快捷導(dǎo)航

SpringSecurity微服務(wù)實(shí)戰(zhàn)之公共模塊詳解

更新時(shí)間：2022年08月26日 14:21:58 作者：青衣畫(huà)白扇

這篇文章主要為大家介紹了SpringSecurity微服務(wù)實(shí)戰(zhàn)之公共模塊詳解，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進(jìn)步，早日升職加薪

前言

在項(xiàng)目中安全框架是必不可少的，在微服務(wù)架構(gòu)中更是尤為重要，我們項(xiàng)目中將安全模塊單獨(dú)抽離了一個(gè)公共模塊出來(lái)，因?yàn)樵谖业捻?xiàng)目架構(gòu)中需要用到的SpringSecurity 至少有三個(gè)地方 boss服務(wù) admin服務(wù) user服務(wù)（saas）模式的一個(gè)微服務(wù)架構(gòu)

模塊結(jié)構(gòu)

主要分為 base服務(wù)（提供數(shù)據(jù)，可以部署多份進(jìn)行負(fù)載均衡） boss模塊 admin模塊 gateway模塊以及公共模塊其中就包含我們今天的主角安全模塊。

我們?cè)?code>TokenLoginFilter中繼承 AbstractAuthenticationProcessingFilter抽象類(lèi) 重寫(xiě) attemptAuthentication方法在里面分別指定驗(yàn)證器

@Override
public Authentication attemptAuthentication(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse) throws AuthenticationException, IOException, ServletException {
    if (!httpServletRequest.getMethod().equals("POST")) {
        throw new AuthenticationServiceException(
                "Authentication method not supported: " + httpServletRequest.getMethod());
    }
    User user = new ObjectMapper().readValue( httpServletRequest.getInputStream(), User.class);
    //處理驗(yàn)證碼
    AbstractAuthenticationToken authRequest = null;
    switch(user.getType()) {
        //租戶登錄
        case "1":
            authRequest = new TenantAuthenticationToken(user.getUsername(), user.getPassword());
            break;
        //平臺(tái)登錄
        case "2":
            authRequest = new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword());
            break;
    }
    setDetails(httpServletRequest, authRequest);
    return this.getAuthenticationManager().authenticate(authRequest);
}

其中TenantDetailsAuthenticationProvider租戶驗(yàn)證器（admin）和UsernamePasswordAuthenticationProvider 平臺(tái)驗(yàn)證器（boss）

這里當(dāng)然還可以再加其他的驗(yàn)證器，比如后面如果還有app的話就可以在配置一個(gè)專(zhuān)門(mén)來(lái)做app端權(quán)限驗(yàn)證的驗(yàn)證器。

下面我們看看令牌的續(xù)期是怎么實(shí)現(xiàn)的: 令牌是由jwt生成和 redis 配合使用，每一次親求進(jìn)來(lái)檢查token是否合法的同時(shí)校驗(yàn)一下token的剩余時(shí)間是否大于一個(gè)閾值，如果小于閾值我們進(jìn)行reids 中的令牌刷新時(shí)間讓用戶無(wú)感知續(xù)約。

/**
 * 驗(yàn)證令牌有效期，相差不足20分鐘，自動(dòng)刷新緩存
 * @param loginUser
 * @return 令牌
 */
public void verifyToken(OnlineUserInfo loginUser,Integer type)
{
    long expireTime = loginUser.getExpireTime();
    long currentTime = System.currentTimeMillis();
     long chazhu= expireTime - currentTime;
    if (chazhu <= MILLIS_MINUTE_TEN)
    {
        refreshToken(loginUser,type);
    }
}

在訪問(wèn)過(guò)濾器中進(jìn)行校驗(yàn)就可以了，這樣就可以做到用戶無(wú)感知令牌續(xù)約。

安全驗(yàn)證模塊目前是再每個(gè)服務(wù)上面引入使用，后面會(huì)考慮在網(wǎng)關(guān)層做鑒權(quán)處理。

最后貼一下 WebSecurityConfigBugVip 這個(gè)配置類(lèi)

@Configuration
@EnableWebSecurity
public class WebSecurityConfigBugVip extends WebSecurityConfigurerAdapter {
    private TokenManager tokenManager;
    @Autowired
    private TenantDetailsAuthenticationProvider userDetailsAuthenticationProvider;
    @Autowired
    private UsernamePasswordAuthenticationProvider usernamePasswordAuthenticationProvider;
    @Autowired
    @Qualifier("authenticationManagerBean")
    private AuthenticationManager authenticationManager;
    /**
     * 裝配自定義的Provider
     * @param auth
     */
    @Override
    public void configure(AuthenticationManagerBuilder auth){
        auth.authenticationProvider(userDetailsAuthenticationProvider);//將我們自定義的認(rèn)證器配置進(jìn)來(lái)
        auth.authenticationProvider(usernamePasswordAuthenticationProvider);//默認(rèn)的認(rèn)證器
    }
    @Autowired
    public WebSecurityConfigBugVip(TokenManager tokenManager, RedisTemplate redisTemplate) {
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
    }
    /**
     * 配置設(shè)置
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.exceptionHandling()
                .authenticationEntryPoint(new UnauthorizedEntryPoint())
                .and().csrf().disable()
                .addFilterAt(tokenLoginFilter(), UsernamePasswordAuthenticationFilter.class)
                .authorizeRequests()//配置需要放行的請(qǐng)求
                .antMatchers("/swagger-ui.html/**","/v2/**","/webjars/**","/swagger-resources/**","/boss/verifi/getCode","/boss/verifi/checkVrrifyCode","/boss/sysuser/write","/boss/sysuser/read").permitAll()
                .anyRequest().authenticated()
                .and().logout().logoutUrl("/boss/acl/logout")
                .and().logout().logoutUrl("/admin/acl/logout")
                .addLogoutHandler(new TokenLogoutHandler(tokenManager, redisTemplate)).and()
                .addFilter(new TokenAuthenticationFilter(authenticationManager(), tokenManager, redisTemplate)).httpBasic();//設(shè)置訪問(wèn)過(guò)濾器
    }
    /**
    *token過(guò)濾器
    */
    @Bean
    public TokenLoginFilter tokenLoginFilter() {
        TokenLoginFilter filter = new TokenLoginFilter();
        filter.setAuthenticationManager(authenticationManager);
        return filter;
    }
    /**
     * 處理注入 AuthenticationManager失敗問(wèn)題
     * @return
     * @throws Exception
     */
    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

以上就是SpringSecurity微服務(wù)實(shí)戰(zhàn)之公共模塊詳解的詳細(xì)內(nèi)容，更多關(guān)于SpringSecurity微服務(wù)公共模塊的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

您可能感興趣的文章: