2. 程式人生 > >spring-cloud 之對 FeignClient 請求頭做處理

spring-cloud 之對 FeignClient 請求頭做處理

阿新 發佈:2018-12-21

業務場景:系統採用了spring-cloud架構,目前分兩層,1:資料展示層,2:資料連線層,為了分層清晰,我們在第一層完成使用者鑑權,第二層只做單純的介面呼叫。為了防止第二層介面因為某些原因,暴露出去造成惡意呼叫,所以我們需要對第一層的FeignClient的請求頭做一次處理,帶上一個類似Token令牌的東西來訪問資料連線層!然後在到資料連線層去通過攔截器來判斷從一層傳來的請求是否合法!

實現方案:

1.首先需要實現RequestInterceptor這個介面

@Configuration
public class MyRequestInterceptor implements RequestInterceptor {
	
	
	

	@Autowired
	private ResourceUtil resourceUtil;
	
	@Override
	public void apply(RequestTemplate requestTemplate) {
		
		TSUser loginUser = resourceUtil.getSessionUser();
		Map<STRING,Object> wechatUserInfo = resourceUtil.getStoreUserInfo(NULL);
		Map<STRING,Object> requestParam = NEW TreeMap<STRING,Object>();
		IF(loginUser != NULL) {
			requestTemplate.header("operatorId", loginUser.getId()+"");
			requestTemplate.header("visable", loginUser.getVisable());
			requestParam.put("operatorId", loginUser.getId()+"");
			requestParam.put("visable", loginUser.getVisable());
		}

		STRING url = requestTemplate.url();
		STRING TIMESTAMP = System.currentTimeMillis()+"";
		requestTemplate.header("url", url+"");
		requestTemplate.header("timestamp",TIMESTAMP);
		requestParam.put("url", url);
		requestParam.put("timestamp", TIMESTAMP);
		requestTemplate.header("sign", TokenUtil.createSign(requestParam));
	
		
	}
	

}

以上程式碼可以看出,我針對請求頭設了一些公用引數,然後用那些引數構造了一個sign出來,然後到資料鏈接層去做校驗該請求是否為合法請求!

2.在資料連線層的微服務中實現HandlerInterceptor(攔截器)

@Configuration
public class RequestVerifyInterceptor implements HandlerInterceptor{

	
	
	public RequestVerifyInterceptor() {

	}
	@Override
	public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)
			throws Exception {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, ModelAndView arg3)
			throws Exception {
		// TODO Auto-generated method stub
		
	}

	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object arg2) throws Exception {
		// TODO Auto-generated method stub
		String sign = request.getHeader("sign");
		String operatorId = request.getHeader("operatorId");
		String visable = request.getHeader("visable");
		String timestamp = request.getHeader("timestamp");
		String url = request.getHeader("url");
		Map<String,Object> requestHeaderMap = new TreeMap<String,Object>();
		requestHeaderMap.put("timestamp", timestamp);
		requestHeaderMap.put("operatorId", operatorId);
		requestHeaderMap.put("visable", visable);
		requestHeaderMap.put("url", url);
		String signR = TokenUtil.createSign(requestHeaderMap);
		if(sign == null || !sign.equals(signR)) {
			response.setCharacterEncoding("utf-8");
			response.setContentType("application/json;charset=UTF-8");
			response.getWriter().print(JSON.toJSONString(ResponseObj.returnError("非法請求")));
			return false;
		}
			
		
  		return true;
	}

}

攔截器裡面把第一層設定到請求頭裡面的引數全部拿出來,然後在構造出一個sign對比是否一樣,不一樣則表示是非法請求!

相關推薦

spring-cloud FeignClient 請求處理

業務場景:系統採用了spring-cloud架構,目前分兩層,1:資料展示層,2:資料連線層,為了分層清晰,我們在第一層完成使用者鑑權,第二層只做單純的介面呼叫。為了防止第二層介面因為某些原因,暴露出去造成惡意呼叫,所以我們需要對第一層的FeignClient的請求頭做一次處

Spring CloudZuulFilter攔截請求引數

過濾器放到閘道器:     package com.toov5.filter; import javax.servlet.http.HttpServletRequest; import org.apache.commons.lang.StringUtils; impor

spring cloud (hystrix)請求斷網處理機制

配置步驟:配備環境:         <groupId>org.springframework.boot</groupId>         <artifactId&

spring cloud——feign為GET請求時的象參數傳遞

puts 但是 代碼片段 cor stc 請求 implement stat java 一、問題重現 樓主在使用feign進行聲明式服務調用的時候發現,當GET請求為多參數時,為方便改用DTO對象進行參數傳遞。但是,在接口調用時feign會拋出一個405的請求方式錯誤:

spring中的 @RequestBody json 請求資料 XSS過濾

關於xss過濾,網上大都是是對 param的,這個很多文章了 定義過濾器。XSSFilter 不說了, 還有就是對所有@ResponseBody 返回內容做XSS過濾的方案: MappingJackson2HttpMessageConverter 的objectMap

