
* @description @RequiresLogin,@RequiresPermissions,@RequiresRoles 注解的切面
*/
@Aspect
@Component
public class PreAuthorizeAspect {
/**
* 構建
*/
public PreAuthorizeAspect() {
}
/**
* 定義AOP簽名 (切入所有使用鑒權注解的方法)
*/
public static final String POINTCUT_SIGN = " @annotation(com.mugu.blog.common.annotation.RequiresLogin) || "
+ "@annotation(com.mugu.blog.common.annotation.RequiresPermissions) || "
+ "@annotation(com.mugu.blog.common.annotation.RequiresRoles)";
/**
* 聲明AOP簽名
*/
@Pointcut(POINTCUT_SIGN)
public void pointcut() {
}
/**
* 環繞切入
*
* @param joinPoint 切面對象
* @return 底層方法執行后的返回值
* @throws Throwable 底層方法拋出的異常
*/
@Around("pointcut()")
public Object around(ProceedingJoinPoint joinPoint) throws Throwable {
// 注解鑒權
MethodSignature signature = (MethodSignature) joinPoint.getSignature();
checkMethodAnnotation(signature.getMethod());
try {
// 執行原有邏輯
Object obj = joinPoint.proceed();
return obj;
} catch (Throwable e) {
throw e;
}
}
/**
* 對一個Method對象進行注解檢查
*/
public void checkMethodAnnotation(Method method) {
// 校驗 @RequiresLogin 注解
RequiresLogin requiresLogin = method.getAnnotation(RequiresLogin.class);
if (requiresLogin != null) {
doCheckLogin();
}
// 校驗 @RequiresRoles 注解
RequiresRoles requiresRoles = method.getAnnotation(RequiresRoles.class);
if (requiresRoles != null) {
doCheckRole(requiresRoles);
}
// 校驗 @RequiresPermissions 注解
RequiresPermissions requiresPermissions = method.getAnnotation(RequiresPermissions.class);
if (requiresPermissions != null) {
doCheckPermissions(requiresPermissions);
}
}
/**
* 校驗有無登錄
*/
private void doCheckLogin() {
LoginVal loginVal = SecurityContextHolder.get();
if (Objects.isNull(loginVal))
throw new ServiceException(ResultCode.INVALID_TOKEN.getCode(), ResultCode.INVALID_TOKEN.getMsg());
}
/**
* 校驗有無對應的角色
*/
private void doCheckRole(RequiresRoles requiresRoles){
String[] roles = requiresRoles.value();
LoginVal loginVal = OauthUtils.getCurrentUser();
//該登錄用戶對應的角色
String[] authorities = loginVal.getAuthorities();
boolean match=false;
//and 邏輯
if (requiresRoles.logical()==Logical.AND){
match = Arrays.stream(authorities).filter(StrUtil::isNotBlank).allMatch(item -> CollectionUtil.contains(Arrays.asList(roles), item));
}else{ //OR 邏輯
match = Arrays.stream(authorities).filter(StrUtil::isNotBlank).anyMatch(item -> CollectionUtil.contains(Arrays.asList(roles), item));
}
if (!match)
throw new ServiceException(ResultCode.NO_PERMISSION.getCode(), ResultCode.NO_PERMISSION.getMsg());
}
/**
* TODO 自己實現,由于并未集成前端的菜單權限,根據業務需求自己實現
*/
private void doCheckPermissions(RequiresPermissions requiresPermissions){
}
}
其實這中間的邏輯非常簡單,就是解析的Token中的權限、角色然后和注解中的指定的進行比對。
@RequiresPermissions這個注解的邏輯陳某并未實現,自己根據業務模仿著完成,算是一道思考題了....
4. 注解使用
比如《Spring Cloud Alibaba 實戰》項目中有一個添加文章的接口,只有超管和管理員的角色才能添加,那么可以使用@RequiresRoles注解進行標注,如下:
@RequiresRoles
@AvoidRepeatableCommit
@ApiOperation("添加文章")
@PostMapping("/add")
public ResultMsg<Void> add(@RequestBody @Valid ArticleAddReq req){
.......
}
效果這里就不演示了,實際的效果:非超管和管理員角色用戶登錄訪問,將會直接被攔截,返回無權限。
注意:這里僅僅解決了下游服務鑒權的問題,那么feign調用是否也適用?
當然適用,這里使用的是切面方式,feign內部其實使用的是http方式調用,對于接口來說一樣適用。
比如《Spring Cloud Alibaba 實戰》項目中獲取文章列表的接口,其中會通過feign的方式調用評論服務中的接口獲取文章評論總數,這里一旦加上了@RequiresRoles,那么調用將會失敗,代碼如下:
@RequiresRoles
@ApiOperation(value = "批量獲取文章總數")
@PostMapping(value = "/list/total")
public ResultMsg<List<TotalVo>> listTotal(@RequestBody @Valid List<CommentListReq> param){
....
}
總結
本文主要介紹了微服務中如何將鑒權下放到微服務中,也是為了解決讀者的疑惑,實際生產中除非業務需要,陳某還是建議將鑒權統一放到網關中。
