微服務架構

• 閘道器：路由使用者請求到指定服務，轉發前端 Cookie 中包含的 Session 資訊；
• 使用者服務：使用者登入認證（Authentication），使用者授權（Authority），使用者管理（Redis Session Management）
• 其他服務：依賴 Redis 中使用者資訊進行介面請求驗證

使用者 - 角色 - 許可權表結構設計

• 許可權表
  許可權表最小粒度的控制單個功能，例如使用者管理、資源管理，表結構示例：

• 角色 - 許可權表
  自定義角色，組合各種許可權，例如超級管理員擁有所有許可權，表結構示例：

• 使用者 - 角色表
  使用者繫結一個或多個角色，即分配各種許可權，示例表結構：

使用者服務設計

Maven 依賴（所有服務）

 <!-- Security -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <!-- Spring Session Redis -->
        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-data-redis</artifactId>
        </dependency>
 

應用配置 application.yml 示例：

# Spring Session 配置
spring.session.store-type=redis
server.servlet.session.persistent=true
server.servlet.session.timeout=7d
server.servlet.session.cookie.max-age=7d

# Redis 配置
spring.redis.host=<redis-host>
spring.redis.port=6379

# MySQL 配置
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://<mysql-host>:3306/test
spring.datasource.username=<username>
spring.datasource.password=<passowrd>

使用者登入認證（authentication）與授權（authority）

Slf4j
public class CustomAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    private final UserService userService;

    CustomAuthenticationFilter(String defaultFilterProcessesUrl, UserService userService) {
        super(new AntPathRequestMatcher(defaultFilterProcessesUrl, HttpMethod.POST.name()));
        this.userService = userService;
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        JSONObject requestBody = getRequestBody(request);
        String username = requestBody.getString("username");
        String password = requestBody.getString("password");
        UserDO user = userService.getByUsername(username);
        if (user != null && validateUsernameAndPassword(username, password, user)){
            // 查詢使用者的 authority
            List<SimpleGrantedAuthority> userAuthorities = userService.getSimpleGrantedAuthority(user.getId());
            return new UsernamePasswordAuthenticationToken(user.getId(), null, userAuthorities);
        }
        throw new AuthenticationServiceException("登入失敗");
    }

    /**
     * 獲取請求體
     */
    private JSONObject getRequestBody(HttpServletRequest request) throws AuthenticationException{
        try {
            StringBuilder stringBuilder = new StringBuilder();
            InputStream inputStream = request.getInputStream();
            byte[] bs = new byte[StreamUtils.BUFFER_SIZE];
            int len;
            while ((len = inputStream.read(bs)) != -1) {
                stringBuilder.append(new String(bs, 0, len));
            }
            return JSON.parseObject(stringBuilder.toString());
        } catch (IOException e) {
            log.error("get request body error.");
        }
        throw new AuthenticationServiceException(HttpRequestStatusEnum.INVALID_REQUEST.getMessage());
    }

    /**
     * 校驗使用者名稱和密碼
     */
    private boolean validateUsernameAndPassword(String username, String password, UserDO user) throws AuthenticationException {
         return username == user.getUsername() && password == user.getPassword();
    }

}

@EnableWebSecurity
@AllArgsConstructor
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    private static final String LOGIN_URL = "/user/login";

    private static final String LOGOUT_URL = "/user/logout";

    private final UserService userService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers(LOGIN_URL).permitAll()
                .anyRequest().authenticated()
                .and()
                .logout().logoutUrl(LOGOUT_URL).clearAuthentication(true).permitAll()
                .and()
                .csrf().disable();

        http.addFilterAt(bipAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)
                .rememberMe().alwaysRemember(true);
    }

    /**
     * 自定義認證過濾器
     */
    private CustomAuthenticationFilter customAuthenticationFilter() {
        CustomAuthenticationFilter authenticationFilter = new CustomAuthenticationFilter(LOGIN_URL, userService);
        return authenticationFilter;
    }