Spring Cloud客戶端負載平衡器:Ribbon

highlight 情況下 upd block poll sla conf project 遠程服務 Ribbon是一個客戶端負載均衡器,它可以很好地控制HTTP和TCP客戶端的行為。Feign已經使用Ribbon,所以如果您使用@FeignClient,則本節也適用。

跟我學習Spring Cloud客戶端負載平衡器:Ribbon

電子商務 springcloud spring cloud springcloud微服務 微服務雲架構 Ribbon是一個客戶端負載均衡器,它可以很好地控制HTTP和TCP客戶端的行為。Feign已經使用Ribbon,所以如果您使用@FeignClient,則本節也適用。Ribbon中的中

Spring CloudFeign客戶端

電子商務 springcloud spring cloud springcloud微服務 微服務雲架構 Feign是一個聲明式的Web服務客戶端。這使得Web服務客戶端的寫入更加方便 要使用Feign創建一個界面並對其進行註釋。它具有可插入註釋支持,包括Feign註釋和JAX-RS註釋。F

spring cloud eureka配置

gis artifact paragraph 如何 gist frame section release type 服務發現:Eureka服務器 如何包括Eureka服務器 要在項目中包含Eureka服務器,請使用組org.springframework.cloud和

走進Spring Cloud八 SpringCloud Config(配置中心)(Greenwich版本)

走進Spring Cloud之八 SpringCloud Config(配置中心)(Greenwich版本) Spring Boot profile Spring Cloud Config springcloud-config-repo(遠端git配置倉庫)

走進Spring Cloud九 高可用配置中心(Greenwich版本)

走進Spring Cloud之九 高可用配置中心(Greenwich版本) Config假如Eureka服務治理 註冊config-server pom.xml application.yml ConfigServerApplica

走進Spring Cloud十 高可用配置中心動態重新整理(Greenwich版本)

走進Spring Cloud之十 高可用配置中心動態重新整理(Greenwich版本) 動態重新整理 refresh pom.xml application.yml 開啟更新機制 啟動測試 Webhooks

Spring CloudEureka自我保護環境搭建

Eureka詳解   服務消費者模式   獲取服務  消費者啟動的時候,使用服務別名,會發送一個rest請求到服務註冊中心獲取對應的服務資訊,讓後會快取到本地jvm客戶端中,同時客戶端每隔30秒從伺服器上更新一次。 可以通過 fetch-inte vall-secon

Spring CloudRibbon與Nginx區別

客戶端負載均衡器    在SpringCloud中Ribbon負載均衡客戶端,會從eureka註冊中心伺服器端上獲取服務註冊資訊列表,快取到本地。 讓後在本地實現輪訓負載均衡策略。   Ribbon與Nginx區別 伺服器端負載均衡Nginx  nginx

Spring CloudFeign客戶端調用工具

port ont parent 中心 img pin reg mave mode feign介紹 Feign客戶端是一個web聲明式http遠程調用工具,提供了接口和註解方式進行調用。 Spring Cloud 支持 RestTemplate Fetin Feign客

Spring CloudFeigin客戶端重構思想

應該重構介面資訊(重點)  toov5-parent  存放共同依賴資訊  toov5-api       api的只有介面沒有實現   toov5-api-member      toov5

Spring-CloudEureka排坑

1 快速demo 1.0 環境說明   Intelli IDEA+Spring Boot 1.1 新建工程chap52(通過New Project->Spring Initializer->web) 修改pom檔案: <groupId>com.chen4du</grou

Spring Cloud閘道器

介面的分類:   開放介面:可以授權一些介面口OAuth2.0協議方式  第三方聯合登入  內部介面:  一般只能在區域網中進行訪問,服務與服務之間關係都在同一個微服務系統中。目的是為了保證安全問題   介面設計:   介面許可權

spring cloud-使用docker部署服務

上一篇我們講到了,由於要把原來的專案拆分成多個專案,同時跑起來機器肯定好吭哧吭哧的,所以我們採用docker的方式進行部署到另外的一臺機器上面,而且現在正式的部署大多數也是採用docker的方式進行部署的。使用docker可以快速的進行部署,而且達到資源利用的最大化。下面就來介紹一下

spring cloud-微服務cap與分散式事務

最近把我所做的一個專案改成分散式的,把幾個元件都跑了一篇,對於分散式算是有了初步的瞭解。發現很多部落格都是在用十分簡單的hello world來做例子,的確這對於學習是比較不錯的,但是太不實用了。例如在我的這個專案(貴金屬遞延交易系統(聯合工行、中行、建行舉辦的一個貴金屬交易大賽的系