}

其他服務設計

應用配置 application.yml 示例：

# Spring Session 配置
spring.session.store-type=redis

# Redis 配置
spring.redis.host=<redis-host>
spring.redis.port=6379

全域性安全配置

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .csrf().disable();
    }

}

使用者認證資訊獲取

使用者通過使用者服務登入成功後，使用者資訊會被快取到 Redis，快取的資訊與 CustomAuthenticationFilter 中 attemptAuthentication() 方法返回的物件有關，如上所以，返回的物件是 new UsernamePasswordAuthenticationToken(user.getId(), null, userAuthorities)，即 Redis 快取了使用者的 ID 和使用者的權力（authorities）。

UsernamePasswordAuthenticationToken 建構函式的第一個引數是 Object 物件，所以可以自定義快取物件。

在微服務各個模組獲取使用者的這些資訊的方法如下：

@GetMapping()
    public WebResponse test(@AuthenticationPrincipal UsernamePasswordAuthenticationToken authenticationToken){
       // 略
    }

許可權控制

• 啟用基於方法的許可權註解

@SpringBootApplication
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

}

• 簡單許可權校驗
  例如，刪除角色的介面，僅允許擁有 ROLE_ADMIN_USER 許可權的使用者訪問。

/**
     * 刪除角色
     */
    @PostMapping("/delete")
    @PreAuthorize("hasRole('ADMIN_USER')")
    public WebResponse deleteRole(@RequestBody RoleBean roleBean){
          // 略
    }

@PreAuthorize("hasRole('<authority>')") 可作用於微服務中的各個模組

• 自定義許可權校驗
  如上所示，hasRole() 方法是 Spring Security 內嵌的，如需自定義，可以使用 Expression-Based Access Control，示例：

/**
 * 自定義校驗服務
 */
@Service
public class CustomService{

    public boolean check(UsernamePasswordAuthenticationToken authenticationToken, String extraParam){
          // 略
    }

}

/**
     * 刪除角色
     */
    @PostMapping()
    @PreAuthorize("@customService.check(authentication, #userBean.username)")
    public WebResponse custom(@RequestBody UserBean userBean){
          // 略
    }

authentication 屬於內建物件， # 獲取入參的值

• 任意使用者許可權動態修改
  原理上，使用者的許可權資訊儲存在 Redis 中，修改使用者許可權就需要操作 Redis，示例：

@Service
@AllArgsConstructor
public class HttpSessionService<S extends Session>  {

    private final FindByIndexNameSessionRepository<S> sessionRepository;

    /**
     * 重置使用者許可權
     */
    public void resetAuthorities(Long userId, List<GrantedAuthority> authorities){
        UsernamePasswordAuthenticationToken newToken = new UsernamePasswordAuthenticationToken(userId, null, authorities);
        Map<String, S> redisSessionMap = sessionRepository.findByPrincipalName(String.valueOf(userId));
        redisSessionMap.values().forEach(session -> {
            SecurityContextImpl securityContext = session.getAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY);
            securityContext.setAuthentication(newToken);
            session.setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, securityContext);
            sessionRepository.save(session);
        });
    }

}

修改使用者許可權，僅需呼叫 httpSessionService.resetAuthorities() 方法即可，實時生效。

© 著作權歸作者所有,轉載或內容合作請聯絡作者

● Spring Cloud Gateway - 快速開始

● APM工具尋找了一圈，發現SkyWalking才是我的真愛

● Spring Boot 注入外部配置到應用內部的靜態變數

● 將 HTML 轉化為 PDF新姿勢

● Java 使用 UnixSocket 呼叫 Docker API

● Fastjson致命缺陷

● Service Mesh - gRPC 本地聯調遠端服務

● 使用 Thymeleaf 動態渲染 HTML

● Fastjson致命缺陷

● Spring Boot 2 整合log4j2日誌框架

● Java面試通關要點彙總集之核心篇參考答案

● Java面試通關要點彙總集之框架篇參考答案

● Spring Security 實戰乾貨：如何保護使用者密碼

● Spring Boot RabbitMQ - 優先順序佇列

原文連結：https://mp.weixin.qq.com/s?__biz=MzU0MDEwMjgwNA==&mid=2247486167&idx=2&sn=76dba01d16b7147c9b1dfb7cbf2d8d28&chksm=fb3f132ccc489a3ad2ea05314823d660c40e8af90dcd35800422899958f98b4a258d23badba8&token=280305379&lang=zh_CN#rd

本文由部落格一文多發平臺 OpenWrite 釋出！

相關推薦

別再讓你的微服務裸奔了，基於 Spring Session & Spring Security 微服務許可權控制

微服務架構 閘道器：路由使用者請求到指定服務，轉發前端 Cookie 中包含的 Session 資訊； 使用者服務：使用者登入認證（Authentication），使用者授權（Authority），使用者管理（Redis Session Management） 其他服務：依賴 Redis 中使用者資

別再用硬編碼寫業務流程了，試試這款輕量級流程編排框架

## 前言 在每個公司的系統中，總有一些擁有複雜業務邏輯的系統，這些系統承載著核心業務邏輯，幾乎每個需求都和這些核心業務有關，這些核心業務業務邏輯冗長，涉及內部邏輯運算，快取操作，持久化操作，外部資源調取，內部其他系統RPC呼叫等等。時間一長，專案幾經易手，維護的成本得就會越來越高。各種硬程式碼判斷，分支條

別再把你當成打工者，而是把你自己當成一個公司，來進行戰略規劃，逐步提升自己的價值

部分 而是 打工 好的 mage 2.3 還需要 蘋果手機 知識 之前講了企業的平臺化趨勢，以及對個人的影響。很多讀者會覺得：我好像懂了，但轉頭就忘了，然後該幹嘛幹嘛了。如何真正落實到自己身上呢？答案是：別再把你當成打工者，而是把你自己當成一個公司，來進行戰略規

拜託,面試別再讓我數1了!!!

面試中，除了TopK，是否被問過：求一個正整數的二進位制表示包含多少個1？ 例如： uint32_t i=58585858; i的二進位制表示是： 0000 0011 0111 1101 1111 0011 0000 0010 於是，i的二進位制表示包含15個

你知道你的信用價值有多大嗎?別再忽略你的徵信了

　　擁有一個頂級信用可以讓你融資百萬! 　　擁有一個融資技能可以讓你財務自由! 　　那麼一個融資高手，如何才能快速放大自己的信用呢? 　　第一步：打造一個良好個人 信用信用記錄 　　平時要注意自己的信用記錄，不論是在朋友眼裡還是在銀行眼裡，都要做到守時守信 。 　　對朋友要

別再讓C++標頭檔案中出現“using namespace xxx;”

在這裡，我毫不迴避地說了這句話：  引用 我再也不想在任何標頭檔案中看到“using namespace xxx;”了 作為一個開發者/團隊領導者，我經常會去招聘新的專案成員，有時候也幫助其他組的人來面試應聘者。作為應聘流程之一，我經常要求應聘者寫一些程式碼，因此我檢查過

【MongoDb入門】別讓你的mongodb宕機了

  好久沒過來吹牛了，前段時間一直趕專案，沒有時間來更新部落格，專案也終於趕完了，接下來就要面臨雙十一這場驚心動魄的處女秀考驗， 我們專案中會有一個wcf叢集，而叢集地址則放在mongodb中，所以mongodb的核心地位可想而知，如果mongodb掛掉，整個專案也就陷入

求你了，再問你Java記憶體模型的時候別再給我講堆疊方法區了…

GitHub 4.1k Star 的Java工程師成神之路 ，不來了解一下嗎? GitHub 4.1k Star 的Java工程師成神之路 ，真的不來了解一下嗎? GitHub 4.1k Star 的Java工程師成神之路 ，真的確定不來了解一下嗎? 最近，面試過很多Java中高階開發，問過很多次關於Java

UITableView！別再用代碼計算行高了（一）

dev count layout 們的 -o @property 感覺 ref 還在 你還在用代碼去計算行高嗎？你不感覺那種方式很low嗎？從今天起，試著做些改變吧！ 別給我講你喜歡寫代碼的感覺，你就是要用代碼去計算行高，那我這篇文章不適合你。 在講解復雜內容之前，還是先學

Fences -讓你的桌面圖示分組顯示，成塊狀化

分享一下我老師大神的人工智慧教程！零基礎，通俗易懂！http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識，造福人民，實現我們中華民族偉大復興！        

老闆讓你抗住千萬級流量，如何做架構設計？

隨著網際網路的發展，各項軟體的客戶量日益增多，當客戶量達到一定峰值時，當數以萬計的流量來臨時，程式的順利執行以及即時響應則顯得尤為重要，就像雙11那天的淘寶一樣。那麼，如何設計架構才能夠抗住這千萬級的流量。 老闆讓你抗住千萬級流量，如何做架構設計？ 首先，要在我們架構設計的時候建立一些原則。

拜託，別再問怎麼深入學習分散式架構了！

由於分散式系統所涉及到的領域眾多，知識龐雜，很多新人在最初往往找不到頭緒，不知道從何處下手來一步步學習分散式架構。 本文試圖通過一個最簡單的、常用的分散式系統，來闡述分散式系統中的一些基本問題。 負載均衡 分散式快取 分散式檔案系統/CDN 分散式RPC 分散

讓你的網站更快一點，boxopened http/3 (QUIC) 協議實戰

最近HTTP-over-QUIC 協議被正式命名為 HTTP/3，協議帶來的最大改變是協議底層將採用UDP協議，而不再是TCP協議，這樣的好處嗎，就是更低時延，更好的擁塞控制，更精確的RTT時間，更高效率的多路複用...谷歌萬歲，要知道現有的http/2(spdy)協議也是源於谷歌。 這麼多的好處，還等什麼

小猿理財：能讓你躺賺的投資品種，瞭解下！

我們是如何在股市上虧錢的？ 前面我們說了，從長期來看，投資股票是收益率最高的投資品種，因為它的背後代表了公司的價值，所以它的增值速度也是最快的。只要我們買入這些股票，同樣可以獲得最快的增值速度。 為什麼那麼多人在股票市場上虧錢呢？你可能覺得，只有別人虧錢，你才能賺錢呀！不然怎麼能

阿里巴巴重磅推出，讓你的電腦變成雲伺服器，只要 5 分鐘! 5 分鐘! 5 分鐘!

驚奇的發現阿里雲竟然悄悄上線了一個小功能，遠端控制檯和遠端檔案管理。一句話介紹就是: 一鍵安裝後，只要你的裝置有網路環境，就可以在阿里雲物聯網平臺上遠端SSH 登入到裝置上並支援遠端的檔案上傳/下載。很實用有木有，有木有啊！而且是免費，免費，免費！ 以後再也不用搭建什麼VPN，再也不要搞啥子SSH反向代理

寫Markdown費事？Typora讓你像寫word一樣行雲流水，所見即所得。

Typora 簡介 Typora刪除了預覽視窗，以及所有其他不必要的干擾。取而代之的是實時預覽。 Markdown的語法因不同的解析器或編輯器而異，Typora使用的是GitHub Flavored Markdown。 下載 Typora下載。 常用快捷鍵 加粗： 

運維新手們，別再問需不需要學PYTHON了！！！

經常有人在群裡問，運維人員需不需要學開發？需不需要學PYTHON？PYTHON和SHELL有什麼區別？天天問這種好水的問題，我實在受不了，決定幫大家掃掃盲，求求新手們，以後別他媽瞎問了。 現階段，掌握一門開發語言已經成為高階運維工程師的必備計能，不會開發，你就不能充分理解你們系統的業務流程，你就不能

一張圖讓你掌握Python所有基礎知識，Python入門一張圖足矣！

  今天用一張思維導圖彙總了Python基礎知識，與大家分享。第一張圖為總圖，之後為總圖的區域性。   總圖   區域性1   區域性2   結語 當然這只是基礎的入門階段，後續學

個人資訊裸奔時代，區塊鏈怎麼保護我們的隱私？

現如今，對於很多人來說，接到騷擾電話已經是習以為常的事，於是我們也學會了拒絕三連：“不、不要、不可以”。身處萬物互聯互通的時代，資訊洩露事件頻發已經對我們正常的生產生活造成了一定的干擾。我們對於個人資訊的洩露，除了生氣之外，更多的是無奈，我們無意“裸奔”，卻不得

初入運維的小夥伴，別再問需不需要學Python了

這篇文章來自百度知道（你可以搜尋“運維需不需要學Python”），或許有些觀點不一定正確，但運維學Python這事毫無疑問是主流了，不信可以到各大招聘網站，看看但凡招聘運維有程式設計技能的都會有Python（Shell不算）。 　　好吧，還是看看這位百度咆哮哥是怎麼說的： 經常有人在群裡問，運維人